私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
さて、先日から自分のもとに、全く身に覚えの無い謎の雑貨の類が次々とAmazonから届くようになった。これが代引きなら典型的な送りつけ詐欺なのだけれども、代引きではない。 そんな体験をしたことがあるだろうか。 と言うことで、このような現象が何を目的として、どのような人によって引き起こされているかの推理し、対応策を考えるのがこのブログ記事の目的だ。こんな感じの目次でいってみようか。 なにが起こったのか 突然送られてくる謎の商品 Amazonのカスタマーサービスに連絡 さらに次々と送られてくる不審な商品 再びカスタマーサービスに連絡 よくありそうな疑問への回答 配送拒否すればいいのでは? 返品すればいいのでは? 何が原因なのか 在庫処分説 ソーシャルハッキング説 仮説の検討 在庫保管にかかる費用 在庫保管制限 返送・廃棄にかかる費用 そもそものAmazonに出品するための手数料 以上の数字の分析
「あいちトリエンナーレ2019」の芸術監督、津田大介氏 「あいちトリエンナーレ2019」で「表現の不自由展・その後」が3日間だけ展示され撤去された問題を受けて、8月15日に津田さんは個人ブログでことの経緯とお詫びを発表した。それを読み同日、僕は以下のテキストをツイートした。 「アップリンクはあいちトリエンナーレに映像作品を出品している。アップリンクが日本での上映権を持つホドロフスキー監督のドキュメンタリー作品『ホドロフスキーのサイコマジック』だ。今日、9人のアーティストがトリエンナーレの出品を取り下げた。事務局の映像担当者から電話がかかってきた。次に何かしそうなのは浅井さんだからだという。取り下げるなんてことは考えもしていなかった。アップリンクは出品者なので、実は事件が起きてから8月7日に津田大介芸術監督から『「あいちトリエンナーレ2019」協賛企業・個人の皆様へ』という1万880字の長文
2020年6月に発生したドメイン名ハイジャックのインシデント対応について - coincheck tech blog
はじめまして、サイバーセキュリティ推進部の喜屋武です。 今回は2020年6月に発生したお名前.com上の当社アカウント乗っ取りによる「coincheck.com」のドメイン名ハイジャックのインシデントについて、発覚までの経緯とその後のインシデント対応についてご説明します。 1 発覚までの経緯 1.1 サービスの応答時間の遅延の確認 当社利用のドメイン登録サービス「お名前.com」で発生した事象について(最終報告) | コインチェック株式会社 でもタイムラインを記載しましたが、最初の異変は日頃からモニタリングしているサービスのレスポンスタイムが著しく遅延していたことでした。 当時のサービスのレスポンスタイム この異常を確認し、SRE チームが調査に乗り出しましたがこの段階では他に問題は確認されず、レスポンスが遅延している原因の特定には至っていませんでした。 1.2 他部署やユーザーからの問い
楽天モバイル(MNO)には、「Rakuten Link」という特徴的なサービスがあります。RCSという国際規格をベースとしたもので、通信回線に依存しない形で、つまりWi-Fiや他社回線経由でも、このアプリを使えば楽天モバイルの電話... しかし、上の記事で紹介した通り、「楽天のSIMが入っていない別のスマホでも設定できる」仕様なので、その自由度ゆえにセキュリティをしっかりと担保してもらわないと「乗っ取り」の危険性があることは想像に難くありません。Linkのログイン時にはSMS認証を求められる(=その電話番号を使える本来のSIMカードが手元にないと設定できない)のでまあ大丈夫、と思っていたのですが……。 なんと恐ろしいことに、セキュリティの要所となるSMS認証にあまりにも分かりやすい抜け穴が作られていることが発覚し、一部のユーザーの間で話題になっています。 まず、Rakuten Linkの設
「LINE」のQRコードログインにおける2要素認証の脆弱性および不正ログイン発生に係るお知らせとお詫び | LINE Corporation | セキュリティ&プライバシー
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 1.概要 2019年11月25日より2021年7月7日18時55分までの期間、Windows/Mac OS/iPad/Google Chrome版「LINE」へのQRコードを用いたログインにおいて、PINコードを用いた2要素認証に脆弱性があり、この脆弱性を悪用した不正ログインが発生していたことを確認しました。この脆弱性の修正および確認された不正ログインの無効化は2021年7月9日12時に完了しております。 公表が遅くなりましたことをお詫びいたします。 本事案で確認された不正ログインの手法は、以下の通りです。 ・攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、W
先月末、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認されたとして大きな波紋を呼んでいる。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。 今回はすんでのところで気づいた人がおり(SSHによるログインが僅かに遅延することに違和感を持ったのがきっかけだったという)、全世界に配布される直前にストップがかけられたが、もしかすると気づいていないだけですでに商用で利用されているOSS製品に似たような悪意ある脆弱性が仕込まれているのではないか、という不安混じりの疑念を持った人は少なくないと思う。 実際に、OSSではないが多くの企業や政府機関で利用され
17歳で3.2億円荒稼ぎ。Twitter要人大量ハックで逮捕された主犯の人物像2020.08.03 20:3015,141 satomi 10歳で『マインクラフト』にはまったときからイカサマの才覚を発揮。 保有するビットコインは300万ドル(約3.2億円)相当。 宝石散りばめたロレックス嵌めて、BMW 3シリーズを乗り回すバラ色の日々もジ・エンド…なのか? 各界著名人のTwitter公式アカウントを大量に乗っ取って「ビットコインを送ったら倍返しする」と詐欺目的のツイートを流して著名人のフォロワーから1000万円以上を窃取した主犯の容疑で、米フロリダ州タンパ市に住むGraham Clark容疑者(17)が31日早朝、逮捕されました。 ネットのコードネームは"Kirk"。同州オーランドに住む"Rolex"ことNima Fazeli容疑者(22)と、英国に住む"Chaewon"ことMason S
日本企業の少なからずは、今も技術力でトップに立っている。それなのに、諸外国のパクリ企業にやられているというのは、端的に言えばせっかくの技術がザルのように漏洩して止められない側面もあるからだ。(『鈴木傾城の「ダークネス」メルマガ編』) ※有料メルマガ『鈴木傾城の「ダークネス」メルマガ編』好評配信中!ご興味をお持ちの方はぜひこの機会にバックナンバー含め今月分すべて無料のお試し購読をどうぞ。 プロフィール:鈴木傾城(すずき けいせい) 作家、アルファブロガー。政治・経済分野に精通し、様々な事件や事象を取りあげるブログ「ダークネス」、アジアの闇をテーマにしたブログ「ブラックアジア」、主にアメリカ株式を中心に投資全般を扱ったブログ「フルインベスト」を運営している。 「ファーウェイを通じた情報流出は間違いない」 エリック・シュミット氏はアメリカのIT企業の最高峰であるグーグル社の元CEOとして知られて
この記事に記載されている内容を、実際に試して発生した損害に対していかなる責任も負いません。(補償しません) すべて自己責任のもとで行ってください。 リリースされているアプリやゲーム、ソフトウェア利用許諾契約(EULA)やアプリケーション利用規約などでリバースエンジニアリングは禁止されています。 実際に試す場合は、自分で開発しているアプリやゲームや脆弱性確認用でリリースされているアプリやゲームを使いましょう。 勘違いして理解しており、誤ったことを記載しているところもあるかもしれません。 実際に対策を行うときは、専門家に相談してください。 はじめに 目的 「Unityのモバイルゲーム向けセキュリティ関連覚書 - Qiita」の資料を全部読むのは大変です。 1 理解が進みやすいように、クラッキングが行われる目的、ポイント、対策を整理してみました。 なるべく一般的な名称を使っているつもりです。長く
開発やビルドに必要なツールをインストールするとき、特にビルド済みの実行ファイルをインターネットからダウンロードするとき、セキュリティインシデントを防ぐためにはアーティファクトを信頼しても良いか確認しなくてはいけません。 もしGnuPGで署名されていればそれを使うことになりますが、正直に言うと開発者にとってもユーザーにとっても手間がかかることが多いです。 一般によく取られている方法が、チェックサムファイルをアーティファクトと一緒に公開することです。 ユーザーは、sha256sumコマンドなどでアーティファクトのチェックサムを公開されているチェックサムと比較し、改竄されていないことを確認できます。 中間者攻撃やソーシャルハッキングによるアーティファクトの改竄などのシナリオを想定すると、アーティファクトと同じドメインで公開されているチェックサムファイルを、同じスクリプトのなかでダウンロードして使
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。 サイバー攻撃に対してパスワードはあまりにも守りが弱い。そのため、パスワードに加えて何らかの要素を追加して防御する多要素認証(MFA)が広く使われている。 だが多要素認証を導入すれば鉄壁の守りが手に入ると考えてはいけない。攻撃者がどのような手口で多要素認証を突破するのか、攻撃を防ぐにはどうすればよいのかを紹介する。 多要素認証をどうやって突破するのか Keeper Securityのティム・トラン氏は多要素認証の弱点と、弱点をカバーする方法を次のようにまとめた。 多要素認証を有効にすると、オンラインアカウントの保護がより強力になる。パスワードだけを使うよりも良い方法だ。だが、一部の多要素認証はサイバー攻撃に対し
12月1日、東京都大田区産業プラザPiOにて「PHPカンファレンス2019」が開催されました。本稿ではその模様をお届けしていきます。今回は、ゲストスピーカーである廣川類さん、Sebastian Bergmannさん、徳丸浩さんのセッションをレポートします。 廣川類さん「PHPの今とこれから2019」 日本PHPユーザー会の廣川類さんは「PHPの今とこれから2019」というタイトルで、先日リリースされたPHP 7.4の話など、最近のPHPについて発表しました。 廣川類さん(撮影:杉本展将) PHPのあゆみ PHPは1995年に誕生したWebアプリケーションに使用されるスクリプト言語で、現場の課題を簡単に解決してくれる便利なツールとして、誕生以来、Webとともに成長、進化を続けてきました。 PHPは成長、進化をしていくうちに、大衆的なパーソナルツールから、安全で実用的な高性能ツールのプラットフ
![PHPカンファレンス2019参加レポート[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/a352666398616be1f7e4808ab74bde15a22cbe18/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2019%2F1789_phpcon2019.jpg)
こんにちは、大石です。 エンタープライズIT業界には私が勝手に三銃士と呼んでいる人たちがいて、 ソラコムの玉川さん、HENNGEの小椋さん、クレディセゾンの小野さんという40代3人の経営者を「これから日本のエンタープライズIT業界を変えていく3人」として、いろんなところで紹介させて頂いているのですが、そんな小野さんが「本を書いた」とのことだったので早速読んでみました。 結論を先に言うと、 「IT業界の人はとりあえず全員読んどけ」 です。 こういう情報過多の時代ですから「DX」だの「シリコンバレーの流儀」だの「2ピザルール」だのを断片的に見聞きすることは多いと思うのですが、「それがどういう理由で大切なのか」「それを自分たちのチームで実践するためにはどういう方法をとるとよいのか」ということを知る機会はそれほど多くありません。本書ではこうしたTipsの背景まで丁寧に、体系的に教えてくれます。 周
組織のセキュリティー対策において、ヒューマンエラーによるインシデントを速やかに発見し対処することは重要である。しかし、インシデントが共有されずに重大な事故に発展してしまうことは少なくない。 また、言葉巧みに人間に近づき、個人情報や組織の機密情報を聞き出す「ソーシャルハッキング」による被害は古くから存在し、現在も攻撃とその被害は絶えない。 このような問題はなぜ起こるのか。社会心理学者であるロバート・B・チャルディーニは、人間には「6つの脆弱性」があると指摘している。この脆弱性が、こうした問題につながっている。今回は人間が抱える脆弱性と組織のセキュリティーを考えていく。 インシデントの多い組織は本当に問題があるのか 工業製品における品質管理では、製造ラインにおける欠陥が一定数に抑え込まれているかどうかの指標は重要であり、その指標の目標を設定し改善活動は運用可能である。欠陥数の少ないラインは優秀
はじめまして、小説家の入江君人と申します。 この記事は、これから小説家デビューする人に向けた、おすすめ情報をまとめたものです。 たとえば、「税金対策」「使っている道具やアプリ」「編集者との打ち合わせの仕方」「企画書の書き方」など。 こういった事柄は、以前なら先輩作家さんから学ぶものでした。しかし昨今はコロナの影響や、賞デビュー以外のルートも増えたことで、ひとりで孤独に悩む人が増えたように感じます。 そこで今回は、私自身が新人の頃に知っておきたかったと思うような知識を詰め込みました。どうぞ参考にしてください。 ただし、ここに書いてあるのはあくまで「こういった便利なものがありますよ」という気付きを目的としており、文量も二万文字程度の短いものです。税金関係などの詳しい知識は、専門家にたよってください。 また、本書はあくまで、作家としての雑務対策に限定しており、いわゆる創作論を扱うものではありませ
TSG CTF 開催記 - 博多電光
※めっちゃ長いです。 博多市です。 先日5月4日から5日にかけて、東京大学のサークルTSGの主催により、TSG CTF が開催されました。博多市はイベント自体の発案から全体の進行を司るなど、実質的に TSG CTF のリーダー的役割を果たしました。 今回、CTFを開催するという決して前例の多くない仕事を遂行する上で、貴重な先人たちの開催記やブログ記事に助けられました。なので、恩返しする意味も込めて、今回僕が TSG CTF を開催しての知見や感想、反省点をなるべく細かく書いていこうと思います。 特設サイト: https://ctf.tsg.ne.jp/ スコアサーバー (アーカイブ): https://score.ctf.tsg.ne.jp 問題ファイルなど一式: https://github.com/tsg-ut/tsgctf TL;DR CTFを主催するのは、大変だけど、楽しい! 開催
ネットではAmazonから注文もしていないモノが勝手に届く現象がいくつか報告されている。xckbさんもその一人だそうで、別に欲しいものリストを公開していないにもかかわらず、謎の商品が送られてくる現象に悩まされていたそうだ。送られてくるものについては、意味不明なモノから微妙に使用できるものまで様々だという。xckb氏のブログ記事では、その現象についての検証を行っている(xckb的雑記帳)。 代引きによる送り付け詐欺や転売屋の在庫処分、ソーシャルハッキングなどさまざまな説を検討した結果、いずれでもなさそうだとして、同氏はAmazon上の評価を上げるため、偽の注文を行うブラッシングと呼ばれる詐欺的行為ではないかという考えに至ったそうだ。そう考えるに至った詳細についてはxckb氏のブログ記事を読んでいただきたい。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAのハッキングの話チョットワカルので書く
Amazonから注文していない商品が次々と届く、しかし代引きではない… - xckb的雑記帳
あいちトリエンナーレ津田大介芸術監督インタビュー - webDICE
「Rakuten Link」のSMS認証に潜む重大な欠陥 - elibom
Solorigate事件の教訓 - サプライチェーンアタックを防ぐことは可能か|ミック
17歳で3.2億円荒稼ぎ。Twitter要人大量ハックで逮捕された主犯の人物像
技術力トップでも勝てぬ日本企業は「ファーウェイを通じた情報流出」に全力で抗うべき=鈴木傾城 | マネーボイス
Unityのモバイルゲーム向けクラッキングが行われるポイントを整理してみた - Qiita
RenovateでGitHub成果物のチェックサムを更新する - プログラムモグモグ
PHPカンファレンス2019参加レポート[前編] | gihyo.jp
「その仕事、全部やめてみよう」はとりあえず読んどけ - 大石蔵人之助の雲をつかむような話
すべての人間が「6つの脆弱性」を抱える、セキュリティー心理学
小説家デビューが決まったら読む記事(1)デビュー前にすることまとめ|入江君人
ブラッシングか?Amazonから金銭被害なく注文していない商品が次々と届く | スラド IT