Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに gmailの送信者ガイドラインが強化されて2週間ほどが経ちました。みなさんいかがお過ごしでしょうか。 今回の件、いろいろ思うところはあると思いますが、googleはなぜこのようなことをしたのか、そして近い将来、遠い将来メールセキュリティはどうなってくのか考えてみたいと思います。 現状のおさらい 迷惑メールの再定義 迷惑メールといっても人それぞれ定義が違うかも知れません。今回googleはこの定義をより明確にしました。 例えば、「偽者のメール」。最近では、Amazonやカード会社を語った「偽者のメール」をよく目にします。いわゆる

何か作業を行う際に、作業用のIAMロールへ スイッチロール(AssumeRole)するケースは多いと思います。 そのときの権限は基本的には 「そのロールにアタッチされたポリシー」です。 ですが、その権限を AssumeRole 時に狭められることを最近(今更)知りました。 「セッションポリシー」というものを使って スイッチロール先での権限を狭められるとのこと。 今回はこのセッションポリシーを適用して スイッチロール(AssumeRole)を試してみました。 まずは普通にAssumeRole まずは aws sts assume-role コマンドを使った いつもどおりのスイッチロールを紹介します。 以下シンプルなコマンドサンプルです。 ### スイッチ先のロールARN role_arn="arn:aws:iam::123456789012:role/example-dev-role" ##

2024年2月5日、外務省の外交公電を取り扱うシステムが中国によるサイバー攻撃を受けていたと報じられました。ここでは関連する情報をまとめます。 閉域ネットワーク上でサイバー攻撃被害と報道 サイバー攻撃の被害にあったと報じられたのは、外務省本省と在外公館の間で行われる外交公電を取り扱うシステム（外交公電システムとみられる）。公電は閉域ネットワークである「国際IP-VPN」上で通信が行われており、インターネット上から通信内容を傍受することはできない。サイバー攻撃により公電でやり取りをされていた情報が中国側に漏れていた可能性があるが、具体的にどのような攻撃だったのかや攻撃によって生じた影響など詳細は報じられていない。*1 当該システムを所管する外務省情報通信課はこのサイバー攻撃について、「情報セキュリティ上の理由から回答を控える」として事実関係を含め詳細を明らかにしていないが、読売新聞は複数の政

厚生労働省は2月5日、職員が緊急連絡先として登録した私用メールアドレスが誤っていたことで、関係者に一斉送信されたメールが第三者に誤送信されていたことが分かったと発表した。メールには、行政機関職員は650人の公務メールアドレスと、私人25人の電話番号・計675人の個人情報が含まれていたという。 誤ったメールアドレスを登録したのは、職員本人。2023年9月15日以降、休日などに、業務に必要なメールを一斉送信した際、誤ったアドレスに送信されていたという。職員本人からの報告により1月23日に発覚した。 この職員は、休日・夜間も公務メールアドレスをリモートアクセスで利用していたため、私用アドレスで業務メールを受信しているかどうかを確認していなかったという。 厚労省は誤送信先に対し、謝罪や削除依頼等の連絡をしているが、これまでに、メールアドレスの所有者からの応答はないという。 個人情報が漏えいした人に

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: ＠shiropen2 米国の研究機関であるAperture Internet Laboratoryは、Linuxで動作する中国のインターネット検閲システム「グレートファイアウォール」（Great Firewall、GFW、金盾）をオープンソースで実装したシステム「OpenGFW」を発表した。このシステムは家庭用ルーターで使用可能なほど柔軟で使いやすく、GFWを個人レベルで実現することを目指している。 OpenGFWは、IPとTCPのデータを完全に再構築する能力を持ち、HTTP、TLS、DNS、SSHなどのネットワークプロトコルを解析できる。特に、Shadowso

米国がインフラを破壊した「Qbot」が4カ月で復活 2023年12月には、「Qbot」の復活が確認された。米国と国際法執行機関が「ダックハント作戦（Operation Duck Hunt）」によって同年8月にQbotのインフラを破壊したものの、4カ月で復活した計算になる。Qbotは、ホスピタリティ業界を標的とした小規模なサイバー攻撃の一部として使用されており、ハッカーがIRS（アメリカ合衆国内国歳入庁）になりすまし、MicrosoftインストーラーにリンクするURLが埋め込まれたPDFが添付された悪意ある電子メールを送信していた。 関連記事 増え続ける生成AIソリューション支出、2027年には1511億ドルに急成長との予測 IDCが発表した企業の生成AIソリューション支出予測によると、全世界における企業の生成AI投資は、2023年では194億ドル以上。2027年には1511億ドルに達すると

Webを構成する重要な要素の1つであるHTTPは、その最新仕様で2層構造となり、バージョンに関係なく使えるSemanticsと、特徴の異なる通信仕様を定めたHTTP/1.1、2、3に分割されました。 さらに現在では、HTTPの上にあらためてUDPやIP、イーサネットなどのプロトコルを実装する提案が行われており、まさにHTTPは通信の全てを飲み込む勢いで進化しつつあります。 こうしたHTTPの最新動向の解説が、大手CDNベンダでエッジクラウドなども展開するFastlyが2023年11月8日開催したイベント「Yamagoya 2023」で同社シニアプリンシパルエンジニアの奥一穂氏が行ったセッション「HTTPが全てを飲み込む」にて行われました。 本記事ではこのセッションをダイジェストで紹介していきます。記事は以下の3つに分かれています。 HTTPが全てを飲み込む（前編）～HTTPの2層構造と、H

横浜市立みなと赤十字病院は1月17日、診療データ1092件が入ったUSBメモリを紛失したと発表した。医師が論文作成のため、院内システムから私物のUSBメモリにデータをコピー。院内や自宅で使ったところ、紛失したという。 USBメモリに入っていたのは、2021年4月2日から23年9月7日までに循環器内科で「カテーテルアブレーション」（カテーテルで不整脈の原因となる箇所を焼き切る治療法）という治療をした患者1011人の氏名、年齢、性別、生年月日など。住所や電話番号は含まないという。USBメモリや中のファイルにパスワードロックをかけていたかは「不明確」（同院）としている。 医師がUSBメモリを使い始めたのは23年9月7日、最後に使ったのは12月1日だった。その後28日にUSBメモリが見つからないことに気付き、29日に上長に報告。年末年始にかけて捜索したが、発見できず、24年1月9日に上長と一緒に病

The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか？ コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ （編集履歴はqiitaの機能で見れると思います） 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます

私のこと、勝手に診断しないでください：こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（43） 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第43列車は「無料セキュリティ診断」です。※このマンガはフィクションです。

2023年は「ChatGPT」のような生成AIが急激に台頭し、サイバー攻撃を仕掛ける側も防ぐ側も、AIの活用に注目した年だった。国際的な対立が深まる中で、国家が関与する攻撃や政治的動機に基づくハッキング活動が多発。ランサムウェアの猛威が収まる気配はなく、恐喝の手口はますます妙化化・悪質化の一途をたどっている。 2024年はどんな年になるのか。サイバーセキュリティ各社がその予測をまとめている。 “AI利用”のサイバー攻撃が増加の見込み 各社が筆頭に挙げているのがAIを利用したサイバー犯罪の悪質化・巧妙化だった。NortonやAvastなどを提供するサイバーセキュリティ企業の米Gen Digital（Gen）は、文字を動画に変換するなどのマルチメディア生成ツールが犯罪に利用されるようになり、動画が本物なのか生成されたものなのか見分けがつきにくくなると予想する。 そうしたAI生成コンテンツは、S

2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。

「私、セキュリティ担当者！　監視ツールを覗いていたら、社員がものすごい頻度で不審なアダルトサイトを見ていることが分かっちゃったの！」 ……だいぶ、いや、かなり考えたくない事態だ。しかし、クラウド会計ツールで知られるfreeeではこの問題が実際に起きたという。同社はどう対応したのか、12月6日公開のテックブログで紹介している。 ブログによれば、事態に気付いたのはセキュリティインシデントに対応する社内組織「CSIRT」のメンバー。監視ツールを確認していたところ、不審な通信が繰り返し発生していることに気付いた。 送信元を調べたところ、原因はある社員の端末。送信先はアダルトサイトだった。しかも、頻度が異常に高かったという。 とはいえ、さすがに会社の端末でアダルトサイトを見ているのはおかしい。違和感を抱いたCSIRTがより詳しく調査したところ、実際は社員がアダルトサイトを見ているわけではないことが分

2023年12月4日、マイナンバーカードの偽造などを行っていたとして有印公文書偽造と入管難民法違反の容疑で女が逮捕されました。ここでは関連する情報をまとめます。 初のマイナンバーカード偽造事案 警視庁と兵庫県警など6の府県警によって有印公文書偽造と入管難民法違反の容疑で再逮捕されたのは中国籍の女。他者と共謀し2023年11月12日頃に自宅で在留カード13枚とベトナムやインドネシア国籍の外国人名義のマイナンバーカード9枚の偽造を行っていた疑い。*1 マイナンバーカードの偽造により摘発された事案は今回が初めて。女は「9月頃からマイナンバーカードの依頼が増えた」などと供述し容疑を認めている。 知人の紹介を受け中国から届いたPC、プリンターを使用して2023年6月頃より女は1日20～60枚のカードの偽造を繰り返していたとみられている。*2 偽造に必要なデータ（顔写真、住所）はWeChatを通じて送