こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
2023年、特に感動した・気に入った フリーソフト
本日は、2023 年中に紹介したフリーソフト の中から 特に感動した・気に入った というものを、22 個 ピックアップして紹介しようと思います。 2022年、特に感動した・気に入った フリーソフト 2021年、特に感動した・気に入った フリーソフト 2020年、特に感動した・気に入った フリーソフト / ウェブサービス パスワード管理 動画キャプチャー、OCR RSS リーダー 動画 音楽 画像 5 ちゃんねる リモートコントロール 絵文字入力 翻訳 アプリ管理 マウス操作視覚化 ファイル共有 生成 AI パスワード管理 KeePassXC KeePassXC クロスプラットフォームに対応した高機能パスワードマネージャーです。 ウェブサイトのユーザー ID / パスワード / メモ をはじめ、重要な個人情報等を暗号化されたデータベースに保管しておけるようにしてくれます。 定番のパスワードマ
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
家庭向けルーター不正利用を受けた警視庁の注意喚起についてまとめてみた - piyolog
2023年3月28日、警視庁は家庭向けルーターを悪用した事件が発生しているとして、利用者に対して対策を推奨する注意喚起を行いました。ここでは関連する情報をまとめます。 サイバー攻撃の踏み台悪用受け注意喚起 注意喚起を行ったのは警視庁公安部 サイバー攻撃対策センター。 サイバー攻撃事案の捜査を行っていた中で確認された手口をうけ、従前から対応が呼び掛けられている対策方法だけで十分な対応が行えないと判断したことから新しい対応方法として、定期的な設定内容の確認を行うとする呼びかけがルーターのメーカーや関連団体を含めて行われた。 2023年3月28日 家庭用ルーターの不正利用に関する注意喚起 2023年3月28日 Wi-Fi(無線LAN)ルーターをお使いの方へ 【サイバー攻撃対策センター】 家庭用ルーターがサイバー攻撃に悪用される事案が発生しています。 サイバー攻撃対策センターは、複数の関係メーカー
「怠惰・短気・高慢」であれ、ChatGPTを使って業務効率化しよう(要件定義編)
例として読書記録アプリをつくります! 筆者が欲しいサービスを作ろうと思い、今回は「読書記録アプリ」をつくります。 最低限の要件は、次のように設定しました。 デモアプリの要件(読み飛ばしてOK) 読書記録アプリを作る目的 読書が苦手なエンジニアが読書記録をし、記録を共有することで、継続して技術本を読めるようになること ターゲット 新人、中堅のWebエンジニア おおまかな要件 ユーザーは新規登録することで、読書記録アプリにログインできる ユーザーは読む本を登録できる ユーザーは本を何ページ読み終えたかを記録できる ユーザーは本を読み終わったら次の本を登録できる ユーザーは他の人がどの本を読んでいるのか、また何ページ読み終えたかを閲覧できる 質問する前に... また、ChatGPTに業務で使用するコードを渡す場合、環境キーやサービスを特定できる情報を送信しないでください。入力内容が他の人に渡って
【Excel】パスワードロックを強制的に解除する方法
Excelのシートに設定したパスワードを忘れた場合の解除方法 操作ミスなどによって値が書き換わらないようにシート保護を使って特定のセルを編集不可能にしたり、書き込みや読み込みに対してパスワードを設定したりしたシートの肝心のパスワードが分からない、ということはないだろうか。自分で設定したものを忘れることもあれば、前任者が設定したまま退職してしまった、ということもあるだろう。そのような場合でも、パスワードを解除できる可能性がある。その方法を紹介しよう。 「Microsoft Excel(エクセル)」のシートは、既に作成したものをテンプレートとしてコピーして使うケースも多い。その際、操作ミスなどで入力して値が変更されないように、「シートの保護」機能で編集可能なセル以外をロックしている場合もある(「シートの保護」機能については、Tech TIPS「Excelシートの特定のセルを編集禁止にする」参照
「経営層への情報セキュリティの説明大変ですよね?」 IPA、予算確保の説得材料を出してくれるツール公開
情報処理推進機構(IPA)は1月20日、気になるサイバー攻撃や自社の情報セキュリティ対策状況といった情報を入力すると、想定損害額や対策、効果などの情報を出力するExcelシート「NANBOK」を公開した。 従業員数やサービスの提供状況、「インシデントの初動対応を自社で実行できますか?」といった対策状況を入力すると、想定損害額を算出。攻撃手口の解説、具体的な対策製品・サービス、国内の導入状況、対策で得られる効果なども提示できる。 IPAは、情報セキュリティ製品購入の予算確保において「担当者は情報セキュリティ対策を経営者が理解できる言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多い」として、支援ツールの提供を決めたとしている。 関連記事 年末年始はいつも以上にご用心! IPAの「情報セキュリティ注意喚起」で万全な仕事納めを 年末年始の長期休暇では、シス
全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた - piyolog
2022年6月23日、尼崎市は業務委託先企業の関係社員が個人情報を含むUSBメモリを紛失したことを公表しました。紛失したUSBメモリには同市全市民の住民基本台帳の情報等が含まれていました。ここでは関連する情報をまとめます。 データ更新作業で持ち出したUSBメモリ紛失 紛失したのは尼崎市から業務委託を受けたBIPROGYがデータ移管作業のためとして持ち出していたUSBメモリ2つ(1つはバックアップ用)。 BIPROGYは尼崎市から住民税非課税世帯等に対する臨時給付金支給事務を受託。給付金に関して自身が対象になるのか等の市民からの問合せにBIPROGYのコールセンターで応じるため、データの更新を行う必要があった。BIPROGYのコールセンターでのデータ更新作業はBIPROGY社員2人と協力会社社員1人、別の協力会社(アイフロント)の委託先社員1人が対応していた。 物理的な運搬を行った理由として
尼崎市が個人情報USB紛失した記者会見で「パスワードは英数字13桁」「毎年変えている」→amagasaki2022がトレンド入り
尼崎市役所【公式】 @City_Amagasaki 尼崎市公式アカウントです。まちの身近な出来事や魅力、災害情報など様々な尼崎市の情報を発信します。当アカウントでは、フォローやリプライは行いませんので、ご了承ください。city.amagasaki.hyogo.jp 尼崎市役所【公式】 @City_Amagasaki 【個人情報を含むUSBメモリーの紛失について】 住民税非課税世帯等に対する臨時特別給付金における個人情報を含むUSBメモリーの紛失が判明しました。 当該USBはパスワードが付され、内容については暗号化処理が施されています。現時点において外部への漏洩は確認しておりません。 2022-06-23 13:17:52
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス
サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお知らせを掲載しています。 はじめに家人がテレビを見ていて欲しい商品があるというので、あまり気は進まなかったのですが、その商品を検索で探して購入することにしました。「気が進まない」というのは、利用実績のないサイトはセキュリティが不安だからという理由ですが、この不安は的中してしまいました。 最初の「えっ?」はパスワード登録のところでして、パスワードを再入力する箇所で「確認のためもう一度、コピーせず直接入力してください」とあるのですよ。私は乱数で長く複雑なパスワードを入力しかけていたのですが、コピ
Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
氏名と生年月日でパスワードを割り出していたSNSの不正アクセス事案についてまとめてみた - piyolog
2022年1月6日、愛知県警はプライベートを盗み見する目的で不正アクセスを行っていたなどとして不正アクセス禁止法違反の容疑で男を逮捕しました。ここでは関連する情報をまとめます。 4年前から毎日不正アクセスと供述 愛知県警豊田署、足助署、県警サイバー犯罪対策課は2020年3月22日から2021年2月10日の4回に渡り愛知県内の女性のInstagramに自分のスマートフォンから不正アクセスを行った他、2021年3月から10月までに不正入手した東京都の女性タレントのInstagramのログインID、パスワードを自分のGmailアカウントに保管していたとして、不正アクセス禁止法違反の容疑で男を逮捕。*1 男は2021年10月に別件の不正アクセス事件で摘発を受けており、自宅のスマートフォンを押収し解析した結果今回の件が判明した。容疑を認めており、動機について「1500人ぐらいのSNSの覗きを行った。
【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
「CEOに身代金を要求したい」 こんにちは、PSIRTマネージャのただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2021 18日目です。 freeeにjoinしてから早くも14ヶ月がすぎました。freeeでは毎年10月に全社障害訓練をしていて、昨年は入社したてで右も左もわからないままAWS上の本番環境(のレプリカ)に侵入してDBをぶっ壊す役目をさせられたのも良い思い出です*1。 で、上の「CEOに身代金を要求したい」という物騒な相談は、今年の訓練計画の話です。話を持ち掛けてきたのはCIOの土佐。昨年は主要サービスが落ちて、開発チームが対応にあたる中、ビジネスサイドも顧客対応などで訓練参加しましたが、今年はさらに、経営サイドまで巻き込もうというゴール設定がされたわけですね。腕が鳴ります。 ゴールは「CEOに4BTCを要求する」 ゴー
IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除
IIJは、パスワード付きZIPファイルを添付したメールとパスワード記載メールを個別に送信する「PPAP」を廃止すると発表した。2022年1月26日から添付ファイルは削除し、メール本文のみを受信する。 インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。 同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。 今後、IIJは別
児童全員同じパスワードで配布されたタブレットで起きた問題についてまとめてみた - piyolog
2021年9月14日、文部科学相はGIGAスクール構想の先進事例として町田市立の児童に配布されたタブレットがいじめに使われたことを明らかにし、*1 同日に文科省は東京都教委、町田市教育委に事実関係の確認を行った上で個人情報の管理状況が不適切であったと指摘しました。*2ここでは関連する情報をまとめます。 児童全員が同じパスワード 不適切な管理が行われていたのは町田市内の市立小学校で2019年5月に配布されたChromebook。具体的には次の問題があったことが週刊誌、新聞で報じられている。*3 *4 *5 *6 なお、町田市教委はPRESIDENT Onlineが報じた一連の記事に対して同社より取材を受けていないとして内容確認中とするコメントを行っている。*7 児童が端末起動時に使用する認証情報はIDは「所属学級+出席番号」、パスワードは全員「123456789」固定と第三者から容易に類推で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
社員パスワード、6割脆弱 「12345」「password」…推測容易、瞬時に解析 - 日本経済新聞
三菱UFJ銀行、法人ネットバンキングの出来の悪さをリニューアルで更にパワーアップさせてしまう : 市況かぶ全力2階建
