中国企業が「世論工作システム」開発か、Xアカウントを乗っ取り意見投稿…ネットに資料流出【読売新聞】 中国政府と取引関係にあるIT企業(本社・上海)が、X(旧ツイッター)のアカウントを通じて、世論工作を仕掛けるシステムを開発した疑いがあることがわかった。このシステムを紹介する営業用資料とみられる文書がインターネットに流
「TikTokは事実上のキーロガー」と専門家、知らないうちにユーザーを侵害する「アプリ内ブラウザ」の脅威とは?
開かれたインターネットを目指すソフトウェアエンジニアらによって組織された非営利団体・Open Web Advocacy(OWA)が、ユーザーの目が届かない場所でセキュリティやプライバシーを大きなリスクにさらすアプリ内ブラウザについて提言しました。 In-App Browsers: The worst erosion of user choice you haven't heard of - Open Web Advocacy https://open-web-advocacy.org/blog/in-app-browsers-the-worst-erosion-of-user-choice-you-havent-heard-of/ 以下のムービーでは、OWAが危惧しているアプリ内ブラウザの問題点がアニメーションでわかりやすく解説されています。 Open Web Advocacy - In-
“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
ウクライナ 各省庁のウェブサイトがハッキングされ閲覧不能に | NHKニュース
ウクライナと隣国ロシアとの間で軍事的な緊張が続く中、ウクライナの外務省など各省庁のウェブサイトが何者かにハッキングされて閲覧できなくなり、ウクライナ政府は警戒しています。 ウクライナ政府によりますと、外務省や教育科学省など政府の複数のウェブサイトが何者かにハッキングされ、13日夜から14日にかけて閲覧ができない状況となりました。 さらに、外務省のサイトには、「ウクライナの人たちよ!すべてのデータは破壊し、あなた方の情報を公にさらした。最悪の事態を想定しろ」などとするメッセージがウクライナ語やロシア語などで掲載されました。 ウクライナ政府は調査を進めていて、これまでのところ個人情報の流出などは確認されていないということです。 外務省の報道官は、ロイター通信に対し、「誰による攻撃なのか判明するのは時期尚早だが、過去にもロシアから同じような攻撃を受けてきた」としています。 ウクライナでは、201
楽天ペイ、決済エラーでもお金はしっかり引き落とされる不具合が密かに多発 : 市況かぶ全力2階建
永守重信のニデック、グローバルグループ代表の権限を強める定款変更案で岸田光哉社長の新体制に早くも暗雲が漂う
他人の充電ケーブルを借りてはいけない理由 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
スマートフォンやタブレットの電池が切れそうだが、充電ケーブルを家に置いてきてしまった。そこで、空港の出発ロビーにいる他の乗客から、あるいはホテルのフロントから充電ケーブルを借りる──。特に問題がない行為に思えるだろうが、サイバーセキュリティーの専門家によると、今の時代ではそれは大きな間違いだ。 IBMセキュリティーのハッカーチーム「Xフォース・レッド(X-Force Red)」を率いるチャールズ・ヘンダーソンは「生活の中では人から借りないものがある」と語る。「旅行中、下着を持って来なかったことに気づいたとしても、一緒に旅行している人全員に下着を貸してほしいと頼んだりはしない。店に行って新しい下着を買うはずだ」 ヘンダーソンのハッカーチームは、顧客のコンピューターシステムに侵入し、システムの脆弱(ぜいじゃく)性を明らかにするサービスを提供している。サイバーハッカーらは、機器やコンピューターを
「アダルトサイト閲覧姿を録画」で脅迫 被害1千万円(産経新聞) - Yahoo!ニュース
「アダルトサイトを閲覧している姿を録画した」などと偽メールを送りつけて仮想通貨をだまし取る詐欺被害が相次いでいる問題で、10月中に国内で約1千万円相当の被害が発生したことが25日、分かった。利用者が過去に使っていたパスワードを偽メールの件名にするなどして動揺させる手口が被害拡大につながっているとみられる。 偽メールは「パソコンに内臓されたカメラでアダルトサイトを閲覧している姿を撮影した。家族や同僚らにばらまく」などと脅す内容。9月19日に国内で初確認され、同月末までに少なくとも計250万円相当が攻撃者の仮想通貨口座に払い込まれたとみられる。 調査している情報セキュリティー会社「トレンドマイクロ」(東京)によると、10月に入っても同様のメールが12回にわたって約5万2千通送信されたという。9月中の被害分を含めて10月末までに少なくとも計約1240万円相当の仮想通貨が指定口座に払い込まれたのが
相手を信用させる前例なき手口 コインチェック攻撃で明らかに | NHKニュース
前例のないサイバー攻撃の手口が明らかになりました。ことし1月、大手交換会社から巨額の仮想通貨が流出した事件で、犯人は半年余り前からこの会社の複数の社員と偽名で交流を重ね、信用させたうえでウイルスを仕込んだメールを送りつけていたことが関係者への取材でわかりました。 コインチェックの通信記録や社員のメールなどを分析した結果、犯人は事件の半年余り前からSNSなどを通じてシステムの管理権限を持つコインチェックの技術者を複数割り出し、それぞれに対してネットを通じて偽名で交流を重ねていたことが関係者への取材でわかりました。 この間、不審な行動は一切行わず時間をかけて信用させたうえでウイルスを仕込んだメールを送った結果、これらの技術者も疑うことなくメールを開いてしまったということです。 ウイルス感染後、海外との不審な通信が急速に増えていることから、犯人は管理権限を奪って外部からシステムの内容を調べ、イン
「パスワードだけ別メールで送れば安全」、それってホント?
まず、パスワード付きファイルが添付されたメールが来て、続けてパスワードだけが書かれたメールが届く、アレですよ。この2つを合わせることで、初めて添付ファイルを開ける、というやつね。あえてこんな面倒な手間を掛けてるんだから、何となく安全な気がしますが……ちょっと、待ってください。 これって本当に意味あるの? 「たとえ添付ファイル付きのメールが盗まれても、パスワードが書かれていないから、ファイルの中身が見られることはない。だから安全である」 はい。これは確かにその通り。でも冷静に考えてみると、添付ファイル付きメールを盗める腕前を持ったクラッカーなら、その後に送られてくるパスワード通知のメールだって、難なく盗めてしまいそうですよね? というか、実際にはその通りなんです! 関連記事 連載:ここがヘンだよ、セキュリティの常識 第28回 「続けてパスワード送付」欧米でまったく使われないワケ 「解凍パスワ
Dell、PCのリカバリ用に使われていたドメイン更新を忘れて乗っ取られる | スラド IT
Dellのアフターサポート用Webサイトが1か月ほど乗っ取られていた可能性があるという。これを報じたKrebs On Securityによれば、Dellは2017年6月にドメイン更新を忘れたため、第三者によって乗っ取られたとしている。Krebs On Securityは、このアドレスを入力するとマルウェアをホスティングしているサイトにリダイレクトされたとしている(Krebs On Security、Register、Slashdot)。 このアフターサポート用Webサイトは、Dell製PCのほぼすべてにインストールされているバックアップソフト「Dell Backup and Recovery Application」に利用されるほか、PCを工場出荷状態に戻すときにも使われている。Dellは該当ドメイン失効を認めたものの、一時的なもので問題の期間中にマルウェアがユーザーデバイスに転送されたと
画像の「透かし」が自動できれいに消せることをGoogleが実証、「もっと効果的にするにはあと一手間必要」
写真を販売しているサイト(ストックフォトサイト)では、販売中の写真のサンプルをそのまま転用されることがないように、はっきりとわかる「透かし」を入れていたりします。しかし、現在用いられているような「透かし」は、コンピューターアルゴリズムを用いて簡単に除去可能であることをGoogleが示し、もう一手間加える必要性を説いています。 Research Blog: Making Visible Watermarks More Effective https://research.googleblog.com/2017/08/making-visible-watermarks-more-effective.html これは、Googleが「CVPR2017(コンピュータービジョンとパターン認識のカンファレンス)」の中で「On The Effectiveness Of Visible Watermark
「中華ウェブカメラ」のセキュリティについて - 黒林檎のお部屋♬
黒林檎です。 今日は、IPカメラをハッキングしていこうと思います。 ◆最初に 巷で話題のIPカメラ『VSTARCAM Mini WIFI IP Camera 技術基準適合認定済み有線/無線LAN対応ネットワークカメラ C7823WIP』をハッキングして、どんなセキュリティリスクがあるか考えていきたいと思います。 hardshopper.hatenablog.com 最初に疑ったことはスピーカーの破損によるシステム音声のボヤきだったので、ウェブカメラで再生される音声データを抽出してみましたが、該当しそうな音声データはありませんでした。 中国カメラ音声 - Google ドライブ 金曜日にこんな面白い話が降ってきたので、速攻ポチって買いました。 同じシステムを使っているカメラを購入してハッキングしていたので、そこまで時間掛けずにハッキングできるだろうといったところでした。 (図)IPカメラ 私
中国製ネットワークカメラから中国語が聞こえてきた話の続き - 僕とネットショッピング
下の記事がちょっと伸びてたことに気が付きました。 hardshopper.hatenablog.com 夏で皆さんちょっと怖い話が読みたかったのかな。 喜んでたら最後の方に↓とか無責任なこと書いてるのに気が付きました。 返送してから、まだ連絡はありません。 また調査結果が戻り次第、追記します。 連絡ありました。なのに追記してない。ごめんなさい。 なので急いでどうなったか書きます。 返送したショップから下記のような返信がきました。 返送してから連絡まで1ヶ月程度かかりましたが、販売店さんはとても良い対応だったと思うので転載しちゃいます。 今回ご返送されたネットワークカメラを、メーカーに返送し、精査させていただきましたが、 本日、返信が来ましたので、報告させて頂きます。 メーカー技術の者からの返信は以下の通り 1テスト中、今回の現象発生しておりませんでした。 2カメラのパスワードをお客様ご自身
ゲーム屋のAiming「従業員がお客様のアカウントを売りとばした容疑で逮捕されたました」 : 市況かぶ全力2階建
立憲民主党の原口一博さん、Meiji Seikaファルマ(旧・明治製菓)の反ワク法的措置にガンギマリ刑事告訴で応戦する模様
産業ガス最大手が受けたサイバー攻撃の意味 | 読売新聞 | 東洋経済オンライン | 経済ニュースの新基準
化学プラントや医療機関で必要な産業ガスの国内最大手・大陽日酸(東京)がサイバー攻撃を受け、システム内の情報を広範囲に見られる管理者権限が奪われていたことが分かった。 社員ら約1万人分の個人情報など内部情報が盗まれた可能性があり、専門家は「インフラ企業を標的とした次のサイバー攻撃につながる恐れがある」と警告している。 同社によると、2016年3月、内部情報のあるサーバーに管理者権限を使った不審な接続があることに気づき、調査を始めた。 調べた結果、サーバーが少なくとも4種類のウイルスに感染して管理者権限が奪われ、外部からの遠隔操作で、システム内の大半にあたる6百数十台のサーバーに接続できる状態だった。同月には、サーバーの一つが2回にわたり外部と不正通信を行い、そのサーバーには、何者かが約1ギガ・バイト(A4判文書約35万枚相当)の大量のデータを複数の圧縮ファイルにまとめていた。データには、同社
企業向けセキュリティ研修ビデオを小中高生徒の親に見せた結果
夏休みに自治会の催しか何かで、スマートフォンのセキュリティやリテラシーに関する映像を上映していたらしい そこで素材として選ばれたのがIPAのセキュリティ啓発映像だと知って嫌な予感はしていた その結果現在起きているのが以下 子供のスマートフォンを解約する家庭が続出解約された子供が登校拒否親に反抗した子供が家出(数日帰宅せず警察沙汰に)解約の憂き目に遭わずに済んだ子供に「テザリング」の負担が激増(解約のみでスマホ自体は取り上げられずに済んだ子供が多かったため)「テザリング役」の子供がパケット制限解除のためにパケット追加しまくってキャリアから高額請求される事態にスマホのテザリング台数には上限があるため、誰が誰のテザリングを許可した、しなかったで子供達の間で揉める(テザリングを拒否した子のスマホが盗まれる事も)MVNOを利用している家庭の子が、親のPCでMVNOの会員サイトに無断でログインし回線を
ネット接続の大人のおもちゃで2人のヒミツがダダ漏れに
<モノがインターネットにつながるIoT(インターネット・オブ・シングス)時代を迎え、遠隔で操作できる性具も増えているが、バイブレーション(振動)の強度などのデータが製造元に送られてきていたことをハッカーが突き止めた。バラ色に描かれるIoTの危険性も明らかに> インターネットに接続された「大人の玩具」が使用者の"情報"をメーカーに送っていたことをハッカーが明らかにした。目的は「市場調査のため」らしい。 We-Vibe 4 Plus(ウィーバイブ4プラス)は、バイブレーション機能を備えた大人のおもちゃ。専用のスマートフォン用アプリがあれば、カップルが離れ離れの時にも使える。つまり、女性が装着し、男性がアプリを使って遠隔から操作するという仕組みだ。今回暴露されたのは、温度やバイブレーション(振動)の強度といったデータを、製造元が機器から収集している事実だった。 【参考記事】【セックスロボット】数
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
LG製お掃除ロボットに脆弱性、室内を覗き見可能
「性行為をのぞき見られる」 カメラ付き女性用アダルト玩具に脆弱性 英セキュリティ企業が注意喚起
中高生限定SNSアプリ「ゴルスタ」→親のクレカ情報や本名、住所など個人情報が全てすっぱ抜かれると判明し大炎上中
