ネットの閲覧履歴を記録する「クッキー」がサイバー攻撃に悪用され始めた。社員になりすまして企業のシステムに不正アクセスし、機密データを抜き出した事例も確認された。盗み取られたクッキー情報90万件超を売る闇サイトもあり、今後も被害が広がる恐れがある。企業などは、ログイン時に複数の端末や生体認証を使う「2要素認証」の導入など対策を急ぐ必要がある。あるスウェーデンのパソコンに入っている400件超のクッ
![「クッキー」でサイバー攻撃 闇サイトで90万件販売も 閲覧履歴悪用、なりすまし 企業「2要素認証」急ぐ - 日本経済新聞](https://cdn-ak-scissors.b.st-hatena.com/image/square/4203bd4c467bf9a833476f2b703c5e629a164bf7/height=288;version=1;width=512/https%3A%2F%2Farticle-image-ix.nikkei.com%2Fhttps%253A%252F%252Fimgix-proxy.n8s.jp%252FDSKKZO7501332021082021EA5000-2.jpg%3Fixlib%3Djs-3.8.0%26auto%3Dformat%252Ccompress%26fit%3Dcrop%26bg%3DFFFFFF%26w%3D1200%26h%3D630%26s%3D7d0e53bb7d385a1916e961d27d6ca5a1)
自分でウェブサイトを運営している人にとっては、ウイルス侵入の原因となりうるCMSの脆弱性など、ウェブサイトのセキュリティは気がかりなものです。「Probely」を使うと、自分のウェブサイトの脆弱性やセキュリティの問題をスキャンし、修正の方針まで指示してくれます。 Web Vulnerability Scanner | Web Application Security Testing — Probely https://probely.com/web-vulnerability-scanner/ Probelyには「Free」「Starter」「Pro」「Premium」の4つのプランがあります。無料版でどこまで使えるか確かめたいので、ひとまず「Free」を選択することに。 氏名やメールアドレスなどを入力して「SUBMIT」をクリック。 入力したメールアドレスにパスワードの設定を求めるメール
※規約違反として限定公開にされました。Qiita運営からのメールに「Qiitaだけじゃなくて他サービスの規約違反もあかんのやで」という文言があったので、そのへんに気をつけて修正しました。 本記事はすべてフィクションです。実在する企業とは一切関係ありません 焼肉サブスクに22日通った。 その中で、色々な脆弱性が見受けられたため、詳しく書く。 ※この記事で紹介する脆弱性を実際に突いてサービスを不正利用すると、詐欺罪に問われる可能性があるので、絶対にやらないこと。また、この記事は啓蒙を目的としており、システムの悪用を推奨していない。 焼肉サブスクのシステム サブスクプラットフォームに登録し、クレカでサブスクパスに課金する。 店でパスの画面を見せる。画面には1日1回だけ押せるボタンがあり、ボタンを店員の目の前で押すことで、サービス権を行使する。食べ放題が無料になる 最後にレジで会計するが、食べ放題
ベイジでエンジニアをしている野村です。 ベイジには2012年の新年ともに入社し、WordPressやMovable TypeなどのCMSのカスタマイズなど、サーバーサイドの開発を中心に行っています。今後もそのあたりの情報を発信していきたいと思います。 今回は、WordPressについて。 WordPressはブログシステムというより、もはやCMSといっていいでしょう。インストールなどの設定も簡単、自由にカスタマイズできるプラグインやデザインテーマも豊富、何よりオープンソースで無償、ということで世界中で広く使われています。 このように数多くのメリットがあり、コストパフォーマンスが非常に高いWordPressですが、最近、セキュリティ上の問題を理由に、WordPressの使用を禁止している企業にしばしば出会います。 確かにWordPressは特別セキュアなCMSではありませんが、他の多くのCM
こんにちは、臼田です。 みなさんDeep Security使っていますか? 今回は弊社でDeep Security(DSaaS)を導入させていただいた際に、どのように使ったらいいか?運用したらいいか?というご質問を頂いたので必要な情報をブログにまとめてみました。 なお、導入方法はスコープ外ですので下記などをご参照ください。 AWS 向け Deep Security Agentインストール方法まとめ Deep Securityとは ホスト上で動くセキュリティ製品です。ホストで必要セキュリティ機能を多数持っていていろんな役割を任せられます。 AWS上ではEC2上で動いてスケールしてくれるので、ゲートウェイ型のセキュリティ製品と比べるとクラウドに対する親和性が高いです。管理コンソールもDSaaS(Deep Security as a Service)の場合にはクラウド上にあるため管理サーバを構築
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 【全写真を見る】【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の
ウイルスチェッカー・SecURLにできること 全体像・URLウイルスチェッカー「SecURL」 URL(リンク先ホームページ)の安全・危険をチェック SecURLがあなたのかわりに、リンク先のホームページに訪問。安全・危険度を判定し、危険度とともに、サイトの構成を訪問前に確認することができます。 ご自身のPCを危険さらすことなく、事前に危険度を判定できる仕組みとなっております。とくに危険とされる海外サイトもリスクゼロで訪問・閲覧することができます。 仮想ブラウザで安全ブラウジング アクセスはSecURL内で動作する仮想ブラウザで行われ、閲覧者の皆様に危険が及ぶことはありません。 サイトの状況にはフルサイズの画像にて表示され、目的のサイトのすみずみまで目視することが可能となっております。 作成されたキャプチャには個別のURLが与えられ、お知り合い等にそのURLを連絡することでキャプチャを共有
ども! LIGでWebディレクターをやっていますZIMAです。 先日、上司から「FTP、FTPS、SFTP、SCPの違いについてZIMAは説明できる?」と聞かれました。 「いやいや、待ってくださいよ。そんなの僕だって〜わっかりま……(あれ?FTP、FTPSは理解しているつもりだけど、SFTP、SCPについては、謎だ!)」 と、返答の途中で答えられないことに気が付いたのです。 そこで今回はその、「FTP、FTPS、SFTP、SCPの違い」について調べてみましたので、その結果をご報告したいと思います。 未経験からWeb業界への転職を目指すなら… Webの知識を身に付けたい、Web業界に転職したい……という方は、「スクールでの勉強」もおすすめです。LIGではWebクリエイター育成スクール「デジタルハリウッドSTUDIO by LIG」を運営しております。詳細を知りたい方は、ぜひスクールの詳細をチ
PayPayの不正利用の原因は?PayPayの不正利用の対策方法を知りたいPayPayの不正利用に遭ったらどういう手続きを取ればいい? PayPayで約50万円の不正利用の被害に遭いました 2018年12月11日〜14日にかけてtwitterでなにやらPayPayの不正利用に関する不穏なツイートをたくさん見かけました。 PayPay 経由で僕のクレジットカードが不正利用されたようです。カード番号総当たりでたまたま被害にあった可能性があるとの事。みなさんもお気を付けて。 — 🍃🥜🗼sola🗼🥜🍃 (@sola_io) 2018年12月12日 paypay経由でクレカ不正利用された カスタマーセンターから不審な利用があったと連絡をもらって発覚して利用額約40マソ 海外サイトで利用トライ→セキュリティコード違いで使えないがカード番号の存在を確認→paypayの決済にカード番号を使用
はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Configuration Generator オンラインテスト Mozilla Observatory Qualys SSL Server Test 前提条件 以下で設定する項目は特にHTTPS接続や攻撃防止に関するものになります。 HTTPdそのものに関する基本設定については別記事をご参照ください。 SSLProtocol 危殆化した古いプロトコルを有効にしている場合、古いプロトコルを標的としたダウングレード攻撃等を受ける可能性がある為、新しいプロトコルのみを有
まず、これらの攻撃に対抗するには「知ること」。今このコラムを読んだ皆さんは、もう引っ掛かることはないはずです。ぜひ、お気を付けください。 「スマホアプリ」が絡む攻撃であまり断言されないこと さて、ちょっとお話は変わりまして、シマンテックの記者説明会に参加したとき、スマホアプリにおける悲惨な現状について数字を用いて解説をしていただきました。 この調査結果では、マルウェアは1日あたり2万4000件もブロックされ、さらにマルウェアの99.9%はサードパーティーのアプリストアで発見されるとあります。公式のアプリストアでも、なりすましのアプリが大量に登録されては発見後にブロックされるといういたちごっこが繰り広げられています。スマホゲームのスキン(アバター)や追加キャラクターを無料で手に入れられるというアプリが実はマルウェアだった、というものもあるとのことでした。 さて、ここまでのお話で何か気が付いた
MacにはFileVaultというディスク暗号化機能が有るらしい…… 初回のOS設定で初めて目にした「FileVault」の文字。何じゃこりゃ?と調べてみると、記憶媒体(ハードディスクやSSD)をまるごと暗号化してくれるらしい。 特にMacを業務用として利用していて、重要な顧客データ等を保存している場合には、ぜひとも設定しておくべき機能だとは思いますが、果たして本当に必要なのでしょうか? 今回は、僕のように初めて「FileVault」に触れる人向けに、その設定/解除の方法や、メリット&デメリットについてまとめておきます。 FileVaultとは FileVaultとは、OSが動いている記憶媒体(ハードディスクやSSD)をまるごと暗号化してくれる機能です。 参考:FileVaultを使用してMacのデータを保護する – Apple サポート (日本) これは例えば、紛失したり盗難に遭ったりし
テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。 CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするな
[レベル: 中級] セキュリティに関する Chrome ブラウザの UI 変更を Google はアナウンスしました。 HTTPS および HTTP ページのインジケータが将来のバージョンの Chrome で変わります。 鍵アイコンと「保護された通信」ラベルの削除 HTTPS で配信されるページに対して表示されるラベルとアイコンが削除されます。 現在は、HTTPS ページにアクセスしていると鍵アイコン🔒と「保護された通信」ラベルがアドレスバーの先頭に表示されます。 2018年9月にリリースされる Chrome 69 ではラベル表示がなくなり、鍵アイコンだけになります。 「https://」のスキームもなくなります。 最終的には鍵アイコンも表示しなくなる予定とのことです。 HTTPS 通信であることがわからなくなりますが、セキュリティが守られていることがウェブでは当たり前だとユーザーは想定
Gmail アドレス内の 「.」(ピリオド) を無視する仕様がフィッシングに悪用可能だという指摘 Gmail がアカウント名に含まれる 「.」(ピリオド) を無視する仕様が、Gmail アドレスを登録する Web サービス側の特定の仕様と組み合わさることによってフィッシングのリスクを増加させるという指摘がされていましたので取り上げてみます。 以前、下記の参考記事でも書いたのですが、個人向けの Gmail には、所有しているアカウント名に 「+」 で任意の文字列をつなげることで利用できる 疑似エイリアス (便宜的にこう呼びます) 機能や、アカウント名に含まれる 「.」(ピリオド) を無視するという仕様を使って、同様に疑似エイリアス的な使い方ができる点に触れました (記事としては、それは本来のエイリアスとは異なるから注意しようという内容ですが)。 参考 Gmail のエイリアスは個人情報漏洩対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く