![セキュリティ事故が起こるといくらお金がかかるのか、JNSAが画期的資料公表 | ScanNetSecurity](https://cdn-ak-scissors.b.st-hatena.com/image/square/6ff68715e125407775daea204093924d3894461c/height=288;version=1;width=512/https%3A%2F%2Fscan.netsecurity.ne.jp%2Fimgs%2Fogp_f%2F35418.jpg)
この2,3週間ほど、私のメールボックスにほぼ毎日bitFlyerのフィッシングメールが届くようになりました。 私はサイバーセキュリティ分野での調査研究をしており、このような詐欺メールはさして珍しいことではありません。しかしこのフィッシングメールが誘導する先のフィッシングサイトは、あまり他に見ない特徴を持っています。そして今後の脅威となる可能性が高いと感じ、この文章を書きました。 フィッシングメール 届いたフィッシングメール自体は、よくあるタイプのものでした。不正なログインがあったからすぐ確認しなさい、と人を慌てさせてリンクをクリックさせる、一般的な手口です。 しかしこのリンク先が、2週間ほど前からGoogleドキュメントへのリンクとなったのです。 リンク先はGoogleドキュメント Googleドキュメントで作られたフィッシングサイトがこちらです。 見て分かるように、厳密にはこれはフィッシ
2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。 【7位】 2要素認証でない「2段階認証」 これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービ
はじめに 過去にWordPressの脆弱性に関するケーススタディをご紹介しました。 Webアプリケーションの脆弱性ケーススタディ(WordPress編) Webアプリケーションの脆弱性ケーススタディ(WordPress編その2) 今回はWordPressのセキュリティ対策を行う上で大切な基本事項をまとめてみたいと思います(本記事はWordPress 4.9.4をもとに書いております。古いバージョンと異なる部分があるかもしれませんので予めご了承ください)。 WordPress本体およびプラグインやテーマのアップデートを行う WordPress3.7以降では初期状態でマイナーバージョンの自動アップデートが有効になっています(1日に2回WP-Cronイベントで更新チェックが行われます)。つまり、バグフィックスやセキュリティパッチなどは自動的に適用されているわけですが、WordPressサポートチ
米オラクルは2018年1月30日(米国時間)、Javaの開発・実行環境「Java Platform, Standard Edition(Java SE)」の商用向け更新版を公式ダウンロードサイトで提供するのは2019年1月までだと公式ブログで発表した。無償サポートは打ち切りになり、商用で更新版を使い続けるには有償サポートを受けるしかなくなる。 この決定に対し、自治体関係者らの間に不安が広がっている。Java実行環境(JRE)を使う自治体の電子入札システムなどが情報セキュリティを理由に使えなくなる恐れがあるためだ。 セキュリティポリシーに抵触 特に影響が大きいとみられるのが日本建設情報総合センター(JACIC)が提供する「電子入札コアシステム」だ。 自治体はJACICのコアシステムをカスタマイズして利用している。コアシステムはJREを使っており、同システムを利用する全ての自治体が影響を受ける
WordPress管理画面への不正アクセスを予防するプラグイン「Simple Login Lockdown」を使ってみました。 「Simple Login Lockdown」について 「Simple Login Lockdown」は、パスワード総当たり攻撃に対抗するプラグインです。 標準的な構成のWordPressでは、ログイン画面のアドレスや管理ユーザー名が推察しやすいため、自動化プログラムを用いた総当たり攻撃により、パスワードが盗まれやすいと言った弱点があります。 「Simple Login Lockdown」は、同一IPアドレスからの連続ログイン失敗を検出すると、該当IPアドレスから一定時間ログインできないようします。 これにより攻撃側の時間を浪費させ、管理者が対策する時間を稼げるようになります。 「Simple Login Lockdown」のインストール 「Simple Logi
お好みのパスワードを生成(自動作成)することができるツールです。 パスワードに使用する文字の種類(数字、英文字、記号)、文字数の長さ、生成する個数を指定可能です。 ご希望のセキュリティ強度、文字、文字数、個数がございましたらご入力、ご選択後に「生成」ボタンをクリックしてください。 再度、「生成」ボタンを押すことで新しいパスワードが生成されます。 ※生成されたパスワードはテキストファイルにてダウンロード可能です。 「パスワードデータをダウンロード」ボタンをクリックしてダウンロードしてください。 ※スマートフォンやタブレットでご利用の方は、生成されたパスワードを直接コピーしてご利用ください。 ※文字数は最大40文字まで、個数は最大1000個までとなります。 ※文字の「記号あり」で任意の記号が選択可能になりました。 ※文字の「頭文字の指定」で頭文字に「英字(大文字)」「英字(小文字)」「数字」が
パスワードを知らなくてもWindowsマシンにログインできるのをご存じですか? ログインする方法はいくつかあり、それぞれ強みと弱みがあります。ここでは3つの代表的な方法とその対策をご紹介します(ちなみに、Macでも方法はあります)。■ 「Linux Live CD」を使う OS自体にはアクセスせずに、ハードディスクドライブからファイルを移すだけなら極めて簡単です。「Linux Live CD」を使ってマシンを起動、お目当てのファイルをUSBフラッシュドライブへドラッグ&ドロップするだけです。 方法:どのバージョンでもいいので「Linux Live CD」のISOファイルをダウンロードしてCDに焼きます(Ubuntuが人気ですね)。ログインしたいWindowsマシンにCDを挿入、そこから起動します。最初のメニューで「Try Ubuntu」を選択。デスクトップ環境が表示されたら、メニューバーの
先日ですが、友人のWordPressが攻撃にあい、フィッシングサイトに利用されるという事件がありました。 サーバー会社に問い合わせをした所、FTPのログインが海外から合ったとの事。 パスワードがどこかから漏れていたのかもしれません。 怖いですね・・・ FTPパスワードが漏れた原因は分からなかったのですが、 出来る事はちゃんとやろうと思いました。 何かがあってからでは、遅いのですからね。 ・・・という訳で、WordPressで出来るセキュリティ対策を10個ご紹介。 プラグインも探してみたので情報をシェアします。 誰かのお役に立てれば幸いです。 1.WordPressを常に最新版に 一番の対策はこれです。WordPressはオープンソースのため、攻撃者はサーバーにどんなプログラムがあるか分かる状態になっています。 脆弱性が周知されているので、攻撃する側も簡単に出来ちゃうんですね。 必ず、最新版
ウェブサイトのパフォーマンスの改善やSEO、セキュリティに役立つ.htaccessの設定を紹介します。 17 Useful Htaccess Tricks and Tips 備考:Apache チュートリアル: .htaccess ファイル、Apache コア機能 [ad#ad-2] .htaccessの設定:パフォーマンスやSEO関連 .htaccessの設定:セキュリティ関連 .htaccessの設定:パフォーマンスやSEO関連 .htaccessでタイムゾーンを設定 .htaccessでタイムゾーンを設定します。 例:東京 SetEnv TZ JST-9 もしくは、 SetEnv TZ Asia/Tokyo .htaccessで301リダイレクトを設定 .htaccessで301リダイレクト(永続的なリダイレクト)を設定します。 例:旧ファイル(old.html)、新ファイル(new
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
海外のウェブサービスにはヨダレもののお宝ファイルがたくさんある。だが最近は日本での人気が高まりすぎて、日本からのアクセスを遮断してしているサービスが意外に多い。せっかく便利に使っていたのに許せん! IPアドレスを偽装して日本以外からのアクセスに見せかけ、規制されているウェブサービスを使い倒そう! ■日本を拒否するムカつく超便利サイト! インターネットラジオサービス「PANDORA」。日本での人気が出始めたくらいに、米国以外からのアクセスが禁止された。サイトへアクセスするとページすら表示されない ■VPN裏活用で規制を回避せよ! 日本からのアクセスが禁止されているサイトにアクセスするには、「Hotspot Shield」を使うのが便利だ。本来は「VPN」という技術を使って無線LANなどの暗号化が十分にされてない環境からネットを安全に見るためのツールだが、利用すると自分のIPアドレスが米国のも
PCの安全性は守りたいけれども、セキュリティソフトをインストールすることでマシンの動作が重くなるのは嫌だ――そんな人はまず、オンラインスキャンから試してみてはいかがだろう。ブラウザから手軽に利用できるのがオンラインスキャンのメリットだ。ここでは、無料で利用できるオンラインスキャンサービスを、利用画面とともに紹介する。なお、オンラインスキャンだけでは問題のあるファイルの駆除ができない場合もある。問題の有無をチェックしたうえで、セキュリティソフトを併用することをお勧めする。 シマンテックは「Symantec Security Check」において、コンピュータが認証されていないインターネット接続を許可していないかどうかをなどをチェックする「セキュリティスキャン」サービスと、ウイルスなどに感染していないかをチェックする「ウイルス検出」サービスを提供している。なお、利用するにはMicrosoft
ファイル共有ソフトや海外のアップローダでダウンロードした素性の知れない怪しげなソフトは、「仮想化」の技術を使って実行してみよう。仮想化技術の中でも最も手軽な「サンドボックス」を使えば、指定したソフトを実際のパソコンから隔離された仮想環境に置いて、安全な状態で試験的に実行できる。 怪しいファイルを手に入れたらサンドボックスを使って動作を確認してみよう。サンドボックスには複数の種類があるが、中でも代表的なのが「Sandboxie」だ。海外製だが日本語表示に対応しており、個人使用に限りフリーで利用できる。強力な有料版も存在するが、基本的な機能だけならフリー版でも十分に使える。 Sandboxieの使い方は簡単だ。インストールしたら怪しげな実行ファイルを右クリックし「サンドボックス化して実行」を選ぶだけでいい。ほとんどの場合ソフトが通常通り起動して操作を行える。実行ファイルでない場合も、関連付けら
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く