タグ

関連タグで絞り込む (61)

タグの絞り込みを解除

セキュリティに関するnobodyplaceのブックマーク (133)

  • IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除

    IIJは、パスワード付きZIPファイルを添付したメールとパスワード記載メールを個別に送信する「PPAP」を廃止すると発表した。2022年1月26日から添付ファイルは削除し、メール文のみを受信する。 インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール文のみを受信する。 同社は「PPAPは、日で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。 今後、IIJは別

    IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除

  • PGP(GnuPG)の導入方法教えてやるから、いい加減、ファイルをZIP暗号化して、別メールでパスワードを送るのは、やめてくれ! ~セットアップ編~ - Qiita

    PGP(GnuPG)の導入方法教えてやるから、いい加減、ファイルをZIP暗号化して、別メールでパスワードを送るのは、やめてくれ! ~セットアップ編~emailPGP暗号化GnuPGセットアップ このエントリーのきっかけ いろいろな企業に使われている、電子メール(以下、メール)でのファイル送信方法。 内容は、暗号化ZIPを相手に送り、別メールでパスワードを相手に送るもの。 はっきり言って意味ないじゃんというのが、私の持論です。 なぜ意味ないのか? 過去の私のブログにも書いてあるが、 同じメールアドレス宛に送信されていること そりゃそうだけど、同じメールアドレスに送っているので、意味ないです。 もし、意味があるとしたら、パスワードを送る際にメールアドレスを確認できることくらいです。 ZIPのパスワードが平文であること 当然だけど、ZIPのパスワードをメールで送るときは、平文です。 なので、添付

    PGP(GnuPG)の導入方法教えてやるから、いい加減、ファイルをZIP暗号化して、別メールでパスワードを送るのは、やめてくれ! ~セットアップ編~ - Qiita

  • 詐欺師に電話をかけてしまうぐらい騙される人工知能のアシスタントの知性が幼稚園児なみである問題(山本一郎) - 個人 - Yahoo!ニュース

  • 逃げなかった先人たち 過去のインシデントの「後始末」を振り返る

    サイバー攻撃やITに関係する事件が、日々世間を賑(にぎ)わせています。多くの場合、それは報道という形で私たちの耳に入ってくるわけですが、次から次に報じられる新しいニュースに流され、どんな大きな事件もいつの間にか忘れられてしまいがちです。 つらい事件の記憶が薄れるのは、ある意味では正しいのかもしれません。しかし、事件から得た教訓まで忘れてしまってはいけません。そこで今回は、皆さんもきっと名前だけは覚えているであろう過去の事件と、事件が世間の記憶から消えそうになる頃に発表された「報告書」に着目したいと思います。 「標的型攻撃」の典型例となった、日年金機構の不正アクセス問題 まずは2015年5月に明るみに出た、日年金機構のインシデントから見ていきましょう。日年金機構のネットワーク内にマルウェア「Emdivi」が侵入し、遠隔操作が行われた事件です。この事件は「職員が自分宛てに届いたメールの不

    逃げなかった先人たち 過去のインシデントの「後始末」を振り返る

  • 多要素認証 - Wikipedia

    多要素認証(たようそにんしょう、英語: Multi-Factor Authentication、英: MFA)は、アクセス権限を得るのに必要な人確認のための複数の種類の要素(証拠)をユーザーに要求する認証方式である[1][2][3]。 必要な要素が二つの場合は、二要素認証(にようそにんしょう、英語: Two-Factor Authentication、英: 2FA)、二段階認証(にだんかいにんしょう)とも呼ばれる。 認証に使う要素[編集] 多要素認証に使われる要素には、以下のようなものがある。規定の複数の要素を満たしたユーザーを「人である」と認証するもの。ここで要素数が1点になってしまうと、多要素認証の前提が崩れる。 いずれの要素も、人だけに属する属性でなければならない。例えばパスワード等は人だけが知っていなければならず、他人に教え、あるいは知られた時点で認証の前提が崩れる。いずれ

  • 情報漏洩より怖い、通販サイトを襲うクレジットカードの「有効性確認」

    岩手県にあるワイナリーのエーデルワインが2019年4月、同社の通販サイトへの不正アクセスを発表した。通販サイトの脆弱性を利用され、クレジットカード情報を流出した可能性があるという。 クレジットカード情報として流出した可能性があるのは1140件。これとは別に、攻撃者から3万91件の「クレジットカードの有効性確認」を実行されたことを明らかにした。 クレジットカードの有効性確認といえば、通販サイトを運営するエディットモードも2018年12月、1万4679件の有効性確認の被害を受けたと発表している。 クレジットカードの有効性を確認されることが、どうして問題になるのか。実は、氏名などの個人情報が漏洩した場合よりも深刻な被害につながる恐れがあるのだ。 機械的に生成したカード番号で決済できるか確認 両社が受けたクレジットカードの有効性確認は、サイトの決済機能を利用した、入力したクレジットカード情報で決済

    情報漏洩より怖い、通販サイトを襲うクレジットカードの「有効性確認」

  • [独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明

    セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitterLINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI

    [独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
    nobodyplace
    nobodyplace 2019/07/13
    えっくっそヤバくね / まあパスワードを平文化して利用とかはアレだけど
    リンク

  • 『サーバルームに踏み台を設置しました』メールを見て部署内が騒然→こういう意味で使ってるという話へ「犯行声明と思ってしまった」

    リンク Wikipedia 踏み台 踏み台 この記事では、2. を説明する。 踏み台とは、第三者のコンピュータやサーバを乗っ取り(正規の利用者の意に反した動作をさせ)、サイバー攻撃や迷惑メールの発信源に利用すること。また、その状態のコンピュータやサーバのこと。他の踏み台への中継地点とする場合も指す。身近な道具に置き換えた説明の分かりやすさから、行政機関による告知やマスコミでよく使用される。 かつては、攻撃元の隠蔽(ぺい)を目的として使用されることが多かった。インターネットの初期段階から自然発生的に使用されていたので、古参技術者の使用例が多い

    『サーバルームに踏み台を設置しました』メールを見て部署内が騒然→こういう意味で使ってるという話へ「犯行声明と思ってしまった」
    nobodyplace
    nobodyplace 2019/04/06
    そりゃ騒然となるよwww
    リンク

  • Wordpressのセキュリティ対策でしておくべき10の項目

    WordPressは、オープンソースで最も有名なコンテンツマネジメントシステムです。 ですが、オープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい。といった特徴もあります。 その為、WordPressを利用しているサイト運営者は、セキュリティ上の問題を決して軽視せず、自ら対策を講じなければなりません。 今回の記事では、この「対策内容」を、11にまとめました(下記) テーマやプラグインは、Wordpress公式のものを利用する WordPress体やテーマ・プラグインは、最新版にしておく WordPressのバージョン情報について 「wp-config.php」を、アクセス不可に設定する データベーステーブルのプレフィックスを、デフォルト値から変更する 「Akismet」プラグインを利用して、スパムコメント対策をする ブルートフォースアタック(総当たり攻撃)への4つの対

    Wordpressのセキュリティ対策でしておくべき10の項目

  • PayPayはDarkWebに捕まった - Fox on Security

    PayPayの100億円第2弾キャンペーンが始まっていますが、前回のキャンペーンに関連にて気になる海外記事が出ていました。DeepWeb&DarkWebを調査するGemini Advisoryによると2018年11月~12月にDarkWebに追加された日クレジットカード情報がPayPayに関係すると発表しました。 geminiadvisory.io Gemini Advisoryは、2018年の11月と12月にダークウェブに追加された日の支払い記録におけるパターン外の急上昇を確認しました。この新たに追加されたレコードの急増は、日発行のカードの需要の増加と並行しているように見えました。Gemini Advisoryは、この期間中に、多数の日のカード会員が、新しくリリースされた日のPayPayというペイメントアプリに関するさまざまな苦情を発表したことを明らかにしました。 サイバー犯

    PayPayはDarkWebに捕まった - Fox on Security

  • 大塚商会のホスティング、5000サイトの改ざん被害の真相

    「日のホスティングサービスをハイジャックした」という声明とともに、企業など5000組織以上のドメイン名が書かれていた。これらのサイトはほとんどがアルファメールを利用していたWebサイトだった。 大塚商会は1月23日、アルファメールに改ざん被害があったことを明らかにし、同25日には不正アクセスの内容を発表した。その内容だけでは攻撃の詳細までは分からなかったが、関係者や別のホスティング事業者、セキュリティー専門家への独自取材で、原因や攻撃の流れが見えてきた。どんな攻撃だったのか検証していこう。 改ざんを誇示するコンテンツを置いていく 大塚商会の発表では、改ざんは各Webサイトに攻撃者が用意した静的コンテンツを置くというものだった。Webサイトにアクセスした人をウイルスに感染させるような改ざんやユーザーコンテンツの変更といった被害はなかったという。では具体的にどんな改ざんだったのか。

    大塚商会のホスティング、5000サイトの改ざん被害の真相

  • コインハイブ事件 高木浩光氏が公判で証言「刑法犯で処罰されるものではない」 - 弁護士ドットコム

    自身のウェブサイト上に他人のパソコンのCPU(処理装置)を使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性(31)の第2回公判が1月15日、横浜地裁(間敏広裁判長)であり、セキュリティ専門家の高木浩光氏への証人尋問が行われた。 ●「ソフトウェアの作成や流通に萎縮効果」 弁護側の主尋問で、高木氏はいわゆる「サイバー刑法」(情報処理の高度化等に対処するための刑法等の一部を改正する法律)が成立した際の附帯決議に「構成要件の意義を周知徹底すること」、「捜査は適切な運用に努める」と付記されていることを説明。構成要件が曖昧なまま処罰されてしまう弊害について、「ソフトウェアの作成や流通に萎縮効果が出てしまう」と述べた。 また、JavaScriptは、閲覧者側のPC内のファイルに触れられない機能になっており

    コインハイブ事件 高木浩光氏が公判で証言「刑法犯で処罰されるものではない」 - 弁護士ドットコム

  • 徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口

    エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http

    徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口

  • SEOポイズニングの手法を使用した偽ECサイトについて - tike blog

    はじめに 今年3月、リクルートテクノロジーズ社が偽サイトへの誘導を目的としたSEOポイズニングに関する記事を公開しました。 recruit-tech.co.jp 脆弱性を突くなどして他のサイトに検索エンジン(Google等)のクローラのみがアクセスできるページを不正に設置し、このページを踏み台として攻撃者が運用する偽サイトにユーザを誘導しようとする試みに関する記事です。 同様の試みは、現在も活発に行われています。 記事では、SEOポイズニングの手法を使用した偽ECサイトに関して、現時点で確認できていることを纏めてみたいと思います。 SEOポイズニングの手法について 偽ECサイトへの踏み台として不正に設置されるページは、日国内で一般的に認知されている組織のWebサイトをコピーしたもののようです。 検索エンジンで、このようなWebサイトのCopyright部分をキーワードとして検索すると、

    SEOポイズニングの手法を使用した偽ECサイトについて - tike blog

  • 中国IT企業が、続々とWeChat使用禁止に。苦悩するテンセント - 中華IT最新事情

    テンセントの主力SNSアプリである「WeChat」が危機に立たされている。ファーウェイを始めとする中国企業が続々と社内での使用を禁止しているからだ。その原因は、プライバシーの軽視にあると今日頭条が報じた。 10億アカウントを超えるQQ、WeChat テンセントは、PCベースのSNS「QQ」で一世を風靡した。2009年末には10億アカウントを突破し、中国人のほとんど全員がアカウントを持っていた。メールだけでなく、チャットや音声チャットの機能も持ち、海外にいる親戚と話をするのに使われるツールの定番となった。 しかし、スマートフォンが普及し始めると、次第にQQは時代遅れとなったが、テンセントはスマートフォン向けにWeChatを公開。あっという間に、200カ国で使われ、ユーザー数は11億人を超えている。 さらに、このWeChatにスマホ決済機能「WeChatペイ」サービスを開始すると、アリババのア

    中国IT企業が、続々とWeChat使用禁止に。苦悩するテンセント - 中華IT最新事情
    nobodyplace
    nobodyplace 2018/05/11
    セキュリティが甘いくらいならわかるけど0点てすごいな。0点てwwww
    リンク

  • 「秘密の質問」が突破される確率は? Googleが調査

    例えば米国人の「好きなべ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられた。 「最初のペットの名前は?」「好きなべ物は?」「母親の旧姓は?」――。オンラインサービスのパスワードを忘れて復旧する時のために登録しておくそんな「秘密の質問」は、セキュリティ対策としては「根的な欠陥」があるという研究結果を米Googleが5月21日に発表した。 こうした質問は、ユーザーが人であることを確認して不正ログインを防ぐための措置として普及しているが、Googleはその安全性を検証する目的で、Googleアカウントの復旧に使われていた数億件の秘密の質問を分析した。 その結果、「アカウント復旧の仕組みとしてそれだけで利用するにはセキュリティも信頼性も不十分」という結論に達したという。 理由の1つは、答えが簡単に分かってしまうこと。例えば、米国人の「好きなべ物」の質問に対する答え

    「秘密の質問」が突破される確率は? Googleが調査

  • LINE森川亮社長の抗議について:阿部重夫主筆ブログ:FACTA online

    阿部重夫主筆ブログ「最後から2番目の真実」 2014年6月19日 [ジャーナリズム]LINE森川亮社長の抗議について 弊誌最新号の「韓国国情院がLINE傍受」について、同社社長、森川亮氏が個人ブログで「日報道の一部記事について」と題して「そのような事実はございません」とする否定コメントを出しています。 一部新聞社等から、このブログについて弊社のコメントを求められましたのでお答えします。 LINEからの抗議は正式にいただいておりませんが、形式的に抗議せざるをえなかったのだろうと考えています。しかしながら、「事実はございません」とする確証をLINE社はどこから得たのでしょう。システム内でもシステム外でも安全なのは、「国際基準を満たした最高レベルの暗号技術を使っている」からだそうですが、それが破られているというのが誌の認識です。「最高レベル」とは自己満足の弁で、それは甘いと申し上げざるを得ま

  • 【対策追記】マイクロアド社広告経由のマルウェアについて‐ニコニコインフォ

    【6月20日 22時30分追記】※先に中段以下の経緯をご覧下さい ■ 被害状況について 今回問題が出た広告の配信元であるマイクロアド社より、 情報をご連絡いただきましたので掲載いたします。 ▽問題となったサーバーからの広告配信数(6月18日午前9時-6月19日午前11時) 233,518件 ※上記がniconico内でマイクロアド社経由の広告が表示された回数になります。 (問題の無い広告も含む) ※6月19日正午時点でマイクロアド社経由の広告は全て停止しております。 また、マイクロアド社からも件に関する追記がありましたので、ご参照下さい。 サポート窓口アドレス(support@microad.jp)などが追記されております。 ≪広告配信障害に関するプレスリリースの追記に関して≫ | MicroAd ■ 被害を受けた方へ 被害を受けてしまった方への対応方法について、 インターネットセキュリ

    【対策追記】マイクロアド社広告経由のマルウェアについて‐ニコニコインフォ
    nobodyplace
    nobodyplace 2014/06/22
    うはー大変だこれ。ニコニコ運営のみなさん、お疲れさまです。
    リンク

  • 2014-06-20

    はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い 昨日6月19日(木)、はてなアカウントにおいて、ご登録ユーザーご人以外の第三者による不正なログインが発生したことを確認しました。同日、疑わしいIPアドレスからのアクセスを遮断しました。このお知らせは告知と並行して、全ユーザー様にも現在、メール送信しております。 前回告知した不正ログインと同様に、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された「リスト型アカウントハッキング(リスト型攻撃)」である可能性が高いと考えています。 参考資料:「リスト型アカウントハッキングによる不正ログインへの対応方策について」(総務省) http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.h

    2014-06-20

  • アカウント乗っ取り対象者のログイン停止について‐ニコニコインフォ

    いつもniconicoをご利用いただきありがとうございます。 不正入手パスワードを用いた第三者によるniconicoアカウントへのログイン「リスト型アカウントハッキング」(以下、アカウント乗っ取り行為)について、以下のとおり連絡ならびにご報告申し上げます。 ■アカウント乗っ取り被害者へのログイン一時停止のご連絡 先般、6月10日付けにてユーザーの皆さまに告知申し上げましたとおり、「リスト型アカウントハッキング」による複数のniconicoアカウント乗っ取り行為の検出にともない、被害拡大防止対応として、ユーザーさまご人によってniconicoアカウントのパスワードを他サービスと異なるものに変更していただくご案内を申し上げておりました。 しかしながら、乗っ取り行為を受けたアカウントはパスワードの変更等の対応措置を実施しないかぎり、第三者による不正使用のリスクに常にさらされ続けることとなり、危

  • 1 2 3 4 5 6 7 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.