脆弱性

「多層防御」とは? スマホ基礎

「多層防御」とは?

セキュリティ対策は、物理的・管理的・技術的という3つの方法で守ります。システムへの攻撃は入口・内部・出口の3段階で防ぎます。複数の守りを重ねると、一つの対策が破られても別の対策で防げます。【入門】セキュリティ対策の全体像私たちのスマートフォンやパソコンを守るセキュリティ対策には、守りを何重にも重ねる「多層防御(multi-layered security, defense in depth)」という考え方があります。一つの防御が破られても、別の防御で食い止められるようにする方...
2025.02.14
スマホ基礎セキュリティパソコン基礎知識ミニ用語辞典
「脆弱性」ってどれぐらい怖いの?(セキュリティ脅威の入門) とりあえずのメモ

「脆弱性」ってどれぐらい怖いの?(セキュリティ脅威の入門)

セキュリティ脅威は、一般的なマルウェア、標的型攻撃、詐欺の3種類に分類できます。標的型攻撃は組織を狙った持続的な攻撃であり、多層的な防御体制が必要です。新しい技術の発展により攻撃手法は巧妙化し、複数の手法を組み合わせた攻撃が増加しています。脆弱性ってどれぐらい怖いの?よくニュースで「脆弱性」という言葉を目にするんだけど、なんか怖そうだよね。「脆弱性」とは、プログラムの不備や設計ミスで「期待される動作」ができていないことです。たとえば、本来アクセスできないはずの情報が見えてしま...
2025.02.14
とりあえずのメモセキュリティ
iOSのUSB制限モードの脆弱性とリスクの評価(iOS 18.3.1のアップデート) iPhone

iOSのUSB制限モードの脆弱性とリスクの評価(iOS 18.3.1のアップデート)

ロックされたiPhoneからUSB接続でデータを取り出せることがある脆弱性が見つかりました。この問題は、iOS 18.3.1のセキュリティ・アップデートで修正されました。物理的なUSB接続での不具合なので、不特定多数への攻撃では悪用しにくいと考えられますが、早めのアップデートが推奨されます。セキュリティのニュースはたくさんあるけど、結局こまめなアップデートと日ごろの注意が一番大事なんだね。YouTube動画でも話しています。iOSのアップデートをしないと危険?iOS 18.3...
2025.02.13 2025.02.14
iPhoneとりあえずのメモセキュリティニュースから考える
[Windows 11] vmdrv.sysというドライバーが読み込めない? Windows

[Windows 11] vmdrv.sysというドライバーが読み込めない?

Windowsセキュリティ機能は、脆弱性のあるドライバー(vmdrv.sys)を検出すると読み込みをブロックします。Voicemodのインストールで追加された仮想オーディオデバイスだったので、いったんアンインストールしました。ドライバーが読み込めない?先日、Windows 11(24H2)にアップデートしたら、「このデバイスにドライバーを読み込めません」というエラーが出て来るようになりました。また、パソコンの起動にも時間がかかるようになった気がします。この vmdrv.sys...
2024.12.06 2024.12.11
Windowsとりあえずのメモセキュリティ
Intel MacのSafariの脆弱性に対処した(Safari 18.1.1へのアップデート) Mac

Intel MacのSafariの脆弱性に対処した(Safari 18.1.1へのアップデート)

Safariの最新バージョン18.1.1が、Intel Mac向けの重要なセキュリティ アップデートとして公開されました。このアップデートは、JavaScriptCoreとWebKitの脆弱性に対処し、悪意のあるプログラムの実行やクロスサイトスクリプティング攻撃を防ぐものです。macOS VenturaとSonoma向けに配布されており、システム設定からアップデートすることができます。特に、Intel Macを利用している場合は、早めにアップデートしておきましょう。Safar...
2024.11.22
Macとりあえずのメモセキュリティ
「クレジットカードの情報が流出した」ので作り直した(通販サイトへのクロスサイトスクリプティング攻撃) スマホ基礎

「クレジットカードの情報が流出した」ので作り直した(通販サイトへのクロスサイトスクリプティング攻撃)

クレジットカード情報が流出したため、楽天カードから再発行の案内が届きました。会員ページのチャットサポートから再発行の手続きをすると、5日のうちに新しいカードが届きました。原因は通販サイトに仕掛けられた不正なスクリプトによって、約3年間にわたりカード情報が外部に送信されていたためです。「クレジットカードの作り直しに関するお願い」が届いた楽天カードから郵送で「クレジットカードの作り直しに関するお願い」という書類が届きました。通販サイトでカード情報が流出し、作り直さないといけなくな...
2024.11.18 2024.11.26
スマホ基礎セキュリティトラブルと対処パソコン基礎知識
もう一般人にウイルス対策ソフトは必要なくなった理由(セキュリティ設定の方が重要) インターネット小話

もう一般人にウイルス対策ソフトは必要なくなった理由(セキュリティ設定の方が重要)

システム標準のセキュリティ機能が強化され、一般ユーザーはそれで十分になってきました。現代のサイバー攻撃は主に企業を狙った組織的な犯罪になり、個人向けの無作為な攻撃は減少しているからです。その変わり、二段階認証など、アカウントのセキュリティを正しく設定しておくことが大事です。セキュリティソフト任せにするのではなく、アカウントのセキュリティ機能を理解することが重要なんです。現代のセキュリティ対策はシステム標準で十分今でも有料のウイルス対策ソフトって必要なの?実は、最近のデバイスで...
2024.10.11
インターネット小話セキュリティ
システムの「グリッチ」とは? スマホ基礎

システムの「グリッチ」とは?

「グリッチ」とは、システムで突発的に発生する軽微な不具合のことです。グリッチは再現性が低く、複雑なシステムの中で原因の特定が困難なことが少なくありません。グリッチが頻発する場合は、再起動やアプリの再インストールなどの対処が一般的です。急に画面が真っ黒になった?iPhone14 Pro(iOS 17.6.1)を使っていたら、先日、標準のメッセージアプリ使用中に、急に画面が真っ黒になりました。本当に一瞬で、すぐに元の画面に戻り、その後再発もありません。これはバグや、何かしらのエラ...
2024.09.16
スマホ基礎ミニ用語辞典
[Windows]IPv6に整数アンダーフローで不正コード実行の脆弱性があった(CVE-2024-38063) Windows

[Windows]IPv6に整数アンダーフローで不正コード実行の脆弱性があった(CVE-2024-38063)

2024年8月13日、Windowsの通信処理に重大な「脆弱性(バグ)」が見つかりました。ユーザーが何も操作しなくても、悪意のあるデータを受信すると悪意のあるコードを実行されてしまう、「ゼロクリック攻撃」の危険性があります。すでに Windows Updateでセキュリティ更新(KB5041571など)が提供されているので、早めにアップデートしておきましょう。要は「Windowsのセキュリティ面でバグがあったことがわかった」というのを、どうして「脆弱性(vulnerabili...
2024.08.17
Windowsとりあえずのメモセキュリティニュースから考えるプログラミング
UEFIセキュリティブートのプラットフォームキーが使い回されていた問題 Windows

UEFIセキュリティブートのプラットフォームキーが使い回されていた問題

複数の大手コンピューターメーカーの製品で、UEFIセキュアブートのプラットフォームキーが漏洩していたことが判明しました。この問題は、テスト用のプラットフォームキーが複数のメーカーで共有され、実際の製品にそのまま使用されていたことが原因です。この脆弱性により、攻撃者はセキュアブートをバイパスし、起動プロセス中に不正なコードを実行できる可能性があります。ただし、この脆弱性を実際に悪用するには高度な技術が必要で、一般ユーザーが日常的な使用で即座に被害を受ける可能性は低いと考えられま...
2024.07.27
Windowsとりあえずのメモセキュリティニュースから考える
「迷惑メールを開いただけ」のリスクを考える(ゼロデイ脆弱性とトラップピクセル) スマホ基礎

「迷惑メールを開いただけ」のリスクを考える(ゼロデイ脆弱性とトラップピクセル)

一般的に、メールを単に開いただけでは「大きなセキュリティリスク」は考えにくいです。ただ、セキュリティやプライバシーの問題が全くないわけではないので、件名で迷惑メールだと気付いたときには開かずに削除した方が無難です。メール見ただけでセキュリティ上リスクを心配する必要はない?ヤフーメール宛に不審なメールが届きました。 タイトルだけで怪しいメールかとは思いましたが、いったん開きました。 本文を読むといかにも迷惑メールと確定したので削除しました。もちろん本文にあるリンクはクリックして...
2024.07.23 2024.07.24
スマホ基礎セキュリティ相談と回答
FWとVPNを一体化させる利点・欠点(UTM) いろんな周辺機器

FWとVPNを一体化させる利点・欠点(UTM)

ファイアウォールにVPN機能を組み込むことは、一見便利ですが問題もあります。ファイアウォールとVPNを分けて、それぞれに特化したシステムを使った方が管理しやすいことも多いのです。特に、大規模な組織やクラウドサービスを主に使う場合、UTM(統合脅威管理)は適していません。「Keep It Simple and Stupid」ということかぁ。外部から社内システムにリモートアクセスするより、直接クラウドサービスを利用するようにした方が安全なんだね。FWにVPNを組み込む運用とは?「...
2024.07.09 2024.07.10
いろんな周辺機器とりあえずのメモセキュリティパソコン基礎知識
家庭用Wi-Fiルーターの一般的な耐用年数は5年ほど いろんな周辺機器

家庭用Wi-Fiルーターの一般的な耐用年数は5年ほど

家庭用Wi-Fiルーターの一般的な耐用年数は、おおよそ5年ほどと言われています。ハードウェアもファームウェア(内部システム)も経年によって問題が出てくるからです。実際には10年以上利用している家庭も多いです。とはいえ、徐々に「インターネットに接続できない」という不調が多くなります。熱や衝撃による経年劣化まず、イメージしやすいのはハード面。長期間のルーターを使っていると、発熱によって内部部品が劣化していきます。ルーターは常時稼働しているからです。また、落下や衝撃などの物理的な損...
2024.06.02
いろんな周辺機器とりあえずのメモインターネット小話
生成AIはデータとコードが一体化しているようなものでは?(コードを注入されるリスク) AIの話題

生成AIはデータとコードが一体化しているようなものでは?(コードを注入されるリスク)

生成AIシステムは一般的なプログラム以上に深刻な脆弱性を抱えているように思えます。それは悪意のあるユーザーによって、システムの動作を不正に操られる可能性。AIの動作を決める学習データが容易にインプットできるためです。最近、『情報セキュリティの敗北史: 脆弱性はどこから来たのか』という本を読んでいます。コンピュータの歴史を振り返ると、生成AIの「安全機構」の弱さが心配になりました。そもそも自然言語って、入力チェックが可能なのかな?原理的に。ノイマン型コンピュータの脆弱性プログラ...
2024.03.20
AIの話題ちいラボエッセイセキュリティ
どうしてUSBメモリでマルウェア感染するの?(UNC4990の事例) Windows

どうしてUSBメモリでマルウェア感染するの?(UNC4990の事例)

借りたUSBメモリの中にある、一見ふつうのショートカットが実は「マルウェア」のスイッチになるリスクがあります。USBメモリは、ファイルの保存や共有に便利ですが、サイバー攻撃の温床にもなります。「UNC4990」というサイバー犯罪組織が、「LNKファイル」や「隠しフォルダ」の仕組みを悪用して、不正なコードを実行するUSBメモリを使っていた事例を紹介します。ちなみに、一般利用者の場合、危険なUSBメモリの入手経路は、たいていはうっかりマルウェア感染している知り合いです。手口そのも...
2024.02.11 2024.02.12
Windowsわかりやすさ重視セキュリティニュースから考える
macOS Ventura 13.5.2にアップデートしたら25分かかった(475MB) Mac

macOS Ventura 13.5.2にアップデートしたら25分かかった(475MB)

macOS Ventura 13.5.2のアップデート通知がありました。やや大きめの更新で、サイズは475MB、再起動には25分ほどかかりました。macOSの画像処理のバッファ・オーバーフローが修正されました。ソフトウェアアップデートの通知が来たソフトウェアアップデートの通知が来ました。セキュリティ修正があったようです。macOS Ventura 13.5.2 475MBこのアップデートには重要なセキュリティ修正が含まれた、すべてのユーザに推奨されます。再起動中のリンゴのマー...
2023.09.11
Macとりあえずのメモセキュリティ
Android 13のセキュリティ アップデート(2023-08-05)を実行した(すぐできた) Android

Android 13のセキュリティ アップデート(2023-08-05)を実行した(すぐできた)

Pixel 5にセキュリティ アップデート(2023-08-05)の通知が届いていました。サイズは13.84MBと小さく、3分ほどで完了しました。メモリアクセスの不具合などが解消しています。セキュリティアップデートのサイズは13.84 MBアップデートの内容2023 年 8 月のアップデートには、バグの修正とユーザーに役立つ改善が含まれています。詳細については以下をご覧ください。BluetoothBluetooth キーボードを接続できないことがある現象を修正 *ユーザー イ...
2023.08.17
Androidセキュリティ
[iPhone] 「セキュリティ対応あり」とは? iPhone

[iPhone] 「セキュリティ対応あり」とは?

「緊急セキュリティ対応」とは、iOSやmacOSなどの セキュリティに関わる重要な修正 を、従来のアップデートよりも早めに配信する仕組みのことです。基本的には、ソフトウェア・アップデートと同じです。再起動は必要ですが、最小限の更新なのでデータサイズも小さく、1分ほどですぐに更新完了しました。「設定」に「セキュリティ対応あり」の通知iPhoneを使っていたら、設定に「セキュリティ対応あり」と表示されました。何か セキュリティの問題があったのでしょうか?iPhoneの「セキュリテ...
2023.05.06 2023.05.08
iPhoneセキュリティニュースから考える
「脆弱性」とは?(セキュリティ) スマホ基礎

「脆弱性」とは?(セキュリティ)

「脆弱性」とは、プログラムの不備(バグ)の一種で、「本来 できないはずのことができてしまう」のが特徴です。ただ、「見過ごされるほど」なので、一般の利用で遭遇するケースは稀です。「もう悪用されてしまったかも」などと心配する必要はありません。定期的にシステムの更新をしていれば、十分です。
2023.04.21 2025.02.14
スマホ基礎セキュリティパソコン基礎知識ミニ用語辞典追記予定の話
「ゼロデイ」とは?(セキュリティの) セキュリティ

「ゼロデイ」とは?(セキュリティの)

「ゼロデイ(zero-day)」とは、「セキュリティ上の問題点が発見された日」のことです。「ゼロデイ脆弱性」は、悪用されたときのリスクは大きいですが、比較的 早期に修正されます。定期的にシステムのアップデートを実行しておくことが対策になります。
2023.04.11 2025.02.14
セキュリティミニ用語辞典
iOS 16.4.1で修正された脆弱性ってなんなの?【ゼロデイ脆弱性】 iPhone

iOS 16.4.1で修正された脆弱性ってなんなの?【ゼロデイ脆弱性】

簡単にいうと、データの読み書き領域のチェックの漏れや、メモリ解放のチェックの漏れです。単純なプログラム上の見落としでも、悪用されると iPhoneが乗っ取られるような危険もあります。修正された脆弱性セキュリティ関係で修正された脆弱性は2つ。iOS 16.4.1で修正された脆弱性IOSurfaceAcceleratorの欠陥(CVE-2023-28206)Out-of-bounds Write:(CWE-787)バッファーの範囲外にデータを書き込んでしまう不具合(アプリがカーネ...
2023.04.11 2023.04.21
iPhoneとりあえずのメモセキュリティニュースから考える
[Windows 8.1] 「サポート終了」になるとどうなるの?【セキュリティ】 Windows

[Windows 8.1] 「サポート終了」になるとどうなるの?【セキュリティ】

Windowsは、一定の期間で「サポート終了」になってしまいます。サポート終了になっても、パソコンはそのまま動かすことができます。しかし、インターネットにつなぐのは考えものです。サポート終了後に見つかったセキュリティの「穴」は塞がれなくなるからです。インターネットやメールを見ていて、もし不審なサイトに紛れ込んでしまうと、マルウェアの被害を受けやすくなります。Windows は「生きている」「Windows」は、パソコンの基本システムです。数年ごとに新しい版が出てきて、機能やデ...
2023.02.22 2023.02.28
Windowsわかりやすさ重視インターネット小話セキュリティ冊子テキスト相談と回答
Windows 11から「トラブルシューティング」が廃止される【問い合わせアプリへ移行】 Windows

Windows 11から「トラブルシューティング」が廃止される【問い合わせアプリへ移行】

Microsoftは、Windows 11の次期バージョンから「トラブルシューティング」などを「非推奨」にして、段階的に廃止する計画を発表しました。といっても、「トラブルシューティングツール」の役割は、「問い合わせ」アプリに置き換えられます。また、22H2以前の Windows 11や Windows 10などでは、そのままの予定です。MSDTの脆弱性に対応し、システムツールを「ネイティブアプリ」から「Windowsアプリ」に置き換えていく流れの一環のようですね。廃止されるト...
2023.02.12 2023.02.13
Windowsわかりやすさ重視セキュリティニュースから考える追記予定の話
ニュースで見た「CPUの脆弱性」に どう対応する?【メーカーの更新プログラム】 セキュリティ

ニュースで見た「CPUの脆弱性」に どう対応する?【メーカーの更新プログラム】

ネットニュースで「Intel の脆弱性」についての記事を見かけました。自分のパソコンの中にも「Intel」が使われていると思うので心配です。どう対処したらよいでしょうか?ほとんどの脆弱性は、色々複雑な条件が重ならないと、すぐに被害に発展することはありません。慌てて「怪しいセキュリティプログラム」を入れてしまうと、二次的な被害になることもあるので、落ち着いて対処することが大事です。CPUやメモリなどの部品の脆弱性では、まずメーカーの対応を確認することが大事です。使っているパソコ...
2022.05.14 2023.04.21
セキュリティニュースから考えるパソコン基礎知識
dynabook サービスステーションの通知 【BIOSのアップデート(更新)】 パソコン基礎知識

dynabook サービスステーションの通知 【BIOSのアップデート(更新)】

Windowsのパソコンを使っていると、通知が出てくることがあります。今回は、dynabookのBIOSアップデートをリポートします。BIOSのアップデートは最悪 パソコンが起動しなくなることもあるので、十分に注意して実行してください。要件Windows 10、dynabook P1-X5JP-EG(Satellite L50-E Series)dynabookサービスステーション:ソフトウェアのアップデート(更新)パソコンを利用していると、いきなり画面右下に通知メッセージが...
2020.10.19 2021.10.19
パソコン基礎知識