連載
特別レポート
出典:日経NETWORK
記事は執筆時の情報に基づいており、現在では異なる場合があります。
目次
-
キーボードに残った「指の熱」でパスワードを盗む
6文字なら正解率100%
キーボードを使ってパスワードを入力する場合、押したキーには指の熱が伝わる。その結果、わずかではあるが温度が上昇する。そこでサーモカメラ(サーモグラフィーカメラ)でそのキーボードを撮影して温度分布を測定すれば、押されたキーすなわち入力されたパスワードが分かるのではないだろうか──。
-
画像ファイルにマルウエアが潜む
セキュリティーソフトの検知を回避
「画像ファイルは安全なファイル形式」。多くの人はそう思うだろう。だが今回、画像ファイルにマルウエア(コンピューターウイルス)を潜ませるサイバー攻撃が確認された。マルウエア入りの画像ファイルをインターネットからダウンロードさせて、そのマルウエアをパソコンに感染させるのだ。
-
「多要素認証」を破る大規模フィッシング
1万社以上のMicrosoft 365利用企業を襲う
米マイクロソフトは2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。
-
恐怖の「ゴーストタッチ攻撃」
電磁波で他人のスマホを触らずに操作
現在のスマートフォンやタブレットなどでは、静電容量方式のタッチスクリーン(タッチパネル)が使われている。耐久性に優れ、マルチタッチ(多点同時の接触)を検知できるといった特徴を備えている。
-
iPhoneは「電源オフ」でも動き続ける
想定外のセキュリティーリスクに注意
機器の動作を確実に止める方法は、電源をオフにすることだ。だがオフにしても一部の機能は有効なままの機器がある。その1つがiPhoneである。例えばiOS 15以降では、電源をオフにしても24時間以内なら「探す」機能が有効だ。別の機器を使えば、電源がオフになったiPhoneの現在地を確認できる。
-
多要素認証を破る「プロンプト爆撃」の罠
ユーザーの寝込みを襲う恐怖の手口
正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。
-
ブラウザーの中に「偽ブラウザー」を表示する新手口
URLを確認しても防げないフィッシング
あるセキュリティー研究者は2022年3月中旬、新しいフィッシング詐欺の手口を発表した。
-
ウクライナ侵攻直前のサイバー攻撃の真実
「攻撃の目的は金銭」と誤認させ破壊活動
2022年2月に発生したロシアによるウクライナ侵攻の直前、ウクライナの組織に対してサイバー攻撃が仕掛けられた。
-
「Emotet」の感染拡大を止められない理由
撲滅したはずの凶悪マルウエアが復活
メールで感染を広げるマルウエアの「Emotet」が国内で猛威を振るっている。セキュリティー組織のJPCERTコーディネーションセンター(JPCERT/CC)は2022年2月上旬、Emotetのメール送信に悪用されている可能性があるメールアドレス数が急増しているとして注意を呼びかけた。
-
「USBメモリー」の罠に気をつけろ
パソコンに挿すだけでランサムウエア感染
米連邦捜査局(FBI)は2022年1月6日(米国時間)、重要インフラ事業者などに対して、USBメモリーなどのUSBデバイスを使ったサイバー攻撃が確認されているとして注意を呼びかけた。
-
「隠しカメラ」をスマホで見つけるアプリ登場
ToFセンサーで検出率9割を実現
隠しカメラによる盗撮が大きな脅威になっている。超小型で低価格の隠しカメラが多数販売されているためだ。
-
見えない脆弱性をソースコードに埋め込む新手口
「制御文字」でプログラマーの目を欺く
プログラムに埋め込まれた脆弱性やマルウエア(コンピューターウイルス)などを見つける有効な手段の1つが、そのソースコードを丹念に調べる(レビューする)こと。スキルのある開発者(プログラマー)なら、ソースコードを調べることで異常に気づける。
-
ワンタイムパスワード破りのサービス出現
2要素認証でも油断は禁物
パスワードだけでは危ないとして、2要素認証を導入する企業が次第に増えている。代表的な2要素認証の1つは、パスワードとワンタイムパスワードを使う方法だ。だが、ワンタイムパスワードを高確率で破れるとするサービスが出現している。
-
フィッシング詐欺の恐るべき新手口
怪しくない「リンク先」なのにだまされる
フィッシング詐欺の被害が止まらない。フィッシング詐欺とは、メールなどに記載したリンク(URL)でユーザーを偽サイト(フィッシングサイト)に誘導し、個人情報などを盗むネット詐欺である。
-
ランサムウエア攻撃の「虎の巻」が流出
犯罪支援クラウド RaaSを巡る仁義なき戦い
世界中でランサムウエア攻撃の被害が相次いでいる。理由の1つがRaaSの存在である。RaaSはランサムウエア攻撃を支援するクラウドサービス。RaaSを利用すれば、手間をかけずにランサムウエア攻撃を仕掛けられる。
-
セキュリティー警告で脅すネット詐欺が急増
「Webプッシュ通知」で悪質サイトに誘導
パソコンのデスクトップに偽のセキュリティー警告を表示し、悪質なWebサイトに誘導するネット詐欺が被害を広げている。新しい手口も出現している。セキュリティー企業のトレンドマイクロは2021年7月初旬、同社製品ユーザーからの相談が増加しているとして注意を呼びかけた。
-
日本人が使うパスワードのランキング発表
上位に食い込む「jza90supra」の正体
日本人が使いがちなパスワードは何だか分かるだろうか。ソリトンシステムズは2020年に発覚した232件の情報流出事件を分析し、日本人と思われる利用者が設定していたパスワードの種類と数を集計した。
-
最新の「SMSフィッシング」が記者を直撃
短縮URLやダイナミックDNSでだます
SMS(ショートメッセージサービス)を使ったフィッシング詐欺が大きな脅威になっている。当初は宅配業者の不在通知に見せかける手口が主流だったが、現在では様々な手口が出現。その1つがNTTドコモをかたる手口だ。同社は2021年5月下旬、手口の一例を紹介して注意を呼びかけた。
-
メールの誤送信を誘う 「gmai.com」の罠
正体不明ドッペルゲンガーの恐怖
メールを送ったはずなのに、先方から「届いていない」と言われたことはないだろうか。そのような場合、「ドッペルゲンガードメイン」に誤送信している可能性がある。特に、相手がGmailのアドレスならなおさらだ。ドッペルゲンガードメインの「gmai.com」に吸い込まれている恐れがある。
-
Power Platformでシステム管理
ノーコードで楽々自動化
米マイクロソフトが提供する「Power Platform」は、アプリケーションを構築・運用するためのプラットフォーム(サービス群)である。うまく使いこなせば、システムやネットワークの監視や管理に活用できる。
