昨日、上野宣（@sen_u）さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。 総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。 何ですかね？パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃（ブルートフォースアタック）というと、以下の二通りが考えられます。 ウェブサイト等でパスワードを順番に試す

「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン（東証一部上場）は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4～6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ

Microsoft、Edgeブラウザの安全強化モード「Super Duper Secure Mode」のテスト開始 米Microsoftは8月4日（現地時間）、Webブラウザ「Edge」の安全性を高めるための新たなプロジェクト「Super Duper Secure Mode」（SDSM）を発表した。「super duper」は「超かっこいい」というような意味のスラングで、プロジェクトを楽しくするために命名したが、このモードが公式になれば名称を変更する予定としている。 大まかに説明すると、エクスプロイトの原因になりがちなJavaScriptのJIT（Just-In-Timeコンパイル）を削除することで安全性を高める。JITはJavaScriptのパフォーマンスを最適化できる重要な機能だが、例えば2019年以降のCVEデータによると、JavaScriptエンジン「V8」のCVEの約45％がJI

2021年7月28日、エストニア国家情報システム庁（RIA）、警察・国境警備局は国が運営するシステムから顔写真データの違法なダウンロードが行われたことを公表しました。警察は既に容疑者を摘発しており既に刑事手続きに入っていることも併せて公表されています。ここでは関連する情報をまとめます。 顔写真流出による発行済みIDへの影響無し 容疑者によってダウンロードされた顔写真は286,438枚で、エストニア全国民の約21%（2021年時点で約133万人）にあたる。但し、今回の顔写真流出を受けてIDカード、モバイルID、スマートIDへの影響はないとされており、発行済みの身分証明書、顔写真は引き続き有効とされた。これは顔写真や個人識別コードだけでeサービスへのアクセスやデジタル署名の付与、銀行口座などの金融取引を実行することはできないためとされる。 影響を受けた約29万人へは国が運営するポータルサイト（

まとめ SSL/TLSの機能ってなに? 通信相手を識別し、なりすましを防ぐ 「認証」 ※識別できても通信内容を差し替えられると意味がないので 「改ざん検知」 もある 通信内容の漏洩を防ぐ 「暗号化」 SSL/TLSってどんな技術? 鍵交換・認証・暗号化・メッセージ認証コードの4要素のハイブリッド暗号 認証のために、サーバ証明書 ( サーバ用の公開鍵証明書、SSL証明書とも ) を使用する サーバ証明書の信頼性を担保するPKIの仕組みも考えると全部で5要素 公開鍵暗号と共通鍵暗号のハイブリッド? そう覚えている人は一旦忘れた方がいい SSL/TLSで意識することってなに? 大事なのはドメイン名。なぜなら認証・PKIで 「通信相手がドメイン名通りのサイトであること」 を保証する技術だから DVとかEVとか色々あるけど、証明書の種類は正直割とどうでもいい サーバ証明書は「ドメイン名の示すサイトの

ドライバはPCの機能や周辺機器を適切に扱う上で重要だが、しばしば不具合の原因になる他、脆弱（ぜいじゃく）性の原因になっている。ドライバは高い権限で動作していることが多く、これを突かれるとシステムの制御権を乗っ取られやすくなる。 セキュリティ企業のSentinelLabsは2021年7月20日（現地時間）、同社のブログでHPとSamsung、Xeroxのプリンタドライバに深刻度の高い脆弱性を発見したと伝えた。これらのプリンタドライバは、2005年以降に出荷されたHPとSamsung、Xeroxのプリンタに同梱されていると説明されており注意が必要だ。

困っていた内容 セキュリティグループのインバウンドルールの編集を行おうとしたところ、 You may be missing IAM policies that allow DescribeSecurityGroupRules. You are not authorized to perform this operation. のメッセージが表示され、インバウンドルールの編集ができませんでした。 最近、特に設定を変更した覚えはないのですが、なぜこのようなエラーが発生するのでしょうか？ 対処方法を教えてください。 どう対応すればいいの? 先日より、セキュリティグループの各ルールにリソース識別子(Security group rule ID)が付くようになりました。 AWSからのアナウンスはこちらになります。 新しいセキュリティグループルール ID を使用してセキュリティグループルールを簡単に管

以下の記事を読みました。 CookieのPath属性は本当に安全性に寄与しないのか 結論として以下となっています。 結論。Path属性は特殊な状況下ではある程度安全性に寄与する Path属性は、これを設定してCookieを発行するあるパス(以下「自身のパス」)にサーバサイドのプログラムを書き換えられるような脆弱性がなく、同一オリジン内の別のパスにそのような脆弱性がある場合に、そのパスへのCookieの漏洩することを防ぐことができます。 中略 つまり、「体系的に学ぶ 安全なWebアプリケーションの作り方」の記述はおそらく間違えです。 とはいえ私はセキュリティは専門ではなく、特に攻撃側には疎く、この記事に書いた以上の調査・実験もしていないため、この結論も確実とは言い切れません。詳しい情報をお持ちの方がいたら、ぜひご教示ください。 記事では、iframeなどを用いた攻撃について言及されていて、そ

ここ数日、自分が管理している多数のアカウントの整理をしていまして、（本当はよくないことですが）使い回してるパスワードがわりとあったので、そういったパスワードを撲滅すべく変更をしては1Passwordに反映するということを繰り返していました。 そんな中で出会ったこれは嫌だなというパスワード変更画面を紹介したいと思います。 画面構成が複雑でパスワード変更画面にたどり着けない。 パスワード変更機能がなく、「変更及び再発行を希望される際は、再度新規登録をお願いいたします」と促される。 パスワードリセット機能（パスワードを忘れた方はこちら）がパスワード変更機能を担っているが、そんな説明がどこにもないので気づかない。 パスワードリセット機能もない。 最大文字数が「6文字以内」と短い。 「6文字以上で入力してください」と書かれているので試しに6文字で登録しようとすると「8文字以上で入力してください」とエ

Emotet制圧も、新たな脅威「IcedID」が登場　添付ファイル経由のマルウェアに必要な対策とは　専門家に聞く（1/3 ページ） 2014年ごろから20年にかけて、メールの添付ファイルを通じて感染するマルウェア「Emotet」が世界中で猛威を振るった。日本もその例外ではなく、19年から20年に関西電力や京セラ、NTT西日本など多くの企業がEmotetの標的となり、個人情報流出の被害を受けた。 しかし、Emotetの脅威はほぼなくなったといっていい。ユーロポール（欧州刑事警察機構）がEmotetを拡散するサーバを突き止め、21年1月、米、英、独、仏、蘭、加、リトアニア、ウクライナの8カ国の治安当局との合同作戦「Operation LadyBird」（テントウムシ作戦）で実行犯を逮捕するとともに、ネットワークの情報基盤に侵入して制圧。内部からEmotetの拡散を停止させたからだ。 その後、ワ

昨今、アクセスキーの漏洩から不正アクセスなどのセキュリティ事故の話が多いですね。AWS外部からAWSリソースを操作するために発行していたアクセスキーが不要になってアクセスキーを無効化したとしましょう。 その無効化したアクセスキーを使ってAWSリソースへアクセスしたらCloudTrailなどにログが残り「無効化したアクセスキーが使われている」と検知できるのか？と気になりました。 今回検証対象のアクセスキーについて IAMユーザのアクセスキーは、アクセスキーIDとシークレットキーの組み合わせにより、利用期間に期限設定がなく永続的に使える認証情報です。期限はないのですがアクセスキーを有効にする（使える状態）か、無効にする（使えない状態）かは設定できます。 アクセスキーを利用する場合の推奨事項 アクセスキーを発行する元のIAMユーザの権限を最小化する アクセスキーを定期的にローテーションして利用す

「シェル芸」を駆使？　Bashで開発されたランサムウェア「DarkRadiation」、RHELとDebianが標的 Bashで開発されたランサムウェアが発見された。Red HatやDebianをベースとしたLinuxディストリビューションが標的だ。攻撃に必要なツールがなければ自分でインストールし、自身を隠蔽し、Telegram API経由でサイバー攻撃者と通信をして、OpenSSLでファイルを暗号化する。

パスワードを推測されにくいものとする、という口実で記号を入れることが推奨されている。ただしどうやら誰かの思いつきを無批判的に踏襲しているようで、なぜなら使ってはいけない記号があることについて誰も述べていない。 パスワードとしては使えるが、実運用では使えないという記号、あるのだ。 ;（セミコロン） である。 セミコロンを含むパスワードに変更は可能である。が、シェルスクリプトはそれを扱ってくれない。シェルは論理的には２行に渡る入力を物理的に１行で受け付ける事ができる。そのとき;（セミコロン）を改行の記号とみなす。つまりシェルへの命令の中に;（セミコロン）があればシェルはそこで２行に分けて取り扱うのだ。 であるからシェルスクリプト中で「パスワードを入れてログイン（リモートなりsuなりで）」している場合、そのパスワードに;（セミコロン）が入っていると、;（セミコロン）までを一つの命令とみなし、つま

こんちは､テクニカルサポートチームの丸屋 正志です｡ ■ご注意ください このポリシーでは「IAMユーザーと同じ名称でMFA設定を行う場合」のみMFA設定の許可が与えられています。 2022/11よりMFA設定時に任意の名称を指定できるようになっており、上記の名称と異なるMFA名を指定した際にエラーになる場合があります。（上述のセキュアポリシー以外でMFA設定の許可が与えられていればエラーは発生しません。） （参考情報） https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-identity-access-management-multi-factor-authentication-devices/ 1. AWSアクセスキーセキュリティ意識向上委員会って何？ 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵

HTTPの暗号化は当たり前になったが、業務アプリケーションはどうか。事前に想定して設計したセキュリティ対策がハマらなかった場合の「想定外のリスク」を前提にするセキュリティ対策の話を聞いた。 シンガポールを本拠にするSecureAge Technology（以下・セキュアエイジ）は、シンガポール政府下にあったKent Ridge Digital Labで研究を続けていたTeow Hin Ngair博士が2003年に設立したセキュリティ企業だ。2021年3月には日本法人を設立し、いよいよ日本市場に向けて活動を開始した。政府や大手企業での実績が多いが、日本では新たに中小企業のセキュリティ対策支援に注力する計画だ。 同社のグローバル最高執行責任者（COO）と日本法人社長を兼任するジェリー・レイ氏に、同社の技術的特徴と今後の国内での展開を聞いた。 端末が扱うデータ全てを暗号化する理由 レイ氏は日本で

官公庁や企業で幅広く使われている富士通の情報共有ソフトに不正アクセスがあり、内閣官房の内閣サイバーセキュリティセンターの情報システムに関するデータが流出した問題で、センターが実施したサイバー攻撃の訓練への参加者の名前などの個人情報が流出していたことが新たに分かりました。 これは富士通のシステムが使われている官公庁や企業などで、システム担当者らがプロジェクト情報を共有する「ProjectWEB」と呼ばれるソフトが不正アクセスを受け、内閣官房をはじめ、国土交通省や外務省で情報流出があったことが先週、分かったものです。 この問題で内閣官房の内閣サイバーセキュリティセンターでは、内部の情報システムの機器の構成に関するデータの流出が確認されていましたが、新たに個人情報も流出していたことが分かりました。 流出したのはサイバー攻撃への対応のために、内閣サイバーセキュリティセンターと情報を共有する訓練に参

米当局に提出された情報漏えいの通知書によって、音響機器メーカーのBoseが高度なサイバー攻撃を受けていたことが明らかになった。公表資料から、対策の鮮やかさに注目が集まっている。 音響機器メーカーのBoseが高度なサイバー攻撃を受けていたことが明らかになった。ランサムウェアによる攻撃を受けており、元従業員数人の個人情報が漏えいした可能性があるとされる。 漏えいインシデントの詳細は、Boseがアメリカ合衆国司法省（DOJ：United States Department of Justice）に提出した通知書に記載されている。それによると、2021年3月初旬に同社のシステムを標的としたランサムウェア攻撃を受けたとされる。その際、Bose社内システムの一部が破壊され、同社の保有する特定の情報においてセキュリティ対策に影響を与えた可能性があると指摘されている。 このサイバーセキュリティインシデント

如月 宗一郎 @S_kisaragi Reserve Candidate上がりの林業作業者。1980年に生まれて2003年卒という、Lost GenerationからついにAbandoned Generationになった地方都市民。当地の林業では、年間最大で193人に1人が死ぬ世界なので、急にツイートが止まる可能性あり。ねご探し中。 twilog.org/S_kisaragi 如月 宗一郎 @S_kisaragi 年寄りのパスワード設定に付き合っているのだが… 「アルファベットで入力してください」 「数字？」 「アルファベットですよ」 「数字？」 とこのような感じに。（そりゃ携帯ショップのコストだだ上がるわ） 2021-05-24 10:28:42

","naka5":"<!-- BFF501 PC記事下（中⑤企画）パーツ＝1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下（中⑥デジ編）パーツ＝8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下（中⑥デジ編）パーツ＝8826 -->","adcreative72":"<!-- BFF920 広告枠）ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag ＰＣ誘導枠５行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">