総務省は3月1日、「無線LAN（Wi-Fi）のセキュリティに関するガイドライン」の更新を行ったと発表した。

IPA社会基盤センターは、大人の学びパターン・ランゲージ（略称まなパタ）のスライド版を公開した。

　ヘイズ・スペシャリスト・リクルートメント・ジャパン株式会社は4月1日、「ヘイズグローバルサイバーセキュリティレポート」を発表した。

　日本電気株式会社（NEC）は2月7日、ソフトウェアに潜む脆弱性をソースコードを用いることなく実行ファイルのバイナリコードから検出する技術を開発したと発表した。

　株式会社SHIFT SECURITYは2月6日、「セキュリティ技術者の“思考”を覗く、サイバー攻撃の理解とその対策17選」を公開した。

総務省は、「クラウドの設定ミス対策ガイドブック」を策定したと発表した。このガイドブックは、同省の「クラウドサービス利用・提供における適切な設定のためのガイドライン」の内容をわかりやすく解説したもの。

　独立行政法人情報処理推進機構（IPA）は3月21日、YouTube内の IPA Channel で「今、そこにある脅威～内部不正による情報流出のリスク～」を公開した。

　三菱UFJリサーチ&コンサルティング株式会社は5月16日、「中小企業における情報セキュリティ対策の最新動向～脅威の認識が難しい中でも、対策を普及させるため必要な施策とは～」を発表した。

IPAおよびJPCERT/CCは、ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性が存在すると「JVN」で発表した。

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月7日、不正アクセス等のサイバー攻撃での個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについての解説をブログで発表した。早期警戒グループの佐々木勇人氏が執筆している。

　迷惑メール対策推進協議会は7月9日、「送信ドメイン認証技術 DMARC導入ガイドライン」を公表した。

　彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。 　ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM...

IPAは、「暗号鍵管理システム設計指針（基本編）」の記載項目などの理解を助けることを目的に、「暗号鍵管理ガイダンス第1版」を公開した。

　経済産業省は6月15日、「サイバーセキュリティ体制構築・人材確保の手引き」をリニューアルし、第2.0版として公開した。

　かくしてシグネチャファイルを書き換えるツール、Defender Pretender（wd-pretender.exe）が完成した。Defender Pretender は、マルウェアやスパイウェアのブラックリスト、ホワイトリストを制御できる。つまり偽の Defender が正規の Defender をバイパスできることになる。攻撃者はシステムの保護機能に煩わされることなく、マルウェアをイン...

サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。防御側から攻撃を与えることはできず、備えて待つしかない。しかし、稀に防御側（つまり我々）が攻撃側を出し抜くこともある。

イスラエルのあるセキュリティアナリスト曰く、「サイバーインテリジェンスの9割はOSINTでいける」のだそうだ。真偽はともかく、だれでも合法に行うことができることだからといって、OSINTを侮るのは危険だ。

IPAは、2023年度の「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書を公開した。

　日本プルーフポイント株式会社は4月3日、クラックされた海賊版のビデオゲームや関連コンテンツを宣伝し、マルウェアを配布している複数のYouTubeチャンネルを特定したと同社blogで発表した。

TwoFive では、有名な 7 つのドメインについて、ドッペルゲンガードメインと、その中で MXレコードを持つものを調査しました。

　バイデン政権が米国の外交関係へサイバーセキュリティを組み入れることを目指す中、米国務省が今週、オンライン防衛やプライバシー保護に関する政策や方向性の策定を担当する機関を発足させた。

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月5日、Apache HTTP Server 2.4における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

　デジタル庁は5月29日、「テキスト生成AI利活用におけるリスクへの対策ガイドブック（α版）」を公開した。

　総務省サイバーセキュリティ統括官室は、同省のサイバーセキュリティ政策の企画・立案に関する助言及び情報提供を行う人材「サイバーセキュリティエキスパート」を募集している。

　三菱電機株式会社は12月24日、2020年1月20日に公表した不正アクセス事案で流出した可能性のあるファイルの防衛省での安全保障上の影響に関する確認結果について発表した。

　日本プルーフポイント株式会社は6月12日、「2024 Voice of the CISO（CISO意識調査レポート）」の日本語版を発表した。

　広島県は6月19日、県主催セミナーの事務局メールアカウントへの不正アクセスについて発表した。

NTTデータ先端技術株式会社は3月11日、NISTサイバーセキュリティフレームワーク V2.0の変更点について、コラムで解説している。

　CISA は、これを「SILENTSHIELD 評価」と呼んでいる。CISA のレッドチームは、連邦民間行政機関 （FCEB）を選び、事前の通知なしに調査を行う。敵対的な国家の脅威グループによる長期的な策略をシミュレートしようとするのである。

　個人のある性格的特徴などの要因がリンクをクリックさせる場合もあれば、テストが行われた時点で特にストレスの多い仕事量を扱っているなどの状況的要因が結果に不利に作用する場合もあるかもしれない。

　株式会社カスペルスキーは3月7日、情報窃取型マルウェアによって3年間で合計3,600万件以上のAIおよびゲーム用認証情報の漏えいが判明したと発表した。

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月15日、バッファロー製無線LANルータにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

　日本セキュリティオペレーション事業者協議会（ISOG-J）は6月23日、「Webシステム/Webアプリケーションセキュリティ要件書 Ver.4.0」への更新を発表した。

IPAは、セキュリティ関連費用を可視化するお助けツール「NANBOK」を開発、公開した。

「病院に補助金を支給しないというのは、セキュリティ改善につながる最善の策とは思えない」「それどころか、逆効果かもしれない」

　警察庁は4月11日、サイバー事案の統一窓口の設置について発表した。

市川にとって「ネットde診断」は、CTF の最前線で活躍していたときからずっと持っていた構想であり、いつか「作りたい」「欲しい」と思っていたプロダクトだったという。

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月7日、SKYSEA Client View における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

　VicOne株式会社と株式会社三菱総合研究所は7月5日、経済産業省の委託を受け、今年度から自動車サイバーセキュリティコンテスト「Automotive CTF Japan」を開催すると発表した。

　いまや使われなくなった「キター!!!!」というネットスラングがあるが、今春、日本政府の Web ページを毎時間リロードし続け、探していた五文字の単語をついにそこに発見した時、うっかりこれを本当に声に出して叫んでしまった人物がいる。

総務省などは、「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」を作成し、意見公募手続（パブリックコメント）を開始した。

　「MITRE はこのインシデントを開示しました。これは当団体が公共の利益のために活動し、企業のセキュリティ強化のためのベストプラクティスを提唱し、業界の現在のサイバー防御体制強化に必要な措置を講ずると約束しているからです」

IPAは、「制御システムのセキュリティリスク分析ガイド 第2版 ～セキュリティ対策におけるリスクアセスメントの実施と活用～」を公開した。

　株式会社サイバーディフェンス研究所は2月1日、セキュリティ技術者育成のためのオンライン自学自習プラットフォーム「INFINITY CHAMBER」及び同プラットフォームにおける初めてのChamber（学習コース）「AXIS｜サイバーセキュリティ総合」のリリースを発表した。

　サイエンスパーク株式会社は5月10日、バイナリファイルからSBOMを生成できる「SBOMスキャナ」の発売を発表した。

　一般財団法人日本情報経済社会推進協会（JIPDEC）は8月10日、プライバシーマーク審査関連資料の漏えいについて発表した。

　経済産業省は3月11日、「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」の策定を発表した

サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。防御側から攻撃を与えることはできず、備えて待つしかない。しかし、稀に防御側（つまり我々）が攻撃側を出し抜くこともある。

　総務省は5月24日、昨今のセキュリティ動向を踏まえ「国民のためのサイバーセキュリティサイト」の内容の更新を行うとともに、サイト構成の見直しを行ったと発表した。

　合同会社デジタル鑑識研究所は7月28日、同社の主力事業であるデジタルフォレンジックに無料でダークウェブ調査を追加するサービスを同日から開始すると発表した。

　株式会社ラックは11月6日、『サイバーセキュリティ仕事ファイル～みんなが知らない仕事のいろいろ～』の合本版を公開した。

　2023年春、「セキュリティ対応組織の教科書 第3版」（ISOG-J）が公開された。5年ぶりの大幅改訂となるものだが、作業の中核を担ったメンバーのひとりが阿部慎司氏だ。本稿は、阿部氏が今春開催されたSecurity Days Spring 2023で行った講演をレポートする。

　デジタルデータソリューション株式会社は4月24日、2023年度に社内不正被害にあった経験のある企業230社を対象にした実態調査の結果を発表した。

IPAは、IPAテクニカルウォッチとして「米国におけるAIのセキュリティ脅威・リスクの認知調査レポート」を公開した。概要（日本語）と本文（英語）英語全文をダウンロードすることが可能。

　ビッグイシューは、ホームレスの人々、ホームレスになる恐れのある人々、貧困の中にある人々に、お金を稼いで社会復帰するチャンスを与えることにより命綱を差し出す役割を果たしている。同グループへの攻撃は、病院や慈善団体への攻撃となんら変わらないものとみなしてよいだろう。このような攻撃は道徳的に忌まわしいものとみなされる。たとえサイバー犯罪者であってもそう考えるはずだ。

　三井物産セキュアディレクション株式会社（MBSD）は5月11日、ChatGPTなどの生成AIを介した個人情報の開示について、同社ブログで発表した。同社のプロダクト＆ソリューション事業部 AI＆高度先端技術開発の高江洲 勲氏が解説している。

　兵庫県尼崎市は6月9日、USBメモリ紛失事案発生後の同市の対応について発表した。

　LINEヤフー株式会社は1月18日、同社が利用する外部サービスの設定不備について発表した。

　株式会社FFRIセキュリティは6月21日、同社リサーチエンジニアが「Black Hat USA 2024」に登壇すると発表した。

　特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は3月22日、「今すぐ実践できる工場セキュリティハンドブック・リスク対策編」と「工場セキュリティハンドブック・リスク対策集」を発表した。

　株式会社テレビ新潟放送網は3月13日、サイバー攻撃の発生について発表した。

株式会社ブロードバンドセキュリティ（BBSec）は5月10日、同社のセキュリティサービス本部が管理・運営する SQAT.jp で「BBSec脆弱性診断結果からみる - 脆弱性を悪用したサイバー攻撃への備えとは - 」を公開した。

　株式会社LeafNxTは4月22日、同社が個人情報の取扱いを委託していたワークスタイルテック株式会社が提供するクラウド労務管理サービス「WelcomeHR」からの個人情報漏えいについて発表した。

　株式会社富士キメラ総研は2023年12月27日、「2023 ネットワークセキュリティビジネス調査総覧 市場編/ベンダー戦略編」を発表した。

　富士通株式会社は3月15日、個人情報を含む情報漏えいの可能性について発表した。

東京都および（公財）東京都中小企業振興公社は、中小企業の危機管理対策への助成金について発表した。

　サイバーソリューションズ株式会社は5月22日、「企業のメールセキュリティへの取り組みに関するアンケート調査」の結果を発表した。

NTTデータ経営研究所は、経営研レポート「経済産業省とIPAの新しい取り組みに見る情報漏えい／内部不正対策の新潮流」の第2回「近年の環境変化に則した内部不正対策の指針改訂」を公開した。

　一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会（日本シーサート協議会）は3月22日、インシデント対応訓練演習ワーキンググループが作成した「サイバー攻撃演習/訓練実施マニュアル」と解説ビデオを公開した。

　沖縄県豊見城市は5月23日、豊見城市教育委員会のメールサーバの不正中継について発表した。

経済産業省は、「サイバーセキュリティ経営ガイドライン」を改訂し、「Ver3.0」として公開した。

　Diligentは3月28日、Bitsightと共同で実施したサイバーセキュリティと監査に関する調査レポート「Cybersecurity, Audit and the Board（英語）」を公開した。

　彼は航空業界とサイバーセキュリティ業界の類似点を指摘し、航空業界から学んでヒューマンエラーの背後にある理由を探し、そのミスがシステム的なものであるかどうかを判断できるようにすることができると主張した。

　これは重大な宣告である。オーストラリアでは、経営陣が職務を遂行しなかった場合、取締会メンバーが損失の責任を負ったり、民事罰や刑事罰の対象となる可能性があるのだ。

IPAは、全8編の短編動画「脆弱性発見・報告のみちしるべ～発見者に知っておいて欲しいこと～」を公開した。

　国内屈指のフィッシングハンターである にゃん☆たく氏、KesagataMe 氏、サイバー侍 KAZUMI 氏の 3 名が登場し、フィッシング詐欺の昨今の動向や対策など、4 つのテーマについて楽しくディスカッションを行った。

2023 年 1 月に、sudoedit に、権限昇格が可能となる脆弱性が公開されています。

マイクロソフトは、仮想ネットワーク内で機械学習型のネットワーク侵入者と自動防御者を戦わせるソフトウェアのソースコードを公開した。

経済産業省は、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定したと発表した。

　日本セキュリティオペレーション事業者協議会（Information Security Operation providers Group Japan：ISOG-J：イソグジェー）は 2 月 13 日、「セキュリティ対応組織の教科書 第3.0版 (2023年2月)」を刊行した。ITU-T 勧告 X.1060 に合わせた全面改訂を行った。

　株式会社エーアイセキュリティラボは7月20日、Webアプリケーション脆弱性診断プラットフォーム AeyeScanのAPIスキャン機能の大型アップデートを7月21日に実施すると発表した。

経済産業省は6月21日、日本発の「IoTセキュリティガイドライン」、「つながる世界の開発指針」に基づいたIoTシステムの安全安心を確保する国際規格の発行について発表した。

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月20日、エレコム製無線 LAN ルータにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

　日本プルーフポイント株式会社は4月19日、第10回目となる年次レポートの最新版「2024 State of the Phish」の日本語版を発表した。

ISOG-Jは、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開した。

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月8日、OpenSSLの複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

　トレンドマイクロ株式会社は3月22日、Outlookに存在する特権昇格/認証バイパスの深刻な脆弱性「CVE-2023-23397」について、対処すべき内容と注意事項を発表した。

　株式会社ＦＦＲＩセキュリティは6月30日、セキュリティエンジニアを目指す人に知っておいてほしい組織について、同社エンジニアブログでまとめている。同社の研究開発第二部リードセキュリティエンジニアの一瀬氏が執筆している。

　女性の平均給与は10万9,609ドルであるのに対し、男性は11万5,003ドルと、およそ5,400ドル（2024年5月8日レートで83万8,984円）の差があることが判明した。

　一般財団法人全日本情報学習振興協会は2月20日、「会社員の個人情報保護に対する取り組み」に関する調査結果を発表した。

　パロアルトネットワークス株式会社は1月11日、2023年に注目される5大サイバー脅威予測を「サイバーセキュリティ・プレディクション 2023」と題して発表した。

　ブルーチーム防御に一筋の光ともいえる発表が、2022年の Blackhat USA、CODEBLUE などで行われた。中国 TXOne Networks の研究チームが、シンボリック実行にニューラルネットを応用した解析ツールを開発した。

IPAは、「サイバー情報共有イニシアティブ（J-CSIP） 運用状況 [2023年1月～3月]」の参考資料として、「OneNote形式のファイルを悪用した攻撃の手口と対策」を公開した。

　ソフォス株式会社は9月13日、2023年上半期にソフォスのインシデント対応チームが収集したデータを分析した「テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」を公開した。

情報収集や脅威インテリジェンスで注目を集めているのが OSINT と呼ばれる公開情報ベースのインテリジェンス手法だ。基本的には合法であり誰でもできる。

GDPRが先週末施行され、混乱が生じる中、最も基本的な技術でつまずき、他の人の送信先を隠さずユーザにメールを送信してしまった企業があるようだ。

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は5月17日、「セキュリティ知識分野（SecBoK）人材スキルマップ2021年版」を公開した。

　衝撃的事態に見舞われた ScanNetSecurity 編集部では早くも、「担当の窓口が今年から変わったので認知度が低い媒体は軒並み落とされているのかもしれない」「いやいや、そもそも日本という国が国際社会でプレゼンスを落としている証左なのかもしれない」などなど、日頃の自分たちの仕事を振り返るといった殊勝な行動とは 180 度逆の、積極的に原因および責任を自分以外の第三者に転嫁して現実から目...