2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
Award-winning news, views, and insight from the ESET security community ESET Research KrØØk: Serious vulnerability affected encryption of billion+ Wi-Fi devices ESET researchers uncover a previously unknown security flaw allowing an adversary to decrypt some wireless network packets transmitted by vulnerable devices ESET Research has published its latest white paper, KrØØk - CVE-2019-15126: Seriou
Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る
企業をねらったサイバー攻撃の脅威が増していることから、IT企業の業界団体が、企業の対策を格付けする新たな制度を年内にも設けることになりました。 こうした中、日本IT団体連盟は、企業のサイバーセキュリティー対策を評価し、3段階に格付けする制度を年内にも設けることになりました。 当面は団体に参加するおよそ5000社を対象にし、希望する企業に対して専門チームが、セキュリティー部門の人材の専門性、運用体制、経営者のセキュリティー対策への姿勢などを総合的に判断して格付けを決めるということです。 外部からは見えにくい体制を比較できるようにすることで、企業の間で対策強化の意欲を高めてもらうねらいです。 また、民間の保険会社と協力し、高い格付けを得るとサイバー攻撃の損害を補償する保険により安く加入できるようにすることも検討していくとしています。 日本IT団体連盟で格付けの制度づくりを担う外村慶さんは「車な
パソコンを買い替えて古いパソコンが不要になると、処分する必要がある。比較的スペックが高い機種ならネットオークションなどで売れる可能性もあるが、スペックが低かったり壊れていたりすると売れる可能性は低い。処分するのが妥当だ。 しかしパソコンは家庭ごみのようにごみ収集場に出すことはできず、定められた方法で処分しなくてはならない。そこで今回は、パソコンを正しく処分する方法を説明する。 データ消去を徹底する 最初に、パソコンのHDDやSSD内のデータを消去する方法を紹介する。処分する前にデータを抹消しておく必要があるためだ。 信頼できてデータ消去も実施すると説明している業者に依頼すれば、処分するパソコンからデータが流出する可能性を低くできるが、その可能性をゼロにはできない。2019年、神奈川県庁がリース契約満了に伴って返却したサーバーのHDDが、リース業者がデータ消去を委託した業者の社員によって、デ
内閣サイバーセキュリティセンター(NISC)は1月23日、啓発キャンペーン「サイバーセキュリティ月間」(2月1日~3月18日)で、テレビアニメ「ソードアート・オンライン アリシゼーション War of Underworld」とコラボレーションすると発表した。若年層などに、サイバーセキュリティへの関心を持ってもらう狙いがある。ソードアート・オンライン(SAO)とのコラボは2回目。 「この世界(インターネット)を守るため、意志ある者よ、たちあがれ!」を標語に、作中に登場するキャラクターを起用した啓発用ポスターを作成。全国の関係機関で掲出し、サイバーセキュリティ月間の周知を図る。期間中は特設サイトを公開する他、3月8日に秋葉原で特別イベントも開催する。 同アニメは、主人公キリトと仲間たちが、敵の侵攻から仮想世界(アンダーワールド)を守るために立ち上がるというストーリー。物語の内容を踏まえ、コラボ
職場に何箇所かオートロックの扉があり、IDカードをかざして通るようになっている。 先日、その扉の前で大きなダンボールを抱えながら、首からぶら下げているカードホルダーをかざそうとしている人がいた。 すぐに近くの人が開けて、扉を押さえて通してあげた。荷物の人は会釈して(たぶんお礼を言って)入っていった。 しばらくすると、また同じ光景に出くわした。 社内のあちこちに自由に使える台車があるのに、なんで使わないんだろうな、と思った。 翌日。一斉メールで「他人を通すためにIDカードで解錠しないように」という旨の通達が来た。 上司が聞いてきた話によると、 前日の荷物の人は 仕込みで、どのくらい通してしまうかの調査をしていたようだ。 10回くらい試したが、一度も疑われることなく、近くにいた人が解錠したそうだ。 そりゃあ、規則違反には違いないんだけど、 建物の中に居るってことは、守衛さんのいる門と玄関(ここ
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
図1: 脆弱なパスワードを入力した場合のエラー画面 こんにちは、pixiv開発支援チームのmipsparcです。 パスワード、もしかして使いまわしていますか? 複数のサービスで同じパスワードを利用していると、「パスワードリスト型攻撃」によって不正アクセスの被害を受けてしまうかもしれません。 パスワードリスト型攻撃の被害にあわないためには、ブラウザやパスワード管理ツールで自動生成された安全なパスワードを利用するのが好ましいです。 しかし、実際には多くの人が「使いまわしたパスワード」や「簡単なパスワード」(以下、脆弱なパスワード)を利用していますし、啓蒙活動にも限界があります。 pixivではサイバー攻撃への対策を複数とっていますが、根本的な対策のひとつとして、脆弱なパスワードを新しく設定できないようにしました。 脆弱なパスワードの判定方法 脆弱なパスワードの利用はどのように防ぐことができるで
Peingで表題のような質問をいただきました。少し長くなるので、こちらで回答します。 現在、暗号化ではIV(暗号初期化ベクトル)が不要なECBモードは推奨されず、それらが使用されるCBC等が推奨されています。 しかし、暗号化後の文章も、暗号化初期ベクトル(平文)も同様にDBに直接保存される為、結局のところ意味をなすのでしょうか? 暗号化後の文章が漏れる≒IVが漏れると思いますが、どのような時にIVを設定したことによる恩恵が受けられるのでしょうか? https://peing.net/ja/q/c63a9669-0d8e-4a23-b7f8-67869bf9e0b0 より引用結論から言えば、IVは必須です。詳しくは暗号の教科書(手っ取り早いところではWikipediaの暗号利用モードなど)を読んでいただければよいのですが、わかりやすい例を2つ紹介します。 まずは、以下の2つの住所をAES-2
こんにちは。 SBクラウドの吉村です。 今回は中国における暗号化に関する法律について書きます。 前半は密码法(暗号法)について、後半はサイバーセキュリティ法の暗号化要件と対策について説明します。 中国の「密码法(暗号法)」について 法律の全文 法律のポイント 中国サイバーセキュリティ法における暗号化の要件 暗号化実装のポイント Alibaba Cloud プロダクトの暗号化設定 ECS (データディスク)の暗号化 NAS の暗号化 RDS の暗号化 OSS の暗号化 データ通信の暗号化 まとめ ※SBクラウドが提供する「中国サイバーセキュリティ法対応支援ソリューション」はこちらをご覧ください。 www.sbcloud.co.jp 中国の「密码法(暗号法)」について 2020年1月1日に施行された中国の法律です。 一部では中国怖いという形で受け取られていますが、私が調べた範囲では決してそのよ
漏洩した可能性がある個人情報はメールアドレスやログインパスワード、ハンドルネーム、誕生日、性別、都道府県・市区町村である。クレジットカード情報や電話番号、予約情報、市区町村以降の住所はもともと入力させていない。漏洩件数や不正アクセスの手段などは現在調査中という。 パスワードは「平文で保存していた」(USEN-NEXT HOLDINGS広報)。サービス再開時には暗号化を施す予定とする。アルメックスは他社サービスと同一のメールアドレスとパスワードを利用している際は、速やかに他社サービスのパスワードを変更してほしいと呼びかけている。
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
はじめに さっぶ。どうも、だーやまんです。 この記事は、本番環境でやらかしちゃった人 Advent Calendar 2019 - Qiitaの11日目の記事です。 これは、中途半端な知識でサービスを運用していた結果、タイトル通りの大失敗をしてしまったお話です。個人開発での出来事なので、業務で起きたことかと胃薬を握られていた方はご安心ください。 語るのもすごい恥ずかしいレベルですが、戒めのために晒しておきます。 この記事を読んでほしい人 初めてインターネット上にサービスを公開しようとしている人 喋太郎の利用者様(この場をお借りして、改めてお詫び申し上げます。本当に申し訳ございませんでした。) 背景とか Discord読み上げBot 「喋太郎」にてやらかしました www.dayaman.work 利用者が約10万人 さくらのVPSにてAppサーバ2台、DBサーバ1台で運用 各サーバの死活監視
定義されなかったセキュリティ要件を実現するのはベンダの義務? 話題とするのは、"SQLインジェクション" というセキュリティ侵害です。これについての詳しい解説は、専門の解説記事などに譲りますが、要は悪意者がホームページから侵入して、本来は隠しておきたいデータベース内の様々な情報を盗んだり、書き換えたり、あるいは壊してしまったりという攻撃です。 この攻撃は被害も大きく、ITの専門家の間では、すでに定番と言っても良いくらいに有名なものですが、すでに対策も周知の事となっておりそれらを踏まえてプログラミングをすれば、一応安心していられます。 しかし、実際に世の中に存在するWebシステムには、こうした対策を施していないものも多く、だからこそ、今回取り上げるような裁判も起きてしまいます。さて、どんな事件だったのでしょうか。概要をご覧ください。 (東京地方裁判所 平成30年10月26日判決より要約) あ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く