|
|
|
|
|
||
|
||
すべて | Virus | Network&Security | Computer
■ 2024.05.14
》 ランサムウェア攻撃による身代金支払い額、前年の5倍に~ソフォスが調査結果を発表 (Internet Watch, 5/10)。儲かってますねえ。
同調査は、ソフォスが調査会社に依頼し、北米、中南米、欧州、アジア太平洋地域の14カ国の組織のIT/サイバーセキュリティ部門のリーダー5000人を対象として、2024年1月~2月に実施したもの。
ランサムウェア攻撃を受けた組織は調査対象の59%。これは、過去2年の調査(2023年、2022年ともに66%)から、わずかに減少した。
(中略)
身代金を支払ったと回答した回答者は1097人で、支払った金額の平均値は396万917ドル。中央値は200万ドルで、前年調査時の40万ドルから5倍に増加している(平均値では同2.6倍)。平均して要求額の94%が支払われているが、売上高が最も大きな回答者グループ(50億ドル以上)以外では、要求額よりも支払額の方が少ない。一方で、売上高が最も大きな回答者グループは、要求額よりも実際に支払った額の方が大きい。
》 「研究費11億円以上の不正使用」「論文4本の捏造」――京大の霊長類研究所が“解体”されたワケ 元教授らが論文発表 (ITmedia, 5/10)。すさまじい。
A教授を中心とする研究グループは、10~15年度にかけて、総額17億円を超える大規模な研究費を獲得し、認知研究のための飼育チンパンジー用の大型ケージの建設を計画していた。
11年5月から、大型檻の建設業者を選定する入札が4回行われた。入札ではX社やY社が落札。しかし、Y社に関してはA教授とB准教授(のちに教授)から予算額を事前に知らされていたにもかかわらず、赤字承知で応札し、工事を行った。その結果、Y社の工事した3件の合計落札額2億9900万円に対して、受注額の2~3倍の工事をしたことになり、Y社は合計4億9900万円の赤字を抱えることになった。
B准教授は、後の工事で埋め合わせをするからと約束し、予算を超える工事をY社に要求していた。しかし、超過費用の埋め合わせはわずかしか実行されず、A教授とB准教授は研究費の不正経理を34件も繰り返した。例えば、1つの工事に2回の発注、購入物品を別の目的に使用、架空取引、談合、入札妨害などである。
■ Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari)
(Apple, 2024.05.13)
出ました。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 17.5 and iPadOS 17.5 (Apple)
About the security content of iOS 16.7.8 and iPadOS 16.7.8 (Apple)
関連
AirTagの追跡悪用を防止する「iOS 17.5」「iPadOS 17.5」 ~Android 6.0以降も対応 (窓の杜, 2024.05.14)
忘れ物防止タグ「AirTag」には、特定の人物の持ち物にこっそりしのばせることで位置の追跡(トラッキング)に悪用できてしまうという問題があったが、AppleとGoogleの協力により、「iOS 17.5」と「Android 6.0」以降でトラッキングを検出してデバイスへ警告を送信できるようになった。Apple以外が製造しているBluetoothトラッカーでも、今後の対応が予定されている。
AppleとGoogle、iOSとAndroidで不要な追跡の警告に関するサポートを提供 (Apple, 2024.05.13)
tvOS
About the security content of tvOS 17.5 (Apple)
watchOS
About the security content of watchOS 10.5 (Apple)
macOS
About the security content of macOS Sonoma 14.5 (Apple)
About the security content of macOS Ventura 13.6.7 (Apple)
About the security content of macOS Monterey 12.7.5 (Apple)
Safari
About the security content of Safari 17.5 (Apple)
■ Chrome Stable Channel Update for Desktop
(Google, 2024.05.13)
Chrome 124.0.6367.2
JPCERT/CC Eyes「TSUBAMEレポート Overflow(2024年1~3月)」
今週のはてなブックマーク数ランキング(2024年5月第1週)
2024/05/07
ランキング
■ 追記(21日)完結編:転々流通は防止されているのか? 修正案は?
前半の話を解決まで続けてみた。
私:別の観点を検討します。先ほど、「かなり広範な主体に対して、犯罪経歴情報が提供される」という話がありました。この法案のルールからすると、どのような範囲に提供されることになるでしょうか。提供は誰から誰へ、どのようなタイミングで、どのような制限の下でなされるのでしょうか。
Claude:この法案では、犯罪経歴情報の提供について、以下のようなルールが定められています。
誰から誰へ提供されるのか 犯罪経歴情報は、内閣総理大臣から学校設置者等又は認定事業者等に対して提供されます(第35条第1項)。具体的には、学校設置者等や認定事業者等が、教員等や教育保育等従事者の犯罪経歴情報について内閣総理大臣に犯罪事実確認書の交付を申請し(第33条第1項)、内閣総理大臣が法務大臣に照会して犯罪経歴を確認した上で(第34条)、犯罪事実確認書を交付する(第35条第1項)という流れになります。
また、学校設置者等や認定事業者等の間でも、一定の場合に犯罪経歴情報の提供が認められています。具体的には、都道府県教育委員会から市町村教育委員会への提供(第9条第2項)、学校設置者等と施設等運営者との間の提供(第10条第2項)、共同認定を受けた民間教育保育等事業者と事業運営者との間の提供(第26条第7項)などが定められています。
どのようなタイミングで提供されるのか 犯罪経歴情報は、学校設置者等や認定事業者等が、教員等や教育保育等従事者を新たに採用する際に確認することを想定しています。第4条第1項や第26条第1項では、学校設置者等や認定事業者等は、教員等や教育保育等従事者としてその本来の業務に従事させようとする者について、「当該業務を行わせるまでに」犯罪事実確認を行わなければならないと規定されています。
ただし、教員等や教育保育等従事者に急な欠員が生じた場合など、やむを得ない事情がある場合には、事後的な確認も認められています(第4条第2項、第26条第2項)。
また、教員等や教育保育等従事者を継続雇用する場合には、5年ごとに再確認を行う必要があります(第4条第4項、第26条第6項)。
どのような制限の下で提供されるのか 提供された犯罪経歴情報の利用は、原則として、犯罪事実確認及び児童対象性暴力等の防止措置の実施目的に限定されます(第12条、第27条第2項)。目的外利用や第三者提供は原則として禁止され、例外的に認められる場合が限定列挙されています。
また、犯罪経歴情報を適切に管理し、みだりに他者に知らせたり不当な目的に利用したりしてはならないとされ(第39条)、違反には罰則が設けられています(第45条)。
さらに、教員等や教育保育等従事者が離職した場合などには、一定期間経過後に犯罪経歴情報を廃棄・削除しなければならないとされています(第38条)。
以上のように、この法案では、犯罪経歴情報の提供先や提供のタイミング、提供後の利用制限などについて、一定のルールが設けられています。
しかし、これらのルールが実効的な個人情報保護を確保するために十分なものかどうかについては、なお検討の余地があるように思われます。特に、「かなり広範な主体」への提供が認められる点については、慎重な評価が求められるでしょう。
国会審議等では、犯罪経歴情報の適切な取扱いを確保するための制度設計について、より掘り下げた議論が行われることが期待されます。
私:タイミングの点、確認を行うタイミングではなく、提供を行うタイミングについてどうなのでしょうか。
Claude:ご指摘ありがとうございます。犯罪経歴情報の提供のタイミングについては、以下のように整理することができると思います。
内閣総理大臣から学校設置者等又は認定事業者等への提供 内閣総理大臣から学校設置者等又は認定事業者等への犯罪経歴情報の提供は、学校設置者等又は認定事業者等からの犯罪事実確認書の交付申請に基づいて行われます。
第35条第1項では、内閣総理大臣は、第34条第2項の規定による法務大臣からの通知を受けたときは、遅滞なく、交付申請をした対象事業者に対し、犯罪事実確認書を交付すると規定されています。
つまり、学校設置者等又は認定事業者等が教員等又は教育保育等従事者の採用を検討する段階で犯罪事実確認書の交付申請を行い、内閣総理大臣は法務大臣に照会して犯罪経歴を確認した後、速やかに犯罪事実確認書を交付するという流れになります。
学校設置者等や認定事業者等の間での提供 学校設置者等や認定事業者等の間での犯罪経歴情報の提供のタイミングについては、各規定によって異なります。
例えば、第9条第2項では、都道府県教育委員会は、犯罪事実確認を行ったときは、当該
過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
■ 2024
2024/02/26 10:28:21 japan.linux.com: Linux without Limits!
Bridging Design and Runtime Gaps: AsyncAPI in Event-Driven Architecture
February 25, 2024
2024/01/27 01:44:13 極楽せきゅあ日記
sonodam 2023-04-28 15:37 読者になる
sonodam 2023-03-11 13:35 読者になる
sonodam 2023-03-08 00:50 読者になる
sonodam 2023-02-06 22:48 読者になる
sonodam 2022-12-30 17:12 読者になる
sonodam 2022-12-02 20:26 読者になる
sonodam 2022-0
2024/01/26 00:24:16 はてなダイアリー - たぬきん貧乏日記 ~No Worry, No Hurry. Eat Curry!~
Tariki 2022-12-26 17:31 読者になる
Tariki 2022-11-05 21:37 読者になる
Tariki 2022-10-16 08:37 読者になる
Tariki 2021-11-26 15:38 読者になる
Tariki 2021-05-24 17:46 読者になる
Tariki 2018-04-21 00:00 読者になる
Tariki 2018-04-08 00
2024/01/25 20:33:22 はてなダイアリー - luminのコードメモ
lumin 2016-04-01 00:00 読者になる
2024/01/25 17:35:26 はてなダイアリー - 高木浩光@茨城県つくば市 の日記
© Microsoft 2024
© Microsoft 2024
このドメインの購入
標準
拡大
IPAホーム
産業サイバーセキュリティセンター
ソフトウェア高信頼化
未踏/セキュリティ・キャンプ
情報処理技術者試験・情報処理安全確保支援士
国際標準の推進
お探しのページ・ファイルが見つかりませんでした。
リニューアル等に伴い、ページ・ファイルのURLが変更された、または、削除された可能性があります。
大変お手数をおかけしますが、「トップページ」「サイトマップ」から再度お探しいただくか、「お問い合わせ」画面をご利用ください。
IPAウェブサイトトップページ
サイトマップ
お問い合わせ
情報公開
リンク
Copyright © IPA, Japan. All rights reserved.
2017/07/19 17:12 (H:00s) 日経 IT Pro - セキュリティ
2017/07/19 17:12 (H:00s) Sophos product advisories
2017/07/19 17:10 (H:00s) Red Hat Enterprise Linux Server (v. 6) General Advisories
2017/07/19 17:10 (H:00s) SANS ISC (Internet Storm Center)
2017/07/19 17:10 (H:00s) JCA-NET
2017/07/19 17:10 (H:00s) penetration technique research site
2017/07/19 17:10 (H:00s) US CERT/CC
2017/07/19 17:10 (H:00s) Red Hat Enterprise Linux (v. 5 server) General Advisories
2017/07/19 17:08 (H:00s) クリエイティブ・コモンズ・ジャパン
2017/07/19 16:56 (H:00s) US-CERT - Cyber Security Tips
2017/07/19 16:54 (H:00s) US-CERT - Technical Cyber Security Alerts
2017/07/19 16:49 (H:00s) McAfee Labs Blog
2017/07/19 15:51 (H:00s) セキュリティホール memo
2017/07/19 15:44 (H:00s) JPCERT/CC Vendor Status Notes (JVN)
2017/07/19 15:12 (H:01s) Sophos AntiVirus
2017/07/19 15:12 (H:00s) シスコ 技術サポートサービス Japan TAC Web
2017/07/19 15:01 (H:00s) IPA セキュリティセンター (IPA ISEC)
2017/07/19 14:25 (H:00s) IPA ISEC - 脆弱性関連情報の取扱い - 技術情報
2017/07/19 13:05 (H:02s) FreeBSD VuXML
2017/07/19 12:44 (H:01s) Debian Security Information
2017/07/19 12:39 (H:00s) 防災情報のページ (内閣府防災部門ホームページ)
2017/07/17 03:32 (H:01s) Cryptome
2017/07/15 03:12 (H:00s) The Center for Internet Security (CIS)
2017/07/13 18:12 (H:00s) 水無月ばけらのえび日記
2017/07/12 02:30 (H:00s) Microsoft Security Response Center Blog
2017/06/08 12:11 (H:01s) 高木浩光@自宅の日記
2017/05/15 23:03 (H:00s) てっしーの丸出し
2017/04/30 20:36 (H:02s) うさぎ文学日記
2017/04/26 16:07 (H:01s) 極楽せきゅあ日記
2017/04/17 09:08 (H:00s) OpenBSD Security
2017/01/03 09:36 (H:01s) ハニーポッターの部屋
2016/04/11 01:30 (H:02s) だめだめ日記
2016/03/14 18:55 (H:01s) Georgi Guninski Security Research
2016/02/01 23:37 (H:01s) 武田圭史 (motivate.jp)
2016/01/01 16:00 (H:01s) 中村正三郎のホットコーナー
2014/06/06 18:11 (H:01s) Oracle Technology Network - Security
2013/03/18 23:11 (H:01s) 災害緊急情報 (内閣府防災部門)
2011/08/04 23:31 (H:00s) 異分子(仮) -dissident- チョムスキー・アーカイヴ日本語版
2008/09/12 04:14 (H:00s) securemac.com
----/--/-- --:-- (-N01s) OpenBSD VuXML
----/--/-- --:-- (-N01s) CTC セキュリティ情報
----/--/-- --:-- (-E01s) News
インターネット治安情勢更新(平成28年3月期報を追加)(2016年04月28日)
Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ〓ソー...
Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ〓ソースコードは公開された。さっさと調べてしまおう(The Register)
Googleはソースコードを提供しているだけだ。それは Google のバグ報奨金プログラムを通して、このツールに存在するかもしれないセキュリティの欠陥を見つけ出すよう、研究者たちを奮励させるという考えである。
The Register 特集
[ 2014年6月18日(水) 08時30分 ]
chkrootkit の slapper() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)
chkrootkit には、slapper() 関数の実装に起因して、権限昇格が可能な脆弱性が存在します。
ラック 特集
[ 2014年6月18日(水) 08時00分 ]
りそな銀行を騙るフィッシングメールを確認(フィッシング対策協議会)
Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ〓ソースコードは公開された。さっさと調べてしまおう(The Register)
chkrootkit の slapper() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)
研修医が無断でコピーした患者の情報が入った私物USBメモリを紛失(都立広尾病院)
Android 版アプリ「050 plus」に情報管理不備の脆弱性(JVN)
自動車や医療・ヘルスケア、AV家電へのサイバー攻撃や脅威に関する研究の事例集をまとめ公表(重要生活機器連携セキュリティ研究会)
次なるプライバシーの混乱を巻き起こすのは自動販売機だ〓あなたが笑顔で写るのはコカコーラのカメラか、コーヒーのカメラか、あるいは監視カメラか(The Register)
企業のマルチデバイス環境に対応するモバイル向けセキュリティ製品を発売(ウェブルート)
三菱東京UFJ銀行を騙るフィッシングメールを確認(フィッシング対策協議会)
車上荒しにより水道使用者情報が盗難(千葉県我孫子市)
エンド・ユーザ向け
ネットワーク・セキュリティ・ニュース
業務多忙のため,最近のセキュリティ情報を追いきれていません。すみません。 当面は,間欠的な内容になると思います。
このページでは,各セキュリティサイト,ニュースサイト等で公開された,エンド・ユーザ向け OS のネットワーク・セキュリティ情報を主として扱っています。基準としては,
マイクロソフト Windoes 9x/Me/NT/2000/XP, MacOS 9.x/X (アップル)
OS および OS パッケージに起因するエンドユーザ向けネットワーク関連のセキュリティ情報については,重要度にかかわらず,できるだけ網羅して記載します。
その他のアプリケーション
マイクロソフト Office 製品,ウェブ・ブラウザおよび Eudora 等電子メールクライアントについては,重要度にかかわらず,できるだけ網羅して記載します。その他のアプリケーションについては,重要度の高いもののみ記載します。
電子メール・ウィルス,ワーム,トロイの木馬
エンドユーザ向け OS に関わるものについて記載します。
サーバ製品
マイクロソフト Windows NT/2000 について,重要度の高いもののみ記載します。 unix のセキュリティ・ホールについては MacOS X を除き,扱いません(あまり意味無いかも...)。
その他
ネットワーク・セキュリティ,およびプライバシー保護等に関するニュースへのリンクを適宜記載します。
各メーカーのセキュリティ情報:
アップル:Apple Product Security,マイクロソフト:マイクロソフト セキュリティ情報一覧,TechNet, 絵でみるセキュリティ情報: 重要な更新情報一覧
Common Vulnerabilitoes and Exposures, JPCERT/CC Vendor Status Notes
ウィルス情報:
ソフォス,トレンドマイクロ,シマンテック SARCJ,エフセキュア, アンラボ, 日本ネットワークアソシエイツ
定期的に見にいくサイト:
Tea Room for Conference,セキュリティホール memo,中村正三郎のホットコーナー,がんばれ!!ゲイツ君,常時接続の宴,セキュリティ情報(京大),Georgi Guninski Security Research,BugTraq Archive (1),BugTraq Archive (2),日本のくらっくサイト情報,Mac News 4 U,リンクとか備忘録とか日記とか,バーチャルネットハッカーっ娘 沙耶16歳,けんのぼやき, 高木浩光@自宅の日記
加入しているセキュリティ系メーリングリスト/メールマガジン(リンク整理中):
Security Focus News Letter,セキュリティホール memo,connect-24h,Security-Talk,Harden Mac,JPCERT/CC,Apple Security Announce,FreeBSD Security Advisories,OCN セキュリティ・ニュース
パソコン OS 別ネットワーク・セキュリティ早見表
「Windows Update による重要な更新 Q&A」
MSBlast / Nachi 観測 (2004.03.31 更新終了)
Sasser 観測 / Bobax/Kibv.B 観測 / ポート 135 台風 (2004.10.19)
日本語 SPAMspam メールのデータ (2005.01-)ZOTOB / IRCBot 観測
ネットワーク関連の文書とリンクへ
2006.4.12
MS月例パッチ公開、IEの脆弱性10件を修正 (ITmedia) (危険度最大)
米MicrosoftがIE向け累積セキュリティ・アップデートを公開,最大重要度は「緊急」 (IT Pro)
IEの修正パッチがようやく公開,ActiveXの処理が変更されるので注意 (IT Pro)
2006.4.4
Mac OS X: 10.4.6 アップデートが配布されています
2006.3.28
ワインショップ「萬屋」の顧客情報Winny流出、楽天市場では5件 (INTERNET Watch)
トレンドマイクロの営業資料がWinnyに流出 (INTERNET Watch)
2006.3.28
KDDIに似せたフィッシング・サイト、警告発したKDDIが「内容を検証中」 (IT Pro)
2006.3.28
IEの脆弱性狙う実証コード出現 (ITmedia)
IEのパッチ未公開ホールを突くWebサイトが続出,スパイウエアを勝手にインストール (IT Pro)
「IEのパッチは,できるだけ早く公開する」---米MSの
MS04-031 Windows の重要な更新 (2004/10/13)
MS04-030 Internet Information Service の重要な更新 (2004/10/13)
MS04-027 Office の重要な更新 (2004/9/15)
MS04-029 Windows の重要な更新 (2004/10/13)