鍵開けるときの｢ガチャッ｣の音だけで、合鍵作れます2020.10.06 17:0039,381 Andrew Liszewski - Gizmodo US ［原文］ （ そうこ ） え、なにそれ怖い。 どう考えてもフィクション世界のスパイとしか思えないことが、現実になろうとしています。なんかね、鍵を開ける｢音｣をスマホで録音すれば、合鍵が作れちゃうらしいの。 シンガポール国立大学のサイバーフィジカルシステム研究チームが、鍵の脆弱性（というか、昔からあるものが最先端技術で危うくなる状況）を新たに発見しました。｢SpiKey｣と名付けられたこのセキュリティエラーは、昔からある一般的なピンシリンダータイプの鍵に関するもの。ピンシリンダーの構造は内部に複数のピンがあり、錠それぞれこのピンのパターンが異なります。鍵を差し込み、鍵に施されたギザギザ（凹凸）とピンのパターンが一致すると、クルリと回って鍵

「ドコモ口座」を通じて不正に預金が引き出された問題で、新たな事実の判明です。 引き出された預金が埼玉県など関東地方の家電量販店などで商品の購入に使われていたことがわかりました。警察当局は組織的な犯罪グループによる犯行とみて、関与した人物の特定など本格的な捜査に乗り出す方針です。 これまでに判明している被害はわかっているだけで3000万円近くに上っていますが、引き出された預金が埼玉県など関東地方の家電量販店やコンビニエンスストアなどで商品を購入する際に使われていたことが、関係者への取材でわかりました。 購入された商品は、転売することができる高額な電化製品やたばこが多いということです。 これまでの調べで、ドコモ口座を開設する際に新潟県内とみられるIPアドレスから不審なアクセスがあったことが確認されていて、全体の指示役や口座を開設する役、それに店で商品を買う役などに分かれた、組織的な犯罪グループ

2020年8月に修正された脆弱性 CVE-2020-1472はドメインコントローラーが使用するNetlogon リモートプロトコルに欠陥が見つかったもので、その内容からZerologonとも呼称されています。Microsoftをはじめ、セキュリティ組織は深刻な脆弱性であることから早急な対応を行う様呼び掛けています。ここでは関連する情報をまとめます。 Zerologonって何？ Windows が実装する Netlogon リモートプロトコル （MS-NRPC）に発見された脆弱性の名前。 脆弱性悪用を通じてパスワードが変更されドメイン管理者権限の取得が行われる恐れあり。 9月11日に技術情報と実証コードが公開され、9月24日には攻撃に悪用されたとMicrosoftが注意喚起。 8月12日に脆弱性に対応するセキュリティ更新プログラムが公開済。非Winデバイス互換性への考慮から2段階に分け対応が

Amazonの“転売ヤー”をブラックリスト化するツール、開発者に経緯や狙いを聞いた（1/2 ページ） Amazonマーケットプレイスの"転売ヤー"をブラックリスト化できるツールがネット上で話題だ。9月21日に公開されるとTwitterで反響を呼び、「アマゾン転売屋ブラックリスト」が一時トレンド入りした。ツールを開発したのはフリーエンジニアの秀さん（@jackpot__hide）。Twitterで“開発宣言”をした後、子供が寝た深夜の時間帯を使い、実働わずか6時間で完成させた。秀さんはなぜこのツールを作ったのか。 秀さんはこのツールをブックマークレットとして提供している。ユーザーは「アマゾン転売屋チェッカー」をブラウザのブックマークに登録後、Amazon.co.jp上で同ツールを起動し、高額出品している販売元をクリックすると、悪質な業者をリストに登録できる。リストに登録された業者は、Amaz

","naka5":"<!-- BFF501 PC記事下（中⑤企画）パーツ＝1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下（中⑥デジ編）パーツ＝8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下（中⑥デジ編）パーツ＝8826 -->","adcreative72":"<!-- BFF920 広告枠）ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag ＰＣ誘導枠５行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">

中山です ソリューションアーキテクトとして、AWS環境の利活用をお手伝いするお仕事をしています。 まれによく見るAWS環境 とりあえずこれを見てほしい。 これが絶対にだめと言いたいわけではないです。 一時的な検証環境だったり、とにかくスピード重視でサービスをデリバリーさせる必要があったり、サービスの提供者側が何ら責任を負わない・障害時のビジネスインパクトが無い（そんな状況あるのか？）という前提があったり、状況次第ではこれで十分な時もあると思います。 しかし、一般的な業務システムやサービスの場合にはいろんな意味で不十分でしょう。 では、このような環境をどのように育てていくとよいでしょうか。 この記事では、そんな育てかたの一例を紹介していきたいと思います。 なお、本記事はくっそ長いです。 ちなみに、最終的にはこうなります。 文字が小さすぎて読めない！ ちょっとそこのハ○キルーペ貸してくれーｗ

今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化（暗号化）せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい

「ドコモ口座」を通じた預貯金の不正な引き出し問題に関連して、高市総務大臣はゆうちょ銀行が提携する電子決済サービスのうち、「ドコモ口座」以外にも5つのサービスですでに被害が確認されているとして、不審な出金がないか口座を確認するよう呼びかけました。 これに関連して高市総務大臣は閣議のあとの記者会見で「ゆうちょ銀行が提携している即時振り替えサービス12社のうち、すでに6社で被害が生じている」と述べ、ゆうちょ銀行ではドコモ口座以外にも5つのサービスで、不正な引き出しの被害が確認されていることを明らかにしました。 このうち、ドコモ口座を含む2つのサービスは新規登録やチャージを停止したものの、残る4つはサービスを継続しているということです。 そのうえで高市総務大臣は、ドコモ口座だけでなくほかのサービスを通じた不審な出金がないか口座を確認するよう呼びかけました。 これについて、ゆうちょ銀行は「提携してい

Webエンジニアのブログです。

NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行（宮城県仙台市）は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行（岡山県岡山市）、大垣共立銀行（岐阜県大垣市）、東邦銀行（福島県福島市）も8日、同様の理由で新規登録の停止を発表した。 地銀ばかりで被害　なぜ？ 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。 Web口振受付サービスは、地銀ネットワークサービス（東京都中央区）が提供する、収納企業（決済サービス提供社）と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。 ユーザーが

詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って？ ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー（だよね）のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス（ID提供サービスとも言えます）にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように

NTTドコモのドコモ口座を悪用し、不正に盗み出した口座番号、キャッシュカード暗証番号等の情報を使用した口座の不正利用が発生したと報じられました。ここでは関連する情報をまとめます。 勝手に作成したドコモ口座に送金 不正送金の手口 犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。 銀行預金者の名義でドコモ口座を開設。 入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web口振受付サービス」を利用 サービスを通じて口座預金をドコモ口座にチャージ。 Web口振受付サービスは銀行提携先のWebサイトを通じて口座振替の申し込み手続きができるサービス。 ドコモ口座不正利用の発表相次ぐ 当初被害報告が上がった銀行は七十七銀行だが、その後も複数の地銀で不正利用に関する案内が相次ぎ公開された。 ドコモ口座登録等の受付停止を行った銀行 35行、全ての銀行 不正利用(疑い含む)発

2020年9月8日 更新 平素は、NTTドコモのサービスをご利用いただき、誠にありがとうございます。 以下の日時より、下記金融機関で下記のサービス申込受付を停止しております。 ■対象金融機関 ・七十七銀行 ・中国銀行 ・大垣共立銀行 ■受付停止日時 2020年9月5日(土)0時～（七十七銀行） 2020年9月8日(火)0時～（中国銀行、大垣共立銀行） ■受付停止内容 ・上記対象金融機関の銀行口座登録 ・上記対象金融機関の銀行口座変更 お客様にはご迷惑をおかけし、申し訳ございません。 受付再開につきましては、改めて、本お知らせにてご案内いたします。 d払いサイトトップへ戻る

ガイドの内容 目的 サイバー攻撃の脅威は高まる一方、製品の脆弱性を網羅的に対処するのは困難です。製品開発者の脆弱性対処状況は一般消費者からの製品評価向上、製品選定の優位性（顧客獲得及び売上等）になりづらい、という課題があるため、結果的に脆弱性対処が進まないという状況となっています。 このような状況を受け、以下3点を目的に、脆弱性対処に向けた製品開発者向けのガイドを公開しました。 製品開発者がセキュリティ対策として実施すべき項目を把握できる 実施する対処を徐々にレベルアップできる 一般消費者に自組織の取組み状況をアピールするため、すべきことを把握できる ガイドの特徴 国内外の主要なガイド等から抽出した標準的に実施が求められる対処集 チェックリストで自組織の脆弱性対処の状況が把握可能 レベル分けした対処方法により、自組織の状況に応じた対処から実施可能 一般消費者にアピールするため、対処の実施状

2020年8月25日、米司法省はネバダ州の企業のネットワークへマルウェア感染の陰謀をはかったとして、ロシア国籍の男を逮捕したと発表しました。その後、ターゲットにされた企業がテスラ社だったと報じられています。ここでは関連する情報をまとめます。 犯行に協力させるため従業員に賄賂 www.justice.gov 逮捕、起訴されたのはロシア国籍 27歳の男。2020年7月28日に観光ビザで入国していた。 アメリカネバダ州の企業で働く従業員（訴状ではCHS1と記載されている、ここでは従業員Aと表記）に賄賂（100万ドル）を渡し、社内ネットワークにマルウェアを仕掛けるよう要求した。 男の狙いは会社のシステムに侵入し、社内情報を窃取。オンライン上で盗んだデータを公開すると脅し身代金を要求するというもの。 逮捕発表から2日後の報道を通じネバダ州の企業はテスラ社だったことが判明。Elon Musk氏も「深刻

はじめに#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。 併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。 project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub COCOA が抱えるアプリケーション設計上の問題点攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっているブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できないSMS による処理番号通知を行っているのであれば、8桁数字

国内38社がVPNの脆弱性をついた攻撃を受け、ダークウェブ上にVPNのユーザーIDやパスワードが流出していたと内閣サイバーセキュリティセンター（NISC）が明らかにした問題で、被害にあった1社の平田機工は8月25日、流出の原因を明らかにした。 4月から始めたテレワークの負荷分散のため旧VPNシステムを急きょ稼働させたところ、最近発見された脆弱性を突かれて、社員24人とVPNシステム管理用のユーザーIDとパスワードが抜き取られたという。社内ネットワークに侵入された形跡はなかったとしている。 同社は4月後半からテレワークを実施。その負荷に現VPNシステムでは対処しきれなくなったため急きょ、前年度に交換した旧VPNシステムを4月22日から稼働させて負荷を分散させた。 だが旧VPN装置には最近発見された脆弱性があり、社員24人とVPNシステム管理用のユーザーIDとパスワードが6月25日に抜き取られ