不正アクセスによる迷惑メールに関するお詫びとお知らせ 2022年3月7日 ワンダーストレージホールディングス株式会社


平素は格別のお引き立てを賜り、厚くお礼申し上げます。

この度、弊社従業員のパソコンがマルウェア「Emotet(エモテット)」に感染し、弊社メール
アカウントを踏み台として、一部のお客様に対し不審メールが送信された事実を確認いた
しました。

当該メールを受信されたお客様には、多大なご迷惑をお掛けいたしましたこと深くお詫び
申し上げます。

弊社メールアカウントを悪用して(乗っ取り)送信された不審メールには、送信者の氏名表
示とメールアドレスが異なっているという特徴がございます。

弊社のメールアドレスは「*****@uruoi-gp.jp」でございます。送信者の氏名表示と一致し
ない当該メールにつきましては、添付ファイルの開封や、メール本文記載 URL へのアクセス
は行わず、メールごと削除していただくようお願い申し上げます。

弊社といたしましては本件発覚後、直ちに当該メールアカウントのパスワードを更に強固
なものに変更いたしました。本件を受けまして今後は情報セキュリティについてより一層
対策を強化して参りますので、何卒ご理解、ご協力を賜りたく宜しくお願い申し上げます。

なお、Emotet(エモテット)と呼ばれる今回の不審メールの詳細につきましては、情報処理
推進機構(IPA)の下記サイトに掲載がございますので、ご参照下さい。

https://www.ipa.go.jp/security/announce/20191202.html

Labels:

ロシアによるウクライナ侵略の傷跡

 






Labels:

「2021年 世界のDDoS攻撃情勢レポート」 / NSFOCUS Releases 2021 Global DDoS Attack Landscape Report


NSFOCUS Releases 2021 Global DDoS Attack Landscape Report:

2022年1月28日 - ホリスティックハイブリッドセキュリティソリューションのリーダーであるNSFOCUSは、Tencentと協力して共同レポート「2021 Global DDoS Attack Landscape」を発表し、DDoS攻撃がテラビット時代に入り、今年最大のDDoSトラフィックは2.4Tbps(Microsoftの最新情報では3.25Tbps)にピークを迎え、2021年を5年目のテラビットクラス攻撃年とすることを明らかにしました。DDoS攻撃は、その数、規模、巧妙さ、スピードにおいて成長を続けています。

2021 Global DDoS Landscape Reportの主な調査結果は以下の通りです。

  • 近年、DDoS攻撃は勢いを増しており、桁外れの規模と多様化した攻撃がサイバーワールドで猛威を振るっています。

  • DDoS攻撃は、DDoSボットネットを伝播し、反射攻撃の範囲を拡大しています。

  • ボットネットは、DDoS攻撃を絨毯爆撃するための主要なツールとなっています。

  • DDoSの脅威は、サイバー犯罪集団が好む恐喝方法となる可能性があります。

  • 主な被害業種は多様化し始めていますが、ゲーム業界は依然として攻撃者のターゲットリストの上位を占めています。

 サイバー犯罪者が可用性を侵害する最も効果的な方法の1つであるDDoS攻撃は、今後もなくなることはないでしょう。それどころか、より巧妙に、より破壊的になり、対策が難しくなるでしょう。

報告書をダウンロードするには、以下をご覧ください。 https://nsfocusglobal.com/company-overview/resources/2021-global-ddos-attack-landscape/

バックアップ(非公開)

Labels: ,

PontaポイントからJALのマイル交換で20%のレートアップキャンペーンを実施:2022年3月1日(火)~3月31日(木)


PontaポイントからJALのマイル交換で20%のレートアップキャンペーンを実施:

2022年3月1日(火)~3月31日(木)まで、PontaポイントからJALのマイルに交換すると20%増量で交換できるキャンペーンが開始した。

期間中、Pontaポイントからマイルに交換すると、通常の交換マイルに加えて、20%をボーナスマイルとして獲得できる。通常100 Pontaポイントを交換すると50マイルでの交換となるが、別途10マイルを獲得でき、合計60マイルで交換できる。なお、1マイル未満は切り捨てだ。

JMB×Ponta会員または、JMBローソンPontaカードVisa会員が対象となる。

ボーナスマイルについては、通常マイル分とは別で、2022年4月末頃に付与される予定。

Labels:

永久不滅ポイントからJALのマイルへの交換で20%レートアップキャンペーン実施:2022年3月1日(火)~3月31日(木)


永久不滅ポイントからJALのマイルへの交換で20%レートアップキャンペーン実施:

2022年3月1日(火)~3月31日(木)まで、永久不滅ポイントからJALのマイルに交換する際、20%上乗せで交換できるキャンペーンを実施する。

セゾンカード・UCカードの利用で貯まる永久不滅ポイントからJALのマイルに交換すると、通常200ポイントが500マイルで交換できるが、期間中は200ポイントが600マイルで交換できる。エントリーが必要だ。

通常分のマイルは交換手続後、3~4週間程度でマイル口座に積算されるが、ボーナス分のマイルは2022年6月中の付与となる。

Labels:

旅工房、不正行為で観光庁から排除される


 観光庁、旅工房のGo Toトラベル参加を停止

観光庁は、今後開始予定のGo To トラベル事業に、旅工房の参加を停止すると発表した。

旅工房は、宿泊の実態が伴わない契約であるにも関わらず、給付金2億8,336万円の申請を行い、地域共通クーポン1億2,145万5,000円分の発行を受けた。このうち9,363万9,000円分を使用した。給付金の給付は受けていない。

ホテル運営会社のJHATやミキ・ツーリストとともに不正に関与した、ジャパンホリデートラベルに宿泊施設の手配業務を委託し、同社が手配を実施した。事務局の調査によると、本来は20,240人泊分の宿泊がされるべきところ、少なくとも11,014人泊分の宿泊が行われていなかった。

また、使用した地域共通クーポンの全額を法人顧客や宿泊者に渡さず、本来は利用できないリネンや清掃代として宿泊施設7軒で使用していた。不適切な使用分は返還を求める。

プレスリリースアーカイブ

Labels:

「怖いよ」戦死したロシア兵のメールを、ウクライナ大使が国連で紹介


 「怖いよ」戦死したロシア兵のメールを、ウクライナ大使が国連で紹介

ウクライナのキスリツァ国連大使は2022年2月28日、国連総会の緊急特別会合で、戦闘で死亡したロシア兵が死の直前に母親とやり取りしていたものだとするメールをロシア語で読み上げた。

この兵士の身元は特定されておらず、キスリツァ大使はどのようにこのメッセージを入手したのか言及しなかった。

 <キスリツァ大使が読み上げたメールの内容>

 『アリョシャ、元気かい?なぜそんなに返信が遅いの?本当に訓練中なのかい?』

    『ママ、僕はもうクリミアにはいないんだ 訓練じゃないんだよ』

    『じゃあどこにいるの?パパが小包を送れるか聞いている』

    『どんな小包だったら送れるというんだ、ママ』

    『何を言っているんだい?何があったの?』

    『ママ、僕は今ウクライナにいるんだ。本物の戦争が起きているんだ。怖いよ。僕たちはあらゆる街を爆撃して、民間人さえ標的にしている。

 僕たちは歓迎されると聞いていたのに、彼らは僕らの装甲車の下に倒れこみ、身を投げ出して僕らを通さないようにしているんだ。

 僕らのことをファシストって呼んでいる。ママ、とてもつらいよ』

 --    

 大使によるとこの直後、兵士は殺害されたという。

Labels: ,

2022年版、ペネトレーションテストのために考慮すべきツールトップ10 / Top 10 Tools to Consider for Penetration Testing in 2022 by Ankit Pahuja

Top 10 Tools to Consider for Penetration Testing in 2022 by Ankit Pahuja

もしあなたがアプリケーションのセキュリティについて真剣に考えているならば、ペネトレーションテストについてよくご存知かもしれません。デスクトップ・アプリケーションであれ、ウェブ・アプリケーションであれ、あるいはモバイル・アプリであれ、侵入テストは2022年における優先事項であるべきです。私たちは、ペネトレーション・テストに使用できる最高のツールを正確に把握しています。この記事は、ペネトレーション・テストの重要性を理解し、自分で実現するために利用できる最高の10個のツールを紹介します。

ペネトレーションテストとは?

脆弱性を発見する目的で、アプリケーションに対する攻撃をシミュレートすることで、基本的には侵入テストを実施することになります。目標は、悪用される可能性のある抜け穴を見つけ、悪意のあるハッカーに利用される前にそれを修正することです。

なぜペネトレーションテストが重要なのか?

特に、大規模なプロジェクトや価値のあるものに取り組んでいる場合、侵入テストは決して軽んじられるべきではありません。ハッカーが簡単に見つけて悪用できるような脆弱性が、あなたのアプリにないことを確認する必要があります。

どのように機能するのですか?

エシカルハッカーは、お客様のアプリケーションを意図的に破壊することを任務とします。これは、アプリケーションがリアルタイムのイベントのテストにどの程度耐えられるかを理解するために行われます。アプリケーションの所有者として、脆弱性が放置されないようにすることは、あなたの責任です。早期に発見し、修正してください。

ペネトレーションテストを行う3つの方法

アプリのペネトレーションテストを行うには、3つの方法があります。

  • マニュアルテスト:ツールを使用せず、手動でテストを行う。非常に時間がかかるため、大規模なアプリケーションや企業にはお勧めできません。

  • ツールテスト:自動化されたツールを使用して、アプリの脆弱性を見つけます。これらのツールはかなりの成功を収める可能性がありますが、いくつかの欠陥を見落とす可能性もあります。

  • ハイブリッドテスト:上記の2つの方法を組み合わせたもの。自動化されたツールのスピードと精度と、手動による脆弱性の検査を組み合わせたもので、ペネトレーションテストの最適な方法と考えられている。

大規模なアプリケーションの侵入テストを行う場合、時間を節約するために自動化されたツールが推奨されますが、専門知識を持つ人がテストプロセスを監視せずに行うことは望ましくありません。

ペネトレーションテストのさまざまな方法

ペネトレーションテストには、大きく分けて3つの種類があります。

  • ブラックボックステスト:最も一般的な侵入テストです。テスターは、外部の悪意ある行為者と同じように、アプリやそのインフラについて何の予備知識も持たずに潜入します。これは、部外者がどのようにアプリケーションを評価し、侵入するかを理解するのに役立ちます。

  • ホワイトボックステスト:この方法では、テスト担当者はやみくもに侵入することはありません。テスターは、まず、アプリケーションがどのように動作するか、そのインフラストラクチャを完全に理解し、社外の人間が通常アクセスできないような多くの内部情報を持っています。これによって、特定の設定やターゲット環境に特有の脆弱性をテストすることができます。また、内部関係者が侵入の原因となり得ることを明らかにする上でも有効です。

  • グレーボックステスト:アプリとそのインフラに関する限られた知識しか持たないテスト担当者。ブラックボックステストとホワイトボックステストをミックスしたようなテストです。

ペネトレーション・テストは、さまざまなグループや個人が実施できるため、必ずしも専門のコンサルタント会社から受ける必要はないことに留意する必要があります。もしあなたが組織の一員で、セキュリティ上の欠陥が存在する可能性がある場所を知っているなら、ITセキュリティ・チームを使って自分自身でペネトレーション・テストを実施することができます。専門的な知識がない場合や、手動でペネトレーション・テストを行えるほどのスキルを持った人がいない場合には、これを支援するツールも用意されています。しかし、手動テストと熟練した目によるテストと組み合わせてツールを使用することをお勧めします。

2022年版ペネトレーションテストツールトップ10

上記の要因を念頭に置きながら、2022年に利用可能な最高のペネトレーションテストツールを紹介します。

  1. Astra Pentest:脆弱性スキャンやセキュリティ監査を実施するためのペネトレーションテストツール。クラウドベースの導入が可能で、インタラクティブなダッシュボードを備えているため、アプリケーションのセキュリティに関する最新情報をリアルタイムに入手できる。

  2. Metasploit Framework:エクスプロイトコードの作成と実行のためのフレームワーク。脆弱性スキャン、マルウェア解析、侵入テストのためのモジュールが含まれています。

  3. Nmap:ネットワーク調査およびセキュリティ監査ツールです。ネットワーク上のホストやサービス、脆弱性を特定するために使用されます。

  4. Wireshark:データ・パケットをキャプチャして検査することができるネットワーク・プロトコル・アナライザです。

  5. Burp Suite:Webアプリケーションのセキュリティ・テストを行うための統合プラットフォーム。Webアプリケーションを攻撃したり防御したりするためのさまざまなツールが含まれています。

  6. OWASP Zed Attack Proxy (ZAP):Web アプリケーションの脆弱性を発見し、修正するために設計された侵入テストツールです。

  7. John the Ripper:様々な種類のパスワードを解読することができるパスワードクラッキングツールです。

  8. Sqlmap: SQL インジェクションの脆弱性を攻撃し、悪用するためのペネトレーションテストツールです。

  9. Aircrack-ng: Linux システム用の 802.11 WEP および WPA/WPA クラッキングツール。

  10. BrowserStack: 様々なブラウザやOSでWebアプリケーションをテストすることができるブラウザ仮想化サービス。

これは完全なリストではありませんが、現在使用されている最も一般的な侵入テストツールの感覚を得ることができます。技術の進歩に伴い、ネットワークやアプリケーションに侵入するための手法やツールも進歩しています。

Labels: ,
登録: 投稿 (Atom)