関連キーワード Microsoft(マイクロソフト) | Excel | マルウェア 攻撃者は、PCにマルウェアを忍び込ませる手段として、Microsoftの表計算ツール「Microsoft Excel」を利用することを避け始めた。セキュリティベンダーHornetsecurityによると、攻撃者がメール攻撃で悪用するファイル形式のうち、Excelファイルの割合が減少傾向にある。 攻撃者の間で、なぜ“Excel離れ”が広がっているのか。それはMicrosoftの下した、ある重要な決定が大きく影響しているとHornetsecurityは考察する。 「Excel離れ」はなぜ止まらないのか 併せて読みたいお薦め記事 連載:“脱Excel”か“活Excel”か Excel新関数「LET」は便利なのか? それとも“初心者お断り”なのか? Excel関数「XLOOKUP」は何がすごいのか 「VLOOKU
こんにちは、Finatextの @s_tajima です。 弊社のこれまでのリモートアクセスの環境は、Pritunl というOpenVPNベースのソフトウェアで構築されていました。( 詳しくは、こちらの記事で以前紹介させていただいています。https://techblog.finatext.com/vpn-pritunl-on-aws-68619eda6b36 ) 今回は、このPritunlベースの従来のVPNを Cloudflare Zero Trustに置き換え、社内システムへのリモートアクセスをよりセキュアで便利にした話です。(“社内” という表現を使っていますが、”オフィスにある” という意味ではなく、”社内メンバー向けの” という意味です。) Cloudflare Zero Trust とはCloudflareと聞くと、CDNの会社というイメージが強いと思います。しかし昨今ではC
Microsoftのクラウド用オブジェクトストレージサービスであるAzure Blob Storageの構成に設定ミスが存在し、合計2.4TBに及ぶMicrosoftの顧客の機密データが公開状態となっていたことが判明しました。問題を発見したセキュリティ企業のSOCRadarによると、公開されていたデータにはユーザー情報や業務に関するファイルが含まれており、111カ国の6万5000もの企業が影響を受けたとのことです。 Sensitive Data of 65,000+ Entities in 111 Countries Leaked due to a Single Misconfigured Data Bucket https://socradar.io/sensitive-data-of-65000-entities-in-111-countries-leaked-due-to-a-sin
公開日 : 2022年10月17日 カテゴリー : アクセシビリティ / ユーザビリティ 各種サービスへのログイン、インターネットバンキングなどの取引実行前の本人確認、といったシチュエーションで、多要素認証としてワンタイムパスワード (†) の入力が求められることが珍しくなくなってきました。従来の認証方法であるユーザー ID とパスワードの組み合わせに加えて、都度、動的に生成される一定の桁数の数字の並びをユーザーに入力させることで、セキュリティをより強固なものにしています。 † ワンタイムパスコード、確認コード、認証コード、などと呼ばれることもあります。 ところで、このワンタイムパスワードの入力欄の実装には、<input type="password"> が用いられているケースを時折見かけます (個人的な感覚としては、インターネットバンキングでこのような実装が比較的多く見られる印象です)。
Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現 Googleは、パスワードレスを実現する「Passkey」のAndroidとChromeでの開発者向けのサポートを開始したと発表しました。 Google is bringing passkey support to Android and Chrome! Users can now create and use passkeys on Android devices. Passkeys are a significantly safer replacement for passwords and other phishable authentication factors Try passkey supp
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月6日、「JVNTA#96784241: VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題」において、VLAN対応ネットワーク機器に複数の脆弱性が存在すると伝えた。 これら脆弱性を悪用されると、ネットワーク機器の保護機構がバイパスされ、サービス運用妨害(DoS: Denial of Service)攻撃や中間者攻撃(MITM: Man-in-the-Middle)による通信内容の窃取が行われる危険性があるとされており注意が必要。 JVNTA#96784241: VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題 脆弱性の影響を受けるとされるプロダクトは次のとおり。
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 英オックスフォード大学の研究チームが発表した論文「Signal Injection Attacks against CCD Image Sensors」は、電波を使い、画像認識システムをだまして存在しないものを見せる手法を提案した研究報告だ。任意の文字や画像などを離れた場所からカメラシステムに電波を送信することで、例えば真っ黒であるカメラフレームに文字を浮かび上がらせることもできる。 現在は、CMOS(Complementary Metal-Oxide-Semiconductor)とCCD(Charge-Coupled Device)イメージセンサーという2つの主要なイメージセンサー・アー
わざと歪ませた文字列を入力させたり指定した写真を選ばせたりすることで、人間とボットの区別を付けるシステムが「CAPTCHA」です。コンテンツデリバリーネットワークプロバイダのCloudflareが、このCAPTCHAに置き換わる代替手段となる「Turnstile」のオープンベータ版をリリースしました。 Announcing Turnstile, a user-friendly, privacy-preserving alternative to CAPTCHA https://blog.cloudflare.com/turnstile-private-captcha-alternative/ Cloudflare’s Turnstile is its next CAPTCHA replacement to determine you’re human - The Verge https:/
ザ・フォロワー(The Follower)は、ベルギーのアーチストでプライバシーや人工知能などをテーマにしているドリーズ・デポーターさん(Dries Depoorter)による新プロジェクト。街中にあるウェブカメラの映像の録画を使って、その付近で撮影した写真をインスタグラムに公開しているユーザーを見つけることができる、というのを示しています。 この場所探しましたよ。アイルランド ダブリンにあるテンプルバーという有名なバーのようです。 デポーターさんが使ったのと同じものかわかりませんが、テンプルバーの前をライブ中継しているカメラもネットで見つけました。 手順は以下の通りだそう。 ネットに公開されているライブカメラの画像を数週間録画しておく ライブカメラの場所でタグ付けされている Instagram の写真を全部取得 二つのデータをプログラムをまわして、同じ人物を見つける 1と2は以前からでも
WebセキュリティエンジニアのSam Curry 氏によると、9/16 9:58 頃にUber従業員のHackerOneアカウントがハッキングされた事が確認された模様です。 Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE — Sam Curry (@samwcyo) September 16, 2022 “誰かがUberの従業員のHackerOneアカウントをハッキングして、すべてのチケットにコメントしています。彼らはおそらくUber HackerOneの全レポートにアクセスできる
AWS Security Hub は、Amazon Simple Notification Service (SNS) を通じてお知らせを発行できるようになりました。これにより、最新の機能リリースやお知らせの情報を入手することができます。AWS Security Hub の新機能に関するお知らせを受け取るには、ご希望のリージョンで AWS Security Hub の SNS トピックをサブスクライブしてください。 AWS Lambda 関数を使用することで、通知を受信したときにイベントをトリガーすることもできます。詳細については、Amazon SNS 通知を使用した Lambda 関数の呼び出しについての説明を参照してください。 グローバルに利用できる AWS Security Hub では、すべての AWS アカウント、すべてのリージョンのセキュリティ体制を一元的かつ包括的に確認できま
Privileged ports, toffs of the Linux world. Kitten is a small web server that runs as a user-level service and would never need elevated privileges if it wasn’t for one archaic anti-security feature in Linux that dates back to the mainframe era: privileged ports. Back to the future As it was in Unix in the 1980s, so it is now, that any process that wants to bind to a port less than 1024 must have
LANケーブルから直接パケットを取得するワイヤタッピングプローブ:Black Hatでハードウェアハック!(1)(1/3 ページ) 筆者の今岡通博氏がハッカーの祭典「Black Hat」に投稿した、ハードウェアの改変を中心にしたハッキングの事例を紹介する本連載。第1回は、LANケーブルからのスニッフィング(パケット取得)を可能とする「LANケーブルから直接パケットを取得するワイヤタッピングプローブ」だ。 はじめに こんにちは、連載「注目デバイスで組み込み開発をアップグレード」の筆者の今岡です。今回は、それとは別に「Black Hat」をネタにした連載記事を企画しました。 Black Hatは年に3回、北米、欧州、アジアで開催されている最大級のハッカーの祭典です。名だたるハッカーが世界中から集まり、今のサイバーセキュリティの問題点などを議論する場です。筆者はこのBlack Hatで、ハードウ
この度、Slack Technologies Limited( 本社:Level 1, Block A, Nova Atria North, Sandyford Business District, Dublin 18 Ireland )(以下、Slack社とします。)より通知があり、当社がコミュニケーションツールとして採用している「Slack」に関して、ユーザーのメールアドレス等を含むレポートが誤って、Slackを契約する他の米国企業1社に対して一時的に開示されたことが判明いたしました。(以下、本件とします。) 本件事象はSlack社における手続き上の誤りを原因としており、Slack社からは既に誤って開示された情報の収集は完了し、米国企業の手元には当該データが残っていないことが確認されたとの報告を受けています。なお、ユーザーによる通信内容は当該レポートには含まれていません。 この度は関係
セキュリティ関連企業のトレンドマイクロは8月25日、HoYoverseが開発・運営するオープンワールドRPG『原神』のアンチチート構成ファイルが、ランサムウェアの攻撃者に悪用されていると報告した。 報告によるとトレンドマイクロは今年7月、あるランサムウェアの感染事例を解析。その結果、「mhyprot2.sys」というドライバによって、カーネルモードを通じてエンドポイント保護プロセスが強制終了されていたことが判明したとのこと。ランサムウェアとは、デバイス内のファイルを暗号化などして利用不可にし、復元することと引き換えに金銭を要求するマルウェアのこと。2020年にカプコンが、ランサムウェアによる被害を公表して話題になったこともある(関連記事)。 We investigate mhyprot2.sys, a vulnerable anti-cheat driver for the popular
はじめに Go Secure Coding Practice とは コンテンツ一覧 良かったところ 注意すべきところ 最後に はじめに こんにちは。SRE の izzii です。 テックタッチのエンジニア規模もそれなりに拡大し、若手の採用も進んできたため、セキュアコーディングを徹底していきたいという思いがあり、まずは意識改革ということで勉強会を実施しました。セキュアコーディングを目的とした場合には教育だけでなく Static application security testing (SAST) の導入といった方法もあるのですが、まずは自分を含めた開発メンバーにノウハウをインストールすることにしました。セキュアコーディングへの意識が高まれば、いづれ SAST の導入の際に抵抗感も少ないだろうと考えています。いきなり SAST を導入しても、誤検知が煩くて浸透しないリスクもありうると考えてい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く