![「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を](https://cdn-ak-scissors.b.st-hatena.com/image/square/211ca467130dad537b7df0de1b27b746bf35d97a/height=288;version=1;width=512/https%3A%2F%2Fforest.watch.impress.co.jp%2Fimg%2Fwf%2Flist%2F1584%2F589%2Fputty.jpg)
セキュリティー対策が進化すると、攻撃者も新たな手口を模索する。事実、マルウエアに初期感染させる手口のバリエーションは、米Microsoft(マイクロソフト)が「Microsoft Office」のファイルでマクロをブロックする対策▼を講じてから拡大した印象がある。 その1つとして、ネットワークに設置したセキュリティー製品では検知しにくい「HTML(HyperText Markup Language)スマグリング(Smuggling、密輸)▼」を取り上げる。マルウエアを攻撃対象の足元まで隠し持って「密輸」する手口だ。2023年におけるマルウエアを配布する手口のトレンドの1つといえる。 実際の攻撃で確認された様々な事例をまとめながら、対策を含めて徹底的に解説する。あなたの端末で実際に検証できる無害なサンプルコードも紹介する。脅威の本質的な理解に役立ててほしい。 一見無害なHTMLを送付 まずは
当社ではIE View WEというアドオンを開発・公開しています。これはFirefox上で閲覧中のページやマッチングパターンに当てはまるURLのページをIEもしくは任意の外部アプリケーションで開くという物で、Firefox法人サポートでの需要を想定して、既存のアドオン「IE View」の仕様を参考にFirefox 57以降で使用できる形(WebExtensionsベース)でスクラッチで開発したという物です。 WebExtensionsではアドオンが直接任意の外部アプリケーションを起動する事はできず、Native Messaging Hostと呼ばれるヘルパープログラムを介する必要があります。Native Messaging Hostは任意の言語で実装することができますが、IE View WEのNative Messaging Hostの場合はGoで開発しており、一般のユーザのためにコンパイ
5月11日から、マイナンバーカードの電子証明書機能をAndroid端末に搭載できるようになった。これを受け、ヤフーが運営するオークションサイト「ヤフオク!」は、中古スマートフォン出品の際、事前にスマホ用電子証明書の失効手続きを行うよう案内している。 スマホ用電子証明書は、端末の初期化だけでは削除できず、マイナポータルアプリから失効申請を行う必要がある。マイナカードの電子証明書機能を使っていたスマホを出品する際には、必ずこの手続きを行うよう呼び掛けている。 関連記事 マイナカードをAndroidスマホに入れてみた 何が便利で何ができる? iPhone対応は? 5月11日に、マイナンバーカードのスマホ用電子証明書搭載サービス、いわゆる「カード機能のスマホ搭載」がスタートした。「マイナカードがスマホに入る」なんて言われているが、何ができて何ができないのか。実際にスマホにマイナカードを搭載してみた
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます LastPassによると、ハッカーが同社の上級エンジニアの自宅コンピューターを攻撃して、機密情報を含む企業データベースや情報へのアクセスに必要なマスターパスワードを窃取したという。 同社は、2022年8月にハッキング被害に遭ったことを最初に公表したとき、攻撃者が開発環境にアクセスして、LastPassのソースコードの一部と独自の技術情報を盗んだと述べた。 LastPassは当時、攻撃者が顧客データや暗号化された機密情報の保管庫にアクセスした証拠はないと語っていたが、12月には、暗号化されたデータと暗号化されていないデータの両方を含む保管庫データ(顧客に関する情報を含む)がハッカーに盗まれたことを明かした。 同社は今回、攻撃者が最初の攻撃
「解除不可能」ロシア・ハッカー犯罪集団のコンピューターウイルスはなぜ解除できたのか? サイバー攻撃を受けた徳島・半田病院、復旧の裏で起きていたこと【前編】 2021年10月、徳島県つるぎ町の町立半田病院が、ロシアを拠点とするハッカー犯罪集団からサイバー攻撃を受けた。身代金要求型の「ランサムウエア」と呼ばれるコンピューターウイルスによる攻撃で、電子カルテなどのデータが盗まれ暗号化されてしまい、病院機能がダウンした。ウイルスは高度な暗号技術が使われており、身代金を支払わないと「解除は不可能」とされる。病院は「身代金は支払わない」と表明し、東京都内のIT業者に調査とシステムの復旧を依頼、2カ月後には復旧して全診療科が再開した。解除不可能なウイルスは一体どのようにして解除できたのだろうか―。ハッカー犯罪集団、復旧を請け負ったIT業者らに取材を敢行し、その「謎」に迫った。(共同通信=角亮太) ▽未明
「身代金はもらった」ロシア・ハッカー犯罪集団が明かした交渉の一部始終 サイバー攻撃を受けた徳島・半田病院、復旧の裏で起きていたこと【後編】 2021年10月、徳島県つるぎ町の町立半田病院が、ロシア拠点のハッカー犯罪集団「ロックビット」から「ランサムウエア」と呼ばれる身代金要求型のコンピューターウイルスの攻撃を受け、病院機能がダウンした事件。攻撃により暗号化されたデータは「解除不可能」とされ、ウイルスを作成した犯罪集団から復旧プログラム「復号鍵」を入手しないと復元できないとされていた。「身代金は支払わない」と表明していた病院だが、2カ月後に機能は回復する。ロックビットへの直接取材で、日本人の「匿名ハッカー」の存在が浮上した。果たしてこの人物はどんな役割を担ったのか。犯罪集団に身代金は渡ったのか。取材を進めていくと復旧の裏側で起きていたことが見えてきた。(共同通信=角亮太) 前編はこちら ht
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
自社のクラウド環境に侵入され、データベースから経営に欠かせないデータを持ち出される。バックアップも消され、データを取り戻したければ、身代金を支払うよう要求される──企業にとって絶対に直面したくない事態の一つだ。しかしこのシチュエーションをあえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。クラウド会計サービスを提供するfreeeだ。 freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求したという。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。 訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあったという。同社のPSIRTが取り組んだ
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
LINE Payは12月6日、13万3484アカウントの一部決済情報がソースコード共有サイト「GitHub」上で閲覧できる状態になっていたと発表した。すでに情報は削除しており、該当ユーザーへ個別に案内。現時点ではユーザーへの影響は確認されていないという。 国内ユーザーで5万1543アカウント、海外を含めると13万3484アカウントが対象。閲覧できた情報は、LINE内でユーザーを識別するための識別子(LINE IDとは異なる)、システム内で加盟店を識別する加盟店管理番号、キャンペーン情報の3点。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。 決済情報の該当期間は、2020年12月26日から21年4月2日まで。情報が閲覧できる状態だったのは、21年9月12日午後3時13分頃から11月24日午後6時45分まで。期間中、外部からのアクセスは11件確認
長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニ
「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン(東証一部上場)は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4~6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ
サイバー空間で“最恐”と呼ばれた、コンピューターウイルス、エモテット。 かつてないほど猛威を振るっていたこのウイルスが、ことし1月、制圧された。 日本を含む世界の200以上の国と地域の端末が感染、25億ドルの損害をもたらしたとされる。 世界8か国の捜査機関のおよそ2年間に及ぶ合同捜査の結果だったが、そこに日本の捜査機関の名前はなかった。 だが、この作戦には、日本の有志のホワイトハッカーたちの活動が、大きく寄与していた。 “最恐ウイルス”VS“ガーディアンズ” その知られざる戦いを追った。 (ネットワーク報道部記者 鈴木有) ウクライナ東部の町ハリコフ。 集合住宅の狭い路地を武装した捜査員らが駆け入っていく。 一つの部屋のドアをバールでこじあけ、蹴破って突入する。 捜査員が目にしたのは、数十台はあると思われるコンピューターやハードディスク。 そして、大量の紙幣と金塊。 世界中で猛威を振るって
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなければchromeがユーザーに不吉な警告を発することになる) 証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書(ブランド)がいいの?」と。そして私たちは毎回困ってしまう。 エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く