たちかわ @localhiji1 一応、アトレからも公式声明が出てるので、当該声明サイトも貼っときます。 ※2025/07/01 22:52現在、下記のURLはドメイン切れしていません。 atre.co.jp/news/5360/ 2025-07-01 22:53:35
「ドメインを捨ててしまうとこうなる」とある企業がドメインを維持せずに放棄したところ、何者かにドメインを取得され、QRコードを読み取ったら不審なWEBサイトに繋がる事態に
たちかわ @localhiji1 一応、アトレからも公式声明が出てるので、当該声明サイトも貼っときます。 ※2025/07/01 22:52現在、下記のURLはドメイン切れしていません。 atre.co.jp/news/5360/ 2025-07-01 22:53:35
Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基盤の実装に不備があると、依然としてアカウント乗っ取りを含む従来のセキュリティリスクを払拭できません。 本記事では、W3CのWorking Draft(2025年5月現在)である Web Authentication: An API for accessing Public Key Credentials Level 3 を読み解き、Relying Party(RP)としてPasskey認証を導入する際に実装で注意すべき点を説明いたします。 はじめに Passkey認証でも生まれ得るセキュリティリ
もし今、先生がゼロから新しく証券会社や銀行のオンラインサイトを設計するとしたら、認証周りはどのように設計しますか?パスキー一択ですか? | mond
これは要件により変わるというのが回答になります。以下長くなりますが、お付き合い下さい。 オンラインバンキングの方は、不正取引との長い戦いの歴史があり、それでいて不正アクセスによる被害が減らないという現状があります。「こうすれば安全になる」という理屈は、長い歴史の中である程度知見が溜まっているはずですが、「利用者が使いこなせないのでその方式は普及していない」という手法もあります。その代表例として、トランザクション認証を挙げたいと思います。トランザクション認証については、私の過去のブログ記事をお読みください。 https://blog.tokumaru.org/2015/04/blog-post_28.html みずほ銀行のトランザクション認証を試してみた既に報道されているように、インターネットバンキングに対する不正送金事件が多発しています。 警察庁は2015年2月12日、2014年(平成26
CVE Foundationが発足。脆弱性に固有の番号を付与するCVEプログラムの長期的な安定性、独立性を確保
ソフトウェアの脆弱性に対して固有の番号を付与する「CVE」(Common Vulnerabilities and Exposures)プログラムを実行するための新たな非営利団体「CVE Foundation」の発足が発表されました。 CVEはソフトウェア脆弱性に番号を付与する ソフトウェアに関する脆弱性の情報は、以前はソフトウェアベンダやセキュリティベンダがそれぞれ独自に名称や識別子を付けていました。この状況はユーザーやシステム開発者にとってセキュリティ対策を行う際の情報整理を困難にしていました。 そこで発足したのが、ソフトウェアの脆弱性について固有の番号を付与する「CVE」(Common Vulnerabilities and Exposures)プログラムです。 ソフトウェアが社会基盤として重要な位置を占めるようになった現在、CVEはグローバルなIT業界におけるソフトウェア脆弱性情報の
Web3 のマルウェアが話題なので解析してみた
const uploadEs = (uploadOptions) => { let walletPath = ""; let filesToUpload = []; if ("w" == platform[0]) { walletPath = getAbsolutePath("~/") + "/AppData/Roaming/Exodus/exodus.wallet"; } else { "d" == platform[0] ? (walletPath = getAbsolutePath("~/") + "/Library/Application Support/exodus.wallet") : (walletPath = getAbsolutePath("~/") + "/.config/Exodus/exodus.wallet"); } if (testPath(walletPath
Dockerfileセキュリティ完全ガイド |脆弱性を防ぐ10のベストプラクティス
はじめに Dockerをよく使う方なら避けては通れない道、Dockerコンテナのセキュリティについてまとめると同時に、Dockerfileのベストプラクティスに焦点を当てていこうと思います! Dockerのセキュリティとは Dockerのセキュリティとは、Dockerコンテナのビルド、ランタイム、オーケストレーションに関する側面を指します。 これには、Dockerベースイメージのセキュリティ対策、ユーザー権限の管理、Dockerデーモンの設定、コンテナのCPU制御など、ランタイムにおけるセキュリティ対策が含まれます。 さらに、大規模なDockerコンテナのオーケストレーションに関する課題にも対応する必要があります。 では実際にどのように対応していくのか、10項目のベストプラクティスを通して、具体的な対策を学んでいきましょう! Dockerのセキュリティに関する10項目のベストプラクティス
Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita
表示されたプロセス一覧の中からCPU負荷を極端に使用しているプロセスを探したところありました。 「/tmp/kinsing」 「/tmp/kdevtmpfsi」 この2つのプロセスがCPU負荷300%を超えていました。 kinsing(kdevtmpfsi)マルウェア このDockerマルウェアは感染したDockerホストで仮想通貨をマイニングしてCPU負荷を掛ける仮想通貨マイニングマルウェアです。ここではマルウェア自体の機能と解析の解説は記述しません。 詳しくは以下のリンク先を参考にしてください。 脅威:コンテナ環境を対象としたマルウェア「Kinsing」が増加中 #AquaSecurity #セキュリティ #コンテナ #マルウェア コンテナを標的にしたマルウェア、Aqua Security Softwareが攻撃手法を解説 感染経路 誤って外部公開されたDocker APIが主な感染経
go.jpサブドメインが不正利用可能な状態だった件について:Geekなぺーじ
go.jpのサブドメインを含む名前の一部が不正利用可能だったことが話題です。 「"DNS浸透いうな"の先生」として一部界隈で有名な中京大学の鈴木教授によって発見され、関係省庁に報告されたうえで問題への対処が行われました。 本記事執筆時点において発見・報告が行われたと公表されているのは、総務省、厚生労働省、経済産業省、近畿経済産業局、経済産業省、中国経済産業局、関東経済産業局、文部科学省、国土交通省(2件)、国立教育政策研究所、東京都(tokyo.lg.jp)のサブドメインです。 今回、鈴木教授によって発見&報告されるまで、第三者によってgo.jpを含む名前空間が不正利用可能な状態で放置されていたようです。 総務省の Dangling (宙ぶらりんな) CNAME を保護した話 (続) 総務省の Dangling (宙ぶらりんな) CNAME を保護した話 “中央省庁の一部サイト 不正利用の
サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて
--------------------------------------------------------------------- ■サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて 株式会社日本レジストリサービス(JPRS) 初版作成 2025/01/21(Tue) --------------------------------------------------------------------- ▼概要 レンタルサーバーやCDN(Content Delivery Network)など、事業者のサー ビスを利用して自身のドメイン名のサブドメイン(例:sub.example.co.jp) でWebサイトを公開する場合、事業者のサーバーを参照するDNS設定を自身の ドメイン名の権威DNSサーバーに追加することで、Webサイトを提供できる状 態になりま
macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。
macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意してください。詳細は以下から。 カナダでセキュリティエンジニアをされているRyan Chenkieさんらによると、現在GoogleのスポンサーリンクにmacOSのパッケージ管理ツール「Homebrew」の公式サイトを装い、Macにマルウェアをダウンロード(cURL)させようとするサイトが掲載されているそうです。 ⚠️ Developers, please be careful when installing Homebrew. Google is serving sponsored links to a Homebrew site clone that has a cURL command to malware. The URL for this site is
McAfeeの技術ブログが「出会い系ブログ」に?…見に行ってみると本当だった→社名入りドメインを安易に放出してはいけない「ドロップキャッチ」事例がまた1つ
yomoyomo @yomoyomo 雑文書き、翻訳者。1973年生まれ。著書に『もうすぐ絶滅するという開かれたウェブについて 続・情報共有の未来』、『情報共有の未来』、訳書に『デジタル音楽の行方』、『Wiki Way』、『ウェブログ・ハンドブック』がある。 yamdas.org yomoyomo @yomoyomo おいおい、RSSリーダーに入れておいたマカフィーの技術ブログがいきなり火を噴いたので何かと思ったら、「マカフィーのパパ活ブログ 」という名前のパパ活ブログに変わってるやないか ドメイン乗ったられたんか? ↓はクリックしなくてもいいです buff.ly/3VVCh78 2024-12-27 19:10:45
問い合わせフォームを実装しただけなのにスパムメールの加害者になっていた話 - Qiita
よくある問い合わせフォームを提供していたら、知らぬ間にスパムメールの加害者になっていた話です エンジニアが知っておくべき メール送信・運用ノウハウ、メールの認証技術やセキュリティについて投稿しよう! by blastengine Advent Calendar 2024 の8日目です。 要件 お問い合わせ内容の他、名前や所属、メールアドレスの入力が必須 問い合わせ完了後、入力されたメールアドレス宛に自動応答メールを送る 自動応答メールには入力された問い合わせ内容を記載する 同様に指定したサービス担当者宛にも問い合わせ通知メールを送る 以上の要件で作成しました。 実現方法 メール送信にはAWS SESを使用しました。問い合わせ確定ボタンを押下後にAWS Lambdaにリクエストを飛ばし、SESと連携してメールを送信する流れです。 実装後のこと 実装後、しばらく正常に稼働していました。しかし、
海外のスタートアップ企業から好待遇のオファーが→採用課題として用意されたものにマルウェアが仕込まれていて危うく実行させられそうに「感動するくらい巧妙な手口だった」
J kun|CBO(Build) of ... @j_kun_ml 17h/day Vibe coder(vibe 1h, debug 16h) inspired by @elonmusk. Univ. of Tokyo → SF → Built an Image Gen AI tool: Used by 50+ countries → next... J-kun @ CEO of Gibberish Lab Ltd. @j_kun_ml アメリカのスタートアップから「時給$85でフルタイム、完全リモートfrom日本」 という最高の条件を提示してきたけど、過去の失敗からかなり慎重になってる、、国跨ぐ以上は業務委託だし1ヶ月で仕事を失う覚悟で行くしかない、、。 休職制度とかあれば使ってやってみようかな、、。 2024-10-11 10:08:28
Next.jsで簡単なCRUDアプリを作りながら気になったセキュリティ: Railsの視点から
先日、Kamal 2でNext.jsを安価なVPSにデプロイする勉強をしながら、Next.js App Router/Server ActionでCRUDのデモアプリを作成しました(コードはGitHub)。そのときにセキュリティについて気になって点がいくつかあり、勉強しながら対策をしましたので紹介したいと思います。 私自身は業務でNext.jsを書いた経験が限定的です。的外れな議論をしているかもしれません。あくまでもRuby on Railsアプリを書くときと同じ気持ちでNext.jsのアプリを書いたとき、セキュリティ上で気になった点を挙げているだけです。私が見落としている点や誤っている点等ありましたら、コメントやX等で教えていただけると大変ありがたいです。 その1:データ漏洩の危険性 この問題についてはムーザルちゃんねるが紹介しています。またNext.jsの公式ブログでも対策が紹介されて
署名とゼロ知識証明の初歩
Kernel/VM探検隊@東京 No17 https://kernelvm.connpass.com/event/321962/
【怖い】経緯を読んだらガチの国際クライムサスペンスだった→フリーのエンジニアを狙ったサイバー攻撃が増加中
🍪🍺 @cookieandbeer 国際犯罪の被害に遭いかけたので注意喚起です! 海外サイト(WeWorkRemotely)で良さげな案件を探していて、出会ったクライアントとビデオ通話した後「早速今の実装見てみてほしい」という話になりました。もう遅いし明日にして今日は飲むか〜と思っていたら「すぐチェックしてほしい」という連絡が pic.twitter.com/bRhXJkFEGX 2024-07-20 16:41:25 🍪🍺 @cookieandbeer しょうがないにゃあ…と思いつつまずは親の顔より見た setupTest.js を見るとそこには変わり果てた姿が…… 偶然昼までMarkdown書き物をしてたためVSCodeの折り返しを有効にしていたので気づきましたが、普段無効にしてるときだったらこんなふうに見えるので気づくのは難しそう pic.twitter.com/fbk3og
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
親がフィッシング詐欺の被害者になってしまったので手口と被害に合った時の対応について纏める - Qiita
はじめに 去年、情報処理安全支援士を取得したばかりなのですが、母親がフィッシング詐欺の被害にあってしまいました。(被害額は50万円弱) 本当に情けないです。何が情報処理安全支援士だ、何がセキュリティスペシャリストだ、身近な人も救えないようじゃ資格取った意味ないじゃないかと。 身内が被害に合うというのは予想以上にショックが大きく、母親も身内から何をやってるんだと責められまくって意気消沈しまっております。 警察や弁護士、銀行にも相談しましたが、返金はほぼ絶望的な状況(詳細は後述)です。 やはり情報セキュリティいうのは、自分だけが気を付けておけばいいものではなく、家族や身の回りの人達への啓蒙的な活動も重要だと実感しまして、覚えているうちに記事に纏めようと思い立ちました。 知識があっても引っかかってしまう最新の手口 母親が引っかかったのは、フィッシング詐欺の中でもサポート詐欺というものでした。 h
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
盗まれた NPM トークンを使用して公開された悪意のある Rspack、Vant パッケージ - PRSOL:CC
2段階認証アプリ「Authy」開発のTwilio、ハッキングで3,300万件の電話番号流出か
