中国出張でPCは“肌身離さず”でなければいけない、なぜ?:世界を読み解くニュース・サロン(1/5 ページ) 2月上旬から、筆者は取材のためにイスラエルとパレスチナ自治区ガザ周辺を訪問した。その取材で知り合った外国人記者が、現場で重そうなバックパックを背負っていたので話しかけると、「海外出張は多いけど、どこに行ってもPCなどデジタルデバイスは怖くてホテルに置いておけないんだ」と言う。 実はサイバーセキュリティやインテリジェンスを取材・研究している筆者も、その「習性」は同じだ。どこへ出張に行ってもPCなどは常に持ち歩いている。 そして最近、そんな習性が正しかったことを改めて確認させられる情報が飛び込んできた。ある日本政府関係者が言う。「まだ公表されていないが、昨年、中国に出張に行った中央省庁の職員3人が情報窃取工作の被害を受けたとして最近話題になっている」 その話を詳しく聞いていくと、手口は非
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の華中科技大学などに所属する研究者らが発表した論文「PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound」は、スマートフォンによる指紋認証時の摩擦音を録音し解析することで、その指紋を復元する自動指紋識別システム(AFIS)へのサイドチャネル攻撃を提案した研究報告である。 この攻撃手法は、ユーザーの画面上でのスワイプ動作を利用して指紋の特徴を抽出し、これらの特徴に基づいて、ユーザーの指紋
この方法により、推定したビッティング間の距離から鍵のビッティングパターンを推測できる。この手法で、大量の鍵の中から特定の鍵を効率的に絞り込むことが可能となる。実験により、33万以上の鍵の中から最も可能性の高い3つの候補鍵を特定することに成功している。 SpiKeyの最大の利点は、特殊な道具や技術を必要とせず、スマートフォンさえあれば誰でも利用できる点である。また、従来のロックピッキングに比べて疑いをかけられにくく、最新のアンチピッキング機能を備えた錠前に対しても有効である。 Source and Image Credits: Soundarya Ramesh, Harini Ramprasad, and Jun Han. 2020. Listen to Your Key: Towards Acoustics-based Physical Key Inference. In Proceedi
米Google(グーグル)が2024年2月1日に適用を開始した「メール送信者のガイドライン(Email sender guidelines)」が奏功している。メールセキュリティーベンダーであるTwoFiveの調査によれば、日経平均株価を構成する上場企業225社の送信ドメイン認証「DMARC」導入率は85.8%に急増したという。メールのセキュリティーレベルは確実に向上し、迷惑メールや悪意のあるメールによる被害を防ぎやすくなっている。 DMARC導入状況を定点観測 メール送信者のガイドラインでは、Gmailアカウント宛てに1日当たり5000件以上のメールを送る企業などに対して、送信ドメイン認証「SPF」「DKIM」及びDMARCの全てに対応することを求めている。このうち、最も導入率が低いとされるDMARCへの対応が進むかどうかが注目されている。
BetaNewsは2月6日(米国時間)、「Breaking Bitlocker: Watch Microsoft's Windows disk encryption being bypassed in just 43 seconds」において、Microsoft Windowsのドライブ暗号化機能「BitLocker」をわずか43秒で突破したと伝えた。ノートPCの筐体を開けて暗号鍵をTPM(Trusted Platform Module)から窃取するのにかかった時間は43秒であり、うち、窃取にかかる通信の時間は数秒程度とみられる。 Breaking Bitlocker: Watch Microsoft's Windows disk encryption being bypassed in just 43 seconds BitLockerとTPM BitLockerはMicrosoft W
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
ホーム ライフスタイル やられた! OSMO POCKET 3のアクティベーション詐欺──Google PlayにあるDJI公式アプリの「偽物」に近づくな【道越一郎のカットエッジ】 やられた! OSMO POCKET 3のアクティベーション詐欺──Google PlayにあるDJI公式アプリの「偽物」に近づくな【道越一郎のカットエッジ】 やられた。クレジットカード丸丸2枚。セキュリティーコード含め、ごっそり情報を抜き取られた。新年早々、偽アプリに引っかかってしまった。うかつだった。発端は、現在売れに売れているジンバル付きビデオカメラ、DJIのOSMO POCKET 3の購入。久々に最新のビデオカメラを手に入れて気分が高揚していた。早く試してみたかった。とりあえず昼食を摂りに入ったレストランで試す。食事はそっちのけ。いち早く動画を撮ってみたかった。あの、かわいらしく首がくるくる動く様子も見た
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
2024年1月13日現在、オムロンを騙る血糖値を測れるスマートウォッチ広告がFacebook、インスタなどのSNS上、YouTubeなどで出ているようです。 広告で出ていたオムロンの「血糖値が測定できるとされる腕時計型のウエアラブルデバイス」は詐欺なのか? 本記事では、オムロンの血糖値を測れるスマートウォッチ広告・ユーザの対応について記載します。 オムロンの血糖値を測れるスマートウォッチ広告・ユーザの対応について オムロンを騙る血糖値を測れるスマートウォッチ広告について 2024年1月13日現在、オムロンを騙るスマートウォッチ広告がFacebook、インスタなどSNS上、YouTubeなどで出ているようです。 本広告についていくつかXで投稿されている方がいます。 YouTubeの広告で流れたから気になって調べたんだけどニセモノ! オムロンから新発売。 血糖値が測れるスマートウォッチって言っ
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
無線デバイス「Flipper Zero」は多様な無線規格に対応した便利デバイスですが、「iPhoneにBluetooth接続を要求し続けてクラッシュさせる」といった攻撃が可能なことも知られています。新たに、Appleが2023年12月2日にリリースしたiOS 17.2でクラッシュ対策を施したことが明らかになりました。 iOS 17.2 update puts an end to Flipper Zero's iPhone shenanigans | ZDNET https://www.zdnet.com/article/ios-17-2-update-puts-an-end-to-flipper-zero-iphone-shenanigans/ The jig is up: Flipper Zero can no longer crash iPhones running iOS 17.2
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く