「パスワード盗難」関連の最新 ニュース・レビュー・解説 記事 まとめ

船も「CASE」：
サイバー攻撃で止まった名古屋港、必要なのは驚くほどシンプルな対策
国土交通省港湾局は「コンテナターミナルにおける情報セキュリティ対策等検討委員会」第2回委員会を開催した。この委員会は、2023年7月4日に発生した名古屋港のコンテナターミナルにおけるシステム障害の原因を究明するとともに、再発防止に必要な情報セキュリティ対策について検討することを目的としている。（2023/10/10）

「えきねっと」2段階認証導入　登録メアド確認を
「えきねっと」で、11月1日から2段階認証が導入される。えきねっとをかたるフィッシング詐欺が相次ぐ中、セキュリティを強化する。（2023/10/4）

1Password、iOS版でパスキー対応　Androidも対応へ
パスワード管理ツールの定番「1Password」のiOS版が、パスワードレス認証「パスキー」に対応した。（2023/9/25）

ニンテンドーアカウントがパスキー対応　パスワード不要でログイン可能に
ニンテンドーアカウントにパスキー認証機能が追加。スマートフォンやPCから生体認証などを使ってニンテンドーアカウントにログインできる。（2023/9/21）

この頃、セキュリティ界隈で：
米国タレントの公式インスタに訃報→翌日「私は生きている」　原因はアカウント乗っ取り？　偽情報に大混乱
テレビのリアリティー番組出演者だった男性の公式Instagramアカウントに、本人の訃報が掲載された。これを見て一部メディアが男性死亡のニュースを報道。ところが翌日、本人が「私は生きている」と宣言した。（2023/9/7）

週末の「気になるニュース」一気読み：
8月分プレビューパッチのブルースクリーンは特定CPUが原因／PC市場は23年で底打ち、24年には回復基調へ
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月27日週を中心に公開された主なニュースを一気にチェックしましょう！（2023/9/3）

「2段階認証を実装していたのに不正アクセス」　なぜなのか：
あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。（2023/9/1）

半径300メートルのIT：
pictBLandのパスワード漏えいから学ぶ　もし競合が被害に遭ったらどうする？
pictBLandのパスワード漏えいインシデントが話題です。本件はログイン時のパスワードの保管方法について問題視されていますが、筆者としては別のポイントに注目したいと思います。（2023/8/22）

Cybersecurity Dive：
Microsoftの“ずさんなセキュリティ対策”に非難集中　おわびのログ機能無料提供へ
Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。（2023/8/20）

ITお嬢様の今日も分かりませんわ〜！：
「パスワード平文保存って何か問題あるんですの？」　ITお嬢様と学ぶハッシュ化
セキュリティガバガバお嬢様が「平文保存」について疑問を抱いています。（2023/8/19）

Cybersecurity Dive：
家庭用IoTデバイスをどう守るか？　米国で進むラベリングプログラムの詳細
バイデン政権はIoTデバイスの保護を目的とした消費者向けのラベリングプログラムを発表した。ホームルーターの脆弱性などを狙ったサイバー攻撃が絶えない今、IoTセキュリティを強化する。（2023/8/19）

「早急なパスワード変更を」　ピクブラ情報漏えいで、ニコニコやピクシブなどが注意喚起
GMW（名古屋市）が運営する、ボーイズラブ（BL）に特化したSNS「pictBLand」（ピクトブランド／ピクブラ）にて、IDやパスワードを含む個人情報の漏えいが発覚した件に関し、ニコニコやピクシブといったクリエイターとの親和性が高いサービス各社が、ID・パスワードを使いまわしているユーザーに対し、早急な変更を呼びかけている。（2023/8/16）

ITお嬢様の今日も分かりませんわ〜！：
セキュリティガバガバお嬢様と学ぶ、本当は怖いパスワードの使いまわし
セキュリティガバガバお嬢様がまた何かやらかしたようです。（2023/8/17）

腐女子特化SNS「ピクブラ」に不正アクセス　メアド・パスワード流出か
BLに特化したSNS「pictBLand」（ピクブラ）が不正アクセスを受け、ユーザーのメールアドレスやパスワードが流出した可能性。被害範囲は明らかにしていないが、サービスの累計ユーザーは130万という。（2023/8/16）

Google「パスワードレス認証」に本腰【後編】
“パスキー激推し“のGoogleが「脱パスワード」に前のめりの理由はこれだ
「パスキー」（Passkey）の活用により、パスワードによる認証を段階的になくそうとするGoogle。同社はなぜ「脱パスワード」を推し進めるのか。パスワードレス認証の普及に対する、セキュリティ専門家の見方は。（2023/8/16）

BL特化SNS「pictBLand」・Web即売会サービス「pictSQUARE」で情報流出の可能性　運営元が不正アクセス報告
ログインメールアドレス、ログインパスワードが流出した可能性があるとしています。（2023/8/15）

クラウドセキュリティモニタリングのベストプラクティス（3）：
Microsoft Azureプラットフォームログのセキュリティモニタリングはどうやるか
クラウド／クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第3回はMicrosoft Azureプラットフォームログのセキュリティモニタリングについて解説する。（2023/8/10）

「言葉」から「鍵」へ、パスワードに依存しない世界：
AppleやGoogleが対応を進める「パスキー」とは？　FIDOアライアンスが仕組みを解説
AppleやGoogleも一気に対応を進めつつある「パスキー」。具体的にどのような仕組みなのか？　パスワードレスの技術として広まってきた従来のFIDO認証とは何が違うのか？　Interop Tokyo 2023でFIDOアライアンスの土屋敦裕氏が解説した。（2023/8/7）

バックアップデータが侵害されるケースも頻発：
PR：費用対効果の高い「ランサムウェア対策としてのバックアップ」を実現するための3要件とは
高度化、巧妙化するサイバー攻撃が頻発する中、データを暗号化して、金銭的脅迫をするランサムウェアが猛威を振るっている。従来はバックアップを取得することが対策の定石だったが、昨今はバックアップデータ自体が狙われることもある。現実的かつ費用対効果の高い施策を実施するにはどうすればよいのか。（2023/8/1）

経済産業省「工場セキュリティガイドライン」を読み解く（3）：
被害事例から考える製造現場に必要なセキュリティ対策
本連載では、ガイドラインが示す、今必要な工場セキュリティ対策を解説する。最終回となる今回は、ランサムウェアの被害事例を基に、ガイドラインに沿ったセキュリティ対策を紹介する。（2023/7/31）

セガアカウントにリスト型攻撃、「PSO2：NGS」で確認　パスワードの使いまわしに注意喚起
セガが「ファンタシースターオンライン2　ニュージェネシス Ver.2」のユーザーアカウントを対象としたパスワードリスト型攻撃を検知したとして注意喚起。認証情報を他サービスから使い回しているユーザーに対策を呼び掛けている。（2023/7/27）

身に覚えのない携帯電話の契約にご用心　ドコモ／ahamoが注意喚起
NTTドコモが身に覚えのない携帯電話の契約に気をつけるよう呼びかけている。何者かが大手企業などを装い、フィッシングサイトへ誘導する事例や、何者かが契約者本人になりすまし、不正に契約する事例もある。ドコモはフィッシング詐欺に関するケースと対処法も公開している。（2023/7/4）

ITmedia Security Week 2023 夏：
あなたの知らない“設定”――「クラウドサービスの怖い話」で分かるセキュリティの隙間とは
2023年6月、ITmedia Security Week 2023 夏で、日本ハッカー協会 代表理事 杉浦隆幸氏が「クラウドサービスの怖い話」と題して講演した。（2023/7/4）

APIは脅威アクターのお気に入りの標的：
APIセキュリティリスクのOWASPトップ3と、その軽減方法は？　ESETが2023年版を発表
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。（2023/6/20）

パスワード管理ツール　LastPass vs. 1Password　「使いまわし」「下二桁変更」で済ませていませんか？
パスワード管理はセキュリティ対策の基本。でも10以上のSaaSのパスワードを管理することがあなたにはできるだろうか。多くの場合、パスワードを使い回したり、同じような文字列を用いて下2桁の数字を変える程度のバリエーションになってしまうのではないだろうか。これを解決してくれるのが今回紹介するパスワード管理ツールだ。（2023/5/30）

半径300メートルのIT：
使い回しのパスワードでログインされたらどうする？　サービス運営側が取るべき対策
パスワードの使い回しはユーザーにとってはもちろん、サービス運営側にとってもリスクです。ではサービス運営側はこれに向けてどのような対策を講じればいいのでしょうか。その鍵はパスワード使い回しを前提としたサービス設計にあります。（2023/5/30）

半径300メートルのIT：
日本でも初摘発された“SIMスワップ”　確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。（2023/5/23）

エーザイ、1.1万件の取引先情報が漏えいした可能性　グループ横断で使っていたクラウドに不正アクセス
エーザイが、同社グループの取引先情報約1万1000件が漏えいした可能性を発表。何者かが海外法人に勤める社員のアカウントに不正ログインし、グループ横断で使っていたクラウドサービスにアクセスしたという。（2023/5/22）

半径300メートルのIT：
まずは体験！　“パスキー”がパスワードのない世界を（今度こそ）実現する
サイバー攻撃が高度化し、パスワードを使ったセキュリティ対策が万全とは呼ばれなくなった今、新たな手段として注目されているのが「パスキー」です。これによってどのようなメリットが得られるのでしょうか。Googleのパスキーを試してみました。（2023/5/9）

サイバー攻撃の今　日本を含むアジア太平洋地域は今後も狙われる
活発化するサイバー攻撃。次は「どこが」「何が」狙われるのだろうか。IBMの調査レポートから今後とるべき対策が示された。（2023/4/28）

Microsoftが矢継ぎ早にAIサービスを発表　Security Copilotは何を目指すのか
Microsoftは副操縦士のように企業のセキュリティ対策を支援する「Microsoft Security Copilot」を発表した。AI搭載のサービスが次々に登場する中、同サービスは何を実現するのだろうか。（2023/4/25）

「エン転職」に不正アクセス、履歴書25万人分が漏えいした可能性　リスト型攻撃で
エン・ジャパンが、転職情報サイト「エン転職」のWebサーバに不正アクセスを受け、25万5765人分の履歴書が漏えいした可能性があると発表した。外部で取得したID・パスワードを悪用して総当たりで不正ログインする「リスト型攻撃」を受けた可能性があるという。（2023/3/30）

この頃、セキュリティ界隈で：
パスワード管理「LastPass」で顧客データの盗難　手口に使われた“2段階攻撃”とは？　弱点はエンジニアの自宅PC
パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。弱点として狙われたのは、エンジニアの自宅PCだった。（2023/3/13）

米国在住者1003人が回答：
無料版「Microsoft Defender」以外に使われている人気のアンチウイルス製品は？
Security.orgは、米国在住者1003人を対象にアンチウイルス製品の導入目的や製品別のシェアを調査した結果を公開した。（2023/3/13）

半径300メートルのIT：
Twitterが二要素認証の仕様を変更　これって「アリ」か「ナシ」か？
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。（2023/2/21）

アングラ犯罪者らが、ChatGPTの悪用防止機能を回避してフィッシングメールを作成
チェック・ポイント・ソフトウェア・テクノロジーズはサイバー犯罪者がChatGPTの規制を回避してフィッシングなどに悪用していることを指摘した。（2023/2/17）

サブスクサービスとポケトークは対象外：
「ソースネクスト」Webサイトで個人情報とクレジットカード情報の漏えいが発生　最大で約12万件が流出のおそれ
ソースネクストが、Webサイトで買い物をした最大で約12万件のユーザーの個人情報が流出した恐れがあることを明らかにした。うち約11万件はクレジットカード情報も含まれているといい、情報が漏えいした疑いのあるユーザーには、順次個別連絡を行うという。（2023/2/14）

IPAが「情報セキュリティ10大脅威 2023」を公開　新たにランクインした脅威は
IPAは情報セキュリティ10大脅威の2023年度版を公開した。どのような事案が2023年の情報セキュリティにおいて脅威となるかの推測が示されており、セキュリティ対策の資料として参考になる。（2023/1/26）

「情報セキュリティ10大脅威 2023」 IPAが発表　組織の1位はランサムウェア、個人向けは？
IPAが、2022年に起きた情報セキュリティ事案の影響の大きさを示すランキング「情報セキュリティ10大脅威2023」を発表。組織向け部門の1位はランサムウェアだった。個人向け部門の上位は？（2023/1/25）

「ショップチャンネル」で不正ログイン　なりすまし購入24件確認　「パスワードの使い回し止めて」
「SHOP CHANNEL」を運営するジュピターショップチャンネルは、第三者による不正ログインによる24件の“なりすまし購入”を確認したと発表した。利用者に直接的な金銭被害は発生していない。（2023/1/11）

人気ゲーム「原神」、アカウントの乗っ取り・盗難に注意喚起　「正体不明のサイトはログイン控えて」
オンラインゲーム「原神」のアカウント盗難について、運営が注意喚起。非公式なフィッシングサイトにログインした結果、アカウントを乗っ取られる事例が複数見られるという。（2023/1/10）

宮田健の「セキュリティの道も一歩から」（80）：
「そのセキュリティ対策、オレは例外にしてくれない？」と言われても……
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は熊本県立大学で発生したインシデントから、セキュリティ向上に協力してくれない人がいる際のセキュリティ対策を考察します。（2022/12/26）

日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか（1）：
「サプライチェーン攻撃」とは何か？　弱点を発見する方法は？　どう対策すべきか？
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会 代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。（2022/12/20）

Instagram、乗っ取られたアカウント復旧ツールの提供開始
Instagramは、アカウントをハッキングされてログインできなくなったユーザーのための復旧ツールを公開した。ツールのページでログインできない理由を選択すると、ケースごとの解決法に誘導される。（2022/12/16）

例外規定が不正ログインの一因に　熊本県立大が被害　2要素認証なしの名誉教授が狙われ
熊本県立大学は、同学名誉教授のメールアカウントが不正ログインされ、個人情報が漏えいした可能性があると明らかにした。名誉教授は例外的に2要素認証を免除されていた上、他サイトでも使っている短いパスワードを設定していたという。（2022/12/14）

「JR東日本の“えきねっと”で勝手に新幹線の切符が買われた」被害が頻発？　約3万円引き落とされた記者がJR東に対応を取材した
えきねっとが抱える問題点についてJR東日本に取材しました。（2022/12/9）

注意すべきメールの件名は？　学術関係者や報道関係者を狙うサイバー攻撃が流行中
警察庁サイバー警察局は学術関係者や報道関係者を狙ったサイバー攻撃に関する注意喚起を発表した。イベントへの講師や講演、取材などを依頼する電子メールを装ってマルウェア感染を試みてくると注意を促している。（2022/12/3）

Gartner Insights Pickup（282）：
APT攻撃は「わがままを押し通すティーンエージャー」と同じ、3つの対抗策とは
近年増加しているAPT（Advanced Persistent Threat）攻撃（高度で持続的な標的型攻撃）は、昔からおなじみの「Annoyingly Persistent Teenager」（わがままを押し通すティーンエージャー）と略語が同じで、攻撃の内容も似ている。効果的な対抗策とは。（2022/11/25）

小寺信良のIT大作戦：
「Twitterはオワコン、移行先はmixi」という世界線はありうるのか
「Twitter有料化」の噂が11月9日に出ると、多くのユーザーはTwitterからの離脱を検討し始めた。その結果、mixiが2位にトレンド入りするという現象が起こったのだが、我々がもう一度大挙してmixiに戻るという世界線は、あり得るのか。少し考察してみる。（2022/11/25）

「うちの情報、freeeから漏れたんじゃないんですか？」　顧客から問い合わせ殺到──したらどうする？　freeeが再び全社訓練
「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは？（2022/11/24）