ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
改正電気通信事業法が施行だけど、またしても何も知らなかったWebサイトやアプリ運用者のために書いておくぜ - フジイユウジ::ドットネット
2023年6月16日 から改正電気通信事業法が施行なんですけど知ってました? これ、収益目的なら企業運営でも個人運営でもほとんどのWebサービス・スマホアプリが対象という、めちゃめちゃ広範囲にみんなが対応が必要なやつなんですけど、ヤバくない? 何もしてなくない? やっべえなというWEBサイト担当者/アプリ開発者が結構いそうな雰囲気がいんたーねっつから漂ってまいりました。 企業のオウンドメディアや、個人運営のアフィリエイト目的サイトなんかも対象になる場合があって、メディア系サイトはもちろんアプリ開発者にも影響ある感じですので、やるべき内容をブログにしたためておきます。 ※ぼくは法律の専門家ではないので、ちゃんと総務省の公式ドキュメントなどにも当たってくださいね。 ググると「外部送信規律」とか「電気通信事業者又は第三号事業を営む者」とか専門用語の記事ばっかり出てきて自分が何をしたらいいのかの情
2021年2月28日、みずほ銀行でシステム障害が発生し、全国で同行のATMが利用できなくなる、キャッシュカードが取り込まれたまま戻ってこないなどのトラブルが発生しました。ここでは関連する情報をまとめます。 取り込まれ戻ってこないキャッシュカード みずほ銀行サイト上に掲載されたシステム障害発生の案内障害が発生したのは2021年2月28日11時頃。障害により各地で生じた影響は以下が報じられるなどしている。なお、法人向けに提供されるサービスでは今回のシステム障害による不具合は確認されていない。*1 障害発生から30時間後に全面復旧をした。 みずほ銀行の自行ATM5,395台の内、54%にあたる2,956台が停止し(2月28日19時40分頃時点)、預金引き落とし等が出来なくなった。*2 台数はその後訂正され、最大4,318台が停止していたことが明らかにされた。 *3 障害発生中は、ATMよりキャッ
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
ユーザーごとに異なるデータを提供するため、ログイン機能を搭載しているウェブサイトは多数存在します。しかし、ユーザー側はウェブサイトに搭載されたログイン機能の「認証方式」まで気にすることはあまりないはず。そんなウェブサイトの認証方式について、代表的な6つの方式をエンジニアのAmal Shaji氏が解説しています。 Web Authentication Methods Compared | TestDriven.io https://testdriven.io/blog/web-authentication-methods/ ◆ベーシック認証 HTTPの中に組み込まれているベーシック認証は、最も基本的な認証方式です。ベーシック認証に暗号化機能はなく、Base64でエンコードされたユーザーIDとパスワードをクライアントからサーバーに送信するとのこと。 認証フローはこんな感じ。まずクライアントはサ
マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘:“PPAP”廃止の余波か(1/2 ページ) セキュリティソフトなどを開発するデジタルアーツ(東京都千代田区)は1月17日、パスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)の代替手段として利用が進むファイル共有サービスが、マルウェアの感染経路になっているとするレポートを発表した。特にゲームプレイヤー向けのチャットサービス「Discord」と、米マイクロソフトのクラウドサービス「OneDrive」を使った手法が突出しているとして、警鐘を鳴らしている。 レポートによると、マルウェアを仕込んだファイルを2サービス上にアップロード。生成されたURLからファイルをユーザーにダウンロードさせ、感染させる手法だという。セキュリティ関係者による悪性URL共有プロジェクト「URLhau
攻撃から学ぶCSRF対策 - Qiita
はじめに WEBエンジニアとして成長するために、セキュリティ対策は避けては通れない道ですよね。 僕も含め 「なんとなく知ってる」 という方は多いのではないでしょうか。 大切なWEBサイトを守るためにも、WEBエンジニアとしての基礎を固める為にも、しっかりと学んで一緒にレベルアップしていきましょう。 また、本記事の内容は様々な文献をもとに自身で調べ、試したものをまとめています。 至らぬ点や、間違いがありましたら、コメントにてご指摘をお願いします。 他にも様々な攻撃手法についてまとめているので、興味のある方は読んでみてください。 攻撃から学ぶXSS対策 攻撃から学ぶSQLインジェクション対策 CSRFって何? CSRF(Cross-Site Request Forgery)とは、サービスの利用者に意図しないHTTPリクエストを送信させ、意図しない処理を実行させる攻撃手法です。 これだけでは分か
スマートフォンのパスワードアプリに表示されるワンタイムパスワードを毎回入力する必要があるシステムなのだが、そのパスワードアプリにログインできないので、口座にもログインできないというわけなのだった。 この記事について この記事は、毎週月曜日に配信されているメールマガジン『小寺・西田の「マンデーランチビュッフェ」』から、一部を転載したものです。今回の記事は2020年12月21日に配信されたものです。メールマガジン購読(月額660円・税込)の申し込みはこちらから。 そのアプリは筆者が埼玉に住んでいた頃にも信用金庫で使われていたもので、ローカル銀行に多く採用されているシステムなのだろう。スマートフォン内にトークンをインストールするもののようで、バックアップから書き戻してもトークンは戻らない、というかおそらくスマートフォンのシリアルナンバーとひも付けしてあるから書き戻しても機能しないのだろう。 で、
関連キーワード Microsoft(マイクロソフト) | Excel | マルウェア 攻撃者は、PCにマルウェアを忍び込ませる手段として、Microsoftの表計算ツール「Microsoft Excel」を利用することを避け始めた。セキュリティベンダーHornetsecurityによると、攻撃者がメール攻撃で悪用するファイル形式のうち、Excelファイルの割合が減少傾向にある。 攻撃者の間で、なぜ“Excel離れ”が広がっているのか。それはMicrosoftの下した、ある重要な決定が大きく影響しているとHornetsecurityは考察する。 「Excel離れ」はなぜ止まらないのか 併せて読みたいお薦め記事 連載:“脱Excel”か“活Excel”か Excel新関数「LET」は便利なのか? それとも“初心者お断り”なのか? Excel関数「XLOOKUP」は何がすごいのか 「VLOOKU
新政権のデジタルガバメント構想の一環として、マイナンバーが日本でも再び注目を集めている。健康保険証や免許証との一体化や、銀行口座との紐づけなどを通して、国民IDとしての機能強化を目指す方向だ。 マイナンバーは、その仕組みの複雑さと不便さ、セキュリティに対する漠然とした不安、国家による監視強化への恐怖など、様々な観点と相反する国民感情が混然一体となるトピックであるため論点を整理しにくい。本稿は、このマイナンバーについて、米国の(実質的な)国民ID制度であるSSN(Social Security Number:社会保障番号)を参照点として理解を深めてみようという趣旨のテキストである。特に、国民IDのセキュリティの要衝である認証(本人確認)にフォーカスする。「マイナンバーとマイナンバーカードの違いってなに?」とか「なぜマイナンバーは他人に知られても大丈夫なの?」という素朴な疑問にも、認証における
新自由主義経済が進むと格差社会になる、苦しい社会になる、とはよく聞く話だけど、金敬哲(キム・キョンチョル)著『韓国 行き過ぎた資本主義』はそれが具体的にどういう世界なのかを見せてくれる。 韓国 行き過ぎた資本主義 「無限競争社会」の苦悩 (講談社現代新書) 作者:金 敬哲発売日: 2019/11/13メディア: 新書 海を隔てた隣国でこんなことになっているのかとかなり驚いた。(そういう面を抽出して紹介しているから特にそう見える、という点はあるとしても。) ソウルには行ったこともあるし映画も色々見ていても、社会の仕組みや実情、人々の価値観まではなかなか分からない。日本と韓国は同じ東アジア圏の西側諸国で、生活水準・物価水準も同程度という共通点があるから、この格差社会の進行具合の差がより際立って(他人事じゃないという怖さを伴って)感じられる。 つい最近も、人材派遣会社会長・経済学者・元国務大臣の
Googleの各種サービスやYahoo! Japan、LINE、オンラインバンキング、オンラインショッピングなど、Webサービスの利用で頻繁に使うことになるパスワード。ログインしようとしている人が本人かどうかを認証するための仕組みとして使われているが、フィッシング詐欺やパスワードリスト攻撃など、犯罪者による攻撃が後を絶たず、個人情報や金銭が詐取される被害が頻発している。 そうした問題に対抗する技術として、パスワードを使わない認証技術「FIDO」を推進するFIDOアライアンスが、普及に向けた取り組みを加速している。FIDOアライアンスが主催するイベントに合わせて来日したエグゼクティブディレクター兼最高マーケティング責任者であるアンドリュー・シキア氏と、FIDOを推進するNTTドコモのチーフセキュリティアーキテクトである森山光一氏が、FIDOと新しいパスキーに関して説明。FIDOでは、「パスワ
みずほ銀行で恒例のシステム障害(16日ぶり今年7回目)、今度は一部ATMとオンラインバンキングが停止する不具合 : 市況かぶ全力2階建
株券印刷業大手のアンジェス、創業者の森下竜一さんが「大阪ワクチン・大阪万博・機能性表示食品と金のなる木すべてに群がっている」と国会で槍玉に
「週に1度はスマホを再起動せよ」、米諜報機関NSAが警告 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
米国家安全保障局(NSA)が米国人のスマホを監視しているのではないかと懸念している人もいるが、NSAはゼロクリック攻撃(訳注:ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法)などを心配するiPhoneとAndroidのユーザーに向けて、「1週間に一度、電源をオフにしてから再びオンにしよう」という賢明なアドバイスを送っている。 あなたはどのくらいの頻度で、スマホの電源をオフにしているだろうか? これは待ち受け状態にするのではなく、完全に電源を切ってから再起動するということだ。OSのアップデートなどが必要になったときだけという人も多いのではないだろうか。NSAによるとそれは大きな間違いである可能性がある。 NSAが推奨するベストプラクティス NSAは、モバイル機器のベストプラクティスを詳細に説明した資料の中で、ゼロクリック攻撃を防御するために、毎週1回は再起動を行うこと
2020年1月16日、2019年摘発の事案からリスト型攻撃で新たなプログラムを利用する手口が判明したとNHKが報じました。ここではその手口についてまとめます。 www3.nhk.or.jp プログラムでメール内容を解析 メール内容を使って利用するサービスを自動分類 過去のサービス等から流出したID,パスワードのリストを大量に入手する。 自動解析プログラムを用いて、取得したIDがどのサービスで利用されているかを分類する。 リストからメールアカウントにログインできるID、パスワードを抽出する。 メールアカウントにログインしメールの内容を取得する。 取得したメールの内容から利用しているオンラインバンキング、電子決済サービス等抽出し、分類する。 分類されたリストに基づき各サービスへ効率的に不正ログインを試みる。 不正中継サーバーの分析から判明 2019年5月不正送金事案で茨城県警が押収したサーバー
2022年2月15日、ウクライナ政府は軍や金融機関に対してDDoS攻撃が行われシステム障害が発生したことを公表しました。ここでは関連する情報をまとめます。 DDoS攻撃で銀行サービス一時使えず 2022年2月15日午後からウクライナ関係の複数のWebサイトに対してDDoS攻撃が行われた。攻撃を受けたサイトは数時間から半日程度の間接続ができない状態となった。金融機関(PrivatBank)ではPrivat24の利用者において残高や直近の取引が表示できないなど支払いやアプリの利用に問題が生じてしまった。軍関係の通信状況や金融機関の預金者への影響は発生していない。*1 米国をはじめDDoS攻撃の実行者に関して特定の国を名指しにした公式の声明は出ていないがウクライナ当局関係者は「1つの国家」が攻撃の背後関係からうかがえることを述べている。*2 *3 過去の経緯からロシア関与を示唆する声明が出ている
無料でSSL証明書が発行できる「Let’s Encrypt」がインターネット上の「暗号化により安全に保護されたウェブサイト」の割合を約4年で2倍にした方法
by Philipp Katzenberger インターネット上にはさまざまな情報があふれていますが、同時に自分がネット上で「何を見たか」や「何を購入したか」などの情報も、ネットワーク経由で漏れる可能性があります。そういったことを防ぐためには通信を暗号化することで、盗み見られたとしても内容が読み取れないようにすることが重要です。そんな暗号化をインターネット上のウェブサイトに広めるために、普通は有料で提供されるようなサービスを無料で提供するという試みが行われています。 How Let's Encrypt doubled the internet's percentage of secure websites in four years https://techxplore.com/news/2019-11-encrypt-internet-percentage-websites-years.
Google ChromeとMicrosoft Edgeで機密性の高い情報が拡張スペルチェック機能経由で外部サーバーに送信されている
Google ChromeやMicrosoft Edgeには、ユーザーの入力した単語が正しいスペルかどうかをサーバーのデータを用いてチェックする「拡張スペルチェック」機能があります。この「拡張スペルチェック」を利用したとき、基本的に入力フィールド内のすべての情報が外部サーバーに送信されていることがサイバーセキュリティ企業のottoにより指摘されています。「パスワードの表示」を行った場合は、パスワードすらも送信されるとのことです。 Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords | otto https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-you
最後にnoteを更新してから、既に1年が経ってしまいました。 実は今月で2度目の起業から2年が経過したということもあり、過去を振り返りながら、今の気持ちを書き綴ろうと思います。 フリマアプリとは何だったのか?2012年に日本で初めてフリマアプリというプロダクトをゼロから立ち上げ、社会人人生の大半をフリル(ラクマ)に費やしました。 フリマアプリというカテゴリ自体が10年経たずして、年間市場規模8,000億(推定)を超える化け物サービスになったこともあり、読者の方にも「モノは捨てずに売る」という習慣や生活の一部を変えたサービスになった人もいるのではないかと思います。 悔しいことに一番初めに誕生したフリマアプリ は僕たちが始めた「フリル(ラクマ)」でしたが、最も世界を変えたのは「メルカリ」であり、退任した今でも「なぜメルカリのようにうまくやれなかったのか?」という心の憂いを抱えています。 我々以
2020年9月にドコモ口座経由での不正引き出しをきっかけに、芋づる式に口座振替を利用した銀行口座からの不正引き出しがニュースを賑わせている。現在進行系で進んでいる事件であるため、ここで事細かに事件の全容は書かない。最新の状況は各種ニュースメディア等を参照していただきたい。 一連の事件の発端となったドコモ口座の事件に関するドコモの記者会見でドコモの丸山副社長は「私どもの本人確認が不十分であったということが原因であるというふうに認識をしております」と述べていた[1]。これをきっかけに、かは怪しいが、巷では「決済事業者が本人確認をしてなかったのが悪い」やら「本人確認を強化するべきだ」やらの言葉が飛び交うこととなる。つい最近のニュースでも金融庁は本人確認強化を指示するという話が出ている[2]。 [1] 「ドコモ口座」不正利用問題 NTTドコモが会見(全文1)本人確認が不十分だった(THE PAGE
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
QRコード詐欺
QRコードは、日常生活のあちこちにあります。ドリンクのラベルに付いていたり、美術館の展示に添えられていたり。用途もさまざまで、Webサイトを開くためのもの、アプリのダウンロード用、ポイント登録用、料金の支払いや送金、募金にも使われます。使いやすくて実用的なQRコードは、サイバー犯罪にも便利に使われています。今回は、QRコードを悪用した詐欺行為について、そしてQRコードを安心して使うための方法について取り上げます。 QRコードとは何か、どう使われるのか 最近は、ほぼ誰でもスマートフォンを持っています(英語記事)。最新機種の多くはQRコード読み取りアプリが初めから入っていますが、そうではない機種の場合でも、カメラ機能を使用するか、QRコードを読み取るアプリをインストールして使えば問題ありません。QRコードなら何でも読み取れるアプリと、特定の用途に限定されたQR読み取りアプリ(例えば、美術館の説
auじぶん銀行のフィッシングSMSが届いた
3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。 auじぶん銀行アプリに対する不正出金の驚くべき手口 そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。 ふーん、au自分銀行のときは宅配事業者を装ったSMSということでしたが、これはどうなんでしょうね。開いてみると… 詐欺サイトの警告が出ていますが、構わずに開いてみると… きたきたきたー。これですよ。auじぶん銀行のフィッシング(SMSの場合はスミッシングと言いますが)サイトのようですよー。「閉じる」をタップすると… うーむ、これがauじぶん銀行の本物のフィッシングサイトですよ。これかー。僕が作った偽サイトよりもきちんと作ってありますねー(笑い)。ちなみに、本物のauじぶん銀行サイトはこちら。 よく似ていますね。お客様番号とログインパスワードの欄は共通ですが、偽物の方は暗
Googleアナリティクス4(GA4)で使えるようになる「直帰率」は「非エンゲージメント率」という評価をするための指標です。 従来のGA(ユニバーサル アナリティクス)の直帰率とは仕組みが全く異なるので、正しい集計仕様と使い方を覚えましょう。 直帰、直帰率とは 同じ名前の指標ですが、 従来のGA(以下、UA)とGA4で使える直帰率は下記のような違いがあります。 UAの直帰率 ページで何も行われなかった 1 ページのみのセッションのパーセント数。直帰の場合、セッション継続時間は 0 秒です。たとえば、ユーザーがウェブサイトにアクセスして、ホームページでコンテンツを数分間閲覧したものの、リンクをクリックしたり、インタラクション イベントとして記録されているイベントをトリガーしたりせずにウェブサイトを離れた場合、そのセッションは直帰として集計されます。 引用:[UA→GA4] 指標の比較: Go
2024年3月10日、北海道警は札幌市内で約1400万円の特殊詐欺による被害が発生したと3月8日に発表しました。また3月18日には千葉県警が同様の事案の発生について発表しました。ここでは関連する情報をまとめます。 勝手に開設した本人名義の口座へ送金指示か 2024年3月8日に札幌市内で約1,400万円の詐欺被害が発生したと発表したのは北海道警察 札幌厚別署。*1 今回確認された新たな特殊詐欺の手口として、被害者名義の口座を詐欺実行犯が勝手に開設し、これを送金先に指定するもの。被害者は詐欺実行犯から連絡を受けた際に、スマートフォンのビデオ通話を通じて自身の顔とマイナンバーカードを映しており、ここで取得した情報などを用いて勝手に口座を開設していたとみられている。 被害者は自身の口座が勝手に作成されていた事実を把握しておらず、また被害者が利用していた金融機関の窓口でも職員は被害者が特殊詐欺にあっ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 5月に銀行サービスを開始したふくおかフィナンシャルグループ(FFG)のみんなの銀行は、日本で初めて銀行勘定系システムをパブリッククラウド環境に構築、運用している。グーグル・クラウド・ジャパンが9月14~17日にオンラインで開催の「Open Cloud Summit」の講演で、同行 執行役員 CIO(最高情報責任者)でゼロバンク・デザインファクトリー 取締役 CIOを兼務する宮本昌明氏が、利用状況などを紹介した。 みんなの銀行は、1980年前後以降に生まれたデジタル世代を対象に、モバイルアプリなどを利用したオンラインバンキングサービスを手がける。2019年8月に設立準備会社として組織され、2020年12月に金融庁から銀行免許を取得、202
セキュリティトークンとは セキュリティトークンとはワンタイムパスワードを発行するための小さなハードウェアで、ハードウェアトークンと呼ばれることもある。ワンタイムパスワードにも、いくつかの方式があるが、セキュリティトークンで発行されるワンタイムパスワードは、時刻同期方式(詳細は後述)と呼ばれる方式が主に採用されている。セキュリティトークンのメリットは「トークンごとに異なる情報を保持している」ということであり、セキュリティトークンの所有という行為がセキュリティの強化を担保することになる。このような方式は「所有認証」と呼ばれる。 ワンタイムパスワードとは、その名の通り、毎回あるいは一定時間ごとに変更されるパスワードを使うことで、セキュリティを高める仕組みである。セキュリティトークンを使わずとも、メールや電話でワンタイムパスワードを受け取るという方法もある。しかし、サービスにログインしようとするた
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 これまでの連載:迷惑bot事件簿 ドコモ口座への不正送金事件を契機に、金融機関のネットサービスやネット決済サービスの弱点が報道などで次々に明らかにされている。事件の手口には未だ謎が残っており、当初報じられたような「ネット決済サービスの本人確認の強化という大穴をふさげば問題は全て解消する」という単純な話ではなさそうだ。世界を見ても金融機関のオンラインアカウントの乗っ取りを狙う犯罪は多発している。今回は「見えない不正ログイン」という観点から、こうした犯行の手法や、事件を取り巻く背景を改めて考察してみたい。 不正送金事件の手口の考察 ドコ
現代において、携帯電話番号とスマートフォンの組み合わせは本人確認の重要な“要素”で、特にスマートフォンは新たな本人確認デバイスとして今や必要不可欠です。 例えばセキュリティ強化を目的とする「多要素認証」は利用者の「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせます。記憶に頼るパスワードは「知識情報」ですが、使い回しや漏えいによってもはやこれだけに頼るのは危険です。そのため、かつてのワンタイムパスワードは専用のトークンを物理的に配布し、これを「所持情報」として多要素認証を実現していました。今ではこれをスマートフォンのアプリとして配布し、個人を特定するものとして電話番号が利用されています。 日本で流行の兆しをみせる「SIMスワップ」に要注意 その実態とは? しかし最近、こうしたスマートフォンでの認証方式を脅かす非常に悩ましい事件が日本で発生しました。2022年10月16日に神戸
やっぱり日本のITの導入度は極めて低いなと思う今日この頃です。 例えば、マイナンバーカードで特別定額給付金を申し込んだら、裏が手作業で、単なるフォームやったんかいと言う事態とか、保健所とか病院でシステムに入力した後で手で書き写してFAXしていた事態とか、ITを使ってるはずなのに、なんかおかしいと言うケースが少なくありません。 そのため、私の方で「Digital」と言う英単語を活用して、デジタイゼーション(Digitization)、デジタライゼーション(Digitalization)、デジタルトランスフォーメーション(Digital Transformation)、と言う3段階に分けるとわかりやすいかなと思ってまとめてみました。 内容は、あくまで勝手なまとめなので、ご容赦ください。 Gartnerの定義によると、「デジタライゼーションとは、デジタル技術を使用してビジネスモデルを変更し、新し
迂回する方法の一つは「SIMスワッピング」といわれる方法です。携帯電話会社のコールセンターなどにソーシャルエンジニアリング(要は、オレオレ詐欺のような、言葉巧みなだましの手口です)を用いてSIMの再発行を依頼し、事実上、被害者の携帯電話を乗っ取ってしまいます。 こうなればSMSなどで送信される認証コードは手に入り放題ですから、いくら多要素認証を実装していても意味がなくなります。ただ、国内ではユーザー確認手続がしっかり行われていることもあって、「この手口による被害はほとんど確認されていない」(新井氏)そうです。 ですが、もう一つの方法による被害は深刻そうです。19年になって海外のセキュリティ研究者が、多要素認証をかいくぐるツール「Modlishka」(モディスカ)を公開しました。Modlishkaはユーザーと正規サイトの間でリバースプロキシとして動作し、いわゆる中間者攻撃を行います。正規サイ
Stimulus Checks for Up to $4,700 Begin Arriving in Bank Accounts <奇しくも日本で布製マスク2枚が各世帯へ配られ始めるのと同じタイミングで、アメリカでは早くも銀行口座への入金が始まった> アメリカで、大型景気刺激策による個人への現金給付が銀行口座に振り込まれ始めた。新型コロナウイルス対策による景気後退を下支えするため、高額所得者以外のすべてのアメリカ人に支払われる。 オンラインバンキングのスタートアップ企業カレントのスチュアート・ソップCEOはウォール・ストリート・ジャーナルに対し、連邦政府のコロナウイルス対策関連法に基づく支払いの「第一派」が、4月10日から顧客当てに届き始めたと語った。ソップによると、これまでのところ、政府からの振り込みの40%は一件1200ドルで、最高は4700ドルだったという。 年収が7万5000万ドル
このほど、BlackBerry Cylanceの調査担当者は、これまで名称がなかったPythonで実装された遠隔操作用のマルウェアであるRAT(Remote Administration Tool)を発見し、PyXieと命名した。 同社はこのマルウェアが標的型攻撃を行うものとして、注意を呼び掛けているが、具体的には、どのようなリスクがあるのか。今回、BlackBerry Cylance 脅威解析チーム マネージャーの本城信輔氏に話を聞いた。 BlackBerry Cylance 脅威解析チーム マネージャー 本城信輔氏 本城氏によると、PyXieRATは少なくとも2018年から確認されていたが、同社は顧客のインシデント対応を行う中で、攻撃者が医療業界と教育業界にランサムウェアを配信しようとした痕跡を確認したという。同氏は「PyXieRATは広範囲の業界の企業に対し、持続的な標的型攻撃を行う
デンマークで銀行強盗の発生件数が年間0件を記録し、2022年はデンマークの銀行にとって強盗が1度も来なかった初めての年になっていたことが分かりました。背景には、キャッシュレス化の浸透に伴い現金需要が大幅に減少している実態があると分析されています。 For første gang: Et helt år uden bankrøverier https://www.finansforbundet.dk/dk/nyheder/2022/for-forste-gang-et-helt-ar-uden-bankroverier/ Danish Banks Celebrate Heist-Free 2022 | PYMNTS.com https://www.pymnts.com/emea/2023/danish-banks-celebrate-heist-free-2022-amid-surge-in
PayPalアカウントは、十分に注意をしないと簡単に乗っ取られ、金銭的な被害につながる場合がある。こうした攻撃から、シンプルで効果的な防御方法について解説する。 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 筆者は1990年代に、銀行強盗がテーマの映画に魅了されて以来、銀行に侵入するということに一種の憧れのような感情を抱いていたのだが、ついにその方法を発見してしまったかもしれない。一般的な銀行アプリにおけるセキュリティに興味をもっていたが、備わっている強固な防御策をすり抜ける方法については思いついていなかった。これらのアプリは、顧客の預金を守るために堅牢なセキュリティ対策が練られているからだ。しかし、銀行がそれほど堅牢であるならば、預金へアクセスできる最も有名なサードパーティの1つであるPayPalを
Linux Daily Topics 2021年6月22日セキュリティ特化OSの「Qubes OS」、人気急上昇で公式フォーラムを新調 セキュリティに特化したLinuxベースのOSはいくつかあるが、その中でも異色の存在ともいえるのが「Qubes OS(以下、Qubes)」だ。表向きはFedoraベースのシングルユーザデスクトップOSだが、そのしくみは一般的なディストリビューションとかなり異なる。詳細は本家のサイトを参照してほしいのだが、ざっくりいうとXenをベースにしたコンパートメント「qube」上で、個々のアプリケーションを独立して動作させることにより、システム全体のセキュリティを担保している。 たとえばオンラインバンキングを行うqubeと、社内業務用のOfiiceアプリケーションを開くqubeは互いに隔離された状態にあり、仮にOfficeアプリケーションからマルウェアに感染したとし
Google、検索品質評価ガイドラインの最新版(2021年10月19日付)を公開。重要な変更点は何か?
[レベル: 中級] 検索品質評価ガイドライン(正式名称は General Guidelines)の最新バージョンを Google は公開しました。 これまで公開されていた品質評価ガイドラインは 2020 年 10 月 14 日付の改訂版です。 2021 年 10 月 19 日付の改訂版が公開されました。 ちょうど 1 年ぶりの改訂になります。 以前のバージョンと比べると、比較的目立つ変更(追加、削除、更新)が加わっています。 Jennifer Slegg(ジェニファー・スレッグ)氏が 更新箇所をほぼ網羅した解説を The SEM Post ブログで提供しています。 この記事では、スレッグ氏の解説を参照して、特に重要でこのブログ読者も知っておいてほしいと僕が判断した変更点を紹介します。 すべての変更点をつぶさに研究したい人はスレッグ氏の元記事を参照してください。 サイトとコンテンツ作成者の情
働き方が変われば、それを狙ったリスクも知るべき 大きく仕事のあり方が変わりつつある昨今。延期になったとはいえ、東京は世界的なスポーツイベントを控えていただけあり、カフェや飲食店などで無料Wi-Fiスポットの整備が進んでいる。 国内では、これからもその流れが続いていきそうだ。それを利用して、社外で仕事をしている人も少なくない。働き方改革の推進に伴い、多種多様なワークスタイルが普及しつつあることも追い風になっている。 また、通信制限を気にする人も多い中、無料Wi-Fiスポットは、外出中のビジネスマンはもちろん、観光客にとっても便利に使える存在といえる。 そのような環境では、無料Wi-Fiスポットをターゲットにしたサイバー犯罪のリスクも考えなくてはいけない。保護されていないWi-Fiスポットは、とても危険なものだ。 多くのWi-Fiスポットにはセキュリティがかけられており、通常はパスワード(暗号
マルウェア Emotet (エモテット)に感染していることが判明した場合の対処方法です。 <注意> Emotetは時間と共に手法が変化するため、あくまで記載当時(2020/01/27)の暫定対応手順です。 -> 2020/12/21以降の活動再開後の手順に一部修正しました(2020/12/22) マルウェアEmotetは、ウイルス対策ソフトの検知を逃れることが多いです。 そのため、ウイルス対策ソフトのフルスキャンで何も検知しなかったからと言って、感染していないとは言い切れません。 そのため、感染しているかどうかを、以下の手順で確認する必要があります。 なお、Emotetは駆除が困難な場合がありますので、対処できない場合には専門家(セキュリティ専門ベンダやIPAやJPCERT)へ相談してください。 以下、想定される順に対応を記載します。 ■1. 感染が疑われる端末を探す 悪用されているメール
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
データ移行で発生したみずほ銀行のシステム障害についてまとめてみた - piyolog
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ウェブサイトのさまざまな「認証方式」をまとめて比較した結果がコレ
マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘
都会にいては分からない、地方銀行のオンラインバンキングに嘆息した話
もう止まらない「犯罪者のExcel離れ」
米国からマイナンバーを擁護する ー あるいはフラットモデルの災厄について|ミック
新自由主義の自己責任・競争社会が生み出す景色 - やしお
パスワードを使わない認証技術「FIDO」が進化 デバイスやOSを越えて利用可能に
メール内容から利用サービスを割り出しするリスト型攻撃についてまとめてみた - piyolog
2022年2月に発生したウクライナへのDDoS攻撃についてまとめてみた - piyolog
「フリマアプリの次」を探して- 2度目の起業はじめました|Shota Horii
「本人確認」で不正引き出しを防ぐという考えは根本的にズレている – Mine memo
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
GA4の「直帰率」「エンゲージメント率」とは|GAラボ
意図せず開設された本人名義の口座を悪用した特殊詐欺についてまとめてみた - piyolog
Google Cloudに勘定系システム--みんなの銀行が利用状況など公開
オンラインバンキングなどで利用されているセキュリティトークンのしくみを解説
認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
不正送金問題で暗躍する「不正ログインbot」 大量にアクセスされても“見えない”理由
気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】
ITの導入段階を勝手に雑く3段階に分けてみた|田中邦裕
「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”
アメリカでコロナ不況対策の現金給付始まる、4人世帯で3400ドル
Pythonで実装されたマルウェア「PyXieRAT」はどこが危険なのか?
デンマークで初の「丸1年銀行強盗ゼロ」達成、一体なぜ銀行強盗がいなくなったのか?
PayPalアカウントは簡単に乗っ取られる? 友人で実験してみた
2021年6月22日 セキュリティ特化OSの「Qubes OS」、人気急上昇で公式フォーラムを新調 | gihyo.jp
外でネットに繋ぐなら、VPNを検討するべき!
Emotet感染時の対応 - bomb_log