続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
「パスワードは複雑さより長さが大切」 FBIが指南
パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。 これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。 そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げ
6歳の息子がスマホゲームに70万円課金した話|てげ妻
タイトルの通りですが、今となっては笑い話なので6歳の長男がスマホゲームに70万円課金した話をまとめたいと思います。(経験談だけまとめても参考にならないので一応対応策もまとめておきます。) ※結論から言うと、今回の課金はAppleのご厚意で返金されました。 ことの発端-12/12(木)旦那から深刻そうな声で「大変なことが起こった・・・」と電話が…。 一瞬、何だ(゜-゜)?!何か私やらかしたか?! と思いましたが、話を聞くと「カード会社からメールで不正利用の可能性がある旨連絡があった。どうやらで携帯ゲームで30万円課金されている。長男が課金したかもしれない。」とのこと。 経緯としては、カード会社から不正利用の可能性があるメールがきたのでWeb明細で確認したところ、見に覚えのないApple.comからの課金が多数。カード会社に電話確認したところ、「不正利用の可能性があるが、対応を進めるためにAp
SMSで送信元を偽装したメッセージを送る
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
「添付ファイルをzipに圧縮してパスワードをかけて,パスワードは別メールで送信」そんな“常識”,本当に今も必要ですか?:新刊ピックアップ
書籍案内 » 新刊ピックアップ » 「添付ファイルをzipに圧縮してパスワードをかけて,パスワードは別メールで送信」そんな“常識”,本当に今も必要ですか? 「メールに圧縮されたファイルが添付されてきた。中を開こうと思ったけど,スマホじゃうまく開けない。会社に戻ってパソコンでファイルを開けようとしたら,パスワードが必要とのこと。別メールでパスワードが送られてきたので,めんどくさいけど入力して開けてみたら,とくに秘密にしなくてもいいような,どうでもいいデータだった……」 そんな経験,あなたにもないでしょうか。「セキュリティのため」として“常識”になっているやり方ですが,セキュリティの専門家からは「パスワードは容易に解読できる」「通信やサーバをハッキングされたらアウト」「誤送信対策にはならない」などの指摘も寄せられていること,ご存知でしょうか? これだけではなく,「いったいなんのため
WEB特集 潜入取材!フォロワー3万人買ってみた | NHKニュース
フォロワーの数が仕事や報酬に直結するSNSのインフルエンサーの世界。そのフォロワーを購入して水増しする行為がインスタグラムの一部のインフルエンサーの間で行われている実態を取材した記事を21日に掲載した。 News Up「私は“水増しインフルエンサー”」 https://www3.nhk.or.jp/news/html/20190521/k10011924131000.html では水増ししたフォロワーはどこからやってくるのか。売買しているのはどんな業者で、どのようなからくりになっているのか。取材で購入した3万人のフォロワーを徹底追跡すると、その一端が見えてきた。 (「ネット広告の闇」取材班記者 田辺幹夫・田隈佑紀・藤目琴実、ディレクター 中松謙介) フォロワーを売っているのはどんな業者なのか。「フォロワー購入」とネット検索するだけで、数多くの業者が見つかる。 インスタグラムをはじめ、You
「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人の本をそこまで推すの……?」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン
不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog
2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決
「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」
「あなたがやったことはこれだけ大きな罪なんですよ」――インターネット上の掲示板に「不正なプログラム」を書き込んだとして検挙された男性がねとらぼ編集部の取材に応じ、兵庫県警に受けた取り調べの一部始終を語りました。「ブラクラ」という言葉すら知らなかった男性はなぜ書類送検されたのでしょうか(関連記事)。 兵庫県警が「ブラクラ」だと主張しているページ。実際には「無限アラート」であり、「ブラクラではない」という意見が多い 事件のあらまし 猫のアスキーアート(AA)とともに、「何回閉じても無駄ですよ~ww」と書かれたポップアップが繰り返し表示されるサイトのURLをインターネット上の掲示板に書き込んだとして、13歳の女子中学生が補導、39歳と47歳の男性が家宅捜索を受けたとの報道がなされたのは3月初旬のこと。 NHKによる報道(NHKより/現在は削除済み) 一部では掲示板に貼られたURLが「ブラウザクラ
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる
(追記)これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます
for文無限ループURL投稿で補導された件についてまとめてみた - piyolog
2019年3月4日、兵庫県警察はインターネット掲示板に不正プログラムのURLを書き込んだとして未成年者を含む3名を不正指令電磁的記録供用未遂の疑いで児童相談所への通告や書類送検を行う方針と報じられました。ここでは関連する情報をまとめます。 不正プログラムはfor文無限ループか NHK報道から、張り付けられたURLで動作する「不正プログラム」はfor文無限ループとみられる。*1 JavaScriptを見る限り、特殊な実装や脆弱性を用いたものではなく、for文の条件式などを記述せずに無限ループさせたもの。顔文字やメッセージはalertダイアログを使って表示させている。 当該URLを開いたタブを閉じるなどの操作が必要な場合もあるが、最新のブラウザ(Chrome、Firefoxなど)では開いただけで落ちることはない。 URL投稿で摘発された3人 次の3人が問題となったURLを書き込んだとして児童相
サイバー警察に家宅捜索を受けた際の体験談
はじめに これは、私が2018年4月に埼玉県警のサイバー警察に自宅の家宅捜索を受けた時の体験談です。 事実を出来るだけ詳細に記載致します。また、大変稚拙で恐れ入りますが私自身の正直な気持ちも一緒に書き留めています。 また、事件内容の詳細につきましては、警察に口止めされている上、私も捜査を妨害する意図などは全くなく捜査上の秘密が守られることは個人的にも大切だと理解し同意もしているので掲載しないこととします。 この記事の掲載目的は、主権者(納税者)である私以外の国民の皆様に、行政組織の1つである警察から私と同じような体験をして頂きたくないという点と、サイバー警察組織の現状を垣間見た一市民、一ITエンジニアとして私が感じたこと、体験致しましたことを皆様に共有させて頂ければと思い執筆させて頂きました。 登場人物の紹介 ここでは、少し話が長くなりますので先に登場人物をまとめさせて頂きます。 私:自営
QRコードにセキュリティー上の弱点 不正サイトに誘導も | NHKニュース
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。 このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。 これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。 このため、金融機関などにつながると偽装したQRコードが表
存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代
“国際信州学院大学”の職員がうどん店に対して50人の貸切予約をしたにもかかわらず、無断でキャンセルしたという事件が5月に話題になりました。ドタキャン被害を訴えるツイートは数万リツイートされたのですが、実はこの大学もうどん店も、ましてやこの事件自体も全て架空だったというのがそのオチ。この顛末は下記の記事にも詳しいので、ぜひ一読ください。 うどん屋「ドタキャン受けた」とTwitter投稿 「気の毒」と拡散したが、店も加害者も架空(ITmedia NEWS) 無断キャンセルした大学職員にうどん店「二度と来ないで」と激怒→実は架空の大学でツイート自体も壮大な釣りだと話題に(ねとらぼ) これは釣りなのか、悪質な詐欺なのか、それとも“現代アート”のようなものなのかというのは、皆さんの判断におまかせします。その観点とは別に、個人的にこの一件で気になった「とあるポイント」を掘り下げたいと思います。 ドメイ
PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで
セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻撃「ブルーノート」に関して注意を呼びかけた。PCのスピーカやPCの近くに置かれたスピーカからある種の音を流すだけで、PCを使用不能な状態に陥れられるという。なお、攻撃を受けるのはハードディスクなので、SSDのみを搭載しているPCはクラッシュしない。 この攻撃は、ミシガン大学と浙江大学の研究チームがデモンストレーションしたもの。音楽である音程を意味する用語“ブルーノート”と、Windowsのクラッシュ画面“ブルースクリーン”から、ブルーノート攻撃と呼ばれるようだ。 研究チームによると、音の振動でハードディスクの読み書きヘッドとプラッターがそれぞれ振動し、振幅が限界を超えるとハードディスクそのものが損傷したり、ソフトウェアが誤作動したりして、ファイルシステムが破壊されクラッシュやリブートに至るという。攻撃を実行するにあ
「最強パスワード選手権」開催 最優秀パスは来年発表
ネットセキュリティのスマンテック社は22日、世界で最も安全性が高いパスワードを決める「第1回最強パスワード選手権」を開催すると発表した。優勝者には10万ドル(約1080万円)の賞金が贈られる。 ネットセキュリティ企業各社は例年、安全意識の啓発を目的に、その年の「最悪パスワードトップ10」をランキング形式で発表しているが、「123456」や「password」など安全性を犠牲にして、覚えやすさを優先させたパスワードが毎年上位を占め続ける傾向に変化は見られない。 このような注意喚起にもかかわらず、パスワード変更が進まない現状を受け、スマンテック社では、覚えやすさと安全性を兼ね備えた「最強のパスワード」を見つけるため、「最強パスワード選手権」を開催することを決めた。 選手権の目的は「人間らしさを残した最強のパスワード」を見つけ出すことだ。 最も安全なパスワードは「D9TYKA4W」のように、機械
パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
高木浩光@自宅の日記 - 個人情報保護委員会ゥァア゛ーッ ドガシャア
しかも、取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反だよ。何回言ったらわかるの? たかがドメイン名(笑)とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る(「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報)くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ
WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解
Wi-Fiの暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性が見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日(米国時間)、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。 脆弱性は、ベルギーのマシー・ヴァンホフ氏(ルーヴェン・カトリック大学)が複数発見したもの(コードネーム:KRACKs)。WPA2プロトコルの暗号鍵管理にいくつかの脆弱性があり、「Key Reinstallation Attacks」と呼ばれる手法で悪用が可能という。 Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に取り組み、加盟するメンバー企業が使用できる脆弱性検出ツールを提供、メーカー側にも必要なパッチを迅速に提供で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
コインマイナーをサイトに設置して犯罪になる条件とは? 警察庁と神奈川県警に問い合わせてみた - INTERNET Watch
