台湾史.jp on Twitter: "明日から、中国で「パスワード法」が施行されます。平たくいうとネットの個人のパスワードは🇨🇳政府が管理し自由に閲覧可という恐ろしい法律です。本文には書いてませんが、中国製アプリにも適用される可能性があります、いや、すると見なして良い… https://t.co/nR2Oia7bxy"明日から、中国で「パスワード法」が施行されます。平たくいうとネットの個人のパスワードは🇨🇳政府が管理し自由に閲覧可という恐ろしい法律です。本文には書いてませんが、中国製アプリにも適用される可能性があります、いや、すると見なして良い… https://t.co/nR2Oia7bxy
2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ
株式会社ヤマダ電機の運営するECサイトから、最大37,832件のクレジットカード情報が漏洩したと昨日発表されました。ヤマダ電機のように日本を代表する家電量販店のサイトからクレジットカード情報が漏洩したことに私自身驚きました。 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 漏洩した情報は以下のように発表されています。 クレジットカード番号 有効期限 セキュリティコード はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。 本稿では、この件を含め、本年の現時点までのウェブサイトからのクレジットカード情報漏えい事件についてまとめました。 事件の一覧 下表に本年(2019年)の現時点までに公表されたウェブサ
ドンキWiFiカメラハック(4) セキュリティ上の問題と、Linuxは使用されていなかった! - honeylab's blog
【追記】改めて確認したところ、製造元及びドンキホーテはLinuxの使用を確認し、ソースコードの開示をはじめました。 ここまでの調査の結果、以下のような問題がわかりました。 このカメラ、とにかくWiFiにつないでクラウド経由で画像を表示することが目的で、ローカルのセキュリティはポンコツです。 アプリからはメールアドレスとパスワードで紐付けられたユーザしか利用できませんが、 telnetやRTSPはローカルに流れたままのため、このカメラが接続されたネットワーク環境内からは画像が自由に見れることになります。また、パスワードを設定することは不可能です。 そのため、このカメラを設置したネットワーク環境では、WiFiのパスワード管理を行ったり、知らない人にLANポートを貸したりしないようにしたほうがいいです。 先述の通り、telnet経由で自由にスクリプトを仕込むことができます。 定期間隔で、自分の専
ぬるぽへ on Twitter: "コインハイブ事件、というかサイバー犯罪が警察内部でどう扱われるかという話について知人の警察関係者からめちゃくちゃ勉強になる話を聞けました。 まず、サイバー犯罪は今のところ県警内だけで発見から検挙までする必要があり、しかも検挙数のプレッシャーも通常通り普通にある。しかし、(続"
コインハイブ事件、というかサイバー犯罪が警察内部でどう扱われるかという話について知人の警察関係者からめちゃくちゃ勉強になる話を聞けました。 まず、サイバー犯罪は今のところ県警内だけで発見から検挙までする必要があり、しかも検挙数のプレッシャーも通常通り普通にある。しかし、(続
PayPay、不正利用の返金は自社で「全額補償」と発表 ── 原因はセキュリティーコードの総当たり「ではなかった」
PayPay曰くセキュリティーコードも漏れている 今回公開された同社のリリースの中には、不正利用の被害データも一部提示された。 「調査の結果、クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件であり、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断しました。 PayPayにおける不正利用の主な要因は、悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高いため、このたび3Dセキュアの対応を決定いたしました。 また、上記13件のうち、PayPayでの利用があった9件について、カード会社と連携しご利用状況を確認したところ、全てご本人による登録と利用であったことが判明しています(2018年12月27日現在)。」 今回話題になっている
TLS 1.3の標準化と実装 | IIJ Engineers Blog
IIJ-II 技術研究所 技術開発室の山本です。現在技術開発室は、私を含めた4人で構成されており、主にプログラミング言語Haskellを使って開発を進めています。今回の話題である TLS(Transport Layer Security) 1.3 もHaskellで実装しました。 4年の歳月をかけて議論されてきたTLS 1.3ですが、この8月にめでたく仕様がRFC 8446となりました。貢献者リストに私の名前が載っていることを聞きつけた広報から、ブログ記事の執筆依頼がありましたので、TLS 1.3の標準化や実装の話について書いてみます。 なぜTLS 1.3を標準化する必要があったのか理由を知りたい方は、「TLSの動向」という記事や「TLS 1.3」というスライドを読んで下さい。 インターネットで使われているプロトコルは、IETFという団体で仕様が議論されて策定されます。IETFには、誰でも
マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log
はじめに PCがcryptojackに感染したと思いきや、感染したのはルータでした、という話です。 8月22日 とあるブログ記事を読んでいたところ、下のスクリーンショットのような読み込み画面とavastによるwebシールドの警告が出てきました。どうやらcoinhiveをブロックしているらしく、ああたまにあるやつだなと思い特に何もしませんでした。しかし、そのあとitmediaや(AT)BIOS、はてなブログにアクセスした際に同様の警告が出たため、流石にこれはおかしいぞと思い始めます。JavaもFlashも無効にしてるし機能拡張もAdBlockしか入れてない、怪しいプロキシを登録しているわけでもない・・・、と一通りチェックした後、とりあえず現状保存のためディスクをバックアップし、システムをavastのフルスキャンにかけて寝ました。 (AT)BIOSにアクセスした際の警告 8月24日 模索 av
Bacoor Inc. | Bring Blockchain Technology to the next level
August 12, 2019 - Update Simplex and Gacha on HB Wallet July 15, 2019 - We are sorry to announce that activities of Realboost.jp will be paused. Hence, from Thursday, July 18th, 2019, we will stop allowing registration. On July 25th, 2019, we will stop providing all services of Realboost. We have integrated Realboost to HB Wallet, where users can communicate with each other via HB Chat. The web
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
AmazonのDNSトラフィック乗っ取り 仕組みについて解説 - orangeitems’s diary
Route53のトラフィック乗っ取り AmazonのRoute53がトラフィック乗っ取りの被害に遭った、と聞くとぎょっとした人が多いのではないでしょうか。AWSの利用者は多いですからね。攻撃の仕組みについて解説します。 www.itmedia.co.jp AWSのクラウドベースのDNSサービスである「Route 53」のDNSトラフィックが何者かに乗っ取られ、「MyEtherWallet.com」のユーザーが仮想通貨を盗まれる事件が発生した。 解説 まず、この問題に関して利用された攻撃手法は「BGPハイジャック」という名前であることをおぼえてください。BGPとはネットワークの中で、ルーティング情報(経路情報)を交換するためのプロトコルです。BGPにて世界中のルーターが会話をすることによって、世界中どんなところにでも、インターネットがつながっていればパケットを届けることができるのです。例えば
パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
学生がアメリカの大学院へ行く方法。研究員という選択肢 - るくすの日記 ~ Out_Of_Range ~
0. はじめに 久しぶりのブログ記事投稿で、いきなりポエムを書きます。技術的な記事じゃないです。 今回は学部や修士の学生が、アメリカの大学院へ進学、ないし一定期間滞在させてもらう方法の一つを実際に私の体験を元に書きます。 以前こういうツイートをしたら、 10月から1年間、客員研究員としてカーネギーメロン大学(CMU)のCyLabで働く事になりました。 多分ほぼ確定— るくす (@RKX1209) 2018年1月23日 どういう経緯で行くことになったのか、書類等はどうしたのか等の質問が来たので、せっかくなので記事としてまとめてしまいます。 海外進出を視野に入れている学生の皆さんの参考になれば幸いです。 私は現在大学院修士1年生で特にOSや仮想マシンモニター、ファームウェアといったシステムソフトウェアをターゲットとした攻撃やその対策技術を研究しています。 また今年の10月から1年ほどこちらの大
Memcrashed - Major amplification attacks from UDP port 11211
Memcrashed - Major amplification attacks from UDP port 112112018-02-27 Over last couple of days we've seen a big increase in an obscure amplification attack vector - using the memcached protocol, coming from UDP port 11211. CC BY-SA 2.0 image by David TrawinIn the past, we have talked a lot about amplification attacks happening on the internet. Our most recent two blog posts on this subject were:
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
孫向文 🐈⬛🐈 on Twitter: "【速報大拡散希望!】2020年元旦から、中国共産党は「パスワード法」を実施、インターネット上、銀行口座、日常生活のすべてのパスワードを中国政府に管理されます、拒絶する者に100万元を罰金の民事訴訟に刑事犯罪にも及ぶ まだ中国メー… https://t.co/nQhmegtm1u"
ねとらぼ on Twitter: "神奈川県警による取り調べの様子が明らかに 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 https://t.co/cOjOiPawMr https://t.co/lEWENG7szO"
403 - Forbidden Access to The Digital Library
The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies
When your CA turns against you
GitHub - LAC-Japan/OWASP-Mobile-Top-10-2016: OWASP Mobile Top 10 2016 日本語訳
