おはようございます、かーでぃです。
日々のセキュリティニュースの中で、ちょっと気になったものを取り上げて紹介していきたいと思います。
嵐のファイナルデーですね。現地には行けませんが、配信を楽しみにしてます(^^♪
国内金融機関のフィッシングテンプレートも 日本の企業や個人が知るべきサイバー脅威のトレンドとは
中国語圏の闇市場でフィッシングサービス(PhaaS:Phising as a Service)が急速に成長している。これはフィッシング攻撃に必要なツール/インフラを販売するサービス。大企業を狙うロシア語圏のサービスと異なり、中国語圏では個人を標的としているのが特徴という。
手口としては、正規のスマートフォン通知に見せかけた不正メッセージを送信する。被害者がリンクをクリックして、正規サイトに見せかけた偽サイトに情報を入力すると、認証情報やワンタイムパスワードをリアルタイムで傍受し、窃取する。窃取した決済情報を攻撃者自身のデバイス上のデジタルウォレットに登録し、高額な取引やATMからの引き出しを行っている。
特に注目されるのは「YY Lai Yu」というPhaaSで、日本を最大の標的としている。Amazon、Apple、DMM、エポスカード、JAバンク、JCBカード、JR、松井証券、メルカリ、マネックス証券、任天堂、野村證券、オリコカード、PayPay、楽天証券、佐川急便などをのテンプレート用意。さらにポイント還元や冬の電気料金補助金への対応などを含め、日本の消費者に向けた高度なローカライズを行っているという。
PhaaSなんてサービスがあるんですね💦 初めて知りましたわ…
まぁRaaSがあるぐらいなんで、確かにあってもおかしくないわけですが。
大企業を狙うロシア語圏
個人を狙い中国語圏
もう、どっちもいい加減にしてほしいですよね。悪いことに頭つかわず、もっと世の中のためになることに頭使ってくれよ、と思う。
そしたらセキュリティみたいな無駄なことに投資する金額を減らせて、その分もっと生産性が上がることに投資できるのに……。
※「セキュリティはインフラ」とか言ってますが、セキュリティほど無駄な投資はないと思ってます(極論を言ってます!)。
生成AIの精度があがり、「日本語」が守っていた壁が乗り越えられる時代になってしまいました。悪いことをする奴らがいる間は、セキュリティはなくてはならないので、リテラシーを高く持って武装していきたいですね。
「GitHub侵害の波紋」「情報処理試験の激変」、変化の激しい開発現場を生き抜く最適解
開発環境を脅かす深刻なサプライチェーンリスクから、IT国家資格の制度変更まで、IT業界の基盤を揺るがすニュースが相次いでいます。
AIの進化においては、単なる性能向上ではなく「自走力」という新たな価値基準が注目される一方、実務へのAI実装におけるリアルな課題も浮き彫りになりました。さらに、言語仕様のアップデートやOSパッチによるパフォーマンス向上、巧妙化するサイバー脅威への対策など、エンジニアの実務に直結する技術トピックに高い関心が集まっています。
こちらの記事は、2026年5月11~17日に@ITで公開された記事の中から、特に注目を集めた10本をランキング形式としたものです。
このベスト10の中から、セキュリティ関連記事をリストアップしたいと思います
1位:GitHub侵害で銀行連携停止 マネーフォワード事案が突き付ける開発リスク
3位:Windows 11が軽快に? 2026年5月パッチ「KB5089549」でCPU性能向上と低遅延モードが追加
6位:NGINXのrewrite機能に「緊急」の脆弱性 “見落とし設定”がRCEの入り口に
7位:多要素認証でも守れない 「インフォスティーラー」を“正しく”恐れよ
ということで、10記事中4記事もセキュリティ関連の記事がランクインしてました💦
特に7位のインフォスティーラーの記事は、5/14分でも取り上げていますので、良かったら合わせてご覧ください。
セキュリティニュースの選定には、こちらのRSSを利用していますので、よかったらご利用ください。
https://script.google.com/macros/s/AKfycbzjvRpp8WisgfMKBpSH_Om97XMCO9grM-JpGPPZQoh0hzqMtqhHutmNifm1PlupILL_/exec
RSSの詳細については、こちらの記事をご覧ください。
2027年3月末から開始されるとされるSCS評価制度。面倒な仕事が増える……とお悩みの方、是非、こちらの本をご覧ください。