GitHubにブルートフォース攻撃、一部のパスワードが破られる
GitHubにブルートフォース攻撃、一部のパスワードが破られる:強固なパスワード設定や二要素認証を推奨 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 ブルートフォースとは、辞書などを用いて総当たり式にパスワードを試し、不正ログインを試みる攻撃のことだ。GitHubによると、今回の攻撃は4万近くの異なるIPアドレスから時間を掛けて行われた。この結果、脆弱なパスワードや、複数のサイトで使い回されているパスワードなどが破られたという。 GitHubでは、不正ログインの被害に遭ったユーザーにはメールで通知を行うとともに、パスワードのリセット、アクセストークン、OAuth認証、SSH鍵の失効措置を取
GitHubに大規模な不正ログイン試行 | 徳丸浩の日記
GitHubのブログおよび国内の報道によると、GitHubに対して大規模な不正ログインが試みられたようです。 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 GitHubにブルートフォース攻撃、一部のパスワードが破られるより引用 私もGitHubアカウントがありますのでSecurity Historyページを確認したところ、不正ログインの試行が確認されました。IPアドレスは、ベネズエラ、タイ、ブラジルのものです。 GitHubアカウントをお持ちの方は、念のためSecurity Historyを確認することを推奨します。 今回の不正ログインの特徴は以下のようなものです。 少数の「弱いパスワード
Adobeから流出したパスワードでよく使われていたものトップ100が公開される
Adobeが290万人分のクレジットカード・ID・パスワード・名前を含むユーザー情報に不正アクセスされたことを発表していますが、実際はその13倍にあたる3800万以上のアカウントが攻撃を受けていたことが明らかになりました。それに伴い、今回流出したAdobeユーザーが使用していたパスワードトップ100もリスト化されて公開されています。 Adobe Breach Impacted At Least 38 Million Users — Krebs on Security http://krebsonsecurity.com/2013/10/adobe-breach-impacted-at-least-38-million-users/ Krebs on Securityによると、3800万人のアクティブユーザーのユーザー名・暗号化されたパスワードが盗まれ、2年以上アクセスのない不特定多数のユー
Google Chromeの「パスワード丸見え」問題、Mac版では対応表明
米GoogleのWebブラウザ「Chrome」に保存されたパスワードを平文で表示できる機能を巡ってセキュリティ対策の甘さが指摘されていた問題で、GoogleはMac版について、パスワードを表示する前に再認証を要求するオプションの開発を進めていることを明らかにした。 同社担当者のGoogle+によると、この機能は、Google Chromeのオープンソース基盤であるChromiumビルドのMac版に試験的に加わった。パスワードマネージャの再認証フラグを有効にすると、保存されたパスワードを平文で表示しようとした場合に、Mac OSのパスワードを使った再認証を求められるという。 この機能はOS X上のSafariの動作に合わせたもので、いったん再認証を済ませると、その後1分間は再認証を繰り返す必要がなくなる。 ただGoogleは、WindowsなどのMac以外のプラットフォームでの対応については
Apple IDを狙うリストアタックが多発、サイトが攻撃を回避する手段とは
多くのサイトで「リストアタック」と呼ばれる、ほかのサイトなどで手に入れたIDとパスワードを使って不正にログインする攻撃が多発しているのは、ITproの読者ならご存知だろう(関連記事:Mobageに不正ログイン、「他社サービスから流出したID、パスワードの可能性」、関連記事:Amebaに24万3266件の不正ログイン、ユーザー情報が閲覧された可能性)。 そして、ここ数日は米AppleのApple IDを狙った攻撃が頻発している。一部セキュリティ関係者の間で話題になっていたが、筆者本人のApple IDにも攻撃があった。実際に筆者が経験したリストアタックの状況を解説するとともに、サイトの運営者が攻撃を防ぐためにとるべき手段を考えてみる。 攻撃を受けるとどうなる? まず実際に筆者がApple IDで受けた経験を基に、リスト攻撃を受けた際の状況を見てみよう。 図1は、筆者がApple IDに対して
CNET Japan
人気の記事 1スマホ決済「PayPay」をビックカメラで使ってみた--還元額や使い勝手は 2018年12月04日 2「Skype」と「PowerPoint」にライブキャプション機能--翻訳にも対応 2018年12月04日 31頭のライオンが20頭のハイエナに立ち向かう--BBCの動画が再生600万回超える 2018年12月04日 4ビックカメラ、12月4日よりPayPay決済に対応--100億円還元キャンペーン開始にあわせ 2018年12月03日 5Tumblr、アダルトコンテンツを全面的に禁止へ--12月17日から 2018年12月04日 65G対応「iPhone」、登場は2020年以降との報道 2018年12月04日 7金をだまし取る偽フィットネスアプリが「App Store」に--削除済み 2018年12月04日 8グーグルの中国向け検索プロジェクトと、監視社会の実験台にされるウイグ
りそな銀行など、インターネットバンキングの不正送金への対策を強化
りそなグループのりそな銀行、埼玉りそな銀行、近畿大阪銀行は10日、増加しているインターネットバンキングの不正送金被害を軽減させることを目的に、インターネットバンキングサービス「りそなダイレクト」ならびに「近畿大阪ダイレクト」について、ソフトウェアトークンを利用したワンタイムパスワードの導入などの対策を実施(強化)すると発表した。 ソフトウェアトークンを利用したワンタイムパスワードの導入 2014年1月をめどに、ソフトウェアトークンを利用したワンタイムパスワードを導入するという。ソフトウェアトークンを利用したワンタイムパスワードは、現在提供しているワンタイムパスワード生成器(ハードウェアトークン)の代わりに、顧客のスマートフォンなどに専用のアプリケーションをダウンロードしてワンタイムパスワードを利用するもの。 なお、現在提供しているワンタイムパスワード生成器(ハードウェアトークン)の利用手数
TechCrunch | Startup and Technology News
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
ワンタイムパスワードの送付先にケータイメールは相応しくない | [ bROOM.LOG ! ]
ご覧のように実は多くのケータイメールは「携帯端末以外からのアクセス可能」であるかアクセス可能となるように改修が進んでいる最中である。特に主要3キャリアについては今後数ヶ月以内でその携帯端末以外から確実にアクセス可能となる予定だ。 もちろんそのことがすぐにワンタイムパスワードの脆弱性などになるわけではない。これまでも(または今でも)PCメールでワンタイムパスワードを受け取る例も多いし、様々なアクセス手段があるとしても複雑なパスワードや他サービスとは異なったパスワードを付けるなど気をつけることでリスクを無くすことも可能だろう。 しかしながら必ずしも「PCメールよりもケータイメールの方が安全」であったりまたは推奨されたり若しくは極端な場合強制されるようなことでは無いのは理解してもらえるのでは無いだろうか。 少なくともあなたが普段使っているケータイメールは今や「他の端末やPCからもアクセス可能」に
![ワンタイムパスワードの送付先にケータイメールは相応しくない | [ bROOM.LOG ! ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d71ff5111e05619a10d29bb40d7aebaa75c8fbc/height=288;version=1;width=512/https%3A%2F%2Fs0.wp.com%2Fi%2Fblank.jpg)
パスワード不要のログインシステム「Mozilla Persona」、Gmailアドレスに対応
Mozillaは8月8日(現地時間)、パスワード不要のログイン認証システム「Mozilla Persona(コードネーム:BrowserID)」で、米GoogleのGmailのアドレスを利用できるようにしたと発表した。Personaに対応したWebサイトでは、Gmailのアドレスでサインインできる。 Personaは2011年7月にBrowserIDというコードネームで発表された、メールアドレスと1つのパスワードだけで対応サイトにログインするシステム。新たなログイン名とパスワードを作成しないでサービスにサインインでき、Webサイトにメールアドレスのパスワードを渡さずに済むので安全でもある。大まかな仕組みは、Mozillaのサーバに保存されたメールアドレスと暗号化されたパスワードをクライアント側の暗号化証明書と照合することで、ユーザーのメールアドレスを証明する。 既に米Yahoo!のメールア
ニュース - あなたのパスワード、バレてます(WIRED.jp):ITpro
マット・ホーナン|MAT HONAN US版『WIRED』およびWIRED.comガジェットラボのシニア・ライター。この記事の速報はWIRED.comで大ヒットとなった。 人生を狂わすパスワード 手元の秘密がひとつ暴かれるだけで、あなたの人生は崩壊しかねない。そもそも、その秘密は意外とガードがゆるい。無頓着な人なら6文字、警戒心の強い人なら16文字。その簡単な文字列が、あなたのすべてをあらわにしてしまう。 メール、銀行口座、住所にクレジットカードの番号から、子どもたちの写真、いまこの文章を読んでいるあなたの居場所まで、パスワードさえあれば大切な情報は守ることができるとされてきた。しかし、それは迷信、幻想、時代遅れだ。 パスワードがどんなに複雑でも、独特でも、個人情報は守れない。 いまやハッカーがコンピューターシステムに侵入してユーザー名とパスワードの一覧をウェブで公開したり、それを転売した
テキスト共有サイトの投稿からパスワードなどを抽出してツイートするボット「Dump Monitor」 - GIGAZINE
By Lorraine Murphy PastieやPastebinなどのテキスト共有サービスは、インターネットのクリップボードのようなもので、テキストをコピーアンドペーストで貼り付けてアップロードすれば誰とでも共有できるという大変便利なものであり、Internet Relay Chat(IRC)の場として アノニマスやLulzsecも使用しているとのことです。しかしながら、警戒心の薄いユーザーが個人情報を含んだテキストをアップロードしてしまったり、ハッカーがクラックして得た個人情報などを投稿することがあるようです。このような個人情報を含んだテキストだけを拾い上げ、メールアドレスやパスワードなどを抜き取ってツイッターで全世界に公開してしまう恐ろしいボットが「Dump Monitor」です。 RaiderSec: Introducing dumpmon: A Twitter-bot that
自分のパスワードを棚卸ししてみた
筆者は2013年4月に、3年強に及んだ出向を終えて日経BP社に復帰した。復帰に伴い、名刺に刷る(社外の人に伝える)メインのメールアドレスが、日経BP社のものに戻った。出向時のアドレスは使えなくなったので、このアドレスをログインIDとしていたいくつかのサービスでは、ログインIDの変更や場合によってはサービスの再登録が必要になった。 会社が変わると、交通費の精算や勤怠管理のための社内システムも変わる。久しぶりに社内システムにアクセスしたときに直面したのは、それぞれのサービスのパスワードが3年ぶりでは全く思い出せないという事実。しかたなく担当部門に連絡を取り、パスワードを再設定した。 そんなときに自身が編集作業でかかわったのが「【最新サイバー攻撃に備える】現実的なパスワード管理を考える」という記事。この記事では、会社で使うパスワードと個人用に使うパスワードはしっかり分けるようにとある。自分で覚え
我々はこうしてだまされた――Twitterハッキングの被害企業が手口を公表
Twitterアカウント乗っ取りの被害に遭ったOnionが、従業員が詐欺メールにだまされて次々にアカウントを乗っ取られるに至った経緯を公表した。 米パロディニュースサイト大手の「Onion」が、Twitterのアカウントを乗っ取られ、不正なツイートを投稿されるに至った経緯をブログで公表している。原因は一部の従業員がフィッシング詐欺メールにだまされて、Google Appsのアカウント情報を入力してしまったことにあるという。 Onionのアカウントは米国時間の5月6日ごろ、「シリア電子軍」(SEA)を名乗る集団に乗っ取られ、不正なツイートを掲載された。SEAは米AP通信や英有力紙Guardianなど、大手マスコミのTwitterアカウントが乗っ取られた事件でも犯行声明を出している。 Onionの場合、発端は5月3日ごろに複数の従業員に届いたフィッシング詐欺メールだった。このメールは国連難民高
狙われた「使い回しアカウント」
4月は日本のサイトで多数の不正アクセスがあり、パスワード攻撃、その中でも特にどこかから流出したと思しきIDとパスワードのリストを使った攻撃が話題となりました。 4月は日本のサイトで多数の不正アクセスがあり、パスワード攻撃、その中でも特にどこかから流出したと思しきIDとパスワードのリストを使った攻撃が話題となりました。一方海外では、AP通信のTwitterアカウントが乗っ取られて株価に影響が生じ、サイバー攻撃と現実がリンクすることに、あらためて驚きを感じた人が多かったようです。 遠隔操作ウイルス事件のその後も引き続き話題となっています。容疑者は再び逮捕されました。また、事件で注目を集めた「Tor」による通信に対し、警察が遮断を求めているのではないかという報道があり、「官による検閲ではないか」とこれも大きな話題になりましたが、どうやら勘違いだったようです。 使い回しのID/パスワードを狙った不
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired
多要素認証クラウド「Symantec VIP」新版、グループ管理機能など強化
不正ログインの攻撃はどこからきて、どんなパスワードを試しているか
So-net セキュリティ通信
Googleが不正ログイン対策の心得、ますはパスワードについて指南 