ドワンゴは6月14日、ニコニコのサービス全般が利用できない状況になっている障害について、「ランサムウェアを含む大規模なサイバー攻撃によるものであることが確認された」と明らかにした。今後は段階的な復旧を目指すが、1カ月以上かかる見通しだという。 今月8日、グループ企業のデータセンターがランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になった。その後も攻撃は繰り返し行われ、遠隔でプライベートクラウド内のサーバをシャットダウンしても、攻撃者が遠隔起動させて感染拡大を図るなど攻防が続いたという。 このため、サーバの電源ケーブルや通信ケーブルを物理的に抜いて封鎖したが、グループ企業が提供するデータセンターに設置されているサーバはすべて使用できなくなった。 「冗長構成とかバックアップというのは当然用意しておりましたし、セキュリティ対策というのも様々に実施してはいたのです
2024年5月31日(金)13時26分頃に、当社ウォレットからビットコイン(BTC)の不正流出を検知しました。 被害状況の詳細は引き続き調査中となりますが、現段階で判明しているものは下記の通りです。また、不正流出への対策はすでに行いましたが、追加の安全確保を行うべく一部サービスの利用制限を実施いたしました。 お客様にはご不便をおかけいたしますことを深くお詫び申し上げます。 ■暗号資産の流出状況について 当社ウォレットより、不正流出したビットコイン(BTC)の数量は、4,502.9BTC(約482億円相当)と判明いたしました。 ■お客様の預りビットコイン(BTC)について お客様の預りビットコイン(BTC)全量については、流出相当分のBTCを、グループ会社からの支援のもと調達を行い、全額保証いたしますのでご安心ください。 ■サービスの利用制限について 以下のサービスの利用を制限させていただき
最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。 手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在する この手法は第三者のTwitterカードを利用することができる つまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができる これはフィッシングの手法になりうる 見つけたツイート 以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ
ESETは11月22日(現地時間)、「Your voice is my password – the risks of AI-driven voice cloning」において、生成AIにより合成した音声を悪用したソーシャルエンジニアリング攻撃の実験に成功したと伝えた。この実験では、従業員が自社の最高経営責任者(CEO: Chief Executive Officer)になりすまして、財務責任者から自分宛てに送金させることに成功しており、生成AIの危険性について注意喚起している。 Your voice is my password – the risks of AI-driven voice cloning これは事前にCEOの許可を得て行っ実験であり、ここで解説する手法をまねることは犯罪となる可能性があることに注意。この実験と同様の攻撃が今後増加する可能性があると懸念されており、企業や組
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
前回の「TERAをアンインストールする」の記事で削除したファイル以外にもnProtectはシステムにごみを残すようです。本当に凶悪なプロテクトですね。 なので、前回に引き続き削除を行いたいと思います。削除方法は以下のサイト様を参照させていただきました。この場を借りてお礼申し上げます。 How Do I Uninstall Nprotect Game Guard? - http://www.brighthub.com/video-games/pc/articles/1709.aspx この削除手段は、誤って実行するとOSが起動しなくなる可能性があります。不安な方や初心者の方は、システムのバックアップを取ったり、復元ポイントの作成を行ってから作業することをお勧めします。 システムドライバの削除 nProtectはシステムフォルダに2つのドライバを作成するのでそれを削除します。その際OSによって
ユーザーをだますために人気の高いウェブサイトになりすますケースがありますが、これとマルバタイジングを組み合わせた攻撃が確認されています。攻撃者はオープンソースのパスワードマネージャーアプリであるKeePassの偽サイトを作成し、これをGoogle広告で配信していた模様です。 Clever malvertising attack uses Punycode to look like KeePass's official website https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website 悪意のある攻撃者は、特殊な文字エンコーディングであるPunycodeを使用して、KeePas
ジョンズ・ホプキンズ大学の教授で暗号学の専門家であるマシュー・グリーン氏が、アメリカ国家安全保障局(NSA)および中央情報局(CIA)の元職員であるエドワード・スノーデン氏がリークした文書から、2018年にMarvell Technologyに買収されたファブレス半導体企業・CaviumのチップにはNSAのバックドアがある可能性があることがわかったとSNSに投稿しました。 Thread by @matthew_d_green on Thread Reader App – Thread Reader App https://threadreaderapp.com/thread/1703959863796158678.html グリーン氏は2023年9月19日のXへのポストで、「スノーデン文書から新たなリークがあった」と投稿しました。グリーン氏が投稿した画像には、「スノーデン・アーカイブの文書
Metaは2023年7月6日に、当時Twitterという名称だったXの対抗馬と目されるSNSアプリ「Threads」をリリースしましたが、プライバシーの不透明さにより記事作成時点でもEUでの公開が実現していません。そんなThreadsを開発したMetaや、アプリの配信をApp Storeで承認しているAppleのプライバシー慣行の問題点について、デザインに関する情報や知識を発信している「Growth Design」がわかりやすいスライド資料にまとめて解説しました。 Apple vs Meta: The Illusion of Privacy https://growth.design/case-studies/apple-privacy-policy 上記URLにアクセスしたのが以下。右下のボタンかキーボードの右矢印キーで次のページに移ることができます。 Growth Designの共同設
総務省はヤフーが事前に利用者に周知せずに、位置情報などのデータおよそ756万ID分の位置情報データなどを他の会社に提供していたとして、行政指導を行いました。ヤフーは検索エンジン技術の開発や検証のために今年…
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
Downfall attacks target a critical weakness found in billions of modern processors used in personal and cloud computers. This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryptio
以下の文章は、電子フロンティア財団の「The U.K. Government Is Very Close To Eroding Encryption Worldwide」という記事を翻訳したものである。 Electronic Frontier Foundation 英国議会が世界のプライバシーを崩壊させかねないインターネット規制法案を推進している。現在、貴族院での可決を目前に控えた「オンライン安全法案」は、メッセージングサービスにバックドアを強制する権限を英国政府に与え、エンド・ツー・エンド暗号化を破壊するものとなる。法案の最も危険視されている部分を軽減する修正案は全く受け入れられていない。 オンライン安全法案が可決されれば、世界のプライバシー、そして民主主義そのものを後退させることになるだろう。我々が使用するメッセージングサービスに政府承認ソフトウェアの導入を義務づける悪しき前例を生み出
広告ブロック機能を標準搭載するブラウザ「Brave」の開発チームは、プライバシー特化型の検索エンジン「Brave Search」も開発しています。Brave Searchの検索結果画面には検索語句に合わせてウェブサイトの文章を抜粋した「スニペット」が表示されるのですが、ソフトウェアエンジニアのアレックス・イヴァノフス氏はBrave Searchのスニペットについて「ウェブサイトの内容を勝手に収集し、著作権者の許可なく他人に販売している」と指摘しています。 The shady world of Brave selling copyrighted data for AI training https://stackdiary.com/brave-selling-copyrighted-data-for-ai-training/ An update on Brave selling copyri
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術
iPhoneの安心/安全はもはや国民が自ら意見を述べて守るしかない――「モバイル・エコシステムに関する競争評価」の最終報告を受けて(1/4 ページ) 6月16日、官邸のWebサイトにデジタル市場競争会議で検討されていた「モバイル・エコシステムに関する競争評価」の最終報告(案)が掲載された。これを受けて日本政府は、iPhoneでApp Store以外の他社ストアからもアプリを入手できるように法律で義務付けることを法案化していく。 iPhoneの安全を脅かす法案 行動を起こす最後のチャンス これまで再三、指摘してきたiPhoneのセキュリティを著しく低下させる法案が、ついに立法に向けて本格的に動き出した。だが、まだ手遅れではない。 現在、政府は広く国民からの意見(パブリックコメント)を募集しており、その後で案を国会の審議にかける。 今の国会議員たちのITに関する知識や関心度に信頼を寄せていない
Malwarebytesは5月18日(米国時間)、「KeePass vulnerability allows attackers to access the master password」において、KeePassに重大な脆弱性があるとして、注意を呼び掛けた。脆弱性が悪用された場合、マスターパスワードにアクセスされる危険性があるとされている。 KeePass vulnerability allows attackers to access the master password KeePassは無料のオープンソースのパスワードマネージャー。パスワードを暗号化された形で保存する機能が提供されている。KeePassはデータベース全体を暗号化するため、パスワードだけでなく、ユーザー名、URL、メモなどの情報も暗号化される仕組みとなっている。 このパスワードマネージャに深刻な脆弱性があることがわか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く