こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
Googleがサポート詐欺を支援し収益を上げる 実際に表示された130の広告【俺の詐欺画像フォルダが火を吹くぜ】 - SEO辻正浩のブログ
サポート詐欺とネット広告 サポート詐欺の被害拡大が大きな問題になっています。 サポート詐欺は様々な手法でパソコンの不調を警告する画面をPC上に表示させ電話をかけるように煽り、サポート費用としてGoogle PlayギフトカードやiTunesギフトカードを買わせて支払わせたりPCの遠隔操作で振込をさせて、お金を奪う詐欺です。 この詐欺自体は昔からあるものですが、増加したようで2023年9月末には消費者庁も注意喚起を行っています。 www.caa.go.jp また、夏以後に日本各地の警察も注意喚起を始めた他、様々な報道機関やネット媒体がその問題を報じ続けています。 (2/14)詐欺:“サポート詐欺”に注意! | NHK (5/15)パソコン「サポート詐欺」電話かけてみた 72分間の通話の全容 | NHK | デジタルでだまされない (7/2)【動画解説】パソコン「サポート詐欺」警告が出た時の対
Webセキュリティ腕試しサイトを無償公開 | News | 三井物産セキュアディレクション株式会社
三井物産セキュアディレクション株式会社(本社:東京都中央区、代表取締役社長:鈴木大山、以下 MBSD) は、Webセキュリティに関する腕試しサイト「MBSD Secu-cise (セキュサイズ)」を2023年4月24日より無償で一般公開しました。 Webアプリケーションを開発した経験のない初心者の方や、腕に自信がある方、セキュリティに興味のある方など、自身のWebセキュリティに関する技術力を確かめるために無償で利用することができます。腕試し結果はスコアで表示され、他の参加者のスコアと比較することができます。 ■MBSD Secu-ciseの概要 MBSD Secu-ciseはクラウド上に構築された環境となっており、インターネット経由で誰でも参加することが可能です。課題は全7問あり、課題の内容はWebアプリケーション診断の実案件で発生した事象を題材にしています。 ■開発者の想い この度公開さ
全国約90の自治体議会Webシステムが停止、事業者サーバーが不正アクセス被害
全国約90の自治体の議会関連Webサービスが、サーバーへの不正アクセス被害のため、停止したことが2023年4月13日、分かった。システム運営会社のフューチャーインと同サービスを利用している横浜市が発表した。2023年4月11日から一部を停止し、12日からは同社が約90の自治体に提供する「議会中継システム」など4サービスを停止した。14日時点で「対策を完了し、各自治体と調整のうえ、順次サービスを開始している」(同社)という。 不正アクセスを受けたのは、フューチャーインが運用し、全国の自治体が利用する、議会中継などのWebサイトのコンテンツ管理システム(CMS)のサーバー。同社は約90自治体向けにインターネット経由で議会中継システムなど4システムを、同社のデータセンター内の8サーバーで運用しており、このうち複数のサーバーが不正アクセスを受けた。 同社が、2023年4月11日に横浜市会インターネ
お知らせ:民間事業者向けの業界横断的なデジタル本人確認のガイドラインが公開されました
2022 年 5 月に KYC ワーキンググループ内に設置された「本人確認ガイドラインタスクフォース」が作成した「民間事業者向けデジタル本人確認ガイドライン」が公開されました。 「本人確認ガイドラインタスクフォース」は、会員企業 10 社とデジタル庁、有識者から構成され、官民が連携して議論・検討を重ね、本ガイドラインを策定したものです。 本人確認ガイドラインタスクフォースのメンバー リーダー 株式会社TRUSTDOCK サブリーダー 株式会社NTTドコモ 構成員(50音順) 伊藤忠テクノソリューションズ株式会社 KDDI株式会社 株式会社ジェーシービー セコム株式会社 ソフトバンク株式会社 デロイト トーマツ サイバー合同会社 トッパン・フォームズ株式会社 株式会社Liquid オブザーバー(50音順) 落合孝文弁護士 OpenIDファウンデーション・ジャパン デジタル庁(吉田泰己、林達也
安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
入力中の個人情報が“送信ボタンを押す前に”収集されている問題 約10万のWebサイトを調査
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 ベルギーのKU Leuven、オランダのRadboud University、スイスのUniversity of Lausanneによる研究チームが発表した「Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission」は、まだ送信していないのにもかかわらず、オンラインフォームで入力した個人情報(今回は電子メールアドレスとパスワード)が打ち込んだだけで収集されている問題を調査した論文だ。 サインインやサービスへの登録、ニュースレターの購読など、さまざまな理由でオンラインフォームに個人情報を入力す
SOCアナリストによるWAF解説 | 技術者ブログ | 三井物産セキュアディレクション株式会社
今回は、WAF(Web Application Firewall)についてご紹介したいと思います。 WAFの解説サイトは多くありますが、WAFは、理論としては分かっていても、実際に触ってみないと具体的にどういったものなのか分かりづらい製品かと思います。弊社のWAFを検討されているお客様からも「WAFとIPSの違いがいまいち分からない」といった声をよく頂きます。 そこで、 WAFの具体的な仕組み、製品の種類/特長、チューニング、WAFの効果について、 SOCベンダーの観点も交えてご紹介します。 WAFの対象範囲 まずは一般的な説明からとなってしまいますが、Webアプリケーションを外部からの攻撃から守るためのセキュリティ製品は、主に、ファイアウォール、IPS、WAFが挙げられます。それぞれ、役割・対象範囲が異なっています。 図1.各機器の対象レイヤー/プロトコル例 ファイアウォールは、機能とし
Wiresharkによるパケット解析講座 8:HTTPSトラフィックの復号
By Brad Duncan August 21, 2020 at 6:00 AM Category: Tutorial, Unit 42, Unit 42 Tags: tutorial, Wireshark, Wireshark Tutorial This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 昨今、対象となる疑わしいネットワークアクティビティのトラフィックが暗号化されているこ
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 | スラド セキュリティ
EFFによれば、「安全のために公衆Wi-Fiの使用を避けるべき」というアドバイスはほぼ時代遅れであり、以前ほど多くの人に適用できるものではないという(Deeplinks Blog、Softpedia)。 Webページの多くがHTTP接続だった時代、暗号化されていないWi-Fiネットワークに接続すると通信内容を盗み見られる可能性があった。しかし、2010年にFiresheepが公開されて以来、Web接続の暗号化の重要性が認識されてサイトのHTTPS化が進んだ。EFFは無料でサーバー証明書を発行するLet's Encryptの立ち上げに協力し、無料証明書の取得とインストールを容易にするCertbotを開発している。 その結果、現在米国から閲覧されるWebページの92%がHTTPS接続だという。インドなどHTTPS接続ページの閲覧率が低い(80%)国もあるが、それでも大半のページがHTTPSで保
【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
CTF Advent Calendar 2019 - Adventarの25日目の記事です。 1つ前は@ptr-yudai氏の2019年のpwn問を全部解くチャレンジ【後半戦】 - CTFするぞでした。 はじめに 対象イベント 問題数 読み方、使い方 Cross-Site Scripting(XSS) SVGファイルを利用したCSPバイパス GoogleドメインのJSONPを利用したCSPバイパス サブリソース完全性(SRI)機能を利用した入力チェックバイパス Chrome拡張機能のパスワードマネージャーKeePassの悪用 HTML likeコメントを使用したコメントアウト jQuery.getJSONのJSONP機能を使用したスクリプト実行 DOM Clobberingによるコードハイジャック Service Workerを利用したスクリプト実行 XSS Auditor機能のバイパス
JALの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
銀行から個人まで駆け込む ネット風評“掃除業”が急拡大
inside 産業界・企業を取り巻くニュースの深層を掘り下げて独自取材。『週刊ダイヤモンド』の機動力を活かした的確でホットな情報が満載。 バックナンバー一覧 今月、新たな業界団体が正式に発足する運びだ。その名称は「風評被害対策事業者連絡会」。 インターネット上の風評被害や誹謗中傷対策を引き受ける大手“イレイサー”(消しゴム≒削除者の意)専門会社で構成する初の業界団体だ。 今夏から国の関係省庁との協議や情報交換を重ねており、急拡大を続ける一方で悪質業者もはびこる業界の健全化を図ることが、設立目的という。 団体設立の音頭を取った業界大手、シエンプレは、過去3年で売り上げを2倍以上に伸ばし、今期は15億円の売り上げを見込む。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Node.js」にセキュリティ更新 ~最大深刻度は「High」/v14.21.3、v16.19.1、v18.14.1、v19.6.1への更新を
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | Webサイトのサーバー証明書種類の確認方法(2022/09/06) 公開のお知らせ
本人のメルアドを使うのはもはや時代遅れ? 「1Password」が捨てメール機能を正式実装【やじうまWatch】
Engadget | Technology News & Reviews
オレ的ゲーム速報JINのスパム認定の原因!?
TechCrunch | Startup and Technology News
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
