コンテナを標的にしたマルウェア、Aqua Security Softwareが攻撃手法を解説：クラウドネイティブ環境にも危険あり Aqua Security Softwareは、コンテナ環境を標的にした「kinsing」マルウェア攻撃の脅威について、レポートを発表した。Docker APIポートの設定ミスにつけ込み、多数のコンテナに感染しながら、仮想通貨の発掘を試みる攻撃だ。クラウドネイティブ環境では何に気を付ければよいのかもまとめている。

サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか？本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか？ 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入？ 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず

ついにビサイドでも先週の政府の緊急事態宣言を受け、原則テレワークに移行しました。もちろん、その前の段階、東京都からの自粛要請がでた段階から徐々に移行していたのですが、先週から原則として全員がテレワークに移行したことになります。 テレワーク時にVPNなどを活用している会社さんも多いと思いますが、ビサイドでは一部のどうしても社内からのアクセスが必要となる業務を除き、ほぼVPNが必要ない状態でテレワークに移行しています。というのもこの数年間、ビサイドでは社内サーバへの依存を下げ、積極的に外部サービスの利用を進めてきました。というのは、ゲーム制作以外の管理コストを削減し、社内スタッフのリソースをゲーム制作により集中するためです。そのおかげで、今回のテレワークへの技術面での移行はかなりスムーズに進めることができたと言えると思います。どちらかというと準備で必要だったのは、どういうルールでテレワークを行

経営陣が欲しい「セキュリティ」、その3つの誤解と真実：「完璧なセキュリティ」が不可能なら、いったい何を目指せばいいのか デジタルトランスフォーメーション（DX）、システム刷新、そしてセキュリティ――昨今のIT投資における企業・団体の悩みは大きくなる一方だ。OWASP Japanリーダーで、アスタリスク・リサーチのCEOを務める岡田良太郎氏が、経営陣の誤解を解き、IT担当者にエールを送る。 サイバー犯罪による被害は、ロシアンルーレットか？ これほどワークスタイルを変化させる時代が来るとは思っていなかっただろう。新型コロナウイルス感染症（COVID-19）を避けるために、一斉に自宅待機・テレワークのお触れが世界同時多発で出ている。多くの企業で社内も社外もシステムに関する対応、調整で大騒ぎになったはずだ。リモートワークのためのIT環境は、ただつなげばいいというものではない。業務そのものの設計に大

こんにちは、Azure Identity サポートチームの鈴木です。 本記事は Your Pa$$word doesn’t matter を意訳したものになります。ご不明点等ございましたらご連絡ください。 セキュリティに関して組織の方針を決定できる方との会話の中で 「これまでに漏洩したことがあるパスワードは絶対に再度使用するな」「長いパスワードを使用したほうがいい」「パスワードよりも長いパスフレーズを使えばいい」などなどの話題がでます。実はこれらは、これまでの研究結果と異なっており、マイクロソフトが毎日何億ものパスワードベースの攻撃を防いでいる状況から見ますと正しくありません。多要素認証 (MFA) や脅威の検出の仕組みなど本当に価値のあるものにではなく、パスワード規則に着目しても、気晴らし程度の効果しかありません。 ここでは、パスワードの構成や長さに関しては（ほとんど）意味がないというこ

お探しのページは移動または削除されたかURLの入力間違いの可能性があります。 正しいURLをご指定いただくか、下記よりご覧になりたい情報をお探しください。

・背景 サムライズムでは創業より一貫して生産性を向上するソリューションを提供しております。またお客様の生産性を向上させるだけでなく、サムライズム自身も生産性を向上してお客様の迅速にお応え出来るよう、最適化された販売管理システムを内製しており、ご依頼より最短で1分ほどで見積の作成や商品の納品を行える体制を整えております。 業務の生産性を向上する上で課題となっているのが注文書などの帳票をzipファイルに圧縮するという日本の習慣です。添付ファイルのzip圧縮は「文字コードやディレクトリ構成の関係で展開に失敗する」、「別送のパスワードが送られてこない・遅延する」、「パスワードがかかっておりウイルススキャンが行えない」など悪影響が多い一方でセキュア化にさほど貢献しません。 また「パスワードは本日の日付です」「パスワードは弊社/貴社の電話番号下4桁です(そして電話番号は署名欄に記載されている)」などと

OAuth や OIDC について、仕様を読みながら学習を進めていると、「何に使えるのかよくわからない値」や「挙動はわかっても実際にどのような攻撃を防げるのかがよくわからない値」がたくさん出てくるように感じます。 例えば以下は私の Slack での発言を検索した結果ですが、c_hash で何が防げるのかわからず苦悶しています。 そこで、OAuth・OIDCへの攻撃と対策を整理して理解できる本（リダイレクトへの攻撃編） を読んでみたところ、この手の混乱に非常に役立つように感じたので、こちらで紹介させていただきます。 OAuth・OIDCへの攻撃と対策を整理して理解できる本（リダイレクトへの攻撃編） 仕様を元に OAuth や OIDC の勉強をしていてわかりづらいのは、具体的な攻撃の手法よりも前に、防御の方法について記載があるためではないかと感じています。 それに対して、この本では具体的な攻

0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し

普段からビジネスにおいてよくつかわれるメール。 今となってはほんとあたりまえになりました。 わたしがこの仕事をはじめた98年前後はメールでおくってもらえますか？っていうとめんどくさいな・・・電話じゃだめなの？なんて嫌がられたものです。 さてさて、メールを受信する際に意識されているかどうかわかりませんが2通りの形式があるのをご存知でしょうか？ １つは文章だけで構成されるテキスト形式メール もう一つは画像の挿入や文字加工で見た目を整えたHTML形式メール(HTMLメールと呼びます） です。 HTMLメールというのは皆さんもよく受信される画像や文字が装飾されたメールでAmazonや楽天などのメールマガジンなどでよく使われます。。 今回はこのHTMLメールはセキュリティ上やめるべきという内容のお話です。 「テキストメール」と「HTMLメール」の特徴 テキストメールの特徴 テキストメールというのは単

LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 1. 概要 2020年2月、LINEのアカウントに対して複数の不正ログインの試みが発生し、約4千名を超えるLINEアカウントが不正ログインの被害を受け、ユーザーの意図に反するメッセージやタイムライン投稿が行われていることを確認しております。 ユーザーの皆さまからの通報内容をもとに調査したところ、これらのメッセージ及びタイムライン投稿の内容は、購買誘導をするためのスパムの他、LINEのアカウントの恒久的な乗っ取りを目的としたフィッシング詐欺のためのURLが含まれておりました。 当社では引き続き、被害の拡大防止のための対応を行っておりますが、現在、LINEの機能やメールを通じたフィッシング

2020/02/13 DevSumi 発表資料

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 三菱電機は、1月に発表した機密情報の流出が疑われる不正アクセスに関する調査結果を公開した。セキュリティ対策システムの脆弱性を突く手口での侵入から社内で侵入が拡大したと説明している。 この事案は、同社への不正アクセスによって個人情報や防衛省が取り扱いでの注意を規定した情報などの外部流出が疑われたもの。社会インフラに関する機微情報や機密性の高い技術情報、取引先との契約で定められた重要情報の流出はなかったとする。 同社では、以前から米国国立標準技術研究所（NIST）の「サイバーセキュリティフレームワーク」に基づいて、標的型メールの挙動検知やインターネット出入口の制御・監視、社内ネットワーク内のアクセス制御、パッチ管理を含むサーバーおよび端末の

新型コロナウイルスの発生で、日本国内でも各地でマスクが売り切れるなど「マスク不足現象」が起こっています。マスクをしている人の多くは予防効果を期待しているとみられます。ところが、新型コロナウイルスに対するマスクの予防効果を巡っては、さまざまな情報が飛び交っています。マスクは予防になるのでしょうか？それともつけても予防効果は無いのでしょうか？今の時点で分かっていることをまとめました。 まず、マスクについて１つ確実なことがあります。それは、症状が少しでもある人は必ずマスクをするべきだということです。 せきやくしゃみをすると、１メートルから２メートルほど、唾液などの飛まつが飛ぶとされています。 万が一、感染している場合は、この飛まつがウイルスを広げる大きな要因となります。 これはインフルエンザや通常のコロナウイルスなど多くのウイルス性感染症で共通する特徴です。 このため、せきやくしゃみの症状がある

Linux Daily Topics 2020年2月4日オープンソースのVPNプロトコル「WireGuard」がLinux 5.6で実装へ Linus Torvaldsは1月29日（米国時間⁠）⁠、開発中のLinuxカーネル「Linux 5.6」のソースツリーに、主要メンテナーDavid Millerのプルリクエストを大量にマージしたが、その中にUDPベースのVPNプロトコル「WireGuard」が含まれていることが大きな話題となっている。開発が順調に進めば、WireGuardの実装はLinux 5.6における最大の目玉となりそうだ。 Merge git://git.kernel.org/pub/scm/linux/kernel/git/netdev/net-next -Pull networking updates from David Miller WireGuard: fast,mo