全く出鱈目な注意喚起。対策の案内が出鱈目。 https://t.co/gTCApCppvV (ネットワーク報道部記者 郡義之 飯田耕太)
全く出鱈目な注意喚起。対策の案内が出鱈目。 https://t.co/gTCApCppvV (ネットワーク報道部記者 郡義之 飯田耕太)
□ パスワードの文字列は、長めにする(12文字以上を推奨) □ インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる □ 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける □ 他のサービスで使用しているパスワードは使用しない これまでは、英大文字・小文字、数字に加えて記号を混ぜ込むことが多々推奨されてきました。しかし、「アルファベットを数字や記号に置き換える」等の方法では、憶えやすさが損なわれたり(※後述のコラムを参照)、「p@ssword」(aをアットマーク「@」に置き換え)のような置き換えの場合、辞書攻撃であらかじめ推測されている恐れがあります。したがって、現在では、これまでの方法より数文字でも多くの文字を使うことが望ましいと考えられています。 例えば、8文字で英大小文字+数字+記号(9
連載:知られざるダークウェブの世界 ダークウェブを調査・監視するホワイトハッカーのSh1ttyKids(してぃーきっず)さんが、知られざる「ネットの裏側」をレポートする。 著者:Sh1ttyKids(してぃーきっず) ダークウェブ上のサイトについて、調査・監視活動を行うホワイトハッカー。大麻販売サイトが秘匿するIPアドレスを探し当て、法執行機関へ提供するなどの実績を持つ。 過去の連載記事一覧 ダークウェブマーケットとは、接続経路匿名化ソフト「Tor」の機能である「Hidden Service」(秘匿サービス)を用いて構築された闇市場です。違法薬物や偽造パスポート、運転免許証、ハッキングのチュートリアルなどの商品が多数取引されており、その匿名性の高さが捜査を困難にしています。 一方で、米FBIやユーロポール、オランダ警察、英国家犯罪対策庁といった法執行機関はダークウェブ上の犯罪捜査で大きな成
総務省は、今般、クラウド事業者がIoTサービスを提供する際のリスクへの対応方針を取りまとめたことから、「クラウドサービス提供における情報セキュリティ対策ガイドライン」(平成26年4月策定)を改定することとし、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」を策定しましたので、これを公表します。 あわせて、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)に対する意見募集の結果を公表します。 総務省では、平成29年7月より、特定非営利活動法人ASP・SaaS・IoTクラウドコンソーシアムに委託し、「ASP・SaaSクラウド普及促進協議会」の下に設置された「クラウド事業者におけるIoTセキュリティ対策及び情報開示に関する検討会」(主査:佐々木良一 東京電機大学 教授)(構成員は別紙1のとおり)において、クラウド事業者がIoTサービスを提供
また流出 息をするように流出していく個人情報。 www.jiji.com 前橋市教育委員会は4日、市内の教育機関を結ぶネットワークのサーバーに不正アクセスがあり、市立の小中学校生ら計2万5725人分の個人情報が外部に流出した可能性が高いと発表した。これまでに悪用された報告はないという。 (中略)ファイアウオールが機能していない状態だったという こちらには「すべての子ども」の文字。 www3.nhk.or.jp 前橋市教育委員会は、学校のデータなどを管理するシステムで不正なアクセスが見つかり、去年11月の時点で前橋市立の小中学校や特別支援学校に在籍していたすべての子どもの電話番号などの個人情報が流出した可能性があると、4日、発表しました。 www.itmedia.co.jp 群馬県の前橋市教育委員会は4月4日、教育情報ネットワークが不正アクセスを受け、2017年11月時点で市立小・中・特別支
ITパスポート試験の団体申込者が利用するシステムに不具合があり、二つの団体申込者が申込情報のダウンロードを同時に行った結果、自らの情報のほかにもう片方の団体申込者に係る申込情報が記載されたファイルがダウンロードされ、個人情報等が漏えいしたという事案が発生しました。すでに漏えいした情報は破棄されたことを確認し、再発防止措置も講じましたので、ご報告いたします。 このような事態が発生したことは誠に遺憾であり、関係者の皆様に多大なご迷惑をおかけしたことを深くお詫び申し上げます。 1.経緯 2018年2月26日に二つの団体申込者が、ウェブサイトから申込情報をCSVファイルでダウンロードできる機能を同時に利用したところ、双方の申込情報が合わさって記載されたCSVファイルが双方でダウンロードされました。当該CSVファイルには、ITパスポート試験の受験申込者の受験番号、氏名、受験日、受験料金の支払いに用い
「パスワード、見ていませんよ」アピール PCやスマートフォンの画面を複数人で見ていると、使っているWebサービスにログインしたり、PCを再起動したりするためにパスワードの入力を求められることがある。 PCの持ち主がキーボードでパスワードの入力を始めたとき、一緒に画面を見ていた人はさりげなく視線を外に向けながら「パスワードを入力しているところ、見ていませんよ」とアピール──ITリテラシーやセキュリティ意識が高い人ほど身に覚えがあるのではないだろうか。 キーボード上の指の動きを目で追うと、パスワードが特定できてしまうために生まれたこのしぐさ。ルーツはどこにあるのだろうか。考えを巡らせていると、率先してこの行動を取っているだろう人を思い付いた。クレジットカードを取り扱う小売店などの店員さんだ。 客がクレジットカードで代金を支払うとき、4桁のPIN(暗証番号)を入力する。そのとき、店員さんは大げさ
内閣サイバーセキュリティセンター(NISC)は7月13日、電子書籍「ネットワークビギナーのための情報セキュリティハンドブック」を、アマゾンジャパンのKindleストアなどで14日から無料公開すると発表した。サイバーセキュリティの基本知識を学べるという。 情報セキュリティハンドブックでは、初心者向けに「サイバー攻撃って何?」「スマホ・PCのより進んだ使い方やトラブルの対処の仕方」などの知識を、約150ページにわたり紹介。かわいらしいイラストも添えている。これまではNISCのWebサイトで公開していた(関連記事)。 Kindleストア、iBooks Store、GooglePlayブックス、Yahoo!ブックストア、dブック、楽天Koboなどで公開する。NISCは「夏休みを控えた小中高校生など、広く国民にハンドブックに触れてもらい、安心してネットを使える社会の実現に協力してほしい」としている。
総務省では、巧妙化・複合化し続ける標的型攻撃等の新たなサイバー攻撃に継続的に対応できるようにするため、平成25年度より「サイバー攻撃対策防御モデル・実践演習の実証実験」事業の一環として、官公庁・民間企業等における人的、技術的視点から見たサイバー攻撃(標的型攻撃)対応方策(以下、「防御モデル」という。)の検討を実施してきました。 今般、この取組の成果として「サイバー攻撃(標的型攻撃)対策防御モデルの解説」を策定いたしましたので、これを公表いたします。 日々、巧妙化・複合化し続ける標的型攻撃等の新たなサイバー攻撃に対応するためには、標的型攻撃への対応方法について深く認知し、必要な対策を機能させるための対応(『人・組織対策(インシデントレスポンス)』と『技術的対策(事前・対策・検知・事後対策)』)を行う必要があります。 そのため、総務省では、平成25年度より「サイバー攻撃対策防御モデル・実践演習
geffner@ubuntu:~$ # Make a local pipe for input to our openssl client geffner@ubuntu:~$ mkfifo pipe geffner@ubuntu:~$ # Create our openssl client, which will receive input from our pipe geffner@ubuntu:~$ openssl s_client -ign_eof -connect example.org:443 > /dev/null 2> /dev/null < pipe & [1] 98954 geffner@ubuntu:~$ # Begin writing the request to our pipe geffner@ubuntu:~$ printf "GET / HTTP/1.0\nH
One year ago today, I wrote an article discussing NoSQL Injection and GraphQL. I praised GraphQL for eradicating the entire possibility of NoSQL Injection. I claimed that because GraphQL forces you to flesh out the entirety of your schema before you ever write a query, it’s effectively impossible to succumb to the incomplete argument checking that leads to a NoSQL Injection vulnerability. Put simp
自己紹介 opengl-8080 主に Qiita で技術メモを書いたり 関西の SIer 勤務 今日お話しすること Spring Security が保護してくれること、してくれないこと Spring Security を導入すれば、この攻撃は守ってくれる この攻撃は Spring Security の守備範囲外なので別途対処が必要 仕様や機能の話をメインにして、実装の細かい話は無し デモ用アプリ 起動方法 GitHub からプロジェクトをダウンロードし、プロジェクトのルートで gradlew start を実行 ※初回は Payara (60MB)などのダウンロードが行われるので注意 動作確認 AP サーバーが起動したら、以下の URL にアクセスする。 https://localhost:8443/secure Spring Security を使用したアプリケーション https:
安全で堅牢なWebアプリケーションをクラウドで開発するのは 非常に困難 です。それを簡単だと思っているような人は、例えばとんでもない頭脳をお持ちというなら別ですが、遠からず痛い目を見ることになるでしょう。 もし MVP(Minimal Viable Product:必要最低限の機能を備えた製品) のコンセプトを鵜呑みにして、有益かつ安全な製品を1ヶ月で作成できると考えているようなら、プロトタイプを立ち上げる前に一度考え直した方がいいと思います。以下に挙げたチェックリストをご覧いただければ、セキュリティに関するクリティカルな問題の多くをスキップしていることが分かるはずです。あるいは少なくとも、潜在的なユーザに対しては 誠実 であるように心がけ、製品が完全ではないこと、そしてセキュリティが不十分な製品を提供していることを伝えるようにしてください。 このチェックリストはシンプルなもので、決して完
皆様、お待たせいたしました! ISUCON7 開催決定です!ありがとうございます! 今年も LINE株式会社 主催でお届けいたしますので、優勝賞金100万円もバッチリございます。今回は問題作成を KLab株式会社さま、サーバ提供は予選本選ともに さくらインターネットさまにご協力いただけることとなりました。 開催日ですが ・予選 10月21日(土) ,22日(日) ・本選 11月25日(土) を予定しています。 ※予選は従来通りオンラインで行い、どちらかの日程でご参加いただきます 社内ISUCONで様子はわかったから本編に出ようと思っている皆さん、今回こそは参加したいと考えている皆さん、なんか面白そうだから出たいと思っていた学生の皆さん、あらゆる方に楽しんでいただけるものにしますので、チームメンバーを今から探しておいてください! 詳細は追って発表いたします。公式Twitterなどフォローいた
セキュリティ情報ブログ「piyolog」のpiyokango氏などが「サイバーセキュリティに関する総務大臣奨励賞」初の受賞者に。 総務省は5月29日、サイバーセキュリティ分野で顕著な功績があった個人や団体を表彰する「サイバーセキュリティに関する総務大臣奨励賞」の初の受賞者として、セキュリティ情報ブログ「piyolog」を運営する「piyokango氏」など個人2人と団体1人を選んだと発表した。6月1日に都内で表彰式を行う。 同賞は、地方自治体や民間企業などの現場でサイバーセキュリティ向上の観点から顕著な功績があり、今後も活躍が期待される個人や団体に授与する賞で、今年スタートした。公募や推薦で候補者を募り、選考委員会で受賞者を選んだ。 初の受賞者となったのは、セキュリティリサーチャーのpiyokango氏と、日立製作所Hitachi Incident Response Teamチーフコーディ
o.md 調べたこと 通信をキャプチャして調べた。似たようなことをしている人が既にいて仕組みについてはサービス提供者側が説明されているとおりだった。 http://www.orario.jp/system/ https://twitter.com/mage_1868/status/853992239369830404 https://twitter.com/mage_1868/status/854028454081159169 IDパスワードはネイティブUIで表示して、html中のどこに入力するかなどはリモートから受信するjsで定義している。特に難読化や独自の暗号化などがされているわけではない。 "例のアプリの方式、運営がその気になったらこっそり(アプリのアップデートを必要とせず)情報収集が可能な上、apiサーバがpwnされたら終わりという点でリスクはサーバ側で大学アカウント保持するのと大
teratailに以下のような投稿がありました。 PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。 そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。 周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω` )ペコ 【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうかより引用 どれどれ…と確認すると、トークンのチェックが入っているにも関わらずクロスサイト・リクエストフォージ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く