NIST（米国国立標準技術研究所）は2020年7月27日（米国時間）、「顔認識アルゴリズムがマスクを着けた顔をどの程度識別できるか」についての調査結果の第1弾を発表した。 この調査結果は、「NIST Interagency Report」（NISTIR 8311）として発表された。調査では、マスクを着けていない顔写真と、デジタル処理によって、同じ人がマスクを着けているように加工された数種類の画像を比べて、同じ人の写真として認識できるかどうかをテストした。 結果は芳しくなく、調査した89の商用顔認識アルゴリズムのうち、最も認識精度が高かったものでも、認識エラー率は5～50％に達した。 調査内容の詳細 新型コロナウイルス感染症（COVID-19）の感染拡大を受け、多くの人がマスクを着けるようになったことから、NISTは「Face Recognition Vendor Test」（FRVT）プロ

こんばんは、ritouです。 今日はこの機能を使ってみましょう。 ／#bosyu をメールアドレス✉️で ご利用いただけるようになりました！ ＼ 今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりました。 より多くの方に、bosyuしたり応募していただければうれしいです☺️#bosyu開発室 pic.twitter.com/46zCST53Kg— bosyu公式 (@bosyu_me) 2020年7月27日 何の話? medium が前から採用していた方式です。 medium.com これを新しい方式と捉えるかどうか、個人的にはそれほど新しくは感じません。 長年の歴史からいわゆる「パスワード認証を用いた登録や認証フロー」には人類の持つ脆弱性への対策として必ずメールやSMSによるリカバリーがセットになって実装されて

最近、身の回りでFacebook乗っ取られ事件が多発してるので、何がどうなって発生してるのかを調べてみました。あと、乗っ取られた場合にどう対処したら良いかも、最初に書いておきます。 乗っ取られた人は「知り合いからのメッセージだったので、開いちゃったら乗っ取られた」と言うことが多いんですが、この手のメッセージは大抵は知り合いから届きます。唐突に動画付きメッセージなどが届いたら、「突然届いたけどコレなに？」とか聞き返しておくと無難です。 乗っ取られた場合の対処 多くの場合は「お前から変なメッセージが来たぞ」とか言われて乗っ取りに気づくことでしょう。そんな場合には、下記のような対処が必要です。 パスワードを変更して乗っ取り犯を追い出す 乗っ取り犯にパスワードを変えられちゃうと対応が面倒なので、一刻も早くパスワードを変えておきましょう。また、すでにログイン済みの乗っ取り犯を追い出すために、今使って

米Microsoftは7月14日（現地時間）、7月の月例セキュリティ更新プログラムを公開した。「CVE-2020-1350」は、Windows DNSサーバの重大なリモートコード実行（RCE）の脆弱性で、CVSSの危険度は最高の10.0。Windows Serverのすべてのバージョンに影響するものとして、速やかな適用を促している。 Microsoftは、「この脆弱性はマルウェアを介してPC間で拡散する可能性がある」と警告した。この脆弱性が実際の攻撃に使われた証拠はないが、可能な限り早く対処することが不可欠だと警告している。 この脆弱性は米Check Point Researchが発見し、5月にMicrosoftに報告した。Check Pointは、この脆弱性は17年以上にわたってMicrosoftのコードに存在したものであり、自分たち以外の誰かが既に発見している可能性もあると指摘した。

API Gateway にはパブリック API と、プライベート API が作成できますが、「プライベート」という言葉を正しく理解していますでしょうか？ 「自分の AWS アカウント内からのみアクセスできる API でしょ？」 と考えたあたなに質問です。図にすると、このようなイメージでしょうか？ あなたのアカウント内にプライベートな API Gateway が存在し、他の AWS アカウントから接続するには承認しないと接続できない。それが「プライベート」だと。 このようにお考えの場合、API Gateway にはリソースポリシーでアクセス元を制限したり、API Gateway で認証なども実装できますが「今回はプライベートなので、特に制限は必要ありません。」と考え、以下のようなリソースポリシーを設定していたりするでしょうか？ { "Version": "2012-10-17", "Stat

実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針（基本編）」の内容 「暗号鍵管理システム設計指針（基本編）」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「

2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。 何が起きてるの？ 誘導される詐欺サイトの一例 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。 どう対応すればよい？ 不要なCNAMEレコードを削除する。 影響範囲は？ 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認（2020年7月

皆さん、IAM使ってますか〜？ 今日は、IAMのベストプラクティスの中に呪縛のように存在する、最小権限をテーマに悩みを語ってみようと思います。 IAMでのセキュリティのベストプラクティス まずは、IAMのベストプラクティスの確認です。2020年7月現在では、17個存在しています。一番最後のビデオで説明するの唐突感以外は、どれも納得感がある内容で実践・遵守すべきです。 docs.aws.amazon.com AWS アカウントのルートユーザー アクセスキーをロックする 個々の IAM ユーザーの作成 IAM ユーザーへのアクセス許可を割り当てるためにグループを使用する 最小権限を付与する AWS 管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する アクセスレベルを使用して、IAM 権限を確認する ユーザーの強力なパスワードポリシーを設定

働き方が変われば、それを狙ったリスクも知るべき 大きく仕事のあり方が変わりつつある昨今。延期になったとはいえ、東京は世界的なスポーツイベントを控えていただけあり、カフェや飲食店などで無料Wi-Fiスポットの整備が進んでいる。 国内では、これからもその流れが続いていきそうだ。それを利用して、社外で仕事をしている人も少なくない。働き方改革の推進に伴い、多種多様なワークスタイルが普及しつつあることも追い風になっている。 また、通信制限を気にする人も多い中、無料Wi-Fiスポットは、外出中のビジネスマンはもちろん、観光客にとっても便利に使える存在といえる。 そのような環境では、無料Wi-Fiスポットをターゲットにしたサイバー犯罪のリスクも考えなくてはいけない。保護されていないWi-Fiスポットは、とても危険なものだ。 多くのWi-Fiスポットにはセキュリティがかけられており、通常はパスワード（暗号

「テレビを見てSIMカードにロックをかけようとしたら、スマホが使えなくなった」──6月27日、ネット上でこんなトラブルの報告が相次いだ。同日に放送された日本テレビの番組「世界一受けたい授業」の内容が原因だという。 同日の番組内容は、「あなたのスマホがとにかく危ない！個人情報の特定屋とは!?」というもの。元埼玉県警捜査一課警部補で現在「刑事コメンテーター」として活動している佐々木成三さんが、デジタル犯罪から身を守るためのスマートフォンの設定を指南した。

セキュリティ人材の発掘や育成の課題の解決方法として、社内セキュリティコンテストを活用した方法が紹介されました。 こんにちは、臼田です。 今回は@IT Security Live Weekというイベントのアーカイブがあるのを見かけたので聴講しました。28日まで公開されているようなので、気になる方は今すぐイベントサイトに登録して見てみてください。 この記事は以下の講演のレポートになります。 実践的なセキュリティ人材育成の取り組み 近年、セキュリティ人材の不足がさけばれていますが、企業のセキュリティ確保にはどのようなセキュリティ人材が必要なのでしょうか。必要とされる人材像とその人材の発掘、さらに企業全体のセキュリティを強化していくために必要なセキュリティ人材育成について、弊社で実際に行っている取り組みを例にご紹介します。 株式会社日立ソリューションズ セキュリティプロフェッショナルセンタ セキュ

リリースもされたので、考えていたことを少し書いておこうと思う。 接触確認アプリは、仕組みの説明やQ＆Aにおいて、個人情報や位置情報を収集することはないと度々説明されている。だからといって利用者の個人情報や位置情報が、不本意に第三者に漏れるといったことが起きないかというと、そういうわけでもないだろう。接触確認アプリ単体では個人情報や位置情報の収集が行われなくとも、別の第三者や企業から個人情報や位置情報が収集可能になる機会は増加する。 アプリ利用者の場合アプリを利用するユーザーの場合を想定してみよう。 接触確認アプリが普及すればするほど、Bluetoothを普段からオンにしたままにするユーザーの割合が増えることになるだろう。普段はBluetoothをオフにして必要な時だけオンにしていたユーザーは行動を変化させることになるし、今までBluetooth対応機器やビーコンを用いたサービスを使ったこと

COCOAにつき本日業務で接したため利益相反等の観点からこれ以降COCOAについては言及しないことになります。今後私が言及していないからといって問題がないということにはならないことにご注意ください。なお、アプリによるコロナ対策と個… https://t.co/SfXtoKeaPS

・昨今、テレワークなど効率的な働き方が浸透中。Webサービス利用が増えると共に、管理すべきパスワードも急増。 ・「使い回し」と「単純な文字列」はNG。Webサービスを乗っ取られてしまう。 ・対策は、「1つ捻った」覚えやすい文章にすること。 テレワーク拡大で「パスワードの使い回し」大量発生!? 数年前から始まった働き方改革の推進に伴い、効率的な働き方を模索する動きが社会全体で進んでいます。テレワークやオンライン授業といった働き方／学び方も、昨今の情勢と相まって選択肢の1つとして普及していくでしょう。 そして労働効率の改善にはこれまで以上にWebサービスの利用が重要です。そして同時に、それらを利用するためのログイン情報、つまりIDとパスワードがWebサービスの数だけ必要になります。ID＝メールアドレスであることが多いので、正確にはパスワードが急増するでしょう。しかし面倒だからと言って、使い回し

注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ（36文字）のそれほど長くない列で構成されており、ブルートフォース攻撃（総当り攻撃）によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア

要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える！って人には全く関係ない話なので気にしなくていいです。読まなくていいです。 IPv6 と IPv4 のセキュリティ ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか？について説明します IPv4 の場合 一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を

TL;DR はじめに BeyondCorp << ゼロトラスト ゼロトラストセキュリティ リモート接続のセキュリティ3要素 Authentication/認証 Device Trust/機器認証 Encryption/暗号化 VPNの問題点 キャパシティ/パフォーマンス 適切な制御の難しさ 一貫したセキュリティポリシーの適用が困難 ゼロトラストによるセキュアな通信 ゼロトラストの企業ネットワーク コンテキスト認識アクセスコントロール ゼロトラストによるVPNの問題点の解決 ゼロトラストの課題と展望 まとめ 参考 TL;DR BeyondCorpはゼロトラストの実装の一つ。ゼロトラストは超乱暴に言えばポストVPN 社内も信用出来ないとして社外と同じ方式でNWを組む HTTPSによる暗号化と次世代認証基盤を使ったCAACによるアクセスコントロール FWによる境界からIDによる境界へのパラダイム