ルーブル美術館、名前をそのままパスワードに使っていたことが判明。この事件から学べること
ニュースをご覧になっていれば、パリ発の最近の記事についてもご存じでしょう。ルーブル美術館で、数十年に一度の大胆不敵な窃盗が発生し、およそ 1 億ドル相当の宝石類が盗み出されたという事件です。 ところが、まるで映画のような顛末があった一方で、もっと地味な、信じがたい事実が明らかになりました。フランスのリベラシオン紙によると (PC GAMER 経由) 、ルーブル美術館の監視カメラ システムを保護していたはずのパスワードがそのまま「Louvre」だったのを監査役が発見したというのです。 これが、今回の窃盗劇に直接の役割を果たしたかどうかはまだ確定していません。しかし、サイバーセキュリティの専門家によると、弱いパスワードやパスワードの使い回しは、デジタルでもそれ以外でも、犯罪者が侵入するとき狙える最も簡単な穴だといいます。 ルーブルの事件から学べる安全上の教訓 ルーブル美術館のサイバーセキュリティ監査は、2014 年までさかのぼって実施されました。そのなかで、古くなったソフトウェアや単純なパスワードが、何年もの間アップデートされずに放置されていたことが判明したと報じられています。それに続く審査では「深刻な欠点」が指摘されており、例えばセキュリティ システムは、開発元によるサポートがすでに終了している数十年前のソフトウェア上で稼働していました。 この状況は、個人が家庭で遭遇する典型的なセキュリティ上の問題にも似ています。メール アカウント、ソーシャル メディアのログイン情報、自宅の Wi-Fi ルーターなどいずれでも、パスワードが簡単だったり使い回しだったりするのは、玄関ドアを開け放っておくようなものです。ハッカーは、押し入ったりすることなく堂々と入っていけます。 マカフィーの専門家が説明しているように、サイバー犯罪者は頻繁に「クレデンシャル...
マイナンバーカードを悪用した犯罪例とセキュリティ対策について解説
今回は、日本国内においてマイナンバーカードを悪用した犯罪の主な手口を紹介するとともに、セキュリティ対策について解説します。
AWS の障害により Reddit や Snapchat などの主要アプリで不具合 ― 発生状況と安全を保つ方法
先日、世界最大級のクラウド サービスのひとつである Amazon Web Services (AWS) で大規模な障害が発生し、全世界で広く利用されている ウェブサイトとアプリが一時停止しました。CNN と CNBC の報道によると、Snapchat、Reddit、Fortnite、Ring、Coinbase などが影響を受けたとのことです。 障害はノーザン バージニアのリージョンから発生し、このリージョンには特に広く利用されているインターネット アプリの多くが集中していました。 AWS によると、問題が発生したのは 70 以上の独自サービスに影響する EC2...
ハッカーが従業員を騙すことによる大手企業のセールスフォースデータの流出 – あなたの安全を確認しましょう
サイバー犯罪者は、世界的な大手企業の従業員を騙してセールスフォースへのアクセス権を引き出し、そのアクセス権を利用して数百万件の顧客記録を盗んでいます。 以下は、マカフィーがまとめた今回の出来事の概要、漏洩した情報の内容、そしてデータと個人情報を安全に保つために知っておくべきポイントです: 何が起こったか ハッカーたちは、adidas、シスコ、ディズニー、Google、IKEA、Pandora、トヨタ、ベトナム航空といった有名企業を含む複数の大手企業から顧客データを盗んだと主張しています。 Security Week誌 は2025年を通じて、プラットフォームではなく人間の脆弱性を悪用するソーシャル エンジニアリング攻撃の波について報じてきました。 The Wall Street Journal によると、ハッカーたちはすでにカンタス航空の顧客記録数百万件を公開しており、次に他社の情報を暴露すると恐れが示されています。 データには、 氏名、メールアドレス、電話番号、生年月日、および ロイヤルティプログラムの詳細が含まれていると報じられています。財務データは含まれていないようですが、この種の個人情報はフィッシングや詐欺活動で悪用される可能性があります。 セールスフォースは複数の勧告を発表し、これらの攻撃は同社のインフラストラクチャへの侵害ではなく、認証情報の窃取と悪意のある接続アプリに起因するものであると強調しています。 残念ながら、このような事件は珍しくなく、特定のプラットフォームや業界に限ったことではありません。 ハッカーがソーシャル エンジニアリングや不正操作に頼って安全なシステムを突破する場合、最も洗練された企業でさえ被害に遭う可能性があります。 ハッカーの手口 ハッカーらは、ITサポート...
Astaroth: GitHub を悪用して検知を回避するバンキング型トロイの木馬
作成者: Harshil Patel、Prabudh Chakravorty *編集部より: 本調査にご協力いただいた GitHub チームに心より感謝いたします。本調査で取り上げた悪意のある GitHub リポジトリはすべて、GitHub に報告され、既に削除されています。デジタル バンキングは利便性を高める一方で、サイバー犯罪者の格好の標的となっています。 バンキング型トロイの木馬は、デジタル時代の「見えないスリ」のような存在であり、銀行口座や暗号資産ウォレットを表示している間に、密かに認証情報を盗み出します。今回は、Astaroth という非常に厄介な亜種について取り上げます。このマルウェアでは、GitHub を悪用して、検知を回避するという巧妙な手口が使われています。マカフィーの脅威調査チームは、インフラストラクチャを悪用した手法をさらに進化させた Astaroth の新キャンペーンを新たに発見しました。従来のコマンド アンド コントロール (C2)...
悪用も目立ち始めたメインストリームの AI ツール
楽しい定型詩とか、変てこな肖像画、バズるくらい笑える動画。人工知能 (AI) がやってくれるのはそういったものだけではありません。ChatGPT や Bard、DALL-E、Craiyon、Voice.ai など、人気のあるいくつもの AI ツールは、暇つぶしだけでなく、学校の宿題や職場の仕事にも実に便利です。しかし、サイバー犯罪者もこうした AI ツールを悪用しており、フィッシング、ビッシング、マルウェア、ソーシャル エンジニアリングなどがまったく新しい広がりを見せています。 この記事では、詐欺に AI が使われた最近の事例と、万一にも遭遇したときに気づくための目安をいくつかまとめました。 1. AI 音声詐欺 ビッシング、つまり電話を使うフィッシングは、目新しいものではありません。しかし、AI の音声で模倣できるようになったため、最近の詐欺電話はかつてないほど説得力が増しています。アリゾナ州では、誘拐を告げる偽電話のために、ある一家が数分間とはいえパニックに陥ったことがあります。その家の母親が、娘を誘拐したと告げ身代金を要求する電話を受けたのです。電話口からは、間違いなくわが子の声が聞こえてきましたが、最終的には AI...
デジタル世界を守ろう。今月はサイバーセキュリティ啓発月間です
10 月は全米サイバーセキュリティ啓発月間です。本年のメッセージはこれ 以上ないくらい明快。「ちょっとした行動で、安全なネット空間に」です。インターネットの脅威がますます高度に巧妙になってきているなかで、自分や家族、個人情報が被害に遭う前に対策をとることはこれまでにないほど重要になってきています。 2025 年のテーマ「デジタル世界を守ろう (Secure Our World)」では、ネットの安全を高めるために誰もが実行できる簡単で効果的な手順に焦点をあてています。本年のキャンペーンは、サイバーセキュリティの良い習慣の基礎である「4 つの基本」の欠かせない実践法を核に据えています。この 4 つの柱は、技術的な専門知識や大きな時間の投資を必要とせず、ネットの防衛力を高められるインパクトの大きい行動を表しています。 基礎: 4 つの基本を理解する 4 つの基本原則がネットの安全を守るための目安となります。まず、信頼できるパスワード マネージャーと組み合わせた強力なパスワードを使うことで、サイバー犯罪者が狙う最も一般的な脆弱性をなくすことができます。それぞれのアカウントに独自の複雑なパスワードを設定していれば、あるサービスに侵入されたとしても、すべてのネット環境が脅かされる心配はありません。 次に、多要素認証を有効にすると重要な第 2 の防御層を構えられるので、不正アクセスは極度に難しくなります。何者かがパスワードを盗み取ったとしても、アカウントに侵入するにはさらに携帯電話や認証アプリへのアクセス権が必要になるからです。この簡単な対策だけで、多くの自動攻撃を遮断でき、不正侵入を試みる者にとって大きな壁となります。...
