タグ

securityとSecurityに関するdjsouchouのブックマーク (142)

  • ChromeやEdgeの拡張機能複数にマルウェア実装。すでに300万人がダウンロード

    ChromeやEdgeの拡張機能複数にマルウェア実装。すでに300万人がダウンロード
    djsouchou
    djsouchou 2020/12/18
    なんちゃらMusic Downloaderが目立つな。やはりそういう層はタゲられてるんだろう/反面、avastにも問題点が… https://forest.watch.impress.co.jp/docs/news/1232090.html
  • 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している

    調べた事実を列挙してみる。 ・デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている ・検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている ・検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている ・サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている ・プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている ・https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている 様々な設定を調べたが、どのようにしても外部への閲覧情報送信を止めることはできなかった。 あなたが何を調べ、何を買おうとしているのか、何で遊び、どこへ行こうとしているのか。それらはあなたの知ら

    国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
    djsouchou
    djsouchou 2020/12/17
    開発者全員、ろくな死に方しないと思う
  • グーグルの新VPNサービス、「Google One」の2TBプランで提供へ

    Daphne Leprince-Ringuet (CNET News) 翻訳校正: 湯牧子 高森郁哉 吉武稔夫 (ガリレオ)2020年11月02日 11時06分 Googleは新たな仮想プライベートネットワーク(VPN)サービスを、クラウドストレージサービス「Google One」に直接組み込む形でリリースした。想定される対象は、カフェなど公共の場所でセキュリティ対策の不十分なWi-Fiネットワークに接続する場合でも、不安に思うことなくクレジットカード情報などの個人的なデータを入力したいユーザーなどだ。 このVPNサービスは、容量2TBで月額9.99ドル(日では1300円)のGoogle Oneプランに含まれる。今後数週間かけて米国で「Android」版アプリ向けに提供され、今後数カ月でさらなる国や、「iOS」「Windows」「Mac」にも提供を拡大していく。すべてのアプリとブラウザ

    グーグルの新VPNサービス、「Google One」の2TBプランで提供へ
  • nano系の広告ブロックは速やかに削除しましょう | 280blocker

    有名な広告ブロック機能拡張であるNanoAdblockerとNanoDefenderが正体不明の開発者に買収され、安全な機能拡張とは言えなくなりました。 これらを使用している方は速やかに削除して、uBlock Originへ乗り換えましょう。安心できる開発者であることが明らかになるまでnanoのインストールは控えましょう。 これまでの流れ NanoAdblockerとNanoDefenderは広告ブロックの有名な機能拡張でublockから派生したものです。 以前は独自機能で魅力的でしたが、最近はアップデートも遅れがちで、ublockのアップデートに追い付いていない状態が続いていました。 2020年10月3日にnanoの開発者よりアナウンスがあり、機能拡張をトルコの開発者へ売却する事が明らかになりました。売却先の詳細や買収した意図は不明です。その数日後ににnano機能拡張の開発元表示が売却先

    nano系の広告ブロックは速やかに削除しましょう | 280blocker
  • Twitter、リプライ相手制限機能を正式リリース 好評につき

    Twitterは8月11日(現地時間)、5月にテストを開始したツイートにリプライ(返信)できる相手を3段階で調節する機能を正式機能として全ユーザーが利用できるようにしたと発表した。意義深い“会話”が不要なリプライによって邪魔されることが減るとしている。 この機能を使うには、ツイート作成ボックスの左下に表示される地球アイコンと「すべてのアカウントが返信できます」というテキスト(下左図)をタップし、返信できる相手を「全員」、「フォローしているアカウント」(フォローしているアカウントか、ツイート内でメンションしたアカウント)、「@ツイートしたアカウントのみ」(メンションしたアカウントのみ)の3つの選択肢(下画像中央)から選んで投稿する。「@ツイートしたアカウントのみ」を選んだ場合は、ツイートでユーザーのアカウントを入力する。複数指定可能だ。投稿したツイートにはツイートへのリプライが制限されてい

    Twitter、リプライ相手制限機能を正式リリース 好評につき
  • 認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版

    認証しないWeb認証 限定公開URLのセキュリティについて考える 2020/8/7 API Meetup Online #3- フューチャー株式会社 渋川よしき

    認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版
    djsouchou
    djsouchou 2020/08/11
    メモ
  • Redirecting

    djsouchou
    djsouchou 2020/08/10
    金盾が7月末にバージョンアップされ、最新技術で暗号化されたHTTPS通信をブロックする様になった、との事。
  • Dropbox Businessは非常に危険です | 江口某の不如意研究室

    (この記事は、Dropbox社に対してフェアじゃないものになっています。続きの「Dropbox Businessは馬鹿が使うと非常に危険なことを検証しました」も読んでください) 最近、非常に重大な事故を起こしてしまったので報告します。実際の被害は、最高が7だとすると3か4ぐらい、しかし潜在的な危険度からいうと7段階で7、ってくらい重大。Dropboxでファイルを大量に失なってしまったばかりか、個人情報流出の危険をおかしてしまいました。(実際には流出といえるものはありませんでしたが) Dropbox Businessチームに招待され参加して「アカウントを統合」すると、自分では抜けられない状態になる それだけでなく、それまで自分がもっていたファイルもすべてチームのものになる 個人用の契約が勝手に解除されてしまう 私のアカウントを削除すると、管理者は私のファイルを自分のものにすることができる 管

  • マイナンバーカードでSSHする - AAA Blog

    みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!

    マイナンバーカードでSSHする - AAA Blog
    djsouchou
    djsouchou 2020/06/11
    面白いなー
  • トレンドマイクロ、大学生のハッカーによってセキュリティのとんでもない欠陥とチート行為が暴露され激怒するの巻 - Windows 2000 Blog

    トレンドマイクロは、Microsoftの品質保証テストをだますためにソフトウェアを設計し、主張は「誤解を招く」と言った後、防御的立場にあります。 米国のロチェスター工科大学に在籍する18歳のコンピューターセキュリティ学生であるビルデミルカピ氏は火曜日、The Registerに語り、トレンドのWindows PC向けルートキットバスターに出会い、ルートキットを検出する方法を研究していると語った。 初心者向けのルートキットはマルウェアで、管理者レベルの権限を持つマシンで実行されると、他の悪意のあるコードや悪意のあるユーザーがコンピューターへの管理アクセスを許可します。それは故意に自分自身を見えないように隠します、それがルートキット検出器が物である理由です。 Trend製品に共通しているように見えるTrendのルートキット狩猟ツールとそのカーネルモードドライバーをリバースエンジニアリングする一

  • ZOOMがKeybaseを買収、「暗号化会議モード」のリリースで信頼性の回復なるか|龍星光 / RyuseiHikaru

    オンライン会議サービスを提供しているZOOMがKeybaseの買収を発表しました。 ビデオ会議サービスのZoomが、エンドツーエンドでの暗号化技術を持つKeybaseの買収を発表しました。Keybaseはこれまでにテキストチャットやファイル共有などの暗号化サービスを手がけてきた米国のベンチャー企業です。 ZOOMはオンライン会議の需要増によって利用者を急激に伸ばしてきました。一方でセキュリティ上の脆弱性が指摘されたり、中華人民共和国との距離感が疑われたりしています。 私の意見としては、それらの疑念は過剰な反応だと思っています。その理由は以前に「ZOOMは危険なのか」という記事に書きました。 ZOOMのKeybase買収は単純なセキュリティ機能を強化するだけでなく、セキュリティに関する信頼性を回復する狙いもあると推測します。 Keybaseは何者か?ところでKeybaseとは聞いたことのない

    ZOOMがKeybaseを買収、「暗号化会議モード」のリリースで信頼性の回復なるか|龍星光 / RyuseiHikaru
    djsouchou
    djsouchou 2020/05/21
    Keybaseは既に使ってる/それでもZoomは使う気にはなれないな
  • zipファイルをお送り頂いた場合の手数料について | 株式会社サムライズム

    ・背景 サムライズムでは創業より一貫して生産性を向上するソリューションを提供しております。またお客様の生産性を向上させるだけでなく、サムライズム自身も生産性を向上してお客様の迅速にお応え出来るよう、最適化された販売管理システムを内製しており、ご依頼より最短で1分ほどで見積の作成や商品の納品を行える体制を整えております。 業務の生産性を向上する上で課題となっているのが注文書などの帳票をzipファイルに圧縮するという日の習慣です。添付ファイルのzip圧縮は「文字コードやディレクトリ構成の関係で展開に失敗する」、「別送のパスワードが送られてこない・遅延する」、「パスワードがかかっておりウイルススキャンが行えない」など悪影響が多い一方でセキュア化にさほど貢献しません。 また「パスワードは日の日付です」「パスワードは弊社/貴社の電話番号下4桁です(そして電話番号は署名欄に記載されている)」などと

    zipファイルをお送り頂いた場合の手数料について | 株式会社サムライズム
  • LINEへの不正ログインに対する注意喚起 | LINE Corporation | セキュリティ&プライバシー

    LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 1. 概要 2020年2月、LINEのアカウントに対して複数の不正ログインの試みが発生し、約4千名を超えるLINEアカウントが不正ログインの被害を受け、ユーザーの意図に反するメッセージやタイムライン投稿が行われていることを確認しております。 ユーザーの皆さまからの通報内容をもとに調査したところ、これらのメッセージ及びタイムライン投稿の内容は、購買誘導をするためのスパムの他、LINEのアカウントの恒久的な乗っ取りを目的としたフィッシング詐欺のためのURLが含まれておりました。 当社では引き続き、被害の拡大防止のための対応を行っておりますが、現在、LINEの機能やメールを通じたフィッシング

    LINEへの不正ログインに対する注意喚起 | LINE Corporation | セキュリティ&プライバシー
  • 世界一危ないドメイン「corp.com」が約2億円で売りに出される

    世界一危ないドメイン「corp.com」が約2億円で売りに出される2020.02.17 12:3034,832 Shoshana Wodinsky - Gizmodo US [原文] ( scheme_a ) 当に危ないものほど、見た目は無害そうなんです。 インターネットで最も危険な場所はどこかと訊かれると、おそらく「ダークウェブ」みたいな言葉が出てくるのではないでしょうか。でも実は、世界一危険なサイトのひとつは文字通りのゴミやポルノで埋めつくされているわけではなく、ただのドメインなんです。しかも、今ならあなたも購入できます。 世界の機密情報が覗ける「corp.com」は、起業家のMike O'Connor氏が90年代に大量買いした無害そうなドメインのひとつでした。この頃、彼は自分のISP(Go-fast.net)を開設し、シンプルな名前のドメインを手当たり次第に買いあさっていました。た

    世界一危ないドメイン「corp.com」が約2億円で売りに出される
    djsouchou
    djsouchou 2020/02/17
    とんでもない話だ
  • 第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会

    第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送

    第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
  • HDD「簡単で毎日のように盗んだ」容疑者、早朝狙いか:朝日新聞デジタル

    ","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

    HDD「簡単で毎日のように盗んだ」容疑者、早朝狙いか:朝日新聞デジタル
    djsouchou
    djsouchou 2019/12/08
    毎日のように盗むな
  • 「世界最悪級の流出」ブロードリンク社の2chスレを見ると事件は起こるべくして起こったことがわかる - アンテナ開発者ブログ

    株式会社ブロードリンク ってどうのな??https://egg.5ch.net/test/read.cgi/hikari/1441107873/ 1底値さん2015/09/01(火) 20:44:33.04 http://www.broadlink.co.jp/ 〒103-0022 東京都中央区日橋室町4-3-18 東京建物室町ビル8F TEL:03-3516-8777 面接受けて即日内定したんだが情報求む! 顧問に電子遊技機工業協同組合最高顧問とあるのだがこれパチンコの組合? パソコン業界では有名なの? 9底値さん2015/09/07(月) 00:17:25.17 テクニカルセンターは産廃を整理するところです。やめたがいい 今クレームの嵐 15底値さん2015/09/08(火) 01:25:48.20 ここの給料は基給23万~と 書いてあるけどその中に 残業代80時間が含まれてる だ

    「世界最悪級の流出」ブロードリンク社の2chスレを見ると事件は起こるべくして起こったことがわかる - アンテナ開発者ブログ
    djsouchou
    djsouchou 2019/12/08
    (情報セキュリティー的な意味で)ブラック企業だったのか/別件だけどアルコー延命財団を思い出した https://gigazine.net/news/20101203_jintaireitou_kodansha/
  • 【独自】行政文書が大量流出 納税記録などのHDD転売:朝日新聞デジタル

    ","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

    【独自】行政文書が大量流出 納税記録などのHDD転売:朝日新聞デジタル
    djsouchou
    djsouchou 2019/12/06
    何から何まで酷すぎる
  • リクナビ運営元に「Pマーク」取り消し措置 “内定辞退予測”を問題視

    就職情報サイト「リクナビ」を運営するリクルートキャリアは11月14日、学生の内定辞退率を予測して他社に販売するサービス「リクナビDMPフォロー」(8月4日付で廃止)に個人情報の取り扱い不備があったとして、日情報経済社会推進協会(JIPDEC)からプライバシーマーク(Pマーク)を取り消す措置を受けたと発表した。 リクナビDMPフォローは、リクルートキャリアが2018年3月に始めたサービス。(1)顧客企業から応募者の個人情報(19年2月まではCookie情報、3月以降は氏名など)を提供してもらう、(2)リクナビの持つ情報と照合し、利用ブラウザや個人を特定する、(3)応募者と過去のリクナビユーザーの行動履歴を照合し、内定辞退率のスコアを算出する——という仕組みだった。 リクルートキャリアはスコアを34社に納品したが、リクナビのプライバシーポリシーに不備があり、一部の学生から事前に同意を得ていな

    リクナビ運営元に「Pマーク」取り消し措置 “内定辞退予測”を問題視
    djsouchou
    djsouchou 2019/11/15
    Pマーク取り消し案件初めてでは
  • トレンドマイクロ従業員の不正行為で発生したサポート詐欺についてまとめてみた - piyolog

    2019年11月5日、トレンドマイクロは同社従業員(当時)の内部不正行為で一部の顧客情報が流出し、その情報が同社のサポートになりすました詐欺電話に悪用されていたと発表しました。ここでは関連する情報をまとめます。 トレンドマイクロの発表 blog.trendmicro.com www.trendmicro.com 2019年8月上旬、ホームセキュリティソリューション利用者の一部がトレンドマイクロサポート担当者になりすました詐欺電話を受けている事実を把握。 詐欺犯が保持している情報を受け、同社が組織的な攻撃を受けている可能性を考慮。 顧客情報の流出は外部からのハッキングではなく、同社従業員による内部不正行為が原因であることを確認。 徹底的な調査は即行われたが、2019年10月末まで内部不正行為によるものと断定できなかった。 同社は洗練されたコントロールを行っていたが、計画的犯行により突破されて

    トレンドマイクロ従業員の不正行為で発生したサポート詐欺についてまとめてみた - piyolog
    djsouchou
    djsouchou 2019/11/06
    トレンドマイクロがウイルスかよ