Security Incident March 2023 Update & Actions - LastPass - The LastPass Blog
To Our LastPass Customers– I want to share with you an important update about the security incident we disclosed on December 22, 2022. We have now completed an exhaustive investigation and have not seen any threat-actor activity since October 26, 2022. During the course of our investigation, we have learned a great deal more about what happened and are sharing new findings today. Over the same per
RFC 9116: A File Format to Aid in Security Vulnerability Disclosure
Stream: Internet Engineering Task Force (IETF) RFC: 9116 Category: Informational Published: April 2022 ISSN: 2070-1721 Authors: RFC 9116 A File Format to Aid in Security Vulnerability Disclosure Abstract When security vulnerabilities are discovered by researchers, proper reporting channels are often lacking. As a result, vulnerabilities may be left unreported. This document defines a machine-parsa
From: FreeBSD Security Officer <security-officer@FreeBSD.org> To: FreeBSD Security <FreeBSD-security@FreeBSD.org> Bcc: freebsd-announce@freebsd.org, freebsd-security-notifications@FreeBSD.org Reply-To: secteam@FreeBSD.org Subject: Security Incident on FreeBSD Infrastructure 11 月 11日 (日)、FreeBSD.org クラスタにある 2 台のマシンにおいて不正侵入が確認されました。 FreeBSD プロジェクトは事態を分析するため、 これらのマシンを停止させてネットワークから切り離しました。 用心のため、FreeB
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 現在多くの企業がサイバー攻撃などによるセキュリティインシデントへ対応する「CSIRT(Computer Security Incident Response Team)」を置くようになった。これは、2015年に経済産業省が公開した「サイバーセキュリティ経営ガイドライン」にCSIRTの重要性が記載されたことが大きく影響しているだろう。 それまでのセキュリティ対策やインシデント対応は、ITを管理している部門だからという理由で、なんとなく情報システム部門が実施するのが当然とな
セキュリティ組織「CSIRT」を構築する企業が急増している。あるセキュリティ企業の調査では、大手企業の4割以上は構築していると回答。CSIRT間の連携を図るための組織「日本コンピュータセキュリティインシデント対応チーム協議会(NCA)」に加盟する企業も増えている。 だが一方で、CSIRT間でのセキュリティ意識の違いが表れ始めている。CSIRTを構築するだけでは、企業は守れない。他のCSIRTとの情報連携といった取り組みが不可欠だ。 個人のセキュリティ担当者では限界に CSIRTとは、企業内に設置する、コンピュータセキュリティの専門チームのこと。Computer Security Incident Response Team(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の略。「シーサート」と読む。 近年、「標的型攻撃」や「リスト型攻撃」など、企業を狙った巧妙なサイバー攻撃が
クライアント認証まわりのエピソード 川口洋氏(以下、川口):ちょっと質問があったので、ここのタイミングで拾っておきたいです。クライアント認証をやっているベースのシステムは、いろいろあると思います。クライアント側を認証しているケースで、「そういう時に突破できちゃうんだよね」とか、「このあたりの設定さえあればよかったのに」とか、クライアント認証まわりのエピソードはあったりしますか? ルスラン・サイフィエフ氏(以下、ルスラン):最近かなり多いです。クライアント証明書の認証によるアプリやWebアプリであれば、私としてはすごくいいと思います。その質問としては、証明書をどう保存するかが大事になってきて、Windowsの世界であれば、DPNで保存している場合は基本的には現時点では安全です。 どこかにはまだ公開されていない攻撃があるかもしれませんが、少なくとも今のところはDPNからの証明書の奪取ができない
米金融大手のCapital One Financialは7月29日(現地時間)、外部からの不正アクセスを受け、計約1億600万人分(米国で約1億人分、カナダで約600万人分)の個人情報が漏えいした恐れがあると発表した。既にFBI(米連邦捜査局)が容疑者1人を逮捕しているため、同社は「情報の不正利用や拡散の可能性は低い」としている。同日付の米The Wall Street Journalは「大手金融機関として過去最大規模の漏えい」と報じた。 漏えいした可能性があるのは、2005年~19年初めにCapital Oneにクレジットカードの発行を申請した個人・企業のデータで、氏名や住所、電話番号、メールアドレス、生年月日、所得などが含まれていた。約14万件の社会保障番号と、約8万件の銀行口座番号も流出した恐れがあるという。 米司法省の発表によると、容疑者は元シアトルのIT企業のソフトウェアエンジニ
February 8, 2024Okta October 2023 Security Incident Investigation Closure Related Posts: Recommended Actions - Nov 29, 2023 / Root Cause Analysis [RCA] - Nov 3, 2023 / Security Incident - Oct 20, 2023 Stroz Friedberg, a leading cybersecurity forensics firm engaged by Okta, has concluded its independent investigation of the October 2023 security incident. The conclusions of Okta’s investigation hav
本記事作成時点(16日6時時点)でも、被害状況は継続。悪意あるツイートが削除され、また新しいツイートが投稿される鼬ごっこの状況が続いている。 CZは自身のアカウントが被害に遭う前に問題に気づき、仮想通貨がもらえるようなリンクはクリックせずに、バイナンスのアカウントにすぐに報告するよう警告。しかし、その後自身のアカウントも被害に遭い、警告のツイートも削除された。 他には仮想通貨トロン(TRX)の創設者ジャスティン・サンやトロン財団、アップル社、リップル社など、被害が広がりつつある。 米アップル社のアカウントでは、送金してくれたBTCの2倍の額を送り返すといった内容が、送金先のアドレスと共に投稿された。 また米リップル社のアカウントでは別の内容が投稿された。対象の仮想通貨はXRPで、「新型コロナ用のファンドに1000XRPを送金すれば、2000XRPを送り返す」というものだ。 仮想通貨メディア
Seriously. Just stop it already. I don’t know what it is, exactly, that drives so many developers to store session information in local storage, but whatever the reason: the practice needs to die out. Things are getting completely out of hand. Almost every day I stumble across a new website storing sensitive user information in local storage and it bothers me to know that so many developers are op
企業のインシデント対応訓練を行うボードゲーム形式の教材を無償提供 | トレンドマイクロ - ripjyr's blog
(情報元のブックマーク数) 無料提供か!すごい! トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、企業においてセキュリティインシデント発生時に対応を必要とするメンバーを対象にボードゲーム形式でインシデント対応の訓練を行う教材「インシデント対応ボードゲーム」の無償提供を開始します。インシデント対応の模擬体験を通して、自社の抱えるセキュリティ上の課題、インシデント対応における課題を洗い出すことが可能になります。本ボードゲームは以下の当社サイトよりダウンロード可能です。 「インシデント対応ボードゲーム」:http://www.go-tm.jp/learning 標的型サイバー攻撃をはじめ、近年企業が直面するセキュリティ脅威はますます巧妙化し、インシデント対応チームCSIRT(Computer Security
米Adobe Systemsは9月12日、Flash PlayerのセキュリティアップデートをWindows、Mac、Linux、Chrome OS向けに公開し、2件の深刻な脆弱(ぜいじゃく)性に対処した。 Adobeのセキュリティ情報によると、脆弱性はFlash Playerの26.0.0.151までのバージョンに存在する。悪用されればメモリ破損問題を突かれて不正なコードを実行される恐れがある。 この問題は最新バージョンの27.0.0.130で修正された。特にWindowsとMac向けのアップデートは優先度が最も高い「1」に指定され、72時間をメドに適用するよう呼び掛けている。 Adobeは同日、RoboHelpとColdFusionのセキュリティアップデートもそれぞれ公開した。RoboHelpのアップデートは優先度「3」、ColdFusionは「2」と位置付けている。 関連記事 Ado
There were long lines at Barcelona airport, as passengers waited to be checked in manually A massive tech failure has caused travel chaos around the world, with banking and healthcare services also badly hit. Flights have been grounded because of the IT outage - a flaw which left many computers displaying blue error screens. There were long queues, delays and flight cancellations at airports aroun
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます SecureWorks Japanは11月29日、ユーザー企業のCSIRT(Computer Security Incident Response Team)のレジリエンス(復元力)を評価および強化する「Purple Team(パープルチーム)サービス」の提供を開始すると発表した。 同サービスは、インシデント対応ライフサイクルをベースとしたシナリオを作成して実践的な演習(サイバーウォーシミュレーション)を実施することにより、CSIRTの対応能力の向上を支援する。同社では、2015年からユーザー企業のCSIRTの危機対応能力および総合的なインシデント対応能力の評価を行う「Red Teamサービス」を提供している。今回のPurple Tea
2023年3月29日(現地時間)、米国の複数のセキュリティ企業は、ビジネスコミュニケーションのソフトウエア開発を行う3CXが提供するソフトウエアに不正な挙動が検出されたとして脅威情報を公開しました。その後、3CXも指摘されたソフトウエアにセキュリティ上の問題が含まれていたことを認めパートナーや顧客に対して謝罪しました。ここでは関連する情報をまとめます。 1.何が起きたの? 3CXのVoIPソフトウエア「The 3CX Client」(Windows版、MacOS版)正規版のインストーラーファイルが第三者に改ざんされていたことが判明した。遅くとも2023年3月29日まで改ざんされたインストーラーが配布された状態が継続しており、万一不正なインストーラーによってインストールに成功していた場合、Chromeなどブラウザ上で保管された情報など窃取するマルウエアに感染する恐れがある。 今回の攻撃の影響
コンピュータソフトウェア協会、「PSIRT Services Framework 1.0 Draft」の日本語版を公開
コンピュータソフトウェア協会、「PSIRT Services Framework 1.0 Draft」の日本語版を公開:CSIRTとは異なる「PSIRT」 コンピュータソフトウェア協会は、ソフトウェア製品やサービスの脆弱(ぜいじゃく)性管理のノウハウである「PSIRT Services Framework 1.0 Draft」の日本語翻訳文書を公開した。企業などが自社の製品やサービスに関する脆弱性やインシデントへの対応、品質の管理や向上を目的とした組織を設置する際に参考になるノウハウを提供する。 コンピュータソフトウェア協会(CSAJ)は2018年7月19日、ソフトウェア製品やサービスの脆弱性(ぜいじゃく)管理のノウハウである「PSIRT Services Framework Version 1.0 Draft 日本語抄訳」を公開した。Software ISACに参画するサイボウズ、トレン
実践 CSIRTプレイブック
サイバー攻撃はここ数年で規模、複雑さ、特徴ともに劇的に進化し続けています。検知や対応が適切であっても、その効果を維持し続けるには、さらなる取り組みと高度化が必要です。サイバー攻撃から組織を守り、セキュリティを脅かす不正アクセス、ウイルス、標的型攻撃、情報漏洩などのインシデントに対応する専門チームであるCSIRT(Computer Security Incident Response Team)の重要性が高まっています。 本書は、シスコシステムズのCSIRTが10年以上の蓄積の中で編み出したセキュリティ監視、インシデント対応、脅威分析の基本アプローチを一冊にまとめたものです。インシデント対応の基本から、セキュリティ監視におけるデータセントリックなアプローチ、インシデント検知ロジックの開発、それらを実践できる形に展開する方法、さまざまなツールや技術の解説とそれらを適切に選定・導入する方法、クエ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日頃からセキュリティ関連情報を収集し、インシデント防止に向けて準備を整え、いざ発生した際には対処に当たる「Computer Security Incident Response Team」(CSIRT)の構築に取り組む企業が増えている。CSIRT同士が協調し、情報やノウハウを共有し、共通の課題を解決することを目的に設立された日本シーサート協議会(NCA)の加盟チーム数も右肩上がりに増加し、今や243チームが加盟するに至った。 NCA発足10周年を記念して行われたカンファレンス「NCA 10th Anniversary Conference」では、そんなCSIRTの抱える課題と、これからに向けた提言が紹介された。 情報共有の枠組みに“魂”
cybozu.com Security Challenge ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ
サイボウズの CSIRT(Computor Security Insident Response Team)、Cy-SIRT の伊藤と申します。 多くの方にご協力いただき、「cybozu.com Security Challenge」を11月に開催することになりました。 国内商用クラウド初の脆弱性発見コンテスト「cybozu.com Security Challenge」を開催 今回はサイボウズの脆弱性対応に関するこれまでの取り組みをご紹介し、本コンテストを開催するに至った経緯などをお伝えします。 サイボウズの脆弱性対応 サービスにおけるセキュリティインシデントへの対応 Cy-SIRT の設立 Cy-SIRT の活動 cybozu.com Security Challenge 開催の経緯 開催に向けた準備 コンテストに向けて サイボウズの脆弱性対応 サイボウズの脆弱性対応として有名なものは
なぜ情報が少ない!? 大学を狙った攻撃を調査
広島修道大学が最近、「研究留学生担当窓口(国立)」という件名の標的型攻撃メールが同大学に届いたと公表しました。ところが筆者が調べたところ、この攻撃に関する情報がネットにほとんど上がっていませんでした。勘が働いたのか、なんとなく気になったので、一人CSIRT▼で調べることにしました。 ▼一人CSIRT 筆者が自宅で始めた、世の中で起きた情報セキュリティインシデントを調査し、情報を共有するための活動。CSIRTはComputer Security Incident Response Teamの略。一人CSIRTのCSIRTはComputer Security Incident Response Tsujiの略でもある。 どこかで注意喚起が出ている? まず広島修道大学の情報を整理します。同大学の情報センターが2016年2月23日、「本学に届いた標的型攻撃メールの事例」を公表し注意喚起を行いました
Hackers Convinced Twitter Employee to Help Them Hijack Accounts
A Twitter insider was responsible for a wave of high profile account takeovers on Wednesday, according to leaked screenshots obtained by Motherboard and two sources who took over accounts. On Wednesday, a spike of high profile accounts including those of Joe Biden, Elon Musk, Bill Gates, Barack Obama, Uber, and Apple tweeted cryptocurrency scams in an apparent hack. “We used a rep that literally d
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ガートナー ジャパン主催の「ガートナー セキュリティ&リスク・マネジメントサミット2019」が8月5~7日に開催された。ゲスト基調講演にリクルートテクノロジーズの鴨志田昭輝氏が登壇、「新たな時代に生き残るセキュリティ~リクルートにおける取り組みを振り返って~」と題し、リクルートにおけるCSIRT(インシデント対応チーム)の構築について振り返った。 鴨志田氏がリクルートテクノロジーズに入社したのは2014年の暮れのこと。全くのゼロの状態から3年でCSIRT(Computer Security Incident Response Team)を作った。鴨志田氏が入社した当時はセキュリティエンジニアがほとんどおらず、“ひとりCSIRT”から始め
企業セキュリティの歩き方 突然CISOに任命されたら? CISOがサンドバッグにならないための事前準備 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 前回の記事「CSIRTの現状と苦悩、次の一手」では、2015年に経済産業省や情報処理推進機構(IPA)から公開された「サイバーセキュリティ経営ガイドライン」(2015年にv1.0、2017年にはv2.0が公開された)によって、最高情報セキュリティ責任者(CISO)の任命やCSIRT(Computer Security Incident Response Team)の設置が日本の企業や団体の間で進んだことと、米国国立標準技術研究所(NIST)が作成した「サイバーセキュリティフレームワーク」に記載されている「特定」「防御」「
CSIRT構築および運用における実態調査
近年のサイバー攻撃は、個別の組織や業界を標的とした攻撃、個人の情報や金銭の搾取を目的とした攻撃、政治的な主張や技術力を誇示するための攻撃など、目的や対象、手法が多岐にわたり、事業の根幹を揺るがすような影響を及ぼすものもあります。そのため、組織では、サイバー攻撃への備えが課題となっています。備えの一つとして、発生したセキュリティインシデントに効果的に対処するための組織体制の要となる「Computer Security Incident Response Team(CSIRT)」の構築や運用が進められています。 CSIRTは、母体となる組織文化や要員の技術的背景などによってさまざまな形態が考えられます。また、高度化するサイバー攻撃手法など、取り巻く環境は日々変化しており、CSIRT構築および運用の実態を定期的に把握し、柔軟に対応することが重要となります。 こうした状況を踏まえ、JPCERT/C
サイバー攻撃を検知・分析、専門組織「SOC」の舞台裏
SOC(Security Operation Center)とはサイバー攻撃を検知および分析することを目的に、企業などが設置する組織だ。24時間365日体制で企業システムを監視する。 サイバー攻撃が高度化し、検知するのが難しくなってきている。サイバー攻撃などによるインシデントを検知して適切に対応するには様々なセキュリティー製品を使いこなす必要があり、担当者には高い専門知識が求められる。このためサイバー攻撃に対応するための専門組織であるSOCに注目が集まっている。 外部への委託が主 一般の企業がSOCを社内に設置するのは容易ではない。まずセキュリティー人材を確保する必要がある。だがセキュリティー人材への需要は高まり続けており、十分な人数を採るには多大な費用がかかる。各種セキュリティー製品の導入コストも重くのしかかる。 そのため多くの企業はSOCの業務を外部に委託する。セキュリティーベンダーな
追記その1 (2008/5/29 11:00)Adobe からの報告によると、最新版では再現してない、Symantecにも確認を取ったとのこと。ただ、一部で最新版でもクラッシュするという報告もあるようなので、結論を出すのはもう少し待ったほうがよさげ。Adobe の報告を無理やり日本語訳するとこんな感じ。Flash Player に対する攻撃コードに関する追加情報です。攻撃は reported by Mark Dowd of the ISS X-Force and wushi of team509, that was resolved in Flash Player 9.0.124.0 (CVE-2007-0071) で見つかった既知の脆弱性を利用しているようです。未知の脆弱性を突いている訳ではないので、最新の Flash Player 9.0.124.0 はこの攻撃の影響を受けません。攻撃
今回は、2019年5月8~10日に開催された「第16回情報セキュリティExpo」の展示会場から、サイバーセキュリティの新しいトレンドを見据えた製品を幾つかピックアップした。APIのセキュリティを支援する製品や、人手が足りない現場を助ける高度な自動化ツール、DNSにアクセスした段階で脅威を取り除くソリューションなどが目立った。 数年先をにらんでチェックしておきたいAPIのセキュリティ 自社に閉じた形で完結するのではなく、APIをサードパーティーや外部開発者に公開し、それらの力も借りながら便利で有益なサービスや製品をエンドユーザーに提供していく「APIエコノミー」の可能性が広がっている。これまで情報を内部に閉じておくことを前提にしていた金融や医療、IoTといった領域でもAPIを公開し、エコシステムの力を活用しようという動きが生まれてきた。 だがこの場合、自社システムと連携し、しかも機微に触れる
GitHub - rshipp/awesome-malware-analysis: Defund the Police.
Awesome Malware Analysis A curated list of awesome malware analysis tools and resources. Inspired by awesome-python and awesome-php. Malware Collection Anonymizers Honeypots Malware Corpora Open Source Threat Intelligence Tools Other Resources Detection and Classification Online Scanners and Sandboxes Domain Analysis Browser Malware Documents and Shellcode File Carving Deobfuscation Debugging and
Adobe Readerに深刻な脆弱性が報告され、Adobeは解決のためのアップデートを開発している。 Adobe Readerに未解決の脆弱性が報告され、米Adobe SystemsとUS-CERTが4月28日付で注意を促した。 US-CERTによると、この脆弱性はJavaScript機能関連の「customDictionaryOpen()」と「getAnnots()」の引数処理エラーに起因する。悪用された場合、リモートの攻撃者に任意のコードを実行される恐れがある。 Adobeも脆弱性の存在を認め、ブログで情報を公開した。それによると、影響を受けるのはAdobe ReaderとAcrobatの現行バージョンである9.1と8.1.4、7.1.1までの全バージョン。Adobeは各バージョンとOS向けに、脆弱性解決のためのアップデートを開発中。リリース日程が決まり次第、公開する予定だとしている
サイバー演習に120組織が参加
CSIRT(Computer Security Incident Response Team)▼などのセキュリティーチームは有事に適切に対応する必要がある。その能力を鍛えるには定期的なサイバー演習が欠かせない。 国内CSIRTの集まりである日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)▼は年に1回、内閣サイバーセキュリティセンター(NISC)▼と合同でサイバー演習の「NISC/NCA連携分野横断的演習▼」を開催している。直近の2023年12月7日開催回には、NCAの会員企業・団体から前回比2割増の120チーム(813人)が参加。演習の重要性への意識が高まっていることがうかがえた。 情報流出や脅迫にどう対応するか 今回の演習では、企業・団体ごとに15人までのインシデント対応チームを構成した。うち1人が「サブコントローラー」として演習の司令塔となり、N
From: FreeBSD Security Officer <security-officer@FreeBSD.org> To: FreeBSD Security <FreeBSD-security@FreeBSD.org> Bcc: freebsd-announce@freebsd.org, freebsd-security-notifications@FreeBSD.org Reply-To: secteam@FreeBSD.org Subject: Security Incident on FreeBSD Infrastructure On Sunday 11th of November, an intrusion was detected on two machines within the FreeBSD.org cluster. The affected machines w
On March 15, 2022, users of the popular Vue.js frontend JavaScript framework started experiencing what can only be described as a supply chain attack impacting the npm ecosystem. This was the result of the nested dependencies node-ipc and peacenotwar being sabotaged as an act of protest by the maintainer of the node-ipc package. This security incident involves destructive acts of corrupting files
GitHub - charlax/professional-programming: A collection of learning resources for curious software engineers
Table of Contents Professional Programming - about this list Principles Contributing to this list Must-read books Must-read articles Other general material and list of resources Books Articles Axioms Courses Topics Algorithm and data structures API design & development Attitude, habits, mindset Procrastination Authentication/authorization Automation Beyond software engineering & random Biases Busi
ツールありきではなく、運用ありきで――DeNAがEDRを導入した理由と製品選定のポイント:特集:EDRの理想と現実(2)(1/2 ページ) 「防御」の次を見据え、脆弱性検査やCSIRTなどのセキュリティ対策を内製化してきたDeNAでは、2018年にEDR製品を導入し、自社での運用を開始した。背景には、さまざまなゲームやWebサービス開発に必要な多様な環境でも誤検知を減らし、スピードや利便性を損なうことなくセキュリティを一歩一歩高めていきたいという同社ならではの考え方があったという。 セキュリティ対策に銀の弾丸はない。何か1つ新しいソリューションを入れれば、即、問題が解決するわけではなく、運用可能な体制や手順を整えなければどこかで破綻する。ディー・エヌ・エー(DeNA)ではそんな考え方に立ち、少しずつセキュリティ対策を強化してきた。 Webサービスやアプリの開発者が多数を占める同社では、エン
先日、アイティメディアの営業スタッフから「セキュリティの現状を学びたい」と相談を受けました。これ幸いと話を聞くと、情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」を予習してきたと言うではありませんか。 その営業スタッフは、約10年に及ぶ同ランキングの推移を見て自分なりに感じたことをまとめたそうで、少しの時間ディスカッションしてみました。結果として、筆者も考えるべきところがありましたので、今回はその話を取り上げたいと思います。 「情報セキュリティ10大脅威」の変遷から何を読み取るか? 情報セキュリティ10大脅威は、IPAが毎年1月末頃、前年に発生したインシデントなどを参考に、セキュリティ有識者による投票から「個人」「組織」の2部門でそれぞれ10個の脅威をランキング形式で発表、解説するものです。本連載で何度も取り上げているため、読者の皆さんの中でも知っている方は多いで
「IoT機器のセキュリティ」実現に向けた各社のアプローチとは:セキュリティ・アディッショナルタイム(7)(1/4 ページ) 先日開催された「Japan IT Week」の中で大きな比重を占めたテーマが「セキュリティ」、それもさまざまなものがつながるIoTの世界のセキュリティだ。IoTをめぐる脅威が指摘されるようになって久しいが、具体的にどのような対策が可能なのだろうか? セミナーや展示からそのヒントを探る。 2016年5月11日から13日にかけて開催された「Japan IT Week」の中で大きな比重を占めたテーマが「セキュリティ」だ。そのものずばりをテーマとした「情報セキュリティExpo」はもちろん、近年盛り上がりを見せる「IoT/M2M展」でもセキュリティに関する展示が多く目についた。 これまでインターネットにつながるとは考えられなかった家電や車、さまざまなデバイスがつながることによっ
Heroku forces user password resets but fails to explain why
Salesforce-owned Heroku is performing a forced password reset on a subset of user accounts in response to last month's security incident while providing no information as to why they are doing so other than vaguely mentioning it is to further secure accounts. Last night, some Heroku users began receiving emails titled 'Heroku security notification - resetting user account passwords on May 4, 2022'
外部サイトへの本学構成員に関する個人情報の流出について
北陸先端科学技術大学院大学 個人情報総括保護管理者 西山 和徳 最高情報セキュリティ責任者(CISO) 飯田 弘之 本学構成員(教職員及び学生)の氏名、本学が付与したメールアドレス、所属を記した個人情報が外部サイトにアップロードされ、令和2年11月20日より、当該サイト上から情報の削除が確認された令和3年1月16日までの間、当該サイトの運用者及び契約者に対して、これら個人情報の閲覧・ダウンロードが可能となっておりました。 関係者の皆様には、多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。 本学ではこのような事案の発生に至りましたことを重く受け止め、今後の確実な再発防止に向けて個人情報保護、取扱に関する教職員の一層の意識向上及び情報管理体制の強化に努めてまいります。 <経緯・詳細> 令和2年11月20日、本学職員が業務として、ダウンロードしたファイルを外部のウィ
WCLSCAN
アイコンの説明 Threat 3D PC/PDA用表示 現在の状況 ポート別変化グラフ ベイズ変化グラフ ポートランキング 国別ランキング 世界地図版 音声による状況報告 GeomapMovie 相関分析 システムの構成図 過去のトピックスなど 本サイト閲覧にはFirefoxを推奨します。 WCLSCANのインターネット概況を一目で確認するための フェイス表示がGoogleガジェットとして 利用できるようになりました。 (ひ) 過去のひとことへ ワームが近接IPブロックアドレスへ感染している様子を 示すアニメーション (2004年5月分観測データによる) 1999年より開発している小規模サイト向けセキュリティログ・プリティプリントツール clscanはsourceforge.jpで開発しています。ウェ ブサイト と開発 サイト US-CERTにある 現在アクティブなポートスキャン リスト
Password managers like LastPass are convenient and mostly free to use. But are they safe? How do they keep you secure? When it comes to password managers the point of using one—whether paid or free, open-source or proprietary—is to secure and manage your passwords. But while they offer great convenience when it comes to managing dozens of passwords, are password managers safe to use? Why Do You Ne
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FreeBSD.org intrusion announced November 17th 2012
CSIRTよりも存在感が大きくなりつつある「PSIRT」の現状
CSIRTを構築する企業が急増中、一方で広がる「温度差」
「セキュリティ=ユーザビリティではない」 攻撃される・漏れてしまう前提で考えるセキュリティ運用
米金融大手Capital One、1億人超の顧客情報流出か 米紙は「過去最大規模」と報道
Okta October 2023 Security Incident Investigation Closure
ツイッター公式アカ乗っ取り「ビットコイン詐欺」 ビルゲイツ、Apple社、仮想通貨取引所などで被害拡大
Please Stop Using Local Storage - DEV Community 👩💻👨💻
Adobe、Flash Playerの深刻な脆弱性を修正
CrowdStrike and Microsoft: What we know about global IT outage
疑似サイバー戦でCSIRTの能力向上を図る新サービス--SecureWorks - ZDNet Japan
3CXのソフトウエア改ざんによるサプライチェーン攻撃についてまとめてみた - piyolog
新米CSIRTへの至言:後編--セキュリティ情報の共有をめぐる現実と理想
セキュリティエンジニアの幸せを重視する--リクルートのCSIRT構築
突然CISOに任命されたら? CISOがサンドバッグにならないための事前準備
Flash Player最新版にゼロデイでプログラム実行される脆弱性 (一部誤報?) - てっく煮ブログ
セキュリティが目指す高度な自動化の方向が見えた
Adobe Readerに未解決の脆弱性、アップデートは準備中
FreeBSD.org intrusion announced November 17th 2012
Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine | Snyk
ツールありきではなく、運用ありきで――DeNAがEDRを導入した理由と製品選定のポイント
「情報セキュリティ10大脅威」を読んだ営業の素朴な疑問に答えてみた
「IoT機器のセキュリティ」実現に向けた各社のアプローチとは
How Secure Is a Password Manager, and Are They Safe?