ネット証券、セキュリティのずさんさ露呈 ID・パスワードだけで入れる「裏口」に批判
2月から取り沙汰されてきたネット証券への不正アクセス・不正取引を巡り、新たな騒動が巻き起こっている。4月30日にSBI証券が、多要素認証なしにログイン可能だった「バックアップサイト」の閉鎖を発表した他、5月1日、SNSで人気の投資家・テスタさんが証券口座を乗っ取られたと投稿。一連の出来事をきっかけとして、大手2社を中心に、ネット証券のセキュリティ的な危うさに批判が集中している。 SBI証券は4月30日、「昨今確認されているフィッシング詐欺・不正アクセスなどを防止する」として、5月30日にバックアップサイトを終了すると予告した。同サイトは、同社のメインサイトがログイン不能などの不測の事態に陥った際のバックアップとして提供されてきた手段の一つだ。 しかし第三者によるネット証券の“不正取引”が注目を集める中、ID・パスワードのみでのログインが可能な点に対し、セキュリティの甘さが指摘されていた。今
Microsoft、ASP.NETマシンキーの公開によるセキュリティリスクを警告:3,000以上のWebサーバーが危険に - イノベトピア
Microsoft、ASP.NETマシンキーの公開によるセキュリティリスクを警告:3,000以上のWebサーバーが危険に Microsoftは2025年2月8日、ASP.NETのマシンキーに関する重大なセキュリティ警告を発表しました。2024年12月、サイバー攻撃者が静的なASP.NETマシンキーを悪用し、「Godzilla」と呼ばれるポストエクスプロイトフレームワークを使用した攻撃を実施していることが確認されました。 攻撃の概要と影響 Microsoftの調査では、少なくとも3,000個の公開されたASP.NETマシンキーが発見されました。これらのキーは複数のコードリポジトリで公開されており、誰でもアクセス可能な状態にあります。 攻撃者はViewStateの操作を通じて、公開されているマシンキーを使用して悪意のあるコードを作成し、POSTリクエストを通じて標的のWebサーバーに送信します
「Cookieの同意」とは?同意/拒否した際の影響は
タグ 4KAIApex LegendsbluetoothChromeExceleスポーツGoogleKeepGoogleスプレッドシートGPSHDDIoTITLANLANケーブルLegendsMacNFTPodcastPUBGREDEESNSSSDVRWeb3Web会議Wi-FiWindowsWindows10Windows11YoutubeZing!ZoomアプリあるあるインターネットウイルスオンラインゲームカメラキャリアクイズクラウドゲーミングPCゲームサーバサーバーサービスショートカットキースポーツスマートフォンスマートホームスマホセキュリティソシャゲダビングディスプレイテレビテレワークトラブル解決ニュースバードウォッチングパスワードパソコンパソコン周辺機器バックアップハッシュタグ検索ピックアップフォートナイトブラウザプログラミングプログラムプロバイダーヘッドフォンマルウェアメールメ
ニコニコ、他サービスで同じパスワード使用は変更推奨へ KADOKAWA情報漏洩を受け注意喚起
システム障害の渦中にあるKADOKAWAは28日、ランサムウェア攻撃による情報漏洩(ろうえい)が確認されたとし、同社サイトに「お知らせとお詫び」書面を掲載した。これを受け、ニコニコ公式は「念のため、ニコニコアカウントと同じパスワードを他サービスでもお使いの場合は、パスワードを変更することを推奨いたします」と注意喚起した。 この記事の写真はこちら(全10枚) KADOKAWAの書面では「当社グループでは、データセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩の可能性について調査を開始しており、現在も継続中です」と説明。そして「その最中、当該ランサムウェア攻撃を行ったとする組織が、当社グループが保有する情報を流出させたと主張しています。当社グループは、当該組織の主張内容の信憑性について
画像生成ソフトウェア「ComfyUI」のノードにキーロガーが仕込まれていたことが発覚、クレジットカード情報やパスワードなど全ての入力が筒抜けに
ノードベースの画像生成ソフトウェア「ComfyUI」向けに作られたノードの一つ「ComfyUI_LLMVISION」にマルウェアが仕込まれていることがわかりました。発覚後、ComfyUI_LLMVISIONのGitHubリポジトリが削除されています。 PSA: If you've used the ComfyUI_LLMVISION node from u/AppleBotzz, you've been hacked byu/_roblaughter_ incomfyui クリエイターのロブ・ラフター氏がRedditで共有したところによると、ComfyUI_LLMVISIONをインストールして使用した場合、ブラウザのパスワード、クレジットカード情報、閲覧履歴がWebhook経由でDiscordサーバーに送信されてしまうとのこと。 ラフター氏自身も影響を受け、ComfyUI_LLMVISIO
メールアドレスをキーにしてID連携を行う設計の危うさ|ritou
ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセス
個人情報保護委、ChatGPT提供の米OpenAIに行政指導 人種や信条、病歴などを取得しないよう要請
個人情報保護委員会は6月2日、AIチャットサービス「ChatGPT」などを提供する米OpenAIに対し、個人情報保護法に基づく行政指導を行ったと発表した。本人の同意なしで、ChatGPTの利用者と利用者以外の要配慮個人情報(人種、信条、社会的身分、前科・前歴、病歴など)を取得しないよう注意したという。 機械学習の際にも要配慮個人情報が含まれないようにし、収集した情報にそれらが含まれた場合は削除、個人が識別できないようにするよう呼び掛けた。さらに、個人や保護委が要配慮情報の収集中止を要請した場合、正当な理由がなければ指示に従うよう求める。 保護委はこのOpenAIへの注意喚起に合わせて、行政や企業、個人に対して生成AIを利用する場合の注意事項も発表。個人情報を入力する場合は必要最低限にとどめること、利用するサービスが個人情報を機械学習に利用するか確認することなどの点に注意するよう呼び掛けてい
アップルに「アプリストア」開放義務づけへ、政府が新たな巨大IT規制…他社参入促す
【読売新聞】 政府は巨大IT企業が運営するサービスに新たな規制を導入する方針を固めた。スマートフォンのアプリ入手に使う「アプリストア」に関し、他社のサービスも使えるようアップルに義務づける。グーグルには検索結果表示で自社サービスを有
システム管理をしていた元社員による社内データ削除事案についてまとめてみた - piyolog
2023年1月24日、警視庁は退職後に男が元勤務先のデータの削除を行ったとして不正アクセス禁止法違反と電子計算機損壊等業務妨害の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 退職時に社内システムの認証情報を持ち出しか 容疑は不正アクセス禁止法違反と電子計算機損壊等業務妨害。男は2022年6月4日、自宅近くの喫茶店のWifiに接続し、以前に勤務していた都内の電気計器メーカーの元同僚のIDを使って、元上司のPCを遠隔操作し、社内ネットワークやクラウドサービスに不正ログイン。サーバー上で保管されていたデータを削除することで同社の業務を妨害した疑いがもたれている。*1 *2 男は取り調べに対して「自分は行っていない」と容疑を否認している。男は社内で人間関係の悪化(元同僚とのトラブルと報道)を理由に2021年12月に同社を退職しており、警視庁は同僚らへの嫌がらせを目的に行ったとみ
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - GMO Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
新生銀、顧客8900人の口座番号や暗証番号を外部業者に流出:朝日新聞
新生銀行は27日、少なくとも顧客約8900人分の口座番号や暗証番号を含む個人情報が、提携先の広告事業者に流出する仕組みになっていたと発表した。不正利用などの被害は確認されていないという。 新生銀のカ…
LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード
LINE Payは12月6日、13万3484アカウントの一部決済情報がソースコード共有サイト「GitHub」上で閲覧できる状態になっていたと発表した。すでに情報は削除しており、該当ユーザーへ個別に案内。現時点ではユーザーへの影響は確認されていないという。 国内ユーザーで5万1543アカウント、海外を含めると13万3484アカウントが対象。閲覧できた情報は、LINE内でユーザーを識別するための識別子(LINE IDとは異なる)、システム内で加盟店を識別する加盟店管理番号、キャンペーン情報の3点。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。 決済情報の該当期間は、2020年12月26日から21年4月2日まで。情報が閲覧できる状態だったのは、21年9月12日午後3時13分頃から11月24日午後6時45分まで。期間中、外部からのアクセスは11件確認
日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立
2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き
「PCからウイルスを検出しました」 偽の警告で恐怖をあおる「サポート詐欺」の手口を描いた実録漫画
PC作業中に表示された警告に動揺し、「サポート詐欺」にだまされかけた――。危うい体験を描いた漫画に注目です。気を引き締める意味で大事なお話。 怪しい警告を信じるとどうなるか…… 漫画をまとめて読む Twitterユーザーのはる(@harushibutani)さんが、PCで調べ物をしながら絵の勉強をしていた日のこと。ブラウザから警告画面が次々とポップアップし、PCがトロイ(の木馬)に感染したとのアナウンスが女性の声で流れました。 マイクロソフトを名乗る音声は「フリーダイヤルで当社に今すぐお電話ください」とひたすら連呼。そうしなければPCを無効にするとまで言われて、はるさんはパニックに陥ってしまいました。 家に独りきりの不安から、話を聞くだけ聞いてみようとスマホを手に取るはるさん。焦りと恐怖と心細さで判断力を失い、フリーダイヤルと言いながら「0120」でなく「050」で始まる番号へ、そのまま発
Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | DevelopersIO
こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
生成AI悪用し楽天モバイルに不正アクセス、1000件以上の回線入手し転売か…容疑で中高生3人逮捕(読売新聞オンライン) - Yahoo!ニュース
Android版「PayPay」、マイナンバーカードのスキャンで本人確認可能に
迷惑メールに返信したら返事がきた、怖い→全く関係無い一般人が本人も気づかず送ってしまっている「知らずに煽っていました」
個人情報って氏名のことですよね?
