iOS15でiPhoneへの身分証登録、本人確認にセルフィーを利用すると判明 - iPhone Mania
iOS15ベータ4を解析したところ、iPhoneやApple Watchに身分証明書を登録するプロセスが判明した、と米メディア9to5Macが報じています。ユーザーの自撮り写真(セルフィー)を使って本人確認が行われます。 iOS15ベータ4から身分証の登録プロセスが判明 Appleは6月の世界開発者会議(WWDC21)でiOS15とwatchOS8の新機能として、アメリカの一部の州で発行された運転免許証を「Wallet」アプリに登録できるようになり、空港のセキュリティチェックを簡単に通過できるようになると発表しましたが、登録方法などの詳細は明かされていませんでした。 現地時間7月27日に開発者向けにリリースされたiOS15のベータ4から、本人確認には自撮り写真(セルフィー)を使用することがわかった、と米メディア9to5Macが報じています。 セルフィーを使った本人確認は、日本でもeKYCと
高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
AV-TEST、Mac用のウィルス対策アプリ18種類のマルウェア検出率を比較実験したデータを公開。
AV-TESTがMac用ウィルス対策アプリ18種類の検出率を比較したデータを公開。詳細は以下から。 AV-TESTはドイツに拠点を置く独立したセキュリティ研究機関ですが(Wikipedia)、今回WIndows, Androidのマルウェア対策アプリに加えてMac用ウィルス対策アプリ18種類のマルウェア検出率を比較したデータを公開したそうです。 AV-TEST GmbH@avtestorg This week, AV-TEST will present you news on the #Mac #OSX malware situation and protection options. Stay tuned! http://t.co/YsBlbQlvCb 2014/09/01 20:03:21 この調査はOS X 10.9.4 Mavericks を搭載したMacに以下の18種類の有料/無
「外部サービス」が原因、公式サイトの改ざん被害相次ぐ
「外部サービス」が原因、公式サイトの改ざん被害相次ぐ:【Update】CDNetworksが侵害公表、バッファロー、JUGEMなどで改ざん 2014年5月下旬、企業サイトから公式に配布されているドライバーソフトやサイト中のJavaScriptなどが改ざんされ、オンラインバンキングを狙うマルウェアがダウンロードされてしまう事件が相次いで発生した。その原因はWebサイト運用で利用していた「外部サービス」にあるという。 2014年5月下旬、企業サイトから公式に配布されているドライバーソフトやサイト中のJavaScriptなどが改ざんされ、不正なファイルがダウンロードされてしまう事件が相次いで発生した。 この不正なファイルはAdobe Flash Playerの脆弱(ぜいじゃく)性を突くマルウェア「Infostealer.Bankeiya.B」で、オンラインバンキングの利用者を狙い、情報を盗み取ろ
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
某レンタルサーバでの大規模改ざんで起こっていた(と推測される)状態の整理。 | 技術系メモ
2013/08/31 01:36 初版 2013/08/31 10:00 参考リンク追加 2013/08/31 18:45 体裁変更と「周辺情報とこれらからの推測」へ追記 注意喚起追記 2013/09/02 11:55 徳丸さんの解説記事へのリンクを追加 2013/09/03 12:30 さとうふみやすさんの解説記事へのリンクを追加 注意喚起追記 お願い追記 2013/09/09 22:15 公式リリース[2013/09/09 20:42 追記]について 追記 2013/09/09 22:30 某グループ代表の投稿について参考リンクに追記 http://lolipop.jp/info/news/4151/ http://lolipop.jp/info/news/4149/ [追記 2013.09.09. 22:15]← こちらに[2013/09/09 20:42 追記]として事象説明が出ま
ロリポップでWordPressの改竄が拡がった理由
ロリポップでの大規模なWordPressサイトの改竄について http://lolipop.jp/info/news/4149/ ロリポップからのリリースでは、管理パスワードとログインへのアクセス制限の強化を推奨して、パーミッションの変更と全体のウイルスチェックを行うとしている。WordPressそのもののアップデートはマニュアルに方法が記載されているものの、リリースでは触れられていない。 このことから、被害が大きくなったのは、ロリポップの提供していたWordPressのインストール手順に問題があり、wp-config.phpなどのファイルのパーミッションが不適切だったためではないかと推察出来る。 いくつかのアカウントだけWordPressの管理パスワードが突破される、というのであれば、世界中でほぼいつでも起こっている。 もし、あるユーザーの管理パスワードが脆弱で推測することが出来てしまう
「ロリポップ」でWordPress利用サイトが改ざん 「大規模攻撃」で被害4802件
paperboy&co.は8月29日、レンタルサーバサービス「ロリポップ!レンタルサーバー」で第三者から「大規模攻撃」を受け、WordPressを利用している一部ユーザーのサイトが改ざんされる被害が発生したと発表した。「多大なるご迷惑をおかけしており大変申し訳ございません」とユーザーに謝罪している。 対象となったユーザーは4802件。WordPressユーザーの管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置が行われたという。 対策として、ユーザーのサーバ領域に設置されているWordPressの設定情報ファイル「wp-config.php」のパーミッションを「400」(管理者のみ読み取り可)に変更。全ファイルにウイルススキャンを行い、不正なファイルを検知した場合はパーミッションを「000」(使用不可)に変更する。 関連記事 「@PAGES」でユーザー情報流出 2月までに
Adobe、Flash Playerを緊急アップデート Macを狙った攻撃発生
WindowsとMacを標的として、2件の脆弱性を悪用する攻撃が既に発生した。できるだけ早くFlash Playerを更新して脆弱性を修正する必要がある。 米Adobe Systemsは2月7日、Flash Playerの深刻な脆弱性を修正するセキュリティアップデートを公開した。Windows版とMac版については既に脆弱性を突いた攻撃が発生していることから、できるだけ早くアップデートを適用するよう呼び掛けている。 同社によると、今回のアップデートではバッファオーバーフローの脆弱性と、メモリ破損の脆弱性を修正した。いずれも悪用された場合、攻撃者にコードを実行され、システムを制御される恐れがある。 このうちバッファオーバーフローの脆弱性は、特定の標的を狙って悪質なFlash(SWF)コンテンツを仕込んだWordファイルを電子メールに添付して送り付け、相手をだましてファイルを開かせる手口に使わ
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響
脆弱性に対処した更新版の「libupnp 1.6.18」が公開されたが、パッチが行き渡るまでには時間がかかる見通し。US-CERTでは、可能であればUPnPを無効にするなどの対策を促している。 ルータなどのネットワーク機器に広く使われている「Universal Plug and Play」(UPnP)に複数の脆弱性が確認された。大手メーカー各社の製品を含む数千万台が影響を受けるとされ、米セキュリティ機関のUS-CERTはメーカーやデベロッパーに対し、アップデートを適用して脆弱性を修正するよう呼び掛けている。 US-CERTが1月29日に公開したセキュリティ情報によれば、UPnPデバイス用のオープンソースポータブルSDKである「libupnp」にバッファオーバーフローの脆弱性が複数存在する。さらに、libupnpを使っているデバイスはWANインタフェース経由でUPnPクエリーを受け入れてしま
各種ブラウザーで Java (applet) を無効にする方法
こちら(米国)では、見つかった Java のセキュリティホール(+それを利用した実際のアタック)が大問題になり、米国政府が「ただちに Java を無効にするように」と声明を出し(参照)、全国ニュースでも大きく取り上げられている。 実質的な危険があるのは Java applet なのだが、Java と Java applet の違いの分からない報道機関は、大々的に「Java が危険」と報道しており、Sun Microsystems を買収して Java を入手した Oracle にとっては大きなブランドイメージの損失だ。Oracle は火曜日には56カ所のセキュリティホールを塞いだパッチを提供するそうだが、そんなパッチでは、今回作られてしまった「Java は危ない」というイメージは拭えない。 どのみち、Java applet にはほとんど価値がないので、これを機会に無効にする人も多いようだ(
Microsoft、IE 6~8の脆弱性に対処する「Fix it」ツールをリリース
旧版のInternet Explorerに未修正の脆弱性が存在する問題で、Microsoftはこの問題に対処する「Fix it」を公開した。 米Microsoftは12月31日(現地時間)、29日に新たに発覚したInternet Explorer(IE) 6/7/8に存在するリモートコード実行の脆弱性に対処する「Fix it」ツールを公開した。 セキュリティアドバイザリによると、この脆弱性はIEが削除されたり適切に割り当てられていないメモリに存在するオブジェクトにアクセスすることで、任意のリモートコードを実行してしまうというものだ。この問題を攻撃者に悪用されると、細工を施したWebサイトをユーザーが閲覧した場合に、攻撃者が任意のコードを実行できてしまう可能性がある。標的型攻撃の発生も確認されているが、発生状況は「ごくわずか」だという。 IE 9および10ではこの脆弱性の影響はないため、Mi
IE6,7,8のゼロデイ脆弱性(CVE-2012-4792)の対処法
昨年末に、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2012-4792)が発表されました。既にこの脆弱性を悪用した攻撃が観察されているということですので、緊急の対応を推奨します。 概要は、Microsoft Security Advisory (2794220)にまとめられていますが、英文ですので、JVNのレポート「JVNVU#92426910 Internet Explorer に任意のコードが実行される脆弱性」をご覧になるとよいでしょう。 影響を受けるシステム: Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 想定される影響: 細工された HTML ドキュメントや Office ファイル等を閲覧することで、任意のコードが実行される可能性があります。 対策方法: 2012年12月31日現在、
Googleアカウントの乗っ取り! 被害と対策をまとめました
Googleアカウントの乗っ取り 。 ここ数日、どうやらそんな被害が多発しているらしいという情報は知っていたものの、よもや自分が被害に遭うとは。。 まずは僕のアカウントから変なメールが行ってしまった皆さん、本当に申し訳ありません。 Googleアカウントの乗っ取りについて Photo:keyboard By tamburix どうやらクリスマス前後から、Googleアカウントの不正アクセス、いわゆる「アカウントの乗っ取り」が多発しているようです。 この件に関して、Googleから正式なアナウンスは出ていませんが、ソーシャルメディアを見ると、かなりの被害規模になっている模様。 アカウントが乗っ取られてしまうことで、現在起きている事象としては、Gmailの連絡帳に登録されているメールアドレスに宛てて、リンクURL付きのスパムメールを勝手に送りつけるというもの。 実際、今回乗っ取られた僕のGma
Macユーザーをだますマルウェアが新たに出現、正規アプリのインストーラを偽装
ロシアのセキュリティ企業Doctor Webは、ユーザーをだましてトロイの木馬をインストールさせようとするマルウェアに、Macを狙った亜種が見つかったと伝えた。このマルウェアはWindows版が大量に出回っているが、Mac版が見つかったのは初めてだという。 Doctor Webによると、問題のマルウェア「SMSSend」は正規のソフトウェアのインストーラを装って、さまざまなサイトで大量に出回っている。インストールの過程で携帯電話番号を入力させ、SMSを使って有料サブスクリプション契約の申し込みをさせる手口を使っており、ユーザーの携帯電話アカウントには定期的に料金が加算されるようになる。 今回見つかったのはこのマルウェアのMac版の亜種「SMSSend.3666」で、ロシアの人気SNSで音楽を聴くためのアプリ「VKMusic 4 for Mac OS X」に見せかけて、「アフィリエートプログ
今月の呼びかけ:IPA 独立行政法人 情報処理推進機構
第12-30-265号 掲載日:2012年 11月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 便利なソフトウェアをダウンロードしたはずが、仕掛けられたウイルス感染し、自治体や掲示板サイトへの殺人予告や破壊予告などの投稿を勝手に実行された、という一連の事件が連日報道されています。この一連の事件は、自分のパソコンがウイルスに感染した場合、何かしらの犯罪に巻き込まれてしまう可能性があることを具体的に示すものでした。 IPAではこれまで様々な呼びかけを行ってきましたが、今回の事件をうけて、ウイルス感染から身を守るための対策を、原点に立ち返って改めて呼びかけます。 (1)IPAの届出制度により入手した遠隔操作ウイルスの概要 「一般利用者が遠隔操作ウイルスに感染するまで」と、ウイルス感染後の「攻撃者による遠隔操作」に分け、それぞれ図1と図2に示します。 ▼一般利用者がウイルス
ネット銀、正規HPに偽画面=顧客情報狙う新手口―警察庁 (時事通信) - Yahoo!ニュース
インターネットを使って銀行取引をする客の情報を狙った新しい犯行手口が発生している。正規のホームページ(HP)にログインした客のパソコンに偽の画面が表示され、第2の暗証番号などの入力を求める手口で、客のパソコンがウイルスに感染している可能性が高い。警察庁や銀行は「画面が出ても入力しないで」と注意を呼び掛けている。 同庁によると、偽の画面はゆうちょ、三井住友、三菱東京UFJの3銀行で、つい最近確認された。客が銀行の正規HPにIDとパスワードを入力してログインした後、偽のポップアップ画面が出現。安全性を高めるために各行が実際に設けている乱数表や第2の暗証番号、顧客の個人情報などの入力を要求してくる。 これらの情報が悪用されれば、預金を勝手に送金されるといった被害が出る恐れがある。26日までに実害は報告されていないが、銀行側は「送金など取引をする時を除き、ログイン後に改めてパスワードや乱数表の
「パケット警察 for Windows」 - よくある質問と回答 (FAQ)
「パケット警察 for Windows」についてよくある質問と回答をまとめました。 ソフトウェアについて 「パケット警察」は無料ですか? はい。フリーウェアとして公開しています。 インストールすることで広告が表示されたり、迷惑メールが来たりしませんか? いいえ。「パケット警察」には広告を表示する機能や、迷惑メールの送信に用いるためのアドレスを収集する機能はありません。 また、ダウンロードやインストールを行う際にも個人情報を入力する必要はありません。 料金を支払わないと将来動作が停止したりしませんか? いいえ。「パケット警察」はフリーウェアとして公開しており、動作期限などは設定されていません。一度ダウンロードを行った方は、いつまでも本ソフトウェアを無料で使用することができます。 事業目的での利用は可能でしょうか? はい、可能です。ただし、「パケット警察」には一切の保証、サポートが提供されませ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Adobe Flash Player」にゼロデイ脆弱性、修正が施された最新版が公開
TechCrunch | Startup and Technology News
