Java向けログ出力ライブラリ「Apache Log4j」（Log4j）で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド（阿里雲）が脆弱性情報を発見後すぐに報告しなかったとして6カ月間の提携停止処分とした。中国の報道機関・21世紀経済報道が23日報じた。 問題となっているLog4jの脆弱性は、アリクラウドが発見したとされている。中国工業情報化部・ネットワーク安全管理局は、同社がこの脆弱性を米Apache Software Foundation（ASF）に報告した一方で、同局にはすぐに報告しなかったとしている。同局は別の情報セキュリティ機関からこの脆弱性の報告を受け、ASFに修正を促したという。 中国は「ネットワーク安全法」の第25条で「ネットワーク事業者は脆弱性など情報セキュリティ上のリスクが発生した場合、緊急対応を直ちに開始

デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見られてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。 投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション（暗号化通信の復号）で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。 ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。同アプリはピンニングせずに通信しているが、アプリの送信データ自体は暗号化されてい

Summary Log4j versions prior to 2.16.0 are subject to a remote code execution vulnerability via the ldap JNDI parser. As per Apache's Log4j security guide: Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can ex

勤務先でウイルスやランサムウェアに感染しても、中小企業のうち約6割が社外に公表していない──情報処理推進機構（IPA）が12月8日、こんな調査結果を発表した。 この結果は、中小企業の社員1000人を対象にWebアンケートを実施し、そのうち「過去3年間にサイバーセキュリティ上の事故やトラブルが発生したか」の質問に、「発生した」と答えた105人の回答から得たもの。社外への公表について「複数回ある」と答えたのは18.1％、「1回ある」は22.9％、「ない」は59.0％だった。 さらに発生したセキュリティトラブルの内容を複数回答で聞いたところ「ウイルス・ランサムウェアによる被害」が41.0％、「予期せぬIT基盤の障害に伴う業務停止」と「取引先を装った偽メールによるウイルス感染」が同率で23.8％と続く結果になった。

最大2万円分のポイントにワクチンの接種証明。 マイナンバーカードの機能が増えていて、新たに作ろうとする人もいるのではないでしょうか。 さっそく申し込もうと思ったら、パスワードが4種類？ えっ、こんなに覚えられない。 どうすればいいのでしょうか？ （大阪拠点放送局 中本史・ネットワーク報道部 柳澤あゆみ・清水阿喜子） 現在、およそ4割の普及率のマイナンバーカード。 政府はカードの取得者に最大で2万円分のポイントを付与する新たな制度で、人口のおよそ75％にあたる9500万人まで取得者を増やしたいとしています。 今月20日からはマイナンバーカードとスマートフォンを使って、電子化されたワクチン接種証明書を入手できるようにすると岸田総理大臣が表明。

新潟県は11月27日、個人情報1件を含むメールを職員が転送しようとした際、送信先ドメインを「gmail.com」にすべきところを「gmai.com」と誤記したため、メールが外部に流出したと発表した。 メールに書かれた個人情報の持ち主には電話で経緯を説明し、謝罪したという。 11月26日の午後3時46分ごろ、長岡地域振興局農林振興部の職員が、外部から受け取った、個人の名前とメールアドレス入りのメールを、所属長の許可を得ず自分の私用Gmailアドレスに転送しようとした際、ドメインを誤記して送信。庁内の情報セキュリティを所管する知事政策局ICT推進課が指摘し、27日に流出が発覚した。 WHOISによると、gmai.comのドメインは、ホンジュラスのドメイン名レジストラを名乗る「BoteroSolutions.com S.A.」が保有している。 gmail.comあてのつもりがgmai.comに送

パスワード管理ツール「NordPass」を提供するパナマのセキュリティ企業であるNord Securityは11月17日、2021年で最も使われたパスワードのランキングを発表した。その結果、世界50カ国での1位は「123456」であり、日本での1位は「password」であることが分かった。 同社では世界50カ国で使われたパスワードを集計し、全体の合計値と各国でのランキング結果をトップ200まで算出。4TBに及ぶデータベースをサイバーセキュリティ事件の研究者と共同で評価し、リストを作成したという。結果は公式Webサイトで公開している。 日本での結果は「password」が1位で最も多く、次点で「123456」「123456789」「12345678」が続き、キーボード左のキーを縦に順番に打った「1qaz2wsx」が5位に入った。世界50カ国には入らず、日本でのみランクインしたものには「sa

2021年11月13日（現地時間）、米国の連邦捜査局（FBI）は内部向けのシステムが第三者によって不正に操作されたこと受け、スパムメールが大量に送信される事態が発生したことを公表しました。ここでは関連する情報をまとめます。 連邦捜査局からスパムが届く FBIのメールアドレスeims@ic.fbi.govを送信元とするスパムメールが大量に発信される事態が発生した。送信されたメールは送信元を詐称したものではなく、FBIの運用する正規のサーバーmx-east-ic.fbi.gov（153.31.119.142）から直接発信されたもの。DKIMによる検証も問題がないことからスパムフィルタをそのまま抜けて届くケースなども発生したとみられる。 スパムメールは「Urgent: threat actor in systems.」（緊急：システム内の脅威アクター）と件名に記載。米国土安全保障省のセキュリティ

狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上：この頃、セキュリティ界隈で（1/2 ページ） 不正アクセスを防ぐ対策の代表である、多要素認証。ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという。 ネット上のアカウントに対する不正アクセスを防ぐため、今や多要素認証は欠かせない対策となった。たとえIDとパスワードが盗まれたとしても、ワンタイムパスワードの入力が必要な状態にしておけば、アカウントは守られるという想定だ。ところがその仕組みを突破しようとする攻撃が増えつつある。 暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。 BleepingComputerによると、2021年3月～5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を

約半数が「信頼できる有名なソフトウェアがあればサプライチェーン攻撃は怖くない」と認識　アクロニスがサイバー攻撃に関するレポートを発表：攻撃者にとってテレワーカーは「魅力的なターゲット」 アクロニスは「Acronis Cyber Readiness Report」を発表した。それによるとテレワークへの移行準備ができていない企業の割合は80％を超えており、テレワーカーが攻撃者にとって「最も魅力的なターゲット」になっているという。

2021年10月18日、アイキューブドシステムズは同社が提供するMDMサービス「CLOMO」を利用する一部の端末で、意図せず端末がロック状態となる事象が発生したことを公表しました。ここでは関連する情報をまとめます。 端末が突如使えなくなる 利用者、管理者が意図していないにもかかわらずCLOMOで管理されたモバイル端末が強制ロック状態となる事象が発生した。端末がロック状態となると「CLOMO MDMによりロックされています」と画面に表示され通常の操作ができない。同サービスは法人向けサービスとして提供されており、NTTドコモやKDDIで同サービスを利用する一部のユーザーでも影響が及んだと報じられた。*1 暫定対処として、ロック状態となった場合は、CLOMOの管理コンソールからロック解除のコマンド実行を行うことで解除を行うことが出来ると案内。その後同社からもロック解除のコマンドが実行されている。

🤔 前書き 稀によくある 、AWS を不正利用されちゃう話、 AWSで不正利用され80000ドルの請求が来た話 - Qiita 初心者がAWSでミスって不正利用されて$6,000請求、泣きそうになったお話。 - Qiita AWSが不正利用され300万円の請求が届いてから免除までの一部始終 - Qiita ブコメ等で GitHub にはアクセスキーを検索するBOTが常に動いていて、公開するとすぐに抜かれて不正利用される 的なコメントがつくのを何度か目にしたのですが、 本当にそんな BOT が動いているの？ どのくらいの時間でキーを抜かれて、不正利用が始まるの？ というのが気になったので、検証してみました。 GitHub にそれっぽいパブリックリポジトリを作成、権限が一つもついてない AWS のアクセスキー＆シークレットアクセスキーをうっかり公開、外部から利用されるまでの時間を計測します。

DevelopersIO 2021 Decade で「全員がOAuth 2.0を理解しているチームの作り方」というテーマで話させていただきました。 スライド 話した内容 なぜ人類は OAuth 2.0 に入門し続けるのか なぜ OAuth 2.0 をチームに根付かせたいのか 開発フローとしてコードレビューがある 仕様がわからないと、レビューができない コードと仕様のすり合わせのために仕様が分かる必要がある OAuth 2.0 はまあまあややこしい OAuth 2.0 では登場人物が4人いて、それぞれがいろんなやりとりをします。 それぞれのやりとりにパラメーターがあるので、誰が誰にどういう値をどうして送る、みたいなところまで考えるとまあまあややこしいのですが、このややこしいシーケンスを完全に頭に入れると学習がスムーズに進むと思います。 勉強会について 以下をゴールに設定しました。 各ロール

ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeは2021年9月15日（米国時間）、オープンソースソフトウェア（OSS）について、サプライチェーンの動向に関する年次調査の報告書「2021 State of the Software Supply Chain」を発表した。 対象となったのは、10万種類の本番アプリケーションと開発者による400万種類のコンポーネントの移行だ。4つの主要なオープンソースエコシステムに関連するソフトウェアの供給と需要、セキュリティ動向も対象とした。4つのエコシステムとは、Java（Maven Central）、JavaScript（npmjs）、Python（PyPI）、.NET（nuget）だ。 オープンソースソフトウェアの需給はもちろん脆弱性が大幅に増加 調査結果のハイライトは次の通り。 関連記事 OSSを介したサプライチェーン攻撃、

「ナンバーレス化」が進むクレジットカード　マイナンバーカードへの実装はまだですか？：半径300メートルのIT PINや非接触の決済が増加する中、ナンバーレスのクレジットカードが普及しつつあります。この流れに乗じて他のカードもナンバーレスになってほしいものですが、一筋縄ではいかないようです。

このブログ記事の概要 渋谷区などは施設予約システムなどにxID社のxIDを導入を計画しているとのことです。加賀市、兵庫県三田市、町田市などもこのxIDを電子申請システムなどに既に導入しているとのことです。 しかしxID社サイトの説明によると、xIDとは利用者からスマホアプリxIDにマイナンバー（個人番号）を入力させ、同アプリで当該マイナンバーからデジタルIDであるxIDを生成するものであるとのことですが、マイナンバー法を所管する個人情報保護委員会のマイナンバー法のガイドライン（事業者編）Q&A９－２は、「個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。」としており、xID社のxIDはマイナンバー法２条８項かっこ書きによりマイナンバーと法的に同等のもの（「

2021年9月14日、文部科学相はGIGAスクール構想の先進事例として町田市立の児童に配布されたタブレットがいじめに使われたことを明らかにし、*1 同日に文科省は東京都教委、町田市教育委に事実関係の確認を行った上で個人情報の管理状況が不適切であったと指摘しました。*2ここでは関連する情報をまとめます。 児童全員が同じパスワード 不適切な管理が行われていたのは町田市内の市立小学校で2019年5月に配布されたChromebook。具体的には次の問題があったことが週刊誌、新聞で報じられている。*3 *4 *5 *6 なお、町田市教委はPRESIDENT Onlineが報じた一連の記事に対して同社より取材を受けていないとして内容確認中とするコメントを行っている。*7 児童が端末起動時に使用する認証情報はIDは「所属学級＋出席番号」、パスワードは全員「123456789」固定と第三者から容易に類推で

米Microsoftは9月15日（現地時間）、Microsoftアカウントへのパスワードを使わないログイン方法の一般ユーザーへの提供を開始したと発表した。 モバイル認証アプリ「Microsoft Authenticator」、生体認証の「Windows Hello」、セキュリティキー、スマートフォンやメールに送信される確認コードを使用して、Outlook、OneDrive、Family Safetyなどにログインできる。 この機能は3月に企業顧客向けに提供を始めたもの。Microsoft内でも使っており、「従業員のほぼ100％がパスワードなしのオプションを使って企業アカウントにログインしている」という。 Microsoftは数年前からパスワードなしのログインに取り組んできた。 ユーザーは、自動生成のパスワードを利用しない場合は攻撃者が容易に推測できるような弱いパスワードを作成することが多い

新たな DNS RR [HTTPS] と [SVCB]DNS に以下の新たな RR (リソースレコード) が追加になる見込みです。(2021/8/2 現在は RFC draft) SVCB (type64) : 汎用的なサービス (LDAPs や SMTPs 等) の通信時に事前にネゴするための情報一式を掲載HTTPS (type65) : HTTPS の通信時に事前にネゴするための情報一式を掲載HTTPS レコードの背景とメリットALPN (Application Layer Procotol Negotiation)https 通信は http/2 (http version 2) までは TCP + TLS のスタックで通信されていました。 しかし http/1.0 および 1.1 はテキストベースのプロトコルなのに対し、http/2 はバイナリベースになっており、互換性がありません