IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現
IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現 2020 年 11 月 3 日 (火) 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室 登 大遊 独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室は、このたび、できるだけ多くの日本全国の地方自治体 (市町村・県等) の方々が、LGWAN を通じて、迅速に画面転送型テレワークを利用できるようにすることを目的に、J-LIS (地方公共団体情報システム機構) と共同で、新たに「自治体テレワークシステム for LGWAN」を開発・構築いたしました。 本システムは、すでに 8 万ユーザー以上の実績と極めて高い安定性 を有する NTT 東日本 - IPA 「シン・テレワークシステム」をもとに、LGWAN
Node.js徹底攻略 ─ ヤフーのノウハウに学ぶ、パフォーマンス劣化やコールバック地獄との戦い方|ハイクラス転職・求人情報サイト AMBI(アンビ)
Node.js徹底攻略 ─ ヤフーのノウハウに学ぶ、パフォーマンス劣化やコールバック地獄との戦い方 Node.jsをうまく活用できている企業は、どのような方法でベストプラクティスを習得してきたのでしょうか。ヤフー株式会社でNode.jsの社内普及に務めてきた言語サポートチームに、同社の実施を紹介してもらいました。 Node.jsは「イベントループモデルで、ノンブロッキングI/Oを使用している」「問題発生時にHTTP/TCPやPOSIX APIなど低レイヤーの知識を求められる」といった特徴を持つ言語です。開発者が習得すべき技術領域が広いため、Node.jsらしい書き方の学習難易度は高いと言えます。 それでは、Node.jsをうまく活用できている企業は、どのような方法でNode.jsのベストプラクティスを習得してきたのでしょうか。ヤフー株式会社でNode.jsの社内普及に務めてきた言語サポート
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
アラートループ家宅捜索(いわゆる「兵庫県警ブラクラ摘発」)事件に関する寄付の呼びかけ - 一般社団法人日本ハッカー協会
~IT技術の開発者と利用者の権利を守るために~ 下記発起人による寄稿 本件不起訴処分となりました アラートループ事件2件は2019年5月22日に兵庫地検により不起訴となりましたことをご報告いたします。不起訴理由は起訴猶予であり、検察は不正指令電磁的記録の容疑はあるとされたため、完全な勝利とは言えませんでしたが、支援をした2名が、これ以上不安な日々をおくらなくてよくなったことは喜ばしくあります。不起訴となりましたのは、支援していただいた方々、弁護士らの力によるところが大きく、支援した2名に代わり感謝を申し上げます。 詳細に関しては、今回担当した弁護士らの「起訴猶予処分を受けての声明」をご覧ください。 募集の終了 2019/3/26 12:15 現在までに553名の方々から合計6,934,471円(仮想通貨を含む)寄付を頂きました。本件では十分な金額となりましたので、開始から24時間を一区切り
2020年はペパボに9人の新卒エンジニアが入社しました。今年も新卒エンジニアを対象に、3ヶ月に及ぶエンジニア研修を開催しました。 本エントリでは、研修の全体像のご紹介や、研修で利用した各資料を公開します。また、領域別に研修担当者より概要の紹介をします。 新卒研修の資料作成を担当している方や、新卒・中途問わず、新しい領域にチャレンジしたいエンジニアの方はぜひご覧ください! GMO ペパボの研修 GMO インターネットグループでは、毎年 GMO Technology Bootcamp(以下、GTB) と題して、グループ全体のエンジニアとクリエイター(デザイナ)が集まってプロダクトを作っていく上で必要となるベースラインの技術を学ぶ研修を行っています。 GMO ペパボの新卒入社のメンバーは今年から本格的に GTB に参加しました。新卒メンバーが参加するなら、と講義の内容の作成や講師としての参加につ
日本は研究開発を進化させ、1990 年代にはさまざまな産業分野で世界トップになりました。 ICT の分野でもこれが可能であり、そのためには「おもしろインチキ ICT 技術開発」が必要になる、と登さんは語ります。 日本の ICT とセキュリティ技術の生産手段確立と産業化の実現について、JAIPA Cloud Conference2021 に登壇された、登大遊さんのお話をまとめました。 登 大遊 氏 プロフィール VPN システムやテレワーク技術等を開発・製品化。オープンソースで全世界に 500 万ユーザーを有する。外国政府のけしからん検閲用ファイアウォールを貫通する研究で博士 (工学) を取得。2017 年より独立行政法人 情報処理推進機構 (IPA) サイバー技術研究室を運営。2020 年に NTT 東日本に入社して特殊局を立ち上げる。ソフトイーサ株式会社を 16 年間経営中。 登大遊氏が
Changes集合論中村論理学の知識をベースにして数学の構造を理解し、集合、写像の概念を学ぶ集合論演習師玉公理的集合論を題材に,Mizarと呼ばれる数学証明の自動チェックシステムを用いて,証明法についての演習を行うコンピュータネットワーク山崎コンピュータネットワークの基本的考え方を学ぶ・OSI7階層モデル・通信方式・同期方式・データ伝送制御(ポーリング,トークン,CSMA/CD)・誤り制御・プロトコル(基本型データ伝送制御手順,HDLC)交流理論基礎と実験中村交流回路の知識はコンピュータのインターフェースや伝送系を考えるときに必須のものです.ここでは最低限の知識の習得と、それに伴う実験をしてもらいます. ・交流と複素数による表現・コンデンサーと交流・コイルと交流・各種波形と過渡現象Mizar5-基本群と不動点定理-師玉Mizar3の準備のもとに,基本群や2次元の不動点定理を題材に,位相数学
覆された常識、CSVファイルでウイルス感染
テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。 CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするな
達人出版会:技術系電子出版・電子書籍
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 なぜ依存を注入するのか DIの原理・原則とパターン Steven van Deursen, Mark Seemann(著), 須田智之(訳) 高機能ヘッドレスCMS『Storyblok』入門 大宮 薫 初めてのPython配布パッケージ作成 窓川 ほしき 今日から現場で使える速習SymbolブロックチェーンJavaScript版 特定非営利活動法人 NEM技術普及推進会NEMTUS 改訂新版 ファーストステップ情報通信ネ
インターネットの父、村井純氏 田中邦裕氏(以下、田中):よろしくお願いします。ここから60分間、登さんと村井先生という、濃いキャラを2人お迎えして、どのように進めていこうかと、悩ましいところですけれども、最大限お二人の魅力を引き出していきながら、けしからん話をしていければなと思っていますので、どうぞよろしくお願いします。 では、最初に自己紹介を軽くしていただければなと思います。お二人のことはみなさんすでにご存じかと思いますが、村井先生から軽く自己紹介いただいてよろしいでしょうか。 村井純氏(以下、村井):慶応大学の村井です。今日はちょうど「WIDE(WIDEプロジェクト)」の合宿をやっていて、そこからここへ来たので、髭も剃っていないし(笑)、WIDEの合宿の時はガッと(予定を)ブロックしているので、けっこう久しぶりにいろいろな話がじっくりできる時だと思います。 今日はこのシャツを着てきまし
私(@honeniq)の個人ブログです。日々の生活の中で感じた諸々のことから、 人さまにお見せできるような上澄み部分を抽出して投稿しています。 前置き ここ数年の携帯キャリアやコンビニ業界の頑張りで、町中に公衆無線LANのAPが溢れていますが、あれって安全なんでしょうか?盗聴される的な観点で。 パスワード無しのノーガードAPは論外としても、 契約者にだけWPAキーを教える((けど、利用者が多すぎて公開しているも同然の))タイプ APにはキー無しで入ることができ、Webアクセスをすると認証ページにリダイレクトするタイプ よく見かけるこの2タイプもやヤバそう。 試してみる前の認識 無線である以上は、自分が飛ばした電波は誰でも傍受できる。じゃあ暗号化して中身が分からないようにしましょう、ってなるけど、1つ目のタイプみたいに不特定多数の人が同じWPAキーを知っている場合、暗号化してもあんまり意味な
バグハンター・にしむねあ氏特製“脆弱性たっぷり”Webアプリを半日でどこまで「堅牢化」できるか? - はてなニュース
2017年7月某日の朝9時、デジタルコンサルティング事業などを手がけるSpeeeのオフィスにエンジニアたちが続々と集まってきた。エンジニアたちに向けて提示されたのは、リクルートテクノロジーズ シニアセキュリティエンジニアの西村宗晃氏(にしむねあ氏)いわく「Ruby on Railsで頑張って書いた、脆弱性てんこもりのソーシャルメディアアプリケーション」。そこから半日かけてそのソースコードを修正し、どれだけ堅牢化できるかに取り組むユニークな勉強会が行われた。 (※この記事は、株式会社リクルートテクノロジーズ提供によるPR記事です) クロスサイトスクリプティング(XSS)やSQLインジェクション、ディレクトリトラバーサルといったWebアプリケーションの脆弱性について、知識としては知っているエンジニアが大半だろう。だがこの勉強会では、にしむねあ氏がGitHubで公開したソースコードを目で見て確認
脆弱性を見つけてセキュリティ対策に貢献しているのが、「バグハンター」と呼ばれる存在だ。Googleなどベンダーの報奨金で生計を立てているという「キヌガワ マサト」さんが、プロのバグハンターとしての“愉しみ”を紹介してくれた。 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。 GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンタ
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術
NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。 エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。 ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる”NIC二枚挿し”という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。 本記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割
なぜ、こうなった――フジテレビの人気番組「ほこ×たて」で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。 結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ×たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。 今回の「ほこ×たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への
プレスリリース | 対サイバー攻撃アラートシステム “DAEDALUS”(ダイダロス)の外部展開を開始! | NICT-情報通信研究機構
独立行政法人情報通信研究機構(以下「NICT」、理事長: 宮原 秀夫)は、組織内ネットワークにおけるマルウェア感染などを迅速に検知し、警告を発行する対サイバー攻撃アラートシステム“DAEDALUS”(ダイダロス: Direct Alert Environment for Darknet And Livenet Unified Security)の外部展開を開始しました。DAEDALUS は、日本各地に分散配置されたダークネット観測網を用いて、組織内から送出される異常な通信を検知し、当該組織に対して迅速にアラートを送信します。既存の侵入検知システムや侵入防止システムなどと DAEDALUS を併用することによって、組織内ネットワークの情報セキュリティの一層の向上が期待できます。 NICT は、6月13日(水)〜15日(金)に幕張メッセで開催される「Interop Tokyo 2012」におい
プロフェッショナル仕事の流儀が神回!セキュリティー技術者、名和利男氏の覚悟が凄すぎる : IT速報
14日、NHKにて「プロフェッショナル仕事の流儀 サイバーセキュリティー技術者 名和利男」が再放送されました(2015年9月放送のもの)。 サイバーセキュリティー技術者の中でも最高の技術を持つ「トップガン」と称される名和利男氏のお話し。年々巧妙化し、かつ悪質化しているサイバー攻撃に対応し、日本を守るすごい人。 再放送とはいえ、2chではかなりの盛り上がりに。「神回」の言葉にふさわしく、感心する人が多かったようです。
プロフェッショナルSSL/TLS
こちらは改訂前の旧版のページです。改題第2版の商品ページをご覧ください Webセキュリティ解説の決定版 "Bulletproof SSL and TLS" の全訳(原書2017年版へのアップグレード済み) Ivan Ristić 著、齋藤孝道 監訳 520ページ B5判 ISBN:978-4-908686-00-9 電子書籍の形式:PDF 2020年7月4日 第1版第5刷 発行(原書2017年版アップグレード対応済み) 本サイトにてユーザ登録のうえ購入いただくと、原著改訂第2版に収録されるTLS 1.3の解説章を付録として含んだ特別版PDFがお読みいただけます 現代生活を支えるネットワークにとって、通信の暗号化は不可欠の機能です。しかし、実際のインターネットで暗号化通信を利用できるようにするには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルとその実装技術、さらに、基盤となる信
コインハイブ事件弁護団 主任弁護人 平野敬 (電羊法律事務所) 裁判の現状 2022年1月20日、最高裁判所において、Coinhive事件は逆転無罪判決となりました。これまでの皆様のご支援に深く感謝申し上げます。2022/1/20 2021年12月9日に最終弁論が開かれることになりました。2021/10/18 報道でご存知の方も多いと思いますが、2020年2月7日、東京高等裁判所において、モロさんを被告人とする不正指令電磁的記録保管事件について罰金10万円の支払いを命じる逆転有罪判決が言い渡されました。これまで、多くの皆様に裁判費用を含むご支援をいただいてきたにもかかわらず、望む結果を出せなかったことを、弁護人として深くお詫びします。 我々は東京高等裁判所の判決を不服として、上告状を提出すべく準備を進めています。今後は最高裁判所において事件が争われることになります。 横浜地方裁判所の判決(
記事:平凡社 パレスチナ・イスラエル問題に関するオンラインセミナー「パレスチナ連続講座」に登壇する東京経済大学教授の早尾貴紀さん 書籍情報はこちら 《前編はこちらから》 ホロコーストを経験したユダヤ人とイスラエル 「ホロコーストを経験したユダヤ人が、どうしてジェノサイドをする側になるのか」という質問をよく受けます。そのことについて、2023年に日本でも公開された『6月0日 アイヒマンが処刑された日』という映画を例にお話しします。ナチスの戦犯アドルフ・アイヒマンは1960年に逮捕され、62年にイスラエルで処刑されました。映画ではその死体を焼却する炉を作る過程が描かれます。映画に登場する鉄工所の社長、作業員、臨時に雇われた少年工は、それぞれ、「イスラエル国民」を構成する3階層のユダヤ人グループに属しています。 1つめのグループは、イスラエルの建国運動を中心的に担った人たちです。ヨーロッパ出身で
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
Web API(WebサービスAPI)をプログラミングで活用するにあたって,ぜひ知っておきたい基礎技術が三つあります。古典的な技術の代表としてSOAPとWSDL,そして昨今急速に普及してきたRESTです。ごく単純に言ってしまうと,前者は「高機能で複雑」,後者は「シンプルで簡単に利用可能」と区別できるでしょう。現時点では,そのシンプルさが多くの開発者に受け入れられたおかげか,REST方式が(先達である)SOAP方式を圧倒しているように見えます*1。 もっとも,だからといってRESTがSOAPよりも優れていると結論付けるのは早計でしょう。昨今では,SOA(Service Oriented Architecture)という言葉に代表されるように,大規模なシステムを「サービス」という単位で構成し,互いに連携し合う設計手法が注目されています。特に,SOAを実現する具体的な基盤技術として注目されている
あなたは,下記のコードを理解できない。 p f /g+h/i これはRubyのコードである。「p」は,コンソールに出力する関数である。 問: だいたい,何をやっているコードですか? ※例えば,四則演算など。 構文をおおまかに説明して下さい。 どれが変数で,どれが関数で,どれが演算子か? ↓回答 回答: 一意に決定できない。 下記に, このコードの複数の解釈方法と, この件が引き起こす問題 について述べる。 ※なお,この問題が起きるのは動的言語に限らず,静的言語でも同様に発生しうることを前もって述べておく。 (1)分数の計算とみなすパターン 先行するコードを下記のように書いた場合: test1.rb # 変数に数値を代入 f = 2 g = 1 h = 2 i = 1 # 演算結果をpで出力する p f /g+h/i 実行結果: >ruby test1.rb 4 「分数の計算」とみなされる。
http://twitter.com/aomoriringo/status/8371952492http://twitter.g.hatena.ne.jp/maname/20100203/1264919573そんな例を私が知っているだけ書いてみるテスト。概要だけしってるのばっかりなので、うわっつらかもしれないけれども、そのへんの学部生よりかは知ってるつもり。ケータイ電話音声を人間の耳の仕組み(共振)で捕らえるためにフーリエ変換を使う、日本語で言えば周波数解析ってところかな情報圧縮のための予測残渣,音声データって人間がしゃべるモノだからある程度の規則性があって予測ができちゃう。数学的にもっとも高確率で予測できる数式をつくって、ハズレた分だけ情報おくれば少ない情報おくればいいよねっていう技術聴覚モデルをつかった圧縮。でかい音がなってれば、小さな音は聞こえなくなっちゃう。聞こえない音の情報カット
ラック ITプロフェッショナル統括本部 ESS事業部 システムアセスメント部 担当部長。入社以来、ユーザー企業などのセキュリティ診断を手掛ける。最近飼い始めたフェレットと前からいる愛しの猫とのけんかに悩まされている。 セキュリティ技術者の山崎 圭吾さんがオススメするフリーソフトは、セキュリティチェックに使う「OWASP Zed Attack Proxy(ZAP)」とセキュリティの学習に使う「AppGoat」、Windows上でLinuxコマンドによる操作を可能にする「Cygwin」の三つ。最初の二つは、企業のセキュリティ担当者やシステム開発者が、セキュリティを学習するための入門ツールとしてぴったりだ。 OWASP ZAPは、Webアプリケーションの脆弱性を調べられるソフト。通信の中身を確認したり止めたりする「プロキシー」と、Webサイト内のコンテンツをリストアップする「スパイダー」、セキュ
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万
2015年8月末をもって竹迫はサイボウズ・ラボ株式会社を退職いたしました。勤続年数は長く9年10ヶ月でした。 在職中は様々な活動を通して多くの皆様よりご指導ご鞭撻をいただきまして誠にありがとうございました。 まだまだ未熟だった私もサイボウズの中では多くのことを学びまして、自分自身も人間として大きく成長することができました。 サイボウズ・ラボの設立背景(10年前) 思い起こせば、私がサイボウズ・ラボに入社したのは2005年11月で、当時はまだラボを設立したばかりの立ち上げ期の頃でした。 リージャス赤坂のレンタルオフィスの一室を借りて、畑さん、akkyさん、kazuhoさんと4人で机を並べて、仕事を開始したのは良い思い出です。 それまでのサイボウズは関西人のノリでダジャレのキャンペーンをよく実施していたためか、どちらかというと宣伝やマーケティングにうまい会社と思われており、なかなか技術の会社と
はじめに 過去三年間、技術者ではない方々に OpenID Connect(オープンアイディー・コネクト)の説明を繰り返してきました※1。 その結果、OpenID Connect をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。 2017 年 10 月 23 日:『OpenID Connect 全フロー解説』という記事も公開したので、そちらもご参照ください。 説明手順 (1)「こんにちは! 鈴木一朗です!」 (2)「え!? 本当ですか? 証明してください。」 (3)「はい! これが私の名刺です!
これはマルウェアに感染した端末の基板で構成されたトロイの木馬.国際会議Cyber Weekの展示の一環. はじめに 先週,イスラエル外務省からの招待でイスラエルのサイバーセキュリティ産業の視察に参加した. 視察の参加者は日本政府・重要インフラ・セキュリティ業界関係に大別される.視察の目的は彼らにイスラエルの起業文化とサイバーセキュリティ技術を伝え,相互理解を図ることにあった.そんな視察になぜ一介のモラトリアム大学生でしかない私が潜り込めたのかというと,イスラエル外務省をハックしたから——というのは嘘.昨年発表したCODEBLUEというセキュリティカンファレンスのオーガナイザーにイスラエル大使館から打診があり,若者枠に組み込まれたという経緯である.なんと旅費はイスラエル外務省の負担. そういうわけで,記憶が錆びつかないうちに,イスラエルのサイバーセキュリティ事情を紹介したい. 総括 最初にま
apnews.com 2025年にはサイバーセキュリティ分野での未採用の職が350万になるよという、昨今の米国 IT 業界におけるレイオフ事情を知るとホントかよという話である。なんでそんなことになるのか? 過去2年間、テクノロジー企業では30万人が雇用を失ったというが、サイバーセキュリティ分野は失業率ゼロを維持する稀有な雇用市場らしい。というか、今やあらゆる IT 部門がサイバーセキュリティ部門でもある。 brothke.medium.com 『コンピュータ・セキュリティ入門』(asin:0071248005)の邦訳もある、サイバーセキュリティ分野のベテラン Ben Rothke がこの問題を分析している。 彼によると、ゼネラリスト、中間管理職、CISO(最高情報セキュリティ責任者)、自称サイバー分野の専門家の成り手は不足していないという。実際にサイバーセキュリティ部門で足りていないのは、
IT分野の問題に鈍感な日本のメディア 新年早々、イギリスのテクノロジー専門メディアによる「CPU(中央演算処理装置)の脆弱性」スクープのおかげで、米インテル固有の欠陥という誤解がすっかり拡散してしまった。 日本の大手メディアはほとんど見過ごしたが、脆弱性を発見した米グーグルの”ハッカー集団”が震撼したのは、今後に深刻な影響を及ぼしかねないIT社会特有の構造的な「闇」だった。 コトの発端は、多くの日本人が今年の初夢を見ていたころのことだ。1月2日(現地時間)の夜に、英レジスターが報じた「半導体大手インテルのCPUの構造的な欠陥(脆弱性)が原因で、OSのカーネル(中核)部分に保管されている重要情報が盗まれるリスクがあり、リナックスやウィンドウズで再設計が必要になっている」という記事である。 目的不明のウィンドウズOSアップデートがくり返されていることに着目した同メディアが取材した結果、インテル
セキュリティエンジニアにセキュリティ技術情報収集のやり方を聞いてみた - ラック・セキュリティごった煮ブログ
こんにちは、かすたーど先生です。 セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか?」と聞かれることがよくあります。 情報収集の方法って、学生さんももちろん、セキュリティエンジニアの方同士も「他の人はどうやっているんだろう?」と思っているネタなのではと思いまして、今回ブログのテーマにすることにしました。 ということで、私と同じデジタルペンテスト部に所属している一部のセキュリティエンジニア約30名に協力してもらい、セキュリティ技術の情報収集に関するアンケートを実施しました。結果をご紹介します。 1:セキュリティ技術の情報収集は何を使って実施していますか(複数回答可) 1位:Twitter 2位:ニュース系サイト 3位:書籍・ブログ(同数) 4位:脆弱性情報データベース 5位:
Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog
シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090
やす⋈尾鷲市移住&テレワーク中 @hirayasu 平田泰行 (Hirata Yasuyuki); 技術系管理職 (情シス&セキュリティ技術・統制部門); 貧乳派; カメラ, アニメ; ロードスター買った; レシピけんさくrecipekensaku.com; The opinions expressed in my posts are solely my own. yasu.asuka.net
追想・岡本顕一郎 | DIAMOND APRICOT
そんな岡本さんに変化があったのは、おそらく2018年1月ごろである。 「お疲れ様です岡本です。実ははるかさんに相談があってご連絡しました。」 2018年1月31日に届いたメールはそのように始まっている。 会社が3月いっぱいで現状のメディア事業を終了する見込み。なので独立か転職を考えている。はるかさんは事業をしているので詳しいと思うから相談にのってほしい。 そういった主旨である。 現状の話を聞いた限りでは、岡本さんのやりたいメディア展開について、いまいち経営陣と認識がかみあっていない印象を受けた。 たとえば ピンク・ハッカー というページがある。 週刊ピンク・ハッカー http://www.pinkhacker.com/ ※(ドメインは本稿執筆時点で2018年10月18日ころまで有効となっている) 会社の本業への導線にぴったりの内容だと僕には見えるのだが、経営陣から停止指示が出たと岡本さんは
おはようございます。しなもんです。 今回はセキュリティ調査に使える便利なブラウザの拡張機能 (アドオン・エクステンション) をご紹介します。 こうした拡張機能の多くはこの世で唯一無二の機能を持っているわけではありませんが、普段から一番よく使う調査ツールである「Web ブラウザ」に直結するため、手間の節減や各種オンラインサービスへのアクセシビリティ向上に大きな効果を発揮する場合があります。 前提 Mitaka IP Address and Domain information Link Redirect Trace User-Agent Switcher Flagfox IP Domain Country Flag Wappalyser anonymoX Wayback Machine Exif Viewer/EXIF Viewer Pro Simple Translate Mouse Di
Webエンジニア向けセキュアコーディング学習サービス「KENRO」のトライアルを一般開放しました - Flatt Security Blog
こんにちは、Flatt Security執行役員の @toyojuni です。 弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を 無償・期間無制限で一般開放 することとしましたので、そのお知らせも兼ねつつ一般開放に至った背景などをこちらのブログでお話ししようと思います。 「KENRO」とは? 「KENRO」のトライアルとは? トライアル一般開放の背景 トライアルはどのような人にオススメ? トライアルの利用方法 最後に 「KENRO」とは? 「KENRO」は、Web 開発に必要なセキュリティ技術のハンズオンの研修・学習を行うことができる、環境構築不要のクラウド型学習プラットフォームです。 https://flatt.tech/kenro これまでエ
by Kristen Nicole Android搭載スマートフォンでリンクをクリックすると、攻撃者がフルリモートコントロール可能になってしまうというセキュリティの不具合があることが報告されました。実機を使ったデモンストレーションで実証されており、また、Android以外にiPhoneやiPad、BlackBerry、GoogleTVの端末も同様の危険に晒されている可能性があります。 How a Web Link Can Take Control of Your Phone - Technology Review サンフランシスコで開催されているRSA Conference 2012で、セキュリティ技術企業CrowdStrikeのジョージ・クルツさんらは、Android端末で誤ったリンクをクリックすると、攻撃者が端末をフルリモートコントロール可能になる不具合を発見しました。 「カメラがあっ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
ペパボの新卒研修で利用した資料を公開します - Pepabo Tech Portal
登大遊氏が語る「おもしろインチキ ICT 技術開発」の重要さとは | さくマガ
ネット学習教材 - ドキュメント - SUGSI
「やはりインフラ作りは楽しくてしょうがない」 村井純×登大遊×田中邦裕が語る、日本のICTの課題と期待
Wiresharkで公衆無線LANのヤバさを確認してみた
脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった
TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ
NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察
「ほこ×たて」対決の功罪、ロシア人ホワイトハッカーに裏側を聞いた
【寄稿】コインハイブ事件 意見書ご協力のお願い - 一般社団法人日本ハッカー協会
イスラエルはどうしてあんなにひどいことができるの? 早尾貴紀——後編|じんぶん堂
OpenSSL #ccsinjection Vulnerability
Part5 SOAP,WSDL,REST――Web APIの基礎技術を学ぶ:ITpro
あなたが理解できない,たった一行のRubyのコード (動的言語に対する静的解析の限界) - 主に言語とシステム開発に関して
世の中は、巧妙に隠されてはいるけれど、いっぱいある高度な数学 - akira_youの私見
Webアプリの脆弱性調査ツール、脆弱性学習ソフトなど
サイボウズ・ラボを退職しました(ご挨拶) - 竹迫の近況報告
一番分かりやすい OpenID Connect の説明 - Qiita
イスラエルのサイバーセキュリティ事情 | 一生あとで読んでろ
なぜサイバーセキュリティ分野で人材が不足しており、職が埋まらないのか? - YAMDAS現更新履歴
米グーグルのハッカー集団を震撼させた「インテル問題」の深刻度(町田 徹) @moneygendai
素人の投稿がひっかからないプロのレシピを検索できるサービス『レシピけんさく』に「こういうの待ってた」
セキュリティ調査に役立つブラウザ拡張機能のまとめ - 午前7時のしなもんぶろぐ
スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚