タグ

セキュリティに関するJULYのブックマーク (1,884)

  • 100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も

    2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com

    100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も
    JULY
    JULY 2024/07/08
    「過去に流出したデータと新しく流出したデータが混在していたことが明らかになりました」その割合は? こういったデータがふたを開けたら流出済みデータの寄せ集め、という事はしばしばあるから新規割合が重要。
  • 情報流出に個人が備えられること 「パスワードマネージャー」など活用を【西田宗千佳のイマトミライ】

    情報流出に個人が備えられること 「パスワードマネージャー」など活用を【西田宗千佳のイマトミライ】
    JULY
    JULY 2024/07/08
    文中、Mozilla Monitor が2回紹介されているのはいつ直るかなぁ。あと、パスキーの説明で「自動的に生成されるワンタイムパスワード」という表現は微妙。公開鍵暗号認証と言った方が良いと思うが、公開鍵暗号が難しい?
  • 個人情報保護委員会、メール送信時にミス メアド96件を丸見えのまま一斉送信 「複数人での確認を徹底」

    個人情報保護委員会は7月4日、メール送信時にミスがあった案件が発生したと発表した。主催する説明会の開催案内を96件のメールアドレス宛てに送信した際、宛先全員にメールアドレスが表示される状態で一斉送信した。個人情報保護委は「関係者の方々にご迷惑をお掛けしたことを深くおわび申し上げます」と謝罪した。 誤送信があったのは2日。同日には送信先に対して誤りがあったことを伝えて謝罪をし、受け取った誤送信メールの削除を依頼したという。 再発防止策として、職員に対してメール送信時の注意事項や個人情報取り扱い時の留意点などの周知や教育を徹底するとし「外部へのメール送信に当たっては、事前に複数人で確認することを改めて徹底するなど、より厳格かつ適正な個人情報の取扱いに努める」と報告した。 個人情報保護委は2022年1月にも、募集したパブリックコメントに意見を提出した12人分の氏名や一部所属先などの個人情報を漏え

    個人情報保護委員会、メール送信時にミス メアド96件を丸見えのまま一斉送信 「複数人での確認を徹底」
    JULY
    JULY 2024/07/05
    何がひどいって、再発予防策で「複数人で確認」とか言ってるのがひどい。この手は「一斉送信用のシステムを別途使い、各人のメールソフトを使わない」という王道が十年以上前から言われているのに。
  • OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog

    2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

    OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
    JULY
    JULY 2024/07/02
    ASLR が有効な 32 bit Linux で、平均6〜8時間かかると考えると、今どきの 64 bit 環境で成功する可能性は極めて低いだろうなぁ。それより、これを使ったスキャン行為でログがバカでかくなるのがイヤだなぁ。
  • 中国 スパイ取締りで新法令 個人の携帯やパソコンが検査可能に | NHK

    中国政府は、スパイ行為の疑いがあれば、国家安全当局の担当者が、個人の携帯電話やパソコンを検査できるなど、取締りの権限を明確化した新たな法令を7月1日から施行します。国家の安全を最優先にする習近平指導部はスパイ行為の摘発を徹底する姿勢を一層鮮明にしています。 中国でスパイの取締りなどを行う国家安全省は、取締りの権限を明確化した新たな法令を1日から施行します。 この中では、スパイ行為の疑いがあれば、国家安全当局の担当者が、個人や組織の持つ携帯電話やパソコンといった電子機器を検査できると明記しています。 こうした検査を行う場合は、市レベル以上の国家安全当局の責任者の承認を得て通知書を作成するなどの手続きをとると規定していますが、緊急の場合は、承認があれば当局者だと明示することで現場で検査できるとしています。 今回の法令について、国家安全省は「国家の安全に危害を加える違法な活動を打ち砕くものだ」と

    中国 スパイ取締りで新法令 個人の携帯やパソコンが検査可能に | NHK
    JULY
    JULY 2024/07/01
    まぁ、日本だって鹿児島県警みたいに令状なしに PC を没収できちゃうわけだから、五十歩百歩な気が...
  • JSライブラリ「Polyfill.io」がマルウェアに改変、10万サイト以上に影響

    Sansecは6月25日(現地時間)、「Polyfill supply chain attack hits 100K+ sites」において、オープンソースのJavaScriptライブラリ「Polyfill.io」が改変され、10万以上のWebサイトに展開されたと報じた。 Polyfill supply chain attack hits 100K+ sites Polyfill.ioの買収 Polyfill.ioはAndrew Betts氏が開発した人気のJavaScriptライブラリ。古いWebブラウザをサポートし、JSTOR、Intuit、世界経済フォーラムを含む10万以上のWebサイトに利用されている。 Polyfill.ioは2024年2月、中国を拠点とするコンテンツデリバリーネットワーク(CDN: Content Delivery Network)企業の「Funnull」に買収

    JSライブラリ「Polyfill.io」がマルウェアに改変、10万サイト以上に影響
    JULY
    JULY 2024/06/29
    とりあえず、使っている NoScript の許可リストに無いことを確認した。
  • 当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ

    株式会社ドワンゴ サイバー攻撃についてQ1.どこからどうやってどのようなウィルス・マルウェア・ランサムウェアの攻撃を受けたのかは判明しているのでしょうか。専門の調査機関にもご協力いただいての調査が必要になります。より正確な調査結果など、お知らせすべき新たな事実が判明いたしましたら随時ご報告いたします。 Q2.ランサムウェアというのは何でしょうか。警察庁の説明では、ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。 Q3.なぜランサムウェアだという発表を遅らせていたのでしょうか。ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差し控えておりました。 Q4.被害について確認中とのこと

    当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ
    JULY
    JULY 2024/06/14
    予想通りランサムウェアだった模様。故に再構築で時間がかかる。
  • Application Load Balancer (ALB) への謎の大量アクセス攻撃 - Techouse Developers Blog

    はじめに こんにちは、Techouse の人材プラットフォーム事業部でサーバーサイドエンジニアを担当している imayayoh と申します。 Techouse では各事業部でエンジニアがインフラの監視として、AWS・外部サービス等のグラフモニタリングを実施しています。モニタリングでは下記に重点を置いており、インフラ構成の見直しや障害対応の場として活用しています。 サービス運用に十分なスペックでインフラが構成されているか 最適なコストでサービスが運用されているか インフラ・外部サービスで重大な問題が発生していないか 日はモニタリングの実施で即時対応できたトラブルの一例として、Application Load Balancer (ALB) への謎の大量アクセス攻撃を紹介します。 コストモニタリング 弊社のサービスではインフラに AWS を使用しており、モニタリングでは AWS Billing

    Application Load Balancer (ALB) への謎の大量アクセス攻撃 - Techouse Developers Blog
    JULY
    JULY 2024/06/13
    CDN の裏側に隠しても、IP が到達可能なら誰かがアクセスしてくる、という話。
  • ランサムウエア起因による岡山県精神科医療センターのシステム障害についてまとめてみた - piyolog

    2024年5月20日、岡山県精神科医医療センターは、サイバー攻撃に起因した電子カルテのシステム障害が発生していると公表しました。また6月11日には同センターが保有する患者情報が流出の可能性も判明したことが明らかにしました。ここでは関連する情報をまとめます。 ランサムウエアで電子カルテシステムに障害 ランサムウエアによる被害にあったのは岡山県精神科医療センターと東古松サンクト診療所。攻撃によってデータが暗号化され、2024年5月19日16時頃に両施設で運用している電子カルテシステムを含む総合情報システムで障害が発生した。また翌20日にはシステム内に脅迫メッセージとその連絡先であるメールアドレスを記載したものが確認された。 同センターでは障害発生後に紙カルテを用いた診療体制に運用を切り替えしており、医療サービスの提供への直接的な影響は生じていない。また6月1日からは仮の電子カルテシステムを使用

    ランサムウエア起因による岡山県精神科医療センターのシステム障害についてまとめてみた - piyolog
    JULY
    JULY 2024/06/13
    初手が VPN 装置のパターンが多いなぁ。
  • ニコニコ、システム全体を再構築へ サイバー攻撃の影響で 復旧の見込みは「今週中に告知」

    ドワンゴは6月10日、8日から続く大規模障害を巡り、今後の方針を発表した。10日午後6時時点で「サイバー攻撃の影響を受けずにニコニコのシステム全体を再構築するための対応を進めている」という。復旧予定やサイバー攻撃の詳細については「今週中に、役員の栗田穣崇およびCTO鈴木圭一が、復旧までの見込みおよびその時点までの調査で分かった情報を説明する予定」としている。 会員費の払い戻しなど、個々のサービスへの質問については「影響の調査を行っている段階のため」として回答を控えたが「誠実に対応させていただきますので続報をお待ちください」とした。 今回の攻撃を巡っては、ニコニコ以外にもKADOKAWAが提供する複数のサービスがダウンしており、KADOKAWAの公式サイトも表示できない状態が続いている。 関連記事 「#がんばれニコニコ」拡散 サイバー攻撃でダウン中、ユーザーが復旧を応援 「ニコニコ」でサイバ

    ニコニコ、システム全体を再構築へ サイバー攻撃の影響で 復旧の見込みは「今週中に告知」
    JULY
    JULY 2024/06/11
    「再構築」と言っているとなると、ランサムウェアっぽい感じがするなぁ。
  • 「パスキー」のユーザー体験を最適化させるデザインガイドライン、FIDOアライアンスが公開

    パスワードレスなユーザー認証を実現する業界標準である「パスキー」を策定するFIDOアライアンスは、パスキーのユーザー体験を最適化させるためのデザインガイドラインの公開を発表しました。 パスキーは、従来のパスワードによるユーザー認証よりも強力で安全な認証方式とされており、普及が期待されていますが、多くのユーザーが慣れ親しんできたパスワード方式と比べると、サインアップやサインインの方法が分かりにくいという課題が指摘されていました。 FIDOアライアンスによるデザインガイドラインの公開は、こうした状況を改善するものとして期待されます。 パスキーのデザインガイドラインの内容 デザインガイドラインは主に以下の要素から構成されています。 UXの原則(UX princeples) コンテンツの原則(Content principles) デザインパターン(スキーマ、サンプルビデオ、AndroidとiOS

    「パスキー」のユーザー体験を最適化させるデザインガイドライン、FIDOアライアンスが公開
    JULY
    JULY 2024/06/03
    Web やアプリのデザインの話。これも大事だと思うけど、デバイス側の鍵管理インターフェイスも、と思う。Android でデフォルトの鍵管理が Chrome の中、というのがモヤッとする。
  • マルウエア作成に対話型生成AIを悪用した事案についてまとめてみた - piyolog

    2024年5月28日、生成AIを使用したマルウエアを作成した容疑で警視庁が男を逮捕したことが報じられました。ここでは関連する情報をまとめます。 対話型生成AIを使用しランサムウエアらしきものを作成 男の容疑は不正指令電磁的記録作成。2023年3月31日に自宅PCやスマートフォンを使用して、対話型生成AIを使用し、不正プログラムの設計情報を組み合わせてマルウエアを作成した疑い。2024年3月に警視庁は男を偽造身分証を使用してSIMカードの不正契約を行ったなどとして詐欺容疑(今回の事案とは別件)で逮捕しており、*1 捜査より自宅から押収されたPCを解析したところマルウエアが発見された。*2 生成AIを使用したマルウエア作成の事案摘発は全国で初めてとされる。*3 男は以前に闇バイトとしてSIMカード詐取などの違法行為を行っており、トラブルとなった知人からランサムウエアを送り付けられていた。これを

    マルウエア作成に対話型生成AIを悪用した事案についてまとめてみた - piyolog
    JULY
    JULY 2024/05/31
    まぁ、この件に関しては起訴できないだろうなぁ。
  • まぎらわしい“ボタン風広告”から意図しないサイトに誘導されサブスク契約してしまうトラブルに、国民生活センターが注意喚起 

    まぎらわしい“ボタン風広告”から意図しないサイトに誘導されサブスク契約してしまうトラブルに、国民生活センターが注意喚起 
    JULY
    JULY 2024/05/31
    この1ヶ月ぐらい、この手の広告をせっせと Google に報告してるんだけど、みんな海外の広告主で、全く同じデザインの広告でも違う広告主だったりする。イタチごっこなんだろうなぁ。
  • 親がフィッシング詐欺の被害者になってしまったので手口と被害に合った時の対応について纏める - Qiita

    私の母は、実際1時間半程度電話で話していたと言いますが、最終的に振込指示の時点では信じ切ってしまっているので抗う術がないのかなと思います。 なので、素人が電話をかけてしまった時点でほぼアウトな手口な気がします。 最後振込終わった後に「私は詐欺です、警察に電話してください」これが表示される意図は分かりませんが、振り込んだ時点で詐欺師的にはもう勝ち確定なので、警察への手続きとかで更に心のダメージを与えるための悪質なメッセージなのかなと。。。 そんなこんなで、50万円もの大金をだまし取られました。 被害後の返金手続きと振り込め詐欺救済法について 母親は被害後、すぐ警察に電話したそうですが、やったことは下記です。 振り込み元口座の凍結(私の母親の口座) 振り込み先銀行に対して振込先口座の凍結依頼 振り込み元口座の凍結は二次被害防止のためですね。 ただし、返金に重要な振り込み先口座の凍結は、被害後す

    親がフィッシング詐欺の被害者になってしまったので手口と被害に合った時の対応について纏める - Qiita
    JULY
    JULY 2024/05/30
    「どこに引っかかる要素ある!?」Microsoft が個人のサポートをしない、とか、口座情報抜かれるからお金を送金、って、意味不明、とか、いろいろあるけど、まぁ、そこに気付けない人が多いから詐欺が成立するわけで。
  • マイナカード偽造「1枚5分、技術や準備は不要」中国籍の女証言…本人確認に目視のみ多く悪用拡大

    【読売新聞】 マイナンバーカードの偽造が相次いで発覚している。不正対策による「信用」で人確認時のチェックが甘くなり、悪用につながっているとみられ、SNSでは1万~2万円で流通しているという。中国籍の被告が取材に応じ、偽造の実態を証

    マイナカード偽造「1枚5分、技術や準備は不要」中国籍の女証言…本人確認に目視のみ多く悪用拡大
    JULY
    JULY 2024/05/25
    早いところ電子的確認手段の普及を、なんだけど、カードの裏面に書いてある番号自体は用途の制限が厳しいから、ジロジロと見るのも憚られる、みたいな心理はありそう。
  • 群馬大学の附属病院で個人情報漏えいか YouTube動画に電子カルテ画面が映り込む

    群馬大学は5月22日、同学医学部附属病院の入院患者42人の個人情報が一時公開状態になっていたと発表した。YouTubeに掲載された動画に電子カルテの入院患者一覧画面が映り込んでいた。 動画は、病院で使用している製品を開発した企業が、導入事例の紹介として作成したもの。病院の同意を得て撮影し、当該企業の公式YouTubeチャンネルで2023年11月23日から公開していた。 しかし、動画内に電子カルテの画面が映り込んでいることが4月23日に判明。その日のうちに当該企業に連絡し、動画の公開を停止したという。 動画の長さは10分3秒で、このうち6秒間に入院患者の一覧が映っていた。一覧には42人の漢字氏名、カナ氏名、患者番号、診療科、入院日などの個人情報が記載されていた。 群馬大学は「動画作成時のチェックで患者の個人情報が映ってしまっていることを見落とした」と説明。患者には個別に謝罪すると共に、再発防

    群馬大学の附属病院で個人情報漏えいか YouTube動画に電子カルテ画面が映り込む
    JULY
    JULY 2024/05/22
    というか、この動画を作った製品の開発企業側の落ち度でもあると思うが。
  • 「twitter .com」から「x .com」へのリダイレクト開始 ~「Firefox」などではトラブルも/トラッキング保護設定やプライベートモードでの利用に注意

    「twitter .com」から「x .com」へのリダイレクト開始 ~「Firefox」などではトラブルも/トラッキング保護設定やプライベートモードでの利用に注意
    JULY
    JULY 2024/05/17
    Same origin policy に引っかかる、って、またなんか雑なことをしている?
  • 名古屋港が約3日でランサムウェア被害から復旧できた理由 国土交通省が語る教訓

    もしそのコンテナターミナルが業務停止に陥るとどうなるか――。そのリスクを如実に示したのが、2023年7月4日に名古屋港コンテナターミナルで発生したランサムウェア感染被害だった。 2024年3月に開催されたセキュリティイベント「Security Days Spring 2024」に、国土交通省で最高情報セキュリティアドバイザーを務める北尾辰也氏が登壇。「名古屋港コンテナターミナルを襲ったサイバー攻撃とその背景」と題し、公表された報告書などを基に攻撃から復旧までのいきさつと、そこから得られた教訓を紹介した。 ITを用いた効率化が進んできたコンテナターミナル コンテナターミナルというと、港に林立する大型クレーン(ガントリークレーン)を思い浮かべる人も多いだろう。名古屋港コンテナターミナルもその一つだ。 同コンテナターミナルは5つのターミナルで構成されている。1日当たり約7500のコンテナが出入

    名古屋港が約3日でランサムウェア被害から復旧できた理由 国土交通省が語る教訓
    JULY
    JULY 2024/05/14
    見事な復旧だったけど、実情を見ると、結構、ギリギリだった感じ。命綱となったバックアップは良かったけど、BCP 無しに当場をしのげたのは、昔を知っている人のお陰、だもんなぁ。
  • IPA試験問題不備(令和6年春期ネットワークスペシャリスト午後2) - Qiita

    続いて、上記説明文を受けての設問内容です。 設問5 [S/MIMEの調査と実施策] について答えよ (1) 表4中の下線⑨の電子署名データの作成方法を,25字以内で答えよ。 (2) 表4中の下線⑩のハッシュ値 aを取り出す方法を,20次以内で答えよ。 (3) 表4中の下線⑪について,どのような状態になれば改ざんされていないと判断できるかを,25字以内で答えよ。 不備の内容 S/MIMEについての基礎 ここで、不備の説明に移る前に、S/MIMEに関する基事項について触れておきます。 S/MIMEは公開鍵暗号(守秘/署名/鍵共有)を用いてメールの暗号化や署名を行う技術およびその規格です。 最新はRFC8551のv4(2019年)ですが、アプリの対応状況は不明なところがあるので、一つ前のRFC5751のv3.2(2010年)を参照した方が無難かも知れません。 そして、S/MIMEで使用するデー

    IPA試験問題不備(令和6年春期ネットワークスペシャリスト午後2) - Qiita
    JULY
    JULY 2024/05/13
    「試験としてS/MIMEの仕様を細かく記述する必要性があるとは考えていません」同意。RSA 前提だと電子署名の考え方を説明するのには向いているけど、実際はこんな単純じゃない、ということだけ知っていればよいと思う。
  • 「コント?」河野太郎氏にSNSで疑問噴出「偽装マイナカード」対策で目視言及に「開いた口が」 - 社会 : 日刊スポーツ

    河野太郎デジタル相は10日、自身のX(旧ツイッター)を更新し、マイナンバーカードの偽造によるトラブルが相次いでいることを念頭に、見分け方などの注意を呼びかけた。 「マイナンバーカードにはさまざまな偽造防止対策が施されており、しっかりそれらを確認いただければ券面の偽造は判別できます。例えば右上のマイナちゃんはパールインキで印刷されており、角度によって色が変化します」と投稿。偽造かどうかの見分け方について、言及した。 偽造したマイナカードが身分証として使われた上で、地方議員のスマートフォンがだまし取られるなどの事件が全国で相次いでいる。河野氏は10日の記者会見でも「目視であっても、丁寧にカードをチェックすれば偽造は見破れる」などと主張。偽造かどうかを見分けるポイントを記した文書を、事業者向けに配布する考えも示した。 ただ、「目視」に言及した河野氏の会見での発言やX投稿には、SNS上で疑問の声が

    「コント?」河野太郎氏にSNSで疑問噴出「偽装マイナカード」対策で目視言及に「開いた口が」 - 社会 : 日刊スポーツ
    JULY
    JULY 2024/05/12
    いろいろズレてるなぁ。そもそもデジタルな確認を推奨していて、それができない場合の確認方法に関する言及を切り取った形でのズレた批判を、メディアが取り上げて火を付けるズレ。