サプライチェーン攻撃が多発し、被害が後を絶たない。セキュリティが手薄な中小企業を攻撃し、それを足掛かりとしてターゲット企業に侵入しようという策略だ。 こうして油断が許されない状況の中で、またサイバー攻撃の新たな一手が明らかになった。これにまんまと引っ掛かると「Microsoft 365」アカウントが乗っ取られ、攻撃者のやりたい放題になるという。その卑劣なやり口とは? 問題のサイバー攻撃は中小企業をターゲットにしたもので、正規のテクニカルサポートと見せかけてフィッシング攻撃を仕掛け、重要情報を盗み出そうとする。しかも、Microsoftのサポートチームになりすました攻撃だというからタチが悪い。Microsoftのテクニカルサポートと聞くと、ウッカリしていなくてもだまされてしまいそうだ。 この件について、2023年8月2日にMicrosoftが自社ブログで報告し、それを受けて『Reuter』な
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
こんなの簡単かと思いきや、はまってしまった。 とりあえずこれでOK #/etc/ssh/sshd_config PasswordAuthentication no ChallengeResponseAuthentication no KbdInteractiveAuthentication no UsePAM Yes UsePAMについては、とにかくこうしろと、sshd_config内に記述がある。 # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication a
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米ノースイースタン大学などに所属する研究者らが発表した論文「Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings」は、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告である。攻撃者は、ユーザーのスマートフォンに複数のテキストメッセージを送信する。ユーザーの自動配信の返信のタイミングによって、ユーザーの位置を三角測量で特定できる。 攻撃は、SMSの送信者がネットワークを介し
インターネットや国際電話など、世界における国際データ通信の約99%を担っている海底ケーブル。だが海底ケーブルの障害は「度々発生している」(インターネットイニシアティブ=IIJ広報)のが現実で、通信が途絶するリスクは常にある。海底ケーブルを経由する通信が盗聴されるリスクもあり、通信の重要度に応じた対策が求められる。 沖縄近海に敷設された海底ケーブルに盗聴器が取り付けられていた――。複数の報道機関が、在沖縄米軍向け情報誌「This Week on Okinawa」の2023年6月4日号を引用する形で報じている。 盗聴リスクが発生する可能性が最も高いのは、「海底ケーブルの製造工程で盗聴装置を組み込まれること」(慶応義塾大学大学院政策・メディア研究科の土屋大洋教授)だという。製造工程ではなく後付けで盗聴装置を取り付けた場合、光信号は盗み出せても、第三者が通信内容を把握するには、光信号を電気信号に変
はじめに 社内インフラの運用担当者にとってソフトウェアのバージョンアップは地味な割に大変な業務です。 特に社内のオンプレサーバで動いているようなソフトウェアの場合、バージョンアップに伴う諸々の調整をそのソフトウェアを利用している各部署と行う必要があります。 そんなときに「今は忙しいからバージョンアップを先送りしてほしい」「このバージョンはスキップしてもよいのでは?」なんて声が各部署から聞こえてきます。バージョンアップの価値を各部署に理解してもらうのは大変です。 この文章はそんな時になぜバージョンアップしなければならないのかを上司や各部署のマネージャに伝えるために書きます。 ソフトウェアの有効期限は2-5年 まず、第一に、ソフトウェアというものは無限に使えるわけではなく、一定の有効期限があり、それを過ぎると徐々に動かなくなってきます。俗にいう「何もしてないのに動かなくなった問題」です。 なぜ
Universal and Transferable Adversarial Attacks on Aligned Language Models Andy Zou1, Zifan Wang2, Nicholas Carlini3, Milad Nasr3, J. Zico Kolter1,4, Matt Fredrikson1 1Carnegie Mellon University, 2Center for AI Safety, 3 Google DeepMind, 4Bosch Center for AI Overview of Research : Large language models (LLMs) like ChatGPT, Bard, or Claude undergo extensive fine-tuning to not produce harmful content
巷で話題の初期化済みの体表温度計が入手できたので、この温度計の記録媒体を解析し、削除されたとみられるファイルが本当に削除されているかどうか確認を行いました。 対象となるデバイスは、ディスプレイの上にあるカメラで顔を写すと検温してくれる非接触体表温度計です。コロナ禍に店先によく置かれていたやつです。ある方の解析によると、検温した方の顔写真がデバイス内に記録されているものがあり、オークションサイトで購入した中古品に残存していたとのことです。 今回は、同様のデバイスで初期化済みのものが入手できましたので、利用者の顔写真が完全に削除されているか解析を試みました。 eMMC取り外し まず本体を分解し基板を観察したところ、8GバイトのeMMCと呼ばれるフラッシュメモリが見つかりました。これをリワークマシンを使用して取り外します。 弊社にはERSA社のリワークマシンHR550があり、eMMCのような裏面
私は主に某android端末をMagiskによってroot化して使用しています。 時々飛んでくるソフトウェアアップデートの際に行っていたroot権限維持の方法が、Magisk v22からは多少異なっていたため、備忘録として残しておきます。 というか以前より簡単になっていたので、わざわざ記事にするまでもないまであります。 詳しいお友達には釈迦に説法なので、誰向けな内容なのか全く分からない。 これまでの方法 Magisk v22 までは、カスタムリカバリ(TWRP)を用いてシステムイメージを焼き、その後にMagiskをインストールし直す、というのが一般的だったと思います。 少なくとも私はそう思っていました。 私の環境ではTWRPを導入してしまうと色々と不具合があったため、デフォルトリカバリのままにしておきたい事情がありました。そのため、毎回adb bootでTWRPのイメージファイルを起動して
あらすじ 公衆WiFiに繋いだ状態でいつものように docker container run -p 8080:80 nginx のような感じでDockerコンテナを動かしていたら、外部からリクエストを受信した。 ファイアウォールを設定し、外部からのアクセスを拒否しているはずなのになぜアクセスできたんだ... 環境 Docker desktop for mac with apple silicon 4.21.0 何が起きた? Dockerはデフォルトの設定では-p 8080:80のようにポートマッピングするとファイアウォールの設定を書き換え、外部からそのポートへのアクセスを許可するようになっている。 その結果LAN内の他のPCから対象ポートにアクセス出来てしまう。 ちなみにこれはDocker公式からも注意が出ている。 Publishing container ports is insecur
ツイッターに児ポをアップしたい……! どうもツイッターに児ポをアップしたい太郎です。みなさん、ツイッターに児ポをアップしたいですか?なんとツイッターに児ポをアップする方法があるらしいんですよ~ どうやればツイッターに児ポをアップできるのか、その謎を探るべく我々はアマゾ 画像に付加情報をつけるには まずはこちらの俺のツウィートをご覧ください ネタばれすると ①まず普通に辿って「かべけしてさいしょから」になります ②壁を消して最初からやると今度は「さいどあげろ」と出ます ③彩度を上げると赤文字で「透過部分を読め」と出ます ④透過率のある部分に色付けすると「画像をメモ帳で開いて出てきた問題に答えよ」と出ます ⑤画像をメモ帳で開くと問題が出てきます すごくね? いや、ファイルをバイナリで扱ってる人にとってはshift-jis仕込んだだけじゃんと思われるかもしれませんが、そこじゃないんです。 ツイッ
ポートノッキングとはデフォルトではファイアウォールによって閉じられているポートを外部から密かに開く方法です。ポートノッキングでは予め決めておいた順番で閉じているポートを叩きます。正しい順番のポートの"ノック" (接続試行) を受け取ったとき、ファイアウォールは特定のポートを開いて接続を許可します。 標準的なポートスキャンに対して、ポートのサービスが使われていないかのようにみせかけることができるという利点があります。この記事ではデーモンや iptables を使ってポートノッキングを利用する方法を説明します。 警告: ポートノッキングはあくまでセキュリティ戦略の一環として考えてください。ポートノッキングだけでシステムを防護することは不可能です。遮蔽によるセキュリティ (攻撃者が知らないことを前提とするセキュリティ) は脆いものです。SSH を保護する場合、ポートノッキングと組み合わせて使うこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く