グーグル、量子耐性のあるFIDO2セキュリティキーの実装を公開
Googleは米国時間8月15日、量子耐性暗号の導入に向けて取り組む中、オープンソースのセキュリティキーファームウェア「OpenSK」の一部として、量子耐性FIDO2セキュリティキーの実装を公開したと発表した。 セキュリティキーは、コンピューターやスマートフォンに接続する小さなドングルで、アカウント認証のためのセキュリティの低いSMSメッセージに代わるものだ。 アカウントにログインして認証を求められた場合に、スマートフォンのテキストメッセージで受け取ったコードを入力する代わりに、セキュリティキーをタップするだけでログインできる。 しかし、量子コンピューターによって、現在は不可能と思われているワークロードが処理可能となる時代に突入しつつある中で、それが表す演算能力の急激な高まりに応じてセキュリティを強化する必要がある。 「量子攻撃はまだ遠い未来のことだが、インターネット規模で暗号化を導入する
NFTに対する技術的な誤解
はじめに 「メタバース上の土地は買うべきか」から始まり、NFTの価値は信仰によるものであるとの一連の流れを読み大変感銘を受けた。 kumagiさんのNFTの価値は信仰によるものであるとの指摘も、sasakiさんの自分の興味からNFTを買った話も、どちらも私個人としては理解できる話であった。 一連の議論のリンクは貼っておくので、詳しく知りたい方は見てほしい。 NFTとメタバースについて思うこと 空想のNFTと現実のNFT Re: 空想のNFTと現実のNFT Re: Re: 空想のNFTと現実のNFT Re: Re: Re: 空想のNFTと現実のNFT さて、これらの議論に対するtwitterをはじめとするSNSのコメントを見ると、技術的に誤った情報の配布や誤解を生みかねない表現を使ってNFTの価値について語っている人が想像以上に多く感じた。 ブロックチェーンやNFTは新しい技術分野であるため
【セキュリティ ニュース】次世代セキュリティ製品の検知回避を狙う「Emotet」(1ページ目 / 全2ページ):Security NEXT
約5カ月の沈黙を経てふたたび7月に活動を再開したマルウェア「Emotet」。近年注目されている機械学習ベースのマルウェア対策製品から検知を回避する機能なども備えていた。 大量の亜種により、定義ファイルベースの製品による検出を逃れる手法は、多くのマルウェアで見られるが、7月以降出回っている「Emotet」ではサンドボックスを利用したゲートウェイ製品や、機械学習により作成されたマルウェアの検出エンジンなど、いわゆる「次世代セキュリティ製品」の検知を回避しようとする機能を備えていた。 ゲートウェイによる検出を避ける手段としては、パスワードを用いないとファイルを開けない暗号化した「zipファイル」を悪用している。 メールに記載されたパスワードを用いてzipファイルを復号し、チェックが行える製品も一部存在しているが、OSの標準機能では復号できない「AES 256ビット」の暗号化を用いることで高度な検
あるスマートロックの脆弱性から考える、IoTのセキュリティ課題
フィンランドのセキュリティ会社F-Secure(エフセキュア)は2019年12月11日、韓国KeyWe(キーウィー)社が開発/販売するスマートロック「KeyWe Smart Lock」に脆弱性があることを発表した。この脆弱性を悪用することで、第三者がスマホアプリとスマートロック間のBLE(Bluetooth Low Energy)通信を傍受して鍵を取得し、ドアの解錠/施錠などができてしまうという。 F-Secureでは8月にKeyWeへの脆弱性報告を行い、これまでソフトウェアパッチの検証などで協力してきたという。調査に当たったF-Secureの担当者は、「KeyWeは決してセキュリティをおろそかにしていたわけではない」と説明する。脆弱性が生じた背景を、メールインタビューで詳しく聞いてみた。 クラウドファンディングで人気を集めたが…… KeyWe Smart Lockは、KeyWe社が「Ki
防ぎようはあるのか HDD横領転売事件から見える「サプライチェーン・リスク」
防ぎようはあるのか HDD横領転売事件から見える「サプライチェーン・リスク」:半径300メートルのIT(1/2 ページ) 神奈川県庁が行政文書を保存していたHDDが廃棄業者に横領され、ネットオークションで販売されていた事件が話題です。同県庁は被害について「想定外」と述べていますが、一番の被害者は住民の方。このような事件の防止策はあるのでしょうか? 問題のHDDは、神奈川県庁がファイルサーバのハードウェアを更新した際に破棄したものでした。これら産業廃棄物の破棄の手順は「マニフェスト制度」によって厳密に定められています。神奈川県庁は正規の手順に従い、廃棄業者を通してHDDを処分しました。しかし、廃棄を請け負った企業の従業員が破壊対象のHDDのうち18台を横領し、ネットオークションに出品していたのです。 HDDの落札者がデータ復元を試してみたところ、住民の個人情報を記録した行政文書とみられるデー
暗号化したままデータ演算ができる秘技「秘密計算」、主要方式とOSSを一挙紹介
「秘密計算」を用いると、複数の組織間で機密データを持ち寄り暗号化したまま安全に結合・分析できる。秘密計算は1980年代に基礎的な方式が提案されて以来、様々な方式が研究されており、既に実用段階にある。特に組織間でのデータ結合が可能な秘密計算について、代表的な方式に基づくオープンソースソフト(OSS)やサービスを紹介する。 暗号化したまま足し算や掛け算をする方式 秘密計算でもっとも分かりやすい方式としては、暗号化したまま足し算と掛け算のどちらか一方を行う「準同型暗号」や、暗号化したまま足し算と掛け算のどちらも行う「完全準同型暗号」を用いた方法である。これらの暗号技術を用いると、組織AがもつデータAと組織BがもつデータBを暗号化したまま計算できる。 例えば、オンラインショップAとオンラインショップBの売上データを互いに秘匿しながら、ショップAのある商品を買った顧客はショップBのある商品を買う傾向
「データ無意味化」で情報漏えいリスクを排除--セキュリティベンチャーの挑戦
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報漏えいに関する事件や事故は毎日起きているといっても過言ではない。原因には、PCの紛失・盗難や置き忘れがある。不正アクセスやパスワードが盗まれることもある。いずれにしろ、個人情報が流出すれば、社会的な信用を失うことになりかねないので、多くの企業がさまざまなセキュリティ対策を施す。 だが、完璧な防御策はない。そんな企業に、データを無意味化する安価な対策を提案するのがITセキュリティベンチャーのZenmuTechだ。簡単に言えば、データを意味のないものに変換した後、複数の場所に分けて保存する仕組みである。パスワードがない暗号化ともいえる。同社の田口善一社長は、それを実現する秘密分散と秘匿計算の2つの技術を紹介する。 秘密分散と秘匿計算の2
Let's encryptとSSL/TLSに関する誤謬 - Chienomi
全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 そもそもSSL, TLSとは何か SSL/TLSは暗号化技術である。 SSL/TLSのデータ通信自体は対称暗号である。ただし、暗号化に利用する暗号鍵は使い捨てる。 Cipherはかなり色々使えるのだけど、だいたいはTriple DES (3DES)かAESが使われる。 その手順は <- HelloRequest -> ClientHello <- ServerHello <- ServerCertificate <- ServerKeyExchange <- ServerHelloDone -> ClientKeyExchange -> Finished -> ChangeCipherSpec <- Finished <- ChangeChiperSpec <-> Application Dat
TLS1.3はIoTデバイスに最適な暗号化技術、キヤノンITSがデモを披露
TLS1.3はIoTデバイスに最適な暗号化技術、キヤノンITSがデモを披露:ESEC2018&IoT/M2M展 キヤノンITソリューションズ(以下、キヤノンITS)は、「第21回 組込みシステム開発技術展(ESEC2018)」(2018年5月9~11日、東京ビッグサイト)において、同年3月末に仕様が確定したTLS(Transport Layer Security)1.3のデモを披露した。 キヤノンITソリューションズ(以下、キヤノンITS)は、「第21回 組込みシステム開発技術展(ESEC2018)」(2018年5月9~11日、東京ビッグサイト)において、同年3月末に仕様が確定したTLS(Transport Layer Security)1.3のデモを披露した。 TLSは、インターネット上でデータを暗号化して送受信するためのプロトコルである。最新版のTLS1.3は、暗号処理などセキュリティ
暗号化された電子メールが読み取られるおそれ--「EFAIL」脆弱性が明らかに
電子メールの暗号化に脆弱性があり、ハッカーらにメッセージを読み取られるおそれがあるという。 欧州の研究者らによって「EFAIL」と名付けられたこの脆弱性は、PGPなどの電子メール暗号化規格を破るものではないが、電子メールクライアントがHTMLコードを読み取る方法に関連する脆弱性を利用する。ハッカーらはこれを利用して、不正なHTMLタグ(外部にロードされた画像へのリンクなど)を埋め込んだ電子メールを送信することにより、PGPやS/MIMEで暗号化されたメッセージを読み取ることができると研究者らは述べている。 EFAILに関する研究者の1人で、ミュンスター応用科学大学でコンピュータセキュリティを専門とするSebastian Schinzel教授は、「現在のところ、この脆弱性に対する信頼できる修正方法はない」とTwitterで述べた。 複数の処理を実行しなければ、この脆弱性を利用して暗号化された
[特報]トヨタとホンダの暗号車、富士通が基盤開発
トヨタ自動車とホンダが2019年からクルマに採用する暗号技術の基盤開発を、富士通が手掛けたことが日経 xTECH/日経Automotiveの取材で分かった。国内大手2社の採用で、富士通の基盤が日本における車のハッカー対策の事実上の標準になる。 2社の決断が、他の日系メーカーに波及する可能性は高い。トヨタと資本関係があるSUBARU(スバル)が、富士通製の採用を検討する。トヨタと米国で共同工場を造るマツダも続く可能性がある。日系自動車メーカーの暗号技術基盤を、富士通がほとんど一手に担いそうだ。 トヨタとホンダは、車の部品間の通信に使う暗号鍵を安全に生成し、管理する「鍵管理センター」と呼べるものを構築する。2社の暗号鍵の生成・管理基盤を富士通が手掛けた。 鍵管理センターは、富士通のサーバー「PRIMERGY(プライマジー)」で構築する。仏タレス(Thales)が最近買収したICカード大手ジェム
![[特報]トヨタとホンダの暗号車、富士通が基盤開発](https://cdn-ak-scissors.b.st-hatena.com/image/square/e0e9aec4bfc7d7b7446b534a65468d9ea3891177/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fcolumn%2F18%2F00001%2F00185%2Ffujitsu_top_m.jpg%3F20220512)
IoTセキュリティー機能を内蔵したSIMの開発がスタート - 週刊アスキー
大日本印刷とNTTコミュニケーションズは3月5日、通信データの暗号化などIoT機器のセキュリティーを向上させる機能を追加した、SIMおよびeSIMの開発を発表した 開発するSIMは、モバイル回線の加入者を認証する機能や、暗号鍵などのデータを用いたIoT機器の識別や認証、通信データの暗号化と真正性の確認、ソフトウェア改ざんなどの不正を検知するセキュリティー機能を備えている。ICチップ内にセキュリティー機能を実装することで、物理攻撃や暗号を不当に解読するサイドチャネル攻撃、機器内部のハードとソフトの構造に対する解析、改ざんに対する耐性が強いとする。 さらに今後はIoT機器に搭載するOSやアプリケーションの改ざんを防止するために、SIMチップ内で管理する秘密鍵やホワイトリストを用いて、署名検証やIoT機器のセキュアブートの機能を持たせるという。 2社は今後、共同でセキュリティー機能付きSIMに関
無料でAES256で暗号化された静的HTMLページを簡単に作成できる「StatiCrypt」
暗号規格のJavaScriptライブラリである「crypto-js」を用い、サーバサイドではなくクライアントサイドで復号化できる静的なパスワードで保護されたHTMLページを作成できるのが「StatiCrypt」です。使用される暗号化方式は「AES256」です。 Static HTML Crypto https://robinmoisson.github.io/staticrypt/ 使い方は簡単で、1番上の「Passphrase」にパスワード、「HTML/string to encrypt」に暗号化したいHTMLページのコードを入力し、青色の「Generate passphrase protected HTML」をクリック。その後、ページ最下部にある緑色の「Download html file with password prompt」をクリックすれば、パスワードで保護されたHTMLページ
ランサムウェア対策を大幅に強化 - 最新バックアップソフト「Acronis True Image 2017 New Generation」発表会
データ保護の観点でセキュリティ機能を強化し、ランサムウェアに対抗 アクロニス・ジャパンは2月15日、定番バックアップソフトの最新版となる「Acronis True Image 2017 New Generation」を発表した。 従来製品は永続ライセンス版とサブスクリプション形式に分かれていたが、ATI2017NGはプレミアム版サブスクリプションでの提供となる。1TBのクラウドストレージも標準で付属。1年間の税別価格は、PC×1台版が9,980円、PC×3台版が14,980円、PC×5台版が15,980円だ。なお、クラウドストレージは有償で5TBまで増やせる。従来のAcronis True Image 2017は継続販売され、サブスクリプション版はStanderd版として提供を続ける。 2月15日に開催された発表会では、アクロニス・ジャパンの代表取締役 大岩氏が以下のように述べた。 アクロ
認証ビジネスの“ゲームチェンジャー”と評される「MIRACL Trust ZFA」
サーバ側のパスワード管理や専用認証デバイスを不要にした強固な認証システム「MIRACL Trust ZFA(Zero-Factor Authentication)」は、既にNTTソフトウェアなどが自社ソリューションに組み込んで提供している。今回は開発元である英国MIRACLの日本法人にZFAの仕組みや可能性について話を伺った。 EC(電子商取引)サイトやインターネットバンキングなど、我々の生活に直結するサービスがオンライン化する現状を踏まえ、認証システムの重要性に注目が集まっている。これまでのID・パスワードでは物足りず、セキュリティトークンも多くの問題を潜在的に抱えており、指紋認証に代表される生体認証が広まりつつあるのが現状だ。だが、ID・パスワードは利用者側から見れば面倒なパスワード管理を強いられ、管理者側から見れば認証情報の保管や管理が求められる。セキュリティトークンはハードウェアや
セキュリティ施策を不要にする、「秘密分散技術」を日本から世界に
データを細切れにして暗号化し、複数の記録媒体に分散することで安全性を高める「秘密分散技術」。同技術に基づく製品「ZENMU(ゼンム)」シリーズを開発・販売するZenmuTech(ゼンムテック)は、2017年2月に銀行系や大学系ベンチャーキャピタルなどから2億5000万円の出資を受け、注目を集める。同月には社名を「TCSI」から「ZenmuTech」に変更。「ZENMUで世界に打って出る」と意気込むZenmuTechの田口善一CEO(最高経営責任者)に、製品の特徴や経営方針などを聞いた。 ZenmuTechの秘密分散技術について教えてほしい。 秘密分散技術そのものは20年ほど前から存在している。データをブロック片に分けて暗号化し、それらを分散して保存するものだ。秘密分散技術でもいくつかの方式があり、これまでは「しきい値秘密分散法」がメジャーだった。7割程度のデータがそろえば情報を復元できると
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Web3」は本物か 巨大ITの支配脱却へ期待先行 Global Economics Trends 編集委員 小柳建彦 - 日本経済新聞
セキュリティ的に意味なし “旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか
量子コンピュータでも解読が困難な新暗号方式が国内で開発
GoogleのSHA-1のはなし
