まとめ 岸防衛大臣「AERA・毎日新聞は極めて悪質な行為」ワクチン予約欠陥報道に大激怒! えーw具体策が「市区町村コードが真正な情報である事が確認できるようにする等」ってこのまま突っ走るつもりなんかw 15536 pv 167 14 users 27
![【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」【真偽不明】](https://cdn-ak-scissors.b.st-hatena.com/image/square/c4913edc2c05ee8709c8916c751802cd5d99698e/height=288;version=1;width=512/https%3A%2F%2Fs.togetter.com%2Fogp2%2Fca1005c5e44d4be8d0a6998d0a1c2e52-1200x630.png)
PayPalは利用規約の中で、「取引を円滑に行うために必要な個人データとアカウント情報」などを、取引の当事者間で共有する場合があるとしている。送り手の住所が受け手側に表示されたのは、この規約に基づくもののようだ。 トバク氏は「これはTwitterではなくPayPalの問題だ。PayPalは(ユーザー)データの共有をやめるべき」と主張する一方、Tip Jarの決済手段にPayPalを採用したTwitterの責任にも言及。「Tip Jarの使用がユーザーのプライバシーにどんな影響を与えるのか知らせることがTwitterの責任だ」と投稿した。 トバク氏の投稿後、Twitterも送金時の情報共有について対応を投稿。「他のアプリの規約に基づき、チップの送り手と受け手側で情報が共有される可能性があることをヘルプセンターに明記し、支払い時にも説明するようにした」とした。 これに対し、トバク氏はTwitt
IoT/OTシステムへの攻撃を3社に1社が経験、半数近くが対策不十分を認識:IoTセキュリティ(1/2 ページ) IDC Japanが国内企業のIoT/OTセキュリティ対策実態調査の結果について説明。IoT/OTシステムに関わるセキュリティ事件/事故を経験した企業が36.4%に上る一方で、半数近くの47.7%がセキュリティ対策状況が不十分と認識しつつも、「予算の確保」や「導入効果の測定が困難」を理由に対応を進められていない状況も浮き彫りになった。 IDC Japanは2021年4月27日、オンラインで会見を開き、2020年に続き2回目となる国内企業のIoT(モノのインターネット)/OT(制御技術)セキュリティ対策実態調査の結果について説明した。IoT/OTシステムに関わるセキュリティ事件/事故を経験した企業が36.4%に上る一方で、半数近くの47.7%がセキュリティ対策状況について不十分と
ニューノーマルにおけるテレワークとIT業務委託の セキュリティ実態調査結果(最終報告)を公開します ~コロナ禍での「セキュリティ対策の例外・特例」からの復帰が課題~ 2020年4月7日一度目の緊急事態宣言による長期間の外出自粛の要請が発出されてから一年が経過しました。その後、一度目の緊急事態宣言の解除後もテレワークは継続されており、業務実施場所の多様化やコミュニケーションのオンライン化などの新しい働き方は不可逆的な変化として定着するものと想定されます。 緊急事態宣言により短期間でテレワークを導入、元々テレワークは導入していたが、急激に利用頻度が増加したなど、組織は世の中の状況に合わせた対応を余儀なくされました。このような背景の中、ICTの環境整備が優先され、セキュリティ対策が後回しになっているだけでなく、ITサプラチェーンにおける業務委託契約でも委託先(*1)と委託元(*2)の間で業務実施
しそ🌿 @crystal_earth 先月の話なのですが、Amazonから身に覚えのない注文メールが届く → 少額ではあるがコンビニ決済で既に代金は支払われているため、クレカ利用などこちらの支払負担的な被害はなかったが、アカウントを不正利用される…というケースがあったため、情報共有として経過をスレッドに記載します。 2021-04-04 19:27:37 しそ🌿 @crystal_earth ① Amazonから身に覚えのない注文メールが届き、最初はよくある迷惑メールだと思いスパムとしてメールサーバー上から学習処理をしようとしたところ、住所氏名などの個人情報が間違いなく記載されており、偽装メールではない事に気付く(なお、HTML形式メール未対応の環境のためテキスト形式で確認) 2021-04-04 19:32:12 しそ🌿 @crystal_earth ② この時点でスパムではなくア
FIRSTのEducation Advisory Boardがまとめた「CSIRTが提供するサービスの一覧」の最新版(v2.1)の日本語訳です。CSIRTの役務(サービス)を体系立てて一覧化しています。 各CSIRTが、サービスポートフォリオを選択、拡張、または改善のために使用できます。このフレームワークのサービスを全て実装する必要はありません。また、このフレームワーク以外のサービスを提供しても問題ありません。 本資料がCSIRT活動の参考になれば幸いです。 謝辞 本文書の翻訳及び公開では、様々な皆様にご協力いただきました。ここに感謝の意を表すると共に、下記に記載いたします。 翻訳・編集・校正(敬称略) 石塚 元(NCA専門委員、NTTセキュリティ・ジャパン株式会社) 小村 誠一(AT-CSIRT) 杉浦 芳樹(NTT-CERT) 田本 裕子(AT-CSIRT) 高橋 昭子(NIKKEI-
2021/03/09 10:30 SecurityInsight 警察庁は3月4日、「令和2年におけるサイバー空間をめぐる脅威の情勢等について」を発表した。 新型コロナウイルス感染症の感染拡大に伴うテレワークの実施やキャッシュレス決済の普及など、サイバー空間が日常生活を含むさまざまな活動を営む場となりつつあるなか、新たなサイバー犯罪やサイバー攻撃が国内外において発生している状況にあり、サイバー空間における脅威は極めて深刻な情勢だとしている。 広報資料では、「社会のデジタル化の進展とサイバー空間の脅威情勢」と「警察における取組」について報告しているほか、令和2年中のサイバー攻撃、サイバー犯罪および不正プログラムの解析のそれぞれの事例などについて取り上げている。 関連リンク プレスリリース(PDF)
(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup
はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。 本記事は、そのセーフハーバーを遵守した上で発見/報告した脆弱性を解説したものであり、無許可の脆弱性診断行為を推奨する事を意図したものではありません。 Microsoftが運営/提供するサービスに脆弱性を発見した場合は、Microsoft Bug Bounty Programへ報告してください。 要約VSCodeのIssue管理機能に脆弱性が存在し、不適切な正規表現、認証の欠如、コマンドインジェクションを組み合わせることによりVSCodeのGitHubリポジトリに対する不正な書き込みが可能だった。 発見のきっかけ電車に乗っている際にふと思い立ってmicrosoft/vscodeを眺めていた所、CI用のスクリプトが別のリポジトリ(microsoft/vscode-github-triage-actions)にま
NTTのフレッツ光では、特に何も設定しなくても(PPPoEの設定を行わなくても)IPv6を使用することができます。といってもNTT網内の折り返し通信ができるということで、デインターネットに接続できるということではありません。今回、IPv6のパケットフィルタを設定しているときに、驚くべき仕様にぶち当たったので記事にしていきたいと思います。 申込内容によって機器の構成が変わる フレッツにはいくつかの構成があり、どのようなオプションを申し込むかによって、使用される機器の構成が変わります。それによってIPv6関係の挙動が変わるようです。以下のオプションの組み合わせで説明します。 ひかり電話を契約 する / しない無線LANを契約 する / しない 「ひかり電話」を契約せず、「無線LAN」のオプションを付けない場合、NTTからHGWは提供されません。NTTからはONUが提供されるだけのため、インター
このエントリを書こうと思った理由 先週、NURO光はセキュリティ的にやばい回線だから、セキュリティを理解していたり、それなりの知識がない人が使うとやべー回線。って某青い鳥でつぶやいたらなんか4.3万RT、11.6万favo行ってたので、そのことについてそこそこわかりやすくまとめてみようかなと思ったわけです。 要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなく
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
GitHubは2020年9月30日(米国時間)、コードを本番環境に展開する前にコードの脆弱(ぜいじゃく)性を簡単に発見できるコードスキャン機能の一般提供を開始した。 GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。 β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行(RCE)やSQLインジェクション、クロスサイトスクリプティング(XSS)といった脆弱性を含む2万以上のセキュリティ問題が見つかった。 マージ前のプルリクエストで報告があったセキュリティ上の問題の72%を、報告から30日以内に
Adobe Flash PlayerをmacOSで実行するアップデートに見せかけたトロイの木馬型マルウェアが報告されています。このマルウェアはなんとAppleの公証プロセスをクリアしており、「Apple認証済み」の署名が入っていたとのことです。 Apple Approved Malware - Objective-See's Blog https://objective-see.com/blog/blog_0x4E.html Apple accidentally approved malware disguised as Flash, new report finds - The Verge https://www.theverge.com/2020/8/31/21408991/apple-approves-common-malware-shlayer-macos-adware セキュリテ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く