EDRの検知の仕組みと検知回避についてOWASP Saitamaでの講演スライドです。
データセンターの所在地ってやっぱり書いてはいけないのか?
いろいろなところからマサカリが飛んでくるのはわかっているが、以前から感じていた疑問について書いてみたい。「データセンターの所在地ってやっぱり書いてはいけないのか?」である。だって、ググれば所在地は出てくるんですよ。いろいろ秘密の多いデータセンターだが、インフラ界隈での内輪受けみたいな感じになっていやしませんかね。 実は制約の多いデータセンター取材 ITインフラ系の記者は、たまにデータセンター見学ツアーに招待される。エクイニクスやさくらインターネット、NTTコミュニケーションズなど、私も相当データセンターは見ている方だ。Coltテクノロジー(旧KVH)はシンガポールまで、IIJはコンテナ型データセンターを見に島根まで行っている。IDCフロンティアに至っては北九州も、白河も、府中も見ている。 5月には大阪までデジタルエッジのデータセンターを見にいった。関西のデータセンター事情までいろいろ説明し
使い回しで崩れた「閉域網神話」 NECを揺るがしたサイバー攻撃:朝日新聞デジタル
NECが構築した電子カルテシステムを使う全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。使い回しが原因で、サ…
パスワードを紙で保存するのは危険? Twitter上で賛否 安全な管理方法をIPAに聞いた
パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品であることが見て取れる。投稿者がこの商品について問題提起したところ、他ユーザーから賛否両論のさまざまな意見が飛び交っている。 話題の商品は、手帳やノートなどのメーカーであるダイゴー(大阪市西区)が販売している「ID・パスワードブック」というメモ帳とみられる。2020年9月から販売されており、商品概要では「パスワード忘れやPCの故障やスマートフォンの紛失など、もしもの時に備えて記録しておくと便利」と紹介している。 このメモ帳を取り上げたツイートには8日午前11時半時点で、1万件以上のRTと約7.3万いいねが付き、大きな反響を集めている。ユーザーからは「やばすぎ、セキュリティとは」や「オシャレな情報漏えい」「大切なパスワードをまとめて他人
マカフィー創業者が自殺か スペインで勾留中に死亡
ジョン・マカフィー被告(2016年8月16日撮影、資料写真)。(c)Fred DUFOUR / AFP 【6月24日 AFP】(更新、写真追加)米インターネットセキュリティー大手マカフィー(McAfee)創業者のジョン・マカフィー(John McAfee)被告(75)が23日、収容されていたスペインの勾留施設で死亡しているのが見つかった。自殺とみられる。当局者が明らかにした。同被告は米国で脱税の罪で起訴されており、スペインの裁判所は同日、米国への身柄引き渡しを認めていた。 マカフィー被告は昨年10月にスペイン・バルセロナ(Barcelona)の空港で身柄を拘束され、勾留されていた。2014年から18年にかけて1000万ユーロ(約13億円)以上の所得を意図的に申告しなかったとして米国で起訴され、有罪となれば最高で禁錮30年を言い渡される可能性があった。(c)AFP
「セキュリティ意識が高すぎ」とネットで話題――3要素認証の「ATM型貯金箱」はなぜ生まれた? ちゃお編集部に聞く
「ちゃおっ娘」のセキュリティ意識が高過ぎる――。 2018年も終わろうとしているころ、ある雑誌の“ふろく”にネット上がざわついた。それは、小学館の女児向けマンガ雑誌「ちゃお」2月号のふろくである「タッチ認証!ATM型貯金箱」だ。 ちゃおのメインターゲットは小学4~6年生の女子。そんな子ども向けのおもちゃがなぜ大きな注目を集めたのか。それは貯金箱のロックを解くために必要な“認証技術”にある。なんと「カード認証」「指認証」「暗証番号認証」という3重のセキュリティを施してあるという。 カードを挿し、指認証ボタンにタッチ、そして4桁の暗証番号を押さないと、中身にはアクセスできないという仕掛けだ。「史上初! タッチ認証! スマート☆ATM型貯金箱」「豪華すぎるふろく」という、うたい文句もあながちウソではなさそうだ。これがたった590円(特別定価)という雑誌の、ふろくであることに驚く。 さらに、Twi
「HTTPSで暗号化されているから安全!」とまだ信じているあなたへ
かつてこの世は、闇によって支配されていました。人々は常に、IDやパスワードを掠め取る悪の化身「フィッシング」の恐怖におびえながら暮らしていたのです。そんな世界にさっそうと現れたのが、額に鍵マークを宿した正義の戦士「エッチ・テーテーピー・エス(HTTPS)」でした。敢然と悪と戦うエッチ・テーテーピー・エスは、徐々に闇を駆逐して世界に光を取り戻し、やがてこの世は再び平和を取り戻したとさ。めでたしめでたし。 しかしエッチテーテーピーエスって、名前が長ったらしいね。何とか短く略せないのかね、「ハットゥプゥスッ!」みたいな感じに……逆に読みにくいか。 ともあれ、かつてはこんな“夢物語”が現実に信じられていた時代もありました。この世のサイトが全て常時SSL化されれば、フィッシングをはじめ、さまざまなセキュリティ問題が解決するのではないかと。 そしてそれは、やはり夢と終わりました。そう、夢は覚めてしまっ
みずほ銀行が恐ろしいサービスを始めます LINEで残高楽々確認 本当に安全なのか - がじぇぶ GADGETY BLOG
なんとLINEアプリを使用して簡単に入出金の確認ができるサービスを15日からみずほ銀行が始めるそうです。 参考: みずほ銀行:LINEでかんたん残高照会 スポンサードリンク 悪いことしか思い浮かばない 本当に大丈夫なの? 過去には個人情報の流出やハッキングの被害も 関連 悪いことしか思い浮かばない なんとこのサービス「暗証番号などを入力する必要はないのも特徴」の一つとなっています。初回のみ店番号、口座番号、氏名等を登録しておけば、あとはみずほ銀行のトーク画面でイラストスタンプを送るだけで、口座残高や直近10件までの入出金が見られるとのこと。 みずほ銀行は、スマートフォンで人気の無料通話アプリ「LINE」を使って、口座の残高などを簡単に確認できる国内初のサービスを15日から始める。 みずほ銀行の「トーク画面」で感情や用件などを表したイラスト「スタンプ」を送るだけで、残高と直近10件までの入出
「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」
日本航空(JAL)は2月3日、「JALマイレージバンク」のWebサイトに不正ログインがあり、一部ユーザーのマイレージが第三者によって引き落とされ、Amazonポイントに交換されていた可能性があると発表した。被害拡大を防ぐため、全ユーザー2700万人にパスワードの変更を呼びかけている(解説記事:JALマイレージバンクの不正ログイン、セキュリティと便利性のバランスが問題に?)。 1月31日~2月2日にかけ、計7人のユーザーから「自分のマイルが意図せず引き落とされている」という相談があり、調査したところ、不正ログインの可能性があることが発覚。2日午後4時以降、マイルをAmazonポイントに交換するサービスを停止した。 ログを調査したところ、不正ログインを受けた可能性があるユーザーは60人。申告のあった7人の被害額は合計数十万円程度という。不正ログインの経緯は分かっていないが、現在のところ、同社サ
間違いだらけのSQL識別子エスケープ
これから3回連載の予定で、SQL識別子のエスケープの問題について記事を書きます。SQL識別子のエスケープについてはあまり解説記事などがなく、エンジニア間で十分な合意がないような気がしますので、これらの記事が議論のきっかけになれば幸いです。 3回の予定は以下のとおりです。 間違いだらけのSQL識別子エスケープ(本稿) SQL識別子エスケープのバグの事例 SQL識別子は結局どうすればよいか ということで、まずはSQL識別子のエスケープの失敗例について説明します。この失敗例はあくまで説明のために作ったもので、実際のものではありません。また、想定が「ありえない」と思われるかもしれませんが、意図的なものですのでご容赦いただければと思います。また、「間違いだらけの」というタイトルは、今回の題材が間違いだらけという意味であり、巷のSQL呼び出しがそうであるという意味ではありません。本稿に登場する人物と団
ノマドワーカーに告げられた契約解除、歩き回って判明した原因
ノマドワーカーに告げられた契約解除、歩き回って判明した原因:萩原栄幸の情報セキュリティ相談室(1/3 ページ) 個人事業主で企業のプロモーションなどをサポートしている人物から、「契約解除を告げられたが、理由は分からない」と相談が寄せられた。本人は気づかない日常行動の中にその原因が見つかったものである。 知人のA氏は、都内の自宅をオフィスにして、さまざまなクライアント企業のニーズに沿う企画や記事の執筆で生活している。筆者とは1年程前に異業種交流会でお会いした関係である。その彼から先日電話があった。実は、A氏はまず電話は使わない。普段のやり取りはメールかTwitterなので、ちょっとびっくりした。彼はこう話し出した。 「先月からB社とNDA(機密保持契約)を締結して、新製品における大々的な企画に参加している。ところが先日、B社に呼ばれた。契約の解除と私への損害賠償について弁護士と相談していると
高木浩光@自宅の日記 - ダウンロード犯罪化で秩序はどう変わるか
■ ダウンロード犯罪化で秩序はどう変わるか 違法ダウンロード刑事罰化・著作権法改正案が可決・成立 10月1日施行へ, ITmediaニュース, 2012年6月20日 ダウンロード、アップロード、匿名、顕名、そしてプライバシー。これらの間の関係はその時々の倫理あるいは法との力学によって形作られている。 振り返ってみれば、10年前、Winnyが誕生したのは、日本が他国に先駆けてアップロード(公衆送信可能化)を刑罰をもって厳しく規制したことによる必然的結果であったし、Winny独自の仕組み(地引きダウンロードによる無差別自動ダウンロード)がこうも躊躇なく普及したのは、欧米と異なり児童ポルノの単純所持が処罰されない日本法の条件下でこそ実現し得たもの*1であった。その結果として、流出したファイルが消せないという環境ができあがり、世界にも類を見ない数々の悲惨な被害が繰り返され、さらには国家的脅威*2す
Twitter / HiromitsuTakagi: bulkneets だったら黙ってろ
@bulkneets だったら黙ってろクソが。
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PPTP/L2TPプロトコルは非推奨に ~将来バージョンのWindows Serverで削除へ/より安全で効率的な代替策であるSSTPとIKEv2への移行を
「クレカを止めても不正利用が止まらない」のメカニズム【鈴木淳也のPay Attention】
攻撃メールの訓練を会社でやったが、いくらなんでも本気出しすぎで引っかかる人が続出「ハンター試験?」
通学定期を不正購入 20代容疑者2人逮捕 FBで120人に転売か | 毎日新聞
パスワード付きzip PPAP 問題について
高木浩光@自宅の日記 - 携帯電話販売店が本人同意を亡きものにする, 追記(21日)