Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場:セキュリティニュースアラート TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。
» 今、インスタの「いいね」をめぐって起きている地獄 / いいねを付ける闇バイトに潜入し目撃した虚像だらけの世界 特集 何から話せばよいだろう。とんでもなく真っ黒で、とんでもなく複雑で、もしかしたら大事(おおごと)なんじゃないか? ってくらい、気持ちの悪い世界を私は見ていた。 まだすべての答えは出ていないが、先に伝えておいた方が良いこともあるので、今わかっていることを書き残しておきたい。 ・「いいね」を付ける闇バイトに潜入 私が潜り込んでいたのは、インスタ(Instagram)の裏側とも言える世界である。単刀直入に言うと「闇バイト」。 「いいね」を付ける代わりに「報酬(カネ)」を得る、「いいねの労働者」になりすましていた。 極秘の潜入調査につき、身バレの危険性もあるため画像等はお見せできない。なので文章だけの記事になるが、どうか、最後まで読んでほしい。 ・闇の入り口 どのようにこの世界に入
セキュリティ企業Shadowserverの調べにより、ポート番号3306/TCPでアクセス可能なMySQLサーバーが約360万台も存在しており、サイバー攻撃の対象となる可能性があることが判明しています。 Over 3.6 million exposed MySQL servers on IPv4 and IPv6 | The Shadowserver Foundation https://www.shadowserver.org/news/over-3-6m-exposed-mysql-servers-on-ipv4-and-ipv6/ 2022年5月31日に発表されたShadowserverの報告書によると、デフォルトのポート番号である3306/TCPを使用する約360万台のMySQLサーバーがインターネット上で公開されており、TLS・非TLS接続にかかわらず応答したとのこと。 Shad
Googleにはいつもお世話になっています。アカウントは複数所有しておりメインアカウント、趣味用アカウントなど。主に5種類のアカウントを利用していますがそのうちメインで利用しているアカウントが、今朝方に何の前触れもなく、突然、BANをされました。 「Google 春のBAN祭り」などと揶揄されてSNS界隈で毎年話題にあがる話しですが、まさか自分が当事者になるとは夢にも思いませんでした。特にSNSなどに利用することなく大切にしてきたアカウントだけにショックも大きいです。 これは普段使いしている皆さんにも起こりうる事態だと思いますし、今回起こっていることをご紹介するとともに、これまで安全対策として備えをしてきた内容とその評価、今後の予定などを書きたいと思います。 かなり動揺している状態で記事を書いています。誤字脱字はご勘弁いただきひとりでも同じような被害者が出ないことを祈りつつ公開いたします。
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。 字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
ニュースリリース 2024年7月19日 金融庁による行政処分に基づく報告書提出について PDF(1.48MB) 新しいウィンドウを開きます。 2024年7月12日 大阪府の産業振興の取組みへの寄付について PDF(129KB) 新しいウィンドウを開きます。 2024年7月9日 一部報道について PDF(89KB) 新しいウィンドウを開きます。 2024年7月5日 「& BANK」の展開開始について PDF(709KB) 新しいウィンドウを開きます。 2024年7月4日 タイ王国の東部経済回廊事務局との連携協定締結について PDF(181KB) 新しいウィンドウを開きます。 お知らせ 2024年7月24日 第11回MUFGビジネスサポート・プログラム「Rise Up Festa」受賞企業決定 2024年7月22日 エフアンドエムとの協業開始について 中小企業のバックオフィス業務支援を通じた経
Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告2021.02.16 13:00218,348 Jody Serrano - Gizmodo US [原文] ( satomi ) Clubhouseブームの追い風で中国Agora株が急上昇! 先月から2倍に跳ね上がっています。 そんななかスタンフォード・インターネット・オブザーバトリー(SIO)の最新調査で、Clubhouse(クラブハウス)入室中の各利用者のメタデータを含むパケットがエンド・トゥ・エンド暗号化もない平文でAgora社に送られていることがわかり、Clubhouse社が対応に追われています。 その前にAgora社って何?Agoraは動画・音声・ライブインタラクティブ配信プラットフォームで、シリコンバレーのサンタクララと中国上海にオフィスを構えています。Clubhouseをはじめ世界中の企業
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
追記: アクセスされた可能性のある最大件数については、詳細な調査分析により2,101件であったことが判明しております。 詳細は下記をご確認ください。 管理サーバーへのアクセス履歴の調査結果について(2021年5月7日) https://paypay.ne.jp/notice-merchant/20210507/01/ 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。 <アクセスされた可能性のある情報> (1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年
【追記】10/25になって《Amazonマーケットプレイス保証》が受けられるようになりました。返金のボタンがアクティブになり、返金処理が可能になったのです。以下の本文にも追記を注記します。 先日、Amazonで「猫じゃすり」を注文しました。呉市のヤスリ製造業者さんが開発した、猫を撫でる道具です。大人気でバックオーダー、順番待ちになっている。 ところがAmazonで[正規品]と書いて正価より1000円安い、という商品が出ていたのです。喜びいさんでポチりました。 しかしこれが詐欺サイト、いやいや、天下のAmazonに堂々と出店している詐欺業者だったのです。 Amazonの商品ページ。右端に業者名《Newzeroin》が小さく書かれているが… 1.出品者はメーカー「ワタオカ」ではない。中国企業? 出品者名が《ワタオカ》となっていますが、ウソです。 実際は《販売: NewzeroIn》です。 業者
セブン&アイ・ホールディングスがスマートフォン決済「7pay(セブンペイ)」のサービスを9月末で終了する方針を固めたことが1日、分かった。
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
2019年1月より、e-Govサイトにおける全てのWebページについて、HTTPS通信による接続を可能としております。 (詳細)https://www.e-gov.go.jp/news/egov/2019/news20190111.html 上記お知らせにて周知させていただいておりますとおり、2019年6月27日にHTTPによる接続を廃止いたします。 6月27日以降は、HTTPS通信のみ接続可能となるため、「http:」で始まるURLではe-Govサイトにアクセスできなくなります。 ブックマーク機能に「http:」で始まるe-GovサイトのURLを登録している場合や、リンクを貼っている場合等は、「https:」から始まるURLに切り替えていただきますよう、お願いいたします。 また、HTTP通信による接続を行わないようにする作業に伴い、一部サービスの通信に一時的な瞬断が数回発生します。 ご不
大阪ガスの子会社であるオージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいしたことが明らかになりました。 「外部からの不正アクセスによる情報漏えい」だけならば、そう珍しいことではありません。けれどこの一件では、パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいます。このデータを手に入れた誰かが、わざわざデータを復号しなくても、そのまますぐに悪用できるからです。 既にあちこちで報じられていることから対応済みの方も多いと思いますが、もし宅ふぁいる便で使っていたものと同じパスワードを他のサービスでも使い回していた場合、速やかに変更する必要があります。 「なぜ、暗号化していなかったのか」を考察 さて、この一件では、「今どき、パスワードを暗号化せず、平文のまま保存しているな
WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本 FIDO(Fast IDentity Online)とは、公開鍵認証方式を応用し、オンライン経由で認証を行う仕組みです。パスワード認証の安全性は限界が指摘されるなか、Webサイトにおいても生体認証などパスワードレスな仕組みを導入する企業が増えており、このFIDOやWebAuthnに注目が集まっています。Capy株式会社で情報セキュリティに関する研究開発や分析などに携わる、松本悦宜さんの解説です。 こんにちは、松本悦宜(@ym405nm)です。 FIDO(ふぁいど)に関しては、昨年(2018年)から多くのメディアや技術ブログで取り上げられ、導入するWebサイトも増えています。 FIDO2プロジェクトにおいて話題になったWebAuthn(Web Authentication API)についても、主なW
連載:迷惑bot事件簿 さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。 今年8月、大手プレイガイド、イープラスのチケット購入サイト「e+」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースがさまざまなメディアで報じられた。あれから4カ月、イープラスのbot対策はさらに進み、目に見える効果をあげている。 そこで「迷惑bot事
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く