「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(1/2 ページ) ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サー
「どう考えても速いよね」 MUFGとAkamaiの“世界最速”ブロックチェーン誕生秘話
左から順に、三菱UFJニコス 経営企画本部 デジタル企画部 桑原康史副部長、アカマイ・テクノロジーズ 新村信CTO、三菱UFJニコス常務執行役員 鳴川竜介CTO、MUFG Bank ディジタル企画部 杉本理記調査役 三菱UFJフィナンシャル・グループ(MUFG)と米Akamaiが5月に発表した、「決済速度2秒以下、毎秒100万件取引」を可能にするという決済特化型の新型ブロックチェーン。 パブリック・ブロックチェーンである仮想通貨、ビットコインの取引処理速度は毎秒2~7件で、イーサリアムは最大でも毎秒15件。ブロックチェーンではないが高速な取引ができるといわれる仮想通貨リップルでも毎秒1500件の処理速度であることから、毎秒100万件というまさしく桁違いの速度は驚きをもって迎えられた。 なぜ、MUFGとAkamaiはブロックチェーンに注目し、このような高速性能を実現できたのか。三菱UFJニコ
存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代
“国際信州学院大学”の職員がうどん店に対して50人の貸切予約をしたにもかかわらず、無断でキャンセルしたという事件が5月に話題になりました。ドタキャン被害を訴えるツイートは数万リツイートされたのですが、実はこの大学もうどん店も、ましてやこの事件自体も全て架空だったというのがそのオチ。この顛末は下記の記事にも詳しいので、ぜひ一読ください。 うどん屋「ドタキャン受けた」とTwitter投稿 「気の毒」と拡散したが、店も加害者も架空(ITmedia NEWS) 無断キャンセルした大学職員にうどん店「二度と来ないで」と激怒→実は架空の大学でツイート自体も壮大な釣りだと話題に(ねとらぼ) これは釣りなのか、悪質な詐欺なのか、それとも“現代アート”のようなものなのかというのは、皆さんの判断におまかせします。その観点とは別に、個人的にこの一件で気になった「とあるポイント」を掘り下げたいと思います。 ドメイ
IIJが解説、なぜ日本でGDPR対策が進まないのか
IIJが、GDPR(一般データ保護規制)対応に向けた新しいプラットフォームサービスやコンサルティングサービスを発表、3月19日から順次提供を開始する。 GDPRへの対応が済んでいる日本企業は非常に少ない インターネットイニシアティブ(IIJ)は、2018年3月19日、EU(欧州連合)圏で2018年5月25日から施行される「一般データ保護規制」(GDPR:General Data Protection Regulation)への対応を支援するサービスを発表、3月19日から順次提供を始める。 同社は従来、GDPRに関する最新情報の提供や対応サービスを展開していたが、さらなる支援策として企業における現在の取り組み状況を把握するための「GDPR適合簡易アセスメント」を3月19日から、GDPR対応を自社で進めていくために必要な機能を備えた支援ツール「IIJ コンプライアンスプラットフォーム for
楽天の「携帯キャリア」参入決定 「1.7GHz」帯で“追加条件”あり
総務省の電波監理審議会は4月6日、同省から諮問を受けた「第4世代移動通信システムの普及のための特定基地局の開設計画の認定」について、原案を適当とする答申を行った。これにより、楽天が子会社(楽天モバイルネットワーク)を通して移動体通信事業(携帯キャリア事業)に参入することが確定した。 楽天は「1.7GHz帯」で参入 総務省は、1~2月にかけて以下の周波数帯の電波を第4世代移動体通信システム(4G:LTEなど)で利用したい通信事業者を募集した。 上り1710~1730MHz/下り1805~1825MHz 上り1730~1750MHz/下り1825~1845MHz 上下3400~3440MHz 上下3440~3480MHz 上り1765~1785MHz/下り1860~1880MHz 1と2は「1.7GHz帯(Band 3)のFD-LTE規格向け全国バンド」、3と4は「3.4GHz帯(Band 4
自動運転車にドラレコ設置を義務付けか カー用品関連株が急騰
一部報道機関が同日、政府が自動運転車の本格導入に向けた法整備の大まかな案を取りまとめたと報道。事故が起きた際の原因を明確化するため、自動運転車に対するドライブレコーダー(ドラレコ)搭載の義務化の検討などが盛り込まれているとした。 そのため、今後はドラレコや各種車載機器の需要が高まり、オートウェーブの企業価値が向上するとの期待から買いが集まったとみられる。 カーメイトも株価上昇 同社のほか、ドラレコとして使用可能な360度カメラ「d'Action 360」を展開するカー用品メーカーのカーメイト(東証JASDAQ)も上げており、午後0時30分には160円高(+14.1%)の1295円を付ける場面があった。 関連記事 米警察、Uber死亡事故の動画公開 衝突直前までスタッフ“よそ見”? 米Uber Technologiesの自動運転車が女性をはねて死亡させた問題で、現地のテンピ警察が事故直前の動
東大松尾研、データサイエンティスト育成講座の演習を無料公開
東京大学大学院工学研究科の松尾研究室は3月19日、データ解析からモデルのアウトプットまで学べる講座「GCIデータサイエンティスト育成講座」(正式名:グローバル消費インテリジェンス寄附口座)で利用している演習コンテンツをWebで無償公開した。個人で学習する目的に限り、誰でも無料で利用できる。「無償公開によって、実社会で価値を生むことができるデータサイエンティストの育成拡大を目指す」としている。 Jupyter Notebook形式で作成された全15章の演習コンテンツ。データのセットアップから解析、可視化やモデルのアウトプットまでを一気通貫で学べるという。データサイエンスの主要言語Pythonの基礎から学べるほか、統計的数値計算や機械学習に関する技術、SQLやMongoDB、分散処理フレームワークのSparkなど、ビッグデータ解析に関する技術も学習できる。 個人で学習する目的のみで無償で利用で
GitHubに過去最大級のDDoS攻撃 Akamaiの協力により約8分で復旧
ソースコード共有ツールを運営する米GitHubは3月1日(協定世界時)、日本時間の3月1日午前2時21分~午前2時30分にアクセス不能、断続化が発生したことについて謝罪、説明した。原因はDDoS攻撃だったという。サービス上のデータに影響はなかったとしている。 ピーク時には1.35Tbpsのトラフィックが集中した。メモリキャッシュサーバ「memcached」を踏み台にした反射型攻撃で、1秒当たり1億2690万パケットが送られた。米Wiredによると、これは2016年10月の攻撃以来の、過去最大の攻撃という。 GitHubは、着信転送帯域幅が100Gbpsを超えた段階で、DDoS防御サービスを提供する米Akamaiにトラフィックを転送し、Akamaiがトラフィックを吸収し、攻撃を低減した。 同社は、今後ネットワークエッジをさらに強化し、トラフィック監視インフラを使ってDDoS低減プロバイダーの
「ネット中立性」が米国で廃止へ 日本のサービスにも影響はある?
米国のバラク・オバマ前大統領政権が2015年にせっかく定めた「ネット中立性(Net Neutrality)」を守る規則が、2017年12月に撤廃されようとしています。 米国内の話だし、ごたごたして分かりにくいので、日本ではほとんど関心を持たれていないようですが、日本にも関係なくはないニュースです。今回は、日本のユーザーにとって「米国のネット中立性規則の廃止でどんな影響があるのか」について見ていきます。 この規則撤廃を「風が吹くと桶屋がもうかる」的にはしょると、「ネット中立性の規則がなくなるとNetflixが高くなる」――かなり強引ですが、そういう可能性をはらんでいるのは確かです。 もう少し詳しく説明すると、AT&T、Verizon、Comcastなどの米通信インフラ企業やISP(インターネットサービスプロバイダー)傘下のコンテンツ企業と競合するNetflixやYouTube、Huluなどは
カードサイズのSIMフリー携帯「NichePhone-S」、11月10日に一般販売開始
フューチャーモデルは、カードサイズのコンパクトなSIMロックフリー携帯電話「NichePhone-S(ニッチフォン-S)」を、11月10日から全国の家電量販店などで発売する。発売に先立ち、6日から予約を受け付ける。価格は9980円(税別)。 販売場所はアスキーストア、App Bank Store、コジマ、スマートラボ、ソフマップ、ビックカメラ、二子玉川 蔦谷家電、ヨドバシカメラ。2017年7月にクラウドファンディングを通して先行販売されていた。 NichePhone-Sは50(幅)×90(高さ)×6.5(奥行き)mmという小型サイズと、38gという軽量ボディーが特徴。同社調べで、国内最小、最軽量を実現した。カラーは黒と白の2色。 通話、SMS送受信、テザリング、ICレコーダー、音楽再生などに機能を絞っており、通話やモバイルWi-Fiルーターを用途とした2台目の利用を想定している。Bluet
日本の働き方改革が「はっきり言ってダメ」なワケ
「働き方改革」の旗印のもと、プレミアムフライデーやノー残業デーなど、労働時間を短縮する動きが広がりをみせている。その一方、空いた時間を持て余して街をふらつく「フラリーマン」など、働き方の意識と働き方改革にズレが生じている事象も現れてきた。 「日本人の働き方改革は、短期的な視点しかない」――そう指摘するのは、ピョートル・フェリクス・グジバチ氏だ。ピョートル氏はモルガン・スタンレーやGoogleで人材開発に携わった経験を持ち、生産性やリーダーの仕事術についての著書『0秒リーダーシップ』『世界一速く結果を出す人は、なぜ、メールを使わないのか』を出版している。 世界で成長を続ける企業と日本企業では、働き方の意識がいかに異なるのか。ITmedia ビジネスオンラインとITmedia エンタープライズが共催するセミナーで、ピョートル氏が語った。 指数関数的な変化に追従するために ピョートル氏は、民泊サ
TwitterのGIFアニメ添付機能、ユーザーが「著作権侵害」に問われる可能性は?――福井弁護士に聞く
Twitterに搭載されたGIFアニメ検索機能、米国では「フェアユース」の適用範囲で合法だが、日本で同じ使い方をしたら「著作権侵害」に当たる?――米国のWebサービスを日本国内で使用する時、コンテンツの権利問題についてどう考えるべきなのか。著作権問題に詳しい福井健策弁護士に聞いた。 話題になっているのは、Twitterの投稿やメッセージに対して“動くスタンプ”のようなイメージでGIFアニメを添付できる新機能。GIFアニメの検索・コミュニティーサイト「GIPHY」「Riffsy」と連携し、「大好き」「ハグ」「がんばって!」などのシチュエーションや感情で分類してラインアップしている。 利用できるGIFにポケモンやNARUTO、ディズニー作品などのアニメ、海外ドラマの1シーンなど権利者が明らかなコンテンツが含まれていることに対し、17日のリリース後、日本では「著作権はどうなっているのか?」「あく
企業の宝、「ソースコード」が盗まれたらどう謝るべきか
2017年5月、ちょっと興味深い(当事者にとっては断腸の思いの)報告がブログに掲載されました。Macユーザーにとってはファイル転送ソフトの「Transmit」、そしてWeb開発者にとっては著名なエディタ「Coda」でおなじみのPanicが、ソースコード漏えいのいきさつを同社のブログに掲載したのです。これがとても、生々しいものでした。 マルウェアに感染した「普通のアプリ」 このブログによると、きっかけは動画変換アプリとして著名なオープンソースソフトウェア「HandBrake」のアップデートでした。 特定のダウンロードサイトに置かれたHandBrakeのファイルがマルウェア混入版に置き換えられ、これをダウンロードしてしまうとMacの中にあるログイン情報やパスワードなどが含まれるキーチェーン情報が盗まれてしまうというものでした。 Panicの開発者が運悪くこのマルウェアに感染した結果、同社の大事
ランサムウェア「WannaCry」の被害が止まらない理由
世界で猛威を振るい、次々と被害が報告されているランサムウェア、「WannaCry」。なぜ、被害が拡大し続けているのでしょうか。 2017年5月、また新たなランサムウェアの被害が明らかになりました。 「WannaCry」「Wcry」などと名付けられているこのランサムウェアは、WindowsのMicrosoft Server Message Block 1.0(SMBv1)サーバの脆弱(ぜいじゃく)性を突いて感染し、166種類の拡張子を対象にファイルを暗号化。それらのファイルを人質に、身代金としてビットコインを要求するというものです。 WannaCryが利用するSMBv1の脆弱性「MS17-010」は、既に修正パッチがリリース済みで、緊急性を鑑みたMicrosoftは、サポートが終了しているWindows XP、Windows 8およびWindows Server 2003向けにも修正パッチを
新入生の“Facebook離れ”さらに進む 東京工科大調査
利用率の高いSNSはLINEとTwitterで、Facebookの利用率はわずか16%――東京工科大学は、2017年度の新入生を対象に、コミュニケーションツールの利用状況に関するアンケート調査を行った結果を発表した。2014年度以降毎年行っている調査で、今年で4回目。 4月5日の新入生ガイダンス時に1730人(男子65.2%、女子34.6%、無回答0.2%)に調査票を配布した(回答率100%)。 SNS利用率では「LINE」(98.2%)とTwitter(81.5%)が高い利用率を維持。Instagram(33.2%)は拡大傾向が続いている。Facebookは4年連続利用率を下げ、16.2%まで落ち込んだ一方で、「SNOW」(28.2%)が急成長し、女子の利用率はInstagram(56%)に並んだ。 友人との連絡手段は前回に続きほぼ全員がLINE(97.7%)。次いでTwitterのDM
盛り上がりつつある「Mastodon」、セキュリティは大丈夫?
盛り上がりつつある「Mastodon」、セキュリティは大丈夫?:半径300メートルのIT(2/2 ページ) iOSのパスワードジェネレーターを使おう 私も以前は、信頼できないサービスや、1度しかログインしないであろうサービスでIDを作るときに、漏れてもいい簡単なパスワードを使っていた時期がありました。案の定、そのパスワードがメールアドレスとともに漏えいしてしまい、身をもって危険性を感じたこともあります。 ですが、今はもっと簡単な方法があります。パスワードの全てをブラウザやパスワードマネージャーに任せるのです。例えばiPhoneでは、ブラウザアプリである「Safari」に、パスワード候補を表示してくれる機能があります。IDを新規登録するときにパスワード欄をタップすると「パスワード候補を表示」というメニューが出てくるので、これをタップすると、大変強固なパスワード文字列を提案してくれます。
News:戦争は、GPSの測位精度を変えるか?
News:アンカーデスク 2003年4月7日 02:55 PM 更新 戦争は、GPSの測位精度を変えるか? カーナビの説明書などで「GPS受信機は、米軍によって測位精度が故意に変更されることがある」との記述を見かけることがある。では、戦争でGPSの測位精度が変更されることは、実際にありえるのだろうか? 「GPS受信機は、その性格上米軍によって測位精度が故意に変更されることがあります」 カーナビゲーション機材の説明書等などで、あなたはこのような文面を見たことがないだろうか? あるいは、カー用品店の店頭やウェブサイトで、同様の記述を目にしたことはないだろうか? では、このような記述は、正しいのだろうか? その答えは「原理的には正しいが、法的にも実際の運用面でも誤った記述である」。これが、現在の常識である。 GPS民生利用の経緯 1973年に開始された現行のGPS計画は、1978年に実験衛星初号
都税支払いサイトからカード情報6万件超が流出か
GMOペイメントゲートウェイは3月10日、受託運営する東京都の都税支払いサイトと、住宅金融支援機構の団体信用生命保険特約料支払いサイトに不正アクセスがあり、クレジットカード番号など計約6万2000件が流出した可能性があると発表した。 流出した可能性があるのは、 (1)「都税クレジットカードお支払いサイト」を利用したユーザーのクレジットカード番号と有効期限が6万1661件と、これに加えメールアドレス61万4629件 (2)「団信特約料クレジットカード払い」を利用したユーザーのクレジットカード番号・有効期限・セキュリティコードと住所氏名など個人情報が622件、これに加えメールアドレスなど計4万2918件 不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用したもの。脆弱性について、 独立行政法人・情報処理推進機構(IPA)などが9日に注意喚起をしたのを受け
第17回 「標的型メール訓練」がもてはやされる理由
水際で攻撃を防ぐ標的型メールの訓練 さて、話を「標的型メール訓練」に戻そう。標的型攻撃のプロセスにおいて、メールでマルウェアを送りつけることは、「初期侵入段階」にあたる。他にもUSBメモリや悪意あるWebページからのマルウェア感染の可能性もあるが、USBメモリはPCにUSBメモリを挿入するという物理的な方法が問題になる。メール経由で悪意あるWebページへの誘導が多いことを考えると、メールという媒体への対策ができれば、それなりに有効な対策となる。 訓練を続けて怪しいメールに添付されたファイルを開かないようにすれば、それだけマルウェア感染から始まる確率の高い標的型攻撃を防げるというのは、それなりに理にかなった考えだ。 しかし、セキュリティ専門家の一般的な意見は「標的型メール訓練が標的型攻撃の抜本的な対策にはならない」であるようだ。その理由は幾つかあるが、最大の要因は訓練の目的が「開封率を下げる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired