「クレカを止めても不正利用が止まらない」のメカニズム【鈴木淳也のPay Attention】
GoogleとYahooの新Eメール認証要件への短い対応タイムライン | Proofpoint JP
*本ブログ記事は2023年10月に掲載されたブログ記事の更新版です。Appleの要件について、追記しています。 GmailやYahooのアカウントをお持ちの方なら、迷惑メールや明らかに詐欺を目的としたメールで受信トレイがいっぱいになった経験をお持ちでしょう。もしあなたが、「なぜメールプロバイダーは、この種の詐欺メールをしっかりブロックしてくれないのだろう」と思ったことがあるとしたら、それはあなただけではありません。 良いお知らせとしては、GoogleとYahooはこの詐欺メールの問題に取り組んでおり、状況は変わろうとしています。ただ問題なのは、あなたの会社がGoogleやYahooのユーザーにメールを送る場合、対応せねばならない事項があるかもしれないのにも関わらず、十分な時間がないことです。 Googleは、2024年2月から、Gmailアカウントにメッセージを送信する際にメール認証が必要
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
電気通信における「通信の秘密」について解説します(追記あり) - 畳之下新聞
この記事は法的見解を示すものではありませんのでご了承ください。 総務省や業界団体のガイドラインに基づいて記載していますが、間違いがありましたらコメント等で優しくご指摘お願いします。 憲法における「通信の秘密」 「通信の秘密」は、日本国憲法により保障されています。 日本国憲法 第21条2項 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。 憲法における通信の秘密の保護は、国民のプライバシー保護にとどまらず、公権力や通信業務従事者によって通信の秘密が侵害されないことを保障しています。 電気通信分野において、憲法における「通信の秘密」が適用されるケースはまずありませんし、適用しても議論が大づかみになりすぎるので、憲法で保障されていることだけを理解しておきましょう。 電気通信における「通信の秘密」 憲法の規定を受け、電気通信の分野では、電気通信事業法や電波法、有線電気通信法等に
OSINTツール「GreyNoise」を使ってみる - セキュリティ猫の備忘録
こんにちは、セキュリティ猫です。 久しぶりに(ホントに久しぶりに)何かを書きたい欲が出てきたので、自分でも使い方の整理・機能の確認の意味を込めてツールの使い方を扱うことにしました。 今回は、調査で便利なツール「GreyNoise」について紹介していこうと思います。 GreyNoise はじめに 【注意事項】 GreyNoiseとは? 機能 IPルックアップ GREYNOISEクエリ言語 (GNQL) タグトレンド その他の機能 主な使い方 まとめ はじめに 【注意事項】 本記事内で、GreyNoiseの使い方や調査方法について記載しています。本内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。 GreyNoiseを利用することで外部組織の情報を得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog
2020年6月2日にCoincheckはお名前.comの社有アカウントが不正アクセスを受けたと発表しました。またその翌日6月3日、GMOインターネットはお名前.comのサービス不具合を悪用した会員情報の改ざん被害が発生していると発表しました。この記事は公開時点(6/4 16時)では2社発表の関連を推測として記載していましたが、同被害を受けて4日に発表を行ったbitbankがこの2社の発表を取り上げ、同事象であると説明したことから一連の出来事として整理します。 登録アドレスを書き換えアカウント奪取 今回のドメイン名ハイジャックは大まかに次の手口だったとみられる。(お名前.comアカウントの不正アクセスの流れは一部推測) 今回のドメイン名ハイジャックの概要(推測含む) 攻撃者がお名前.com Naviの不具合(脆弱性)を悪用し、アカウント奪取後にドメイン登録情報(whois DB)を変更した。
最新の脅威には最新の検出を: 現在の脅威対策の流れを変える | Google Cloud 公式ブログ
※この投稿は米国時間 2020 年 9 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。 2020 年、企業の IT 環境には複雑な問題が生じています。データ量は増加し、攻撃者の技術はさらに複雑化して巧妙になり、既存の検出ツールや分析ツールではその手法に追い付くのが難しくなっています。 レガシー セキュリティ システムでは、多くのルールを並行して大規模に実行するのは難しく、たとえ検出できても手遅れである可能性があります。多くの分析ツールはデータクエリ言語を使っているため、Mitre ATT&CK フレームワークなどのシナリオに記載されている検出ルールを記述するのは困難です。さらに、検出には攻撃者のアクティビティに対抗する脅威インテリジェンスが要求されますが、多くのベンダーはこの要件を満たしません。そのため、数多くの最新の脅威がセキュリティ ツールで検出されま
謎のベールに包まれたGoogleの次世代SIEM「Chronicle」を触ってみた | sreake.com | 株式会社スリーシェイク
現時点(2021年6月17日)では英語でも日本語でもそれほど情報がないGoogleが開発したSIEM(Security Information and Event Management)製品である「Chronicle」に関して、お伝えしていきたいと思います。 謎のベールに包まれたGoogleの次世代SIEM「Chronicle」を触ってみた こんにちは、堤@スリーシェイクです。 本日は、現時点(2021年6月17日)では英語でも日本語でもそれほど情報がないGoogleが開発したSIEM(Security Information and Event Management)製品である「Chronicle」に関して、お伝えしていきたいと思います。 Chronicleの特徴 データ容量やサーバ台数に依存しない課金モデルGoogleのインフラをフル活用した驚異的な検索速度と相関的なログ分析シンプルな
Let’s EncryptのSSL証明書で、安全なウェブサイトを公開 | さくらのナレッジ
安全なウェブサイトを公開するため、無料で利用可能な Let's Encrypt の証明書を使う方法をご紹介します。Let's Encrypt の背景とSSL証明書の自動発行をはじめ、CentOS 7 上の Nginx ウェブサーバを SSL に対応する方法、そして、証明書を自動更新する方法を見ていきましょう(所要時間10~20分)。 なお、Let's Encrypt については既に中津川さんの記事「すべてのWebサイトの暗号化を目指すLet's Encryptを試す」で取り上げられていますが、今回は新しいクライアント certbot-auto を使う方法や、証明書の自動更新の仕方をとりあげます。 こんにちは!こんにちは! みなさん、はじめまして。さくらインターネットの前佛雅人(ぜんぶつまさひと)です。さくらのナレッジに何か書け(業務命令)ということで、皆さんがサーバをより活用できるよう、ナ
オリジン間リソース共有 (CORS) - HTTP | MDN
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT
色んなXSS – nootropic.me
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
สล็อตเว็บตรง เว็บใหญ่มาตรฐานสากล ในไทย FAFA365 ระบบออโต้
ครบจบทุกความสนุกสูงรวบรวม สล็อตเว็บตรง ที่ให้บริการสำหรับลิขสิทธิ์แท้อันดับ 1 FAFA365 ที่มีความสนุกที่มาในรูปแบบเกมสล็อตมากมายให้คุณได้เลือกใช้บริการกันอย่างมากมาย และยังมาพร้อมกับการใช้บริการ สล็อต ผ่านแพลตฟอร์มที่เข้าถึงง่ายที่สุด โดยมีการรองรับรูปแบบ สล็อตออนไลน์ การทำรายการทางธุรกรรมทางการเงินที่รองรับทรูวอเลทที่สามารถ ทำรายการได้ง่ายที่สุด ในตอนนี้โดย เว็บตรงสล็อต ของเราให้บริการแบบครบจบทุกรู
AWS で作るシステムのセキュリティ考 - 水深1024m
AWS アカウントを複数人で使ってシステムを作っていく時に、 セキュリティの面からやるべきことについて。 主に Web アプリケーションを想定した内容ですが、特に書いてあることは特殊ではないと思います。 各所の Blog にも記事書かれてますが思っていることをつらつらと書いてみます。 なんか変なこと言ってたらご指摘ください。 参考: AWSのセキュリティが気になるなら読んでおくべきAWSセキュリティのベストプラクティス - yoshidashingo はじめに (AWS アカウントと IAM ユーザ) 前提というか用語の話。 AWS アカウント アカウント作成時のメールアドレス、パスワードでログインして使うユーザ IAM ユーザ AWS アカウントから発行できる、ユーザ名とパスワードでログインして使うユーザ AWS アカウント周り AWS アカウント (ルートユーザ) で作業できないように
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
