「Microsoft Account」でユーザーが安易なパスワードを入力しようとすると、リセット画面が表示されて「推測されにくいパスワードを選んでください」と促される。 ビジネスSNS「LinkedIn」から会員のパスワードが流出してネットで出回るなど、ユーザー情報の大量流出被害が後を絶たない。それでも安易なパスワードを使い続けるユーザーが一向に減らないことから、米Microsoftは「Microsoft Account」などのサービスで、安易なパスワードを使えなくする措置を講じていることを明らかにした。 LinkedInの情報流出事件でも、「123456」などの安易なパスワードが多様されていた実態が伝えられている。攻撃側はこうした情報を分析して使用頻度の高いパスワードを洗い出し、その情報を使って総当たり式の「ブルートフォース攻撃」を仕掛けるなどしてパスワードを破ろうとする。 Micros

2016年5月24日、慶應義塾大学は同大学職員に文部科学省を装ったメールが届いたとして注意喚起を行いました。関連情報をまとめます。 慶應義塾大学の注意喚起 2016年5月25日 標的型攻撃メールに関する注意喚起 (魚拓) 2016年5月24日時点の注意喚起内容。メールアドレスやファイル名など若干内容が変更されている。 他大学の注意喚起 東京工業大学 2016年5月25日 文科省を騙ったメール攻撃に注意して下さい (魚拓) 中央大学 2016年5月26日 【注意喚起】文部科学省を騙ったウィルス添付メールについて (魚拓) 首都大学東京 2016年5月26日 【注意喚起】文科省を騙った標的型攻撃メールの到達について 早稲田大学 2016年5月26日 【注意】文科省を騙るフィッシングメールご注意ください (魚拓) 青山学院大学 2016年5月27日 【注意喚起】文部科学省を装った添付ファイル付き

NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ／富居 姿寿子,大森 章充＝NTT NTTセキュアプラットフォーム研究所 NTT-CERT SSID▼は無線LANのアクセスポイント（AP）の識別名である。通常、APは自分のSSIDを発信して、その存在を知らせる。無線LAN機能を内蔵したノートパソコンなどでは、無線LANの接続用画面にSSIDの一覧を表示して、その中から接続したいAPのSSIDを選択し、パスワード（ネットワークキー）などを入力して接続するのが通常の操作になる。 APにはSSIDを隠蔽（ステルス化）する機能があり、ノートパソコンなどの無線LANの接続画面にSSIDを表示させないようにできる。事前に知っているユーザーがSSIDを入力しないと接続できないため、SSIDの隠蔽はセキュリティが高まるように思える。 一方で、解析ツールを使えば、隠蔽さ

Windowsでセキュリティ設定を記述するためにはSDDL文字列を利用する。SDDLは、ファイルやサービス、レジストリなどのセキュリティ設定や監査のために利用される。SDDL内では、組み込みのアクセス権やユーザーアカウントは、2文字の英字で省略して記述される。 解説 Windows OSでは、セキュリティを確保するために、システム内部に存在する各種のオブジェクト（ファイルだけでなく、サービスやプロセス、パイプといった、動的に生成されるものも含む）に対して、アクセス権を設定し、権限を持つユーザーやグループからのアクセスを許可し、それ以外からのアクセスを禁止するなどしている。アクセス権の設定で利用される「アクセス制御リスト（ACL）」については、TIPS「アクセス制御リストACLとは？」で解説しているので、参考にしていただきたい。 ACLの設定内容を確認したり、編集したりするためには、エクスプ

５月２４日、全国各地にあるセブンイレブンのＡＴＭで、偽造クレジットカードが一斉に使われ、現金約１４億円が不正に引き出された事件で、専門家はＡＴＭのネットワーク管理が甘い日本が狙われたとみている。写真は１万円紙幣を数える女性。都内で２０１３年２月撮影（２０１６年　ロイター／Shohei Miyano） 全国各地にあるコンビニの現金自動預け払い機（ＡＴＭ）で、偽造クレジットカードが一斉に使われ、現金約１４億円が不正に引き出された事件で、専門家はＡＴＭのネットワーク管理が甘い日本が狙われたとみている。 同事件に詳しい人物によると、犯行は２２日朝、セブンイレブンのＡＴＭで、南アフリカのスタンダード銀行の偽造クレジットカードが使われた。わずか３時間ほどの間に実行された取引は計１万４０００回に上り、約１４億円が不正に引き出された。 セブンイレブンにあるＡＴＭのほとんどは、セブン＆アイ・ホールディングス

近年、インターネットの普及に伴い、オンラインカジノが急速に普及しています。 それらは、家の中で手軽にカジノゲームを楽しめるという利便性が魅力です。 しかし、初めてオンラインカジノに取り組む方にとっては、様々な選択肢から正確な情報を得ることが困難です。 初めての方には国内人気のオンラインカジノの特徴・魅力を知っていただき、安心して楽しんでいただけるようにまとめました。 オンラインカジノとは オンラインカジノは、インターネットを通じてカジノゲームを楽しむことができるウェブサイトのことです。 近年、パソコンやスマートフォンの普及に伴い、家の中で手軽にカジノゲームを楽しむことができるようになりました。 オンラインカジノのメリット 自宅でのプレイ オンラインカジノは、自宅でプレイすることができるため、気軽に楽しむことができます。また、家族や友人と一緒にプレイすることも可能です。 様々なゲームの選択が

あいまい検索（英語検索） あいまいな日本語で（英語でも）検索できます。上手く動くか分からないのでお試しです。 検索の仕方については「検索のコツ」をご覧ください。 AIを使っていらすとや風の画像が生成できるサービスです。 Eテレのショートアニメです。 いらすとやが更新されたらお知らせするX（ツイッター）アカウントです。 いらすとやのLINEスタンプに関する情報をお知らせするLINEアカウントです。

パスワード入力を不要にしようとするGoogleの計画が進行している。「Project Abacus」は、ユーザーの端末使用方法を包括的に解析することでパスワード入力を不要にしようという野心的なプロジェクトである。Googleは米国時間5月20日、このプロジェクトが2016年6月より「複数の大規模金融機関」で試験運用を開始することを開発者会議「Google I/O」で明らかにした。 Project Abacusを考案したGoogleのATAP（Advanced Technologies and Projects）部門を統括するDan Kaufman氏は、「うまくいけば、2016年末までにすべての『Android』開発者に提供されるだろう」と述べた。 Googleはそれ以上の詳細を明らかにしていない。 Project Abacusは、2015年のGoogle I/Oで発表された。人はパスワード

人間にまつわるセキュリティを考える本連載。今回のテーマは「ヒューマンエラー」です。個人の意識だけに原因を求めてもうまくいかないヒューマンエラー対策について考えます。 連載目次 ヒューマンエラーを考える 心理学などの知見を借りながら、「人間のセキュリティ」を考える本連載。第5回では、組織の「ヒューマンエラー対策」を扱います。情報セキュリティに限らず、多くの事件・事故は、ヒューマンエラーが主要な原因となって起きています。 図表1はNRIセキュアテクノロジーズが2015年に行った調査の結果です。これを見ると、企業におけるセキュリティ事故の大部分は、「ヒューマンエラー」と「サイバー攻撃」によるものだと分かります。また、この調査の中でサイバー攻撃として分類されている幾つかの項目も、考え方によってはヒューマンエラーに起因するものと捉えることができます（標的型メール攻撃など）。 図表1　過去1年間に発生

What's My Pass?に5月19日(米国時間)に掲載された記事「What's My Pass? ≫ Linkedin Top 50 Leaked Passwords」LinkedInから流出したと見られるパスワードのトップ50を伝えている。LinkedInから流出したと見られるパスワードはすでに利用が非推奨とされているSHA-1アルゴリズムでハッシュ化されているうえ、ソルトも使われていないとされており、元のパスワードの算出が簡単だという。 公開されているパスワードは次のとおり。 123456 linkedin password 123456789 12345678 111111 1234567 sunshine qwerty 654321 000000 password1 abc123 charlie linked maggie michael 666666 princess 12

全国１７都府県のコンビニの現金自動預け払い機（ＡＴＭ）約１４００台で今月１５日、偽造クレジットカードとみられるカードが一斉に使用され、総額約１４億４０００万円が不正に引き出されていたことが捜査関係者への取材でわかった。 約２時間半の間に、１００人以上の犯人グループが各地で引き出したとみられる。南アフリカの銀行から流出したカード情報が使用されており、警察当局は背後に国際犯罪組織が関与しているとみて、海外の捜査機関と連携して捜査を進める。 捜査関係者によると、不正に現金が引き出されたのは、東京、神奈川、愛知、大阪、福岡など１７都府県のコンビニに設置されたＡＴＭ。日曜日だった１５日の午前５時過ぎから８時前までの約２時間半の間に、計１４億４０００万円が引き出された。

ランサムウェア「TeslaCrypt」に暗号化されてしまったファイルを、復号できるようになりました。TeslaCryptの作成者のおかげです。 確率論によると、妙な出来事が時折、起こるべくして起こるものだそうです。特別におかしなことが起こる可能性は小さいながらもありますし、私たちが「これは、変」と思うような出来事や事件は無数にあります。そして時には、こうした妙な出来事が朗報であることもあります。たとえば、ランサムウェア「TeslaCrypt」の背後にいるサイバー犯罪者が突然マスターキーを公開した、というニュースのように（英語記事）。このマスターキーを使えば、どのバージョンのTeslaCryptに暗号化されたファイルでも復号することができます。 どういうわけかサイバー犯罪者たちは、ランサムウェアの中でも特に悪質とされていたTeslaCryptの配布停止を決めたようです。このランサムウェアの一

昨年末にTeslaCrypt 2.0が暗号化したファイルの拡張子を「.vvv」とすることから「vvvウイルス」と呼ばれ話題になりました。 その「vvvウイルス」は有志の活動により支払いをしなくとも復号する方法が発見され、このブログでも手順を紹介しました。それ以降、すぐにTeslaCryptはバージョンアップがされ、最近まで支払いをする以外には暗号化されたファイルを復号することができない状態が続いていました。しかし、ここにきてTeslaCryptの開発者が復号するためのマスターキーを公開しました。通常は感染した端末毎に復号キーが生成されていると思われますがマスターキーはすべての暗号化を復号することのでできるキーであると思われます。 その公開されたマスターキーを使い復号するためのツールも既に公開されていますので詳細はこちらをご覧いただければと思います。 ちなみに公開されたマスターキーは下図の通

by Maicon Fonseca Zanco 日々のランニングやウォーキングなど、運動を記録・管理するアプリ「Runkeeper」では、運動の記録中にスマートフォンの現在地情報を取得して記録に活用しています。しかし、Runkeeperを使用していない時でもアプリが現在地情報を取得し、アプリ内に組み込まれたサードパーティー製広告サービスへ勝手にデータを送信していたことが判明しました。 A Message to Our Users | Beyond the Miles http://blog.runkeeper.com/4714/ PSA: Runkeeper is tracking your every move, transfers user data to a third-party advertiser http://www.phonearena.com/news/_id81099

2012年にビジネスSNS「LinkedIn」のユーザーのパスワードなどの情報が流出した問題で、被害に遭ったユーザーは当初伝えられた650万人にとどまらず、1億1700万人を超えていたとみられることが分かった。LinkedInは5月18日、被害に遭ったアカウントのパスワードを失効させ、ユーザーにリセットを呼び掛けていることを明らかにした。 Motherboardなどの報道によると、闇市場でこのほど、2012年の事件で流出したLinkedInのユーザー約1億1700万人の電子メールとパスワードを含むアカウント情報が5ビットコイン（約2200ドル相当）で売りに出された。パスワードはSHA-1を使ってハッシュ化されているものの、強度を高めるためのソルトは行われていなかったという。 LinkedInは18日のブログで、新たに1億人を超すユーザーの電子メールとハッシュ化されたパスワードの組み合わせが

なぜ、GPSをオフにしても「位置情報」が取得できるの？――最低限押さえておくべき位置情報取得の仕組み：セキュリティ、いまさら聞いてもいいですか？（8）（3/4 ページ）