タグ

関連タグで絞り込む (240)

タグの絞り込みを解除

securityに関するmkawanoのブックマーク (354)

  • 続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常

    詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように

    続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
  • 「パスワードは複雑さより長さが大切」 FBIが指南

    パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。 これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。 そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げ

    「パスワードは複雑さより長さが大切」 FBIが指南
  • SMSで送信元を偽装したメッセージを送る

    送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama

    SMSで送信元を偽装したメッセージを送る
  • 裁判所から突然の「提訴の告知」。封書を開封する前に詐欺だと分かる、たった一つのポイント|FINDERS

    CULTURE | 2019/07/31 裁判所から突然の「提訴の告知」。封書を開封する前に詐欺だと分かる、たった一つのポイント 文:岩見旦 地方裁判所を装った組織から、提訴を告知するという封書を送りつける新手の詐欺が流行中だ。SNS上で大きな... 文:岩見旦 地方裁判所を装った組織から、提訴を告知するという封書を送りつける新手の詐欺が流行中だ。SNS上で大きな話題を呼んでおり、裁判所のホームページでも警鐘を鳴らしている。 「地方裁判所 民事訴訟部」を名乗る詐欺封書にご注意 奈良英喜さんの自宅に届いたのは「地方裁判所 民事訴訟部」から送られてきた封書。「至急」の印が押されており開封してみると、「提訴の告知」という手紙が入っていた。 そこには「あなたは支払い義務違反という事で、地方裁判所に訴状の提出が行われ、受理されております。この件に関して異議申し立て、または取り下げ希望がある場合、下記

    裁判所から突然の「提訴の告知」。封書を開封する前に詐欺だと分かる、たった一つのポイント|FINDERS
  • 「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件

    毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティを上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人のをそこまで推すの……?」と面らった読者もいるかもしれません。このを読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン

    「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
  • 不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog

    2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決

    不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog
  • 「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」

    「あなたがやったことはこれだけ大きな罪なんですよ」――インターネット上の掲示板に「不正なプログラム」を書き込んだとして検挙された男性がねとらぼ編集部の取材に応じ、兵庫県警に受けた取り調べの一部始終を語りました。「ブラクラ」という言葉すら知らなかった男性はなぜ書類送検されたのでしょうか(関連記事)。 兵庫県警が「ブラクラ」だと主張しているページ。実際には「無限アラート」であり、「ブラクラではない」という意見が多い 事件のあらまし のアスキーアート(AA)とともに、「何回閉じても無駄ですよ~ww」と書かれたポップアップが繰り返し表示されるサイトのURLをインターネット上の掲示板に書き込んだとして、13歳の女子中学生が補導、39歳と47歳の男性が家宅捜索を受けたとの報道がなされたのは3月初旬のこと。 NHKによる報道(NHKより/現在は削除済み) 一部では掲示板に貼られたURLが「ブラウザクラ

    「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」
  • 「不正指令電磁的記録に関する罪」 各都道府県警への構成要件等の開示請求状況

    各都道府県警へ開示請求を行う際に記載している内容 〇〇県警において刑法第百六十八条の二又は第百六十八条の三(不正指令電磁的記録に関する罪)に基づく取締り その他の運用を行うにあたり、どのような内容をもって犯罪行為とするかの構成要件等を記載した文書(具体例を含む) 全国の都道府県警に開示請求をしているのはなぜか? 「不正指令電磁的記録に関する罪」をはじめとするサイバー関連の事件では、被害届が提出された先の都道府県警が、全国捜査を行う場合などが少なくありません。 ※愛知県に居住する私が家宅捜索を受けた際も、家宅捜索を行ったのは埼玉県警でした。 つまり自分がどこに住んでいようと、どの都道府県警により捜査が行われるかは「不定である」という点を鑑みれば、全都道府県警に対する「不正指令電磁的記録に関する構成要件等」についての開示請求が必要と考えました。 また、全都道府県警から開示された「取締りの基準や

    「不正指令電磁的記録に関する罪」 各都道府県警への構成要件等の開示請求状況
  • 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる

    (追記)これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます

    兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる
  • for文無限ループURL投稿で補導された件についてまとめてみた - piyolog

    2019年3月4日、兵庫県警察はインターネット掲示板に不正プログラムのURLを書き込んだとして未成年者を含む3名を不正指令電磁的記録供用未遂の疑いで児童相談所への通告や書類送検を行う方針と報じられました。ここでは関連する情報をまとめます。 不正プログラムはfor文無限ループか NHK報道から、張り付けられたURLで動作する「不正プログラム」はfor文無限ループとみられる。*1 JavaScriptを見る限り、特殊な実装や脆弱性を用いたものではなく、for文の条件式などを記述せずに無限ループさせたもの。顔文字やメッセージはalertダイアログを使って表示させている。 当該URLを開いたタブを閉じるなどの操作が必要な場合もあるが、最新のブラウザ(Chrome、Firefoxなど)では開いただけで落ちることはない。 URL投稿で摘発された3人 次の3人が問題となったURLを書き込んだとして児童相

    for文無限ループURL投稿で補導された件についてまとめてみた - piyolog
  • 空中分解…海賊版サイト対策検討会はなぜ迷走したか : 深読みチャンネル : 読売新聞(YOMIURI ONLINE) 1/4

    【読売新聞】 ブロッキング法制化の是非を巡って対立を深めていた知的財産戦略部の海賊版サイト対策検討会は10月15日、検討会としての「とりまとめ」はおろか、審議状況の報告さえ出せないまま会議を無期延期とした。前代未聞の幕引きとはいえ

    空中分解…海賊版サイト対策検討会はなぜ迷走したか : 深読みチャンネル : 読売新聞(YOMIURI ONLINE) 1/4
  • サイバー警察に家宅捜索を受けた際の体験談

    はじめに これは、私が2018年4月に埼玉県警のサイバー警察に自宅の家宅捜索を受けた時の体験談です。 事実を出来るだけ詳細に記載致します。また、大変稚拙で恐れ入りますが私自身の正直な気持ちも一緒に書き留めています。 また、事件内容の詳細につきましては、警察に口止めされている上、私も捜査を妨害する意図などは全くなく捜査上の秘密が守られることは個人的にも大切だと理解し同意もしているので掲載しないこととします。 この記事の掲載目的は、主権者(納税者)である私以外の国民の皆様に、行政組織の1つである警察から私と同じような体験をして頂きたくないという点と、サイバー警察組織の現状を垣間見た一市民、一ITエンジニアとして私が感じたこと、体験致しましたことを皆様に共有させて頂ければと思い執筆させて頂きました。 登場人物の紹介 ここでは、少し話が長くなりますので先に登場人物をまとめさせて頂きます。 私:自営

    サイバー警察に家宅捜索を受けた際の体験談
  • QRコードにセキュリティー上の弱点 不正サイトに誘導も | NHKニュース

    電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。 このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、来の情報に加えて、偽の情報を仕込むことができることがわかったということです。 これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。 このため、金融機関などにつながると偽装したQRコードが表

    QRコードにセキュリティー上の弱点 不正サイトに誘導も | NHKニュース
  • コインマイナーをサイトに設置して犯罪になる条件とは? 警察庁と神奈川県警に問い合わせてみた - INTERNET Watch

    コインマイナーをサイトに設置して犯罪になる条件とは? 警察庁と神奈川県警に問い合わせてみた - INTERNET Watch
  • フォントの形を変えて情報を隠ぺいする技術「FontCode」--文字は文字に隠せ

    コロンビア大学の研究チームは、テキスト情報を密かに保存する手段として、情報隠ぺい技術(ステガノグラフィ)「FontCode」を開発した。何らかの物を人目につかなくしたい場合、“木は森に隠せ”などと言われるが、同チームの考案した技術は“文字を文字に隠す”手法である。 FontCodeは、任意の文章を利用し、その文章を構成するフォントの形状を微妙に変えることで別の情報を文章内に埋め込む技術フォントの形状変化はわずかで、元文章の内容は改変されないため、見ただけでは情報が隠されていることなど分からないという。 隠したい情報は、ASCIIまたはUnicodeでビット列に変換し、さらに整数情報へと変換する。そして、この整数値を利用してフォントの形を変えることで、情報を埋め込む。隠ぺいした情報は、変形済みの文章をスキャナやスマートフォンのカメラで画像として取得し、フォント来の形状と比較すれば取り出せ

    フォントの形を変えて情報を隠ぺいする技術「FontCode」--文字は文字に隠せ
  • 存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代

    “国際信州学院大学”の職員がうどん店に対して50人の貸切予約をしたにもかかわらず、無断でキャンセルしたという事件が5月に話題になりました。ドタキャン被害を訴えるツイートは数万リツイートされたのですが、実はこの大学もうどん店も、ましてやこの事件自体も全て架空だったというのがそのオチ。この顛末は下記の記事にも詳しいので、ぜひ一読ください。 うどん屋「ドタキャン受けた」とTwitter投稿 「気の毒」と拡散したが、店も加害者も架空(ITmedia NEWS) 無断キャンセルした大学職員にうどん店「二度と来ないで」と激怒→実は架空の大学でツイート自体も壮大な釣りだと話題に(ねとらぼ) これは釣りなのか、悪質な詐欺なのか、それとも“現代アート”のようなものなのかというのは、皆さんの判断におまかせします。その観点とは別に、個人的にこの一件で気になった「とあるポイント」を掘り下げたいと思います。 ドメイ

    存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代
  • PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで

    セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻撃「ブルーノート」に関して注意を呼びかけた。PCのスピーカやPCの近くに置かれたスピーカからある種の音を流すだけで、PCを使用不能な状態に陥れられるという。なお、攻撃を受けるのはハードディスクなので、SSDのみを搭載しているPCはクラッシュしない。 この攻撃は、ミシガン大学と浙江大学の研究チームがデモンストレーションしたもの。音楽である音程を意味する用語“ブルーノート”と、Windowsのクラッシュ画面“ブルースクリーン”から、ブルーノート攻撃と呼ばれるようだ。 研究チームによると、音の振動でハードディスクの読み書きヘッドとプラッターがそれぞれ振動し、振幅が限界を超えるとハードディスクそのものが損傷したり、ソフトウェアが誤作動したりして、ファイルシステムが破壊されクラッシュやリブートに至るという。攻撃を実行するにあ

    PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで
  • 「最強パスワード選手権」開催 最優秀パスは来年発表

    ネットセキュリティのスマンテック社は22日、世界で最も安全性が高いパスワードを決める「第1回最強パスワード選手権」を開催すると発表した。優勝者には10万ドル(約1080万円)の賞金が贈られる。 ネットセキュリティ企業各社は例年、安全意識の啓発を目的に、その年の「最悪パスワードトップ10」をランキング形式で発表しているが、「123456」や「password」など安全性を犠牲にして、覚えやすさを優先させたパスワードが毎年上位を占め続ける傾向に変化は見られない。 このような注意喚起にもかかわらず、パスワード変更が進まない現状を受け、スマンテック社では、覚えやすさと安全性を兼ね備えた「最強のパスワード」を見つけるため、「最強パスワード選手権」を開催することを決めた。 選手権の目的は「人間らしさを残した最強のパスワード」を見つけ出すことだ。 最も安全なパスワードは「D9TYKA4W」のように、機械

    「最強パスワード選手権」開催 最優秀パスは来年発表
  • パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞

    定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述

    パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
  • 高木浩光@自宅の日記 - 個人情報保護委員会ゥァア゛ーッ ドガシャア

    しかも、取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反だよ。何回言ったらわかるの? たかがドメイン名(笑)とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る(「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報)くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ