2021年1月20日、ジョー・バイデン氏が第46代アメリカ大統領に就任する数分前というタイミングで、インターネットのグローバルルーティングテーブル上に、5600万個ものIPv4アドレスが突如出現しました。複数の地域で枯渇したはずのIPv4アドレスが突如大量に出現したということで、大きな話題を呼んでいます。 The Florida mystery of dormant Pentagon IP addresses - The Washington Post https://www.washingtonpost.com/technology/2021/04/24/pentagon-internet-address-mystery/ The Mystery of AS8003 | Kentik https://www.kentik.com/blog/the-mystery-of-as8003/ こ
「NURO 光」を解約したら、契約時に説明されなかった請求があった――そんな事例がTwitterで報告されています。ねとらぼ編集部では、投稿者と提供元のソニーネットワークコミュニケーションズに話を聞きました。 ソニーネットワークコミュニケーションズが提供するインターネット接続サービス「NURO 光」(画像はNURO 光公式サイトから) 投稿したのは、Twitterユーザーの「-」(@fukusanity)さん。NURO 光契約時、販売代理店のスタッフから「解約時にお金がかからない」と言われたにもかかわらず、解約すると分割払いだった宅内工事費の残債として3万円以上が請求されたとツイートしています。解約した際の残債の一括返済について、契約前に一切説明はなかったと訴えています。 「マンション宅内工事費(分割払)(残債の一括請求)」として3万円以上が請求されている(画像提供:「-」(@fukusa
PublickeyのIT業界予想2023。クラウドのコスト上昇懸念、Passkeyの普及、AIによる開発支援の進化、WebAssembly環境の充実など
PublickeyのIT業界予想2023。クラウドのコスト上昇懸念、Passkeyの普及、AIによる開発支援の進化、WebAssembly環境の充実など 新年明けましておめでとうございます。今年もPublickeyをどうぞよろしくおねがいいたします。 さて今年最初の記事では2023年のIT業界、特にPublickeyが主な守備範囲としているエンタープライズ系のIT業界はどうなるのか、Publickeyなりに期待を込めた予想をしてみたいと思います。 エネルギー価格の上昇、セキュリティへの注目など まずは予想の前提として、IT業界に影響を与えそうな現状についての認識を明らかにしておきたいと思います。 グローバルな視点で見たときに、IT業界だけでなく世界経済に大きな影響を与えているのは石油や天然ガスを始めとするエネルギー価格の上昇とインフレでしょう。 エネルギー価格の上昇はロシアによるウクライナ
DJRIO.eth @ REALITY on Twitter: "TikTokのアプリ内でwebサイトを開いたら、すべてのタップやパスワードふくむ全ての文字入力がTikTokに取得されている。 そういう処理をするJavascriptコードが自動挿入されていることが発見され、会社側もそれを認めた。… https://t.co/RxCNaJNiEd"
TikTokのアプリ内でwebサイトを開いたら、すべてのタップやパスワードふくむ全ての文字入力がTikTokに取得されている。 そういう処理をするJavascriptコードが自動挿入されていることが発見され、会社側もそれを認めた。… https://t.co/RxCNaJNiEd
経緯 私Google系はド素人だったのでハンズオン勉強会に参加した所短時間でスムーズにざっくり理解できた気がするので自分なりに整理するために記事にしました。(開催元には許可頂いてます) 参加した勉強会 こちらの勉強会に参加しました。案内のとおり、若手エンジニアが多く私浮いてた気がしますが全く気にしてないです。若い世代のエンジニアと交流すると私もがんばらなきゃという気になります。 ハンズオンスライドがとてもわかりやすかったです。このスライドの手順さえあれば1時間で簡単に作れます。 こういうの作るの大変だけど自分自身勉強になるんだよね。 おそらく、Googleが提供しているここのFirebaseWebCodelabのチュートリアルから翻訳とカスタマイズして作成したんだと思います。 完成イメージ こんなのが作成できます。Google認証も簡単に実装できちゃう。 アプリの構成 作成するチャットアプ
脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog
2019年9月16日、VPNサービスのレビュー等を行うvpnMentorはインターネット上でエクアドル国民に関わる大量の情報を発見したと発表しました。ここでは関連する情報をまとめます。 vpnMentorの発表 www.vpnmentor.com 数百万人のエクアドル国民に影響が及ぶ可能性がある大規模なデータを発見した。 発見したのはvpnMentorのリサーチャー Noam Rotem氏、Ran Loca氏の二人。 露出していたElasticsearchには2000万人を超える個人に関わる情報が含まれていた。 vpnMentorはZDnetへ情報提供を行っており、同件の報道が行われている。 どうやって発見したのか vpnMentorは大規模なWebマッピングプロジェクトの一部で確認したと説明している。 既知のIPブロックに対してポートスキャンを実行。 公開状態のデータベースに対してシステ
2022年5月24日(米国時間)、SANS ISCのフォーラムでPython向けライブラリの1つ(その後PHP向けライブラリでも判明)が第三者により不正なコードを含むアップデートが行われていたとして注意を呼び掛ける投稿が行われました。その後この行為に関わっていたとして実行者とみられる人物が顛末を公開しました。ここでは関連する情報をまとめます。 改ざんされた2つのライブラリ 今回影響が確認されたのPython Package Index(Pypi.org)で公開されている「ctx」、Packagist(Packagist.org)で公開されている「PHPass」の2つ。 影響を受けたライブラリ インストール実績 改ざんされたとみられる期間 概要 ctx 約75万回 2022年5月14日~5月24日頃 辞書(dict型オブジェクト)を操作するユーティリティを提供するPython向けのパッケージ
ZennではフロントエンドにNext.jsを使っています。もともとはVercelで動かしていたのですが、2021年3月にGoogle Cloudに移行しました。今回は移行を決めた理由や、具体的な構成、移行作業などについて書きたいと思います。 なぜ移行したのか Next.jsのデプロイ先としてVercelは圧倒的に優れています。ISRやImage OptimizationといったNext.jsの強力な機能をサーバー側の追加設定なしで使用できますし、CDNでの静的ファイルのキャッシュなども特に意識しなくてもいい感じにやってくれます。 Vercel以外にデプロイするとなると、Next.jsの一部の機能がうまく動かなかったり、パフォーマンス・チューニングを自分で頑張る必要があったりと自分で面倒を見なければならない部分が多くなります。 しかし、Zennのケースでは以下のような理由からVercelから
ドコモ口座の問題はシステム的な部分でいうと「本人確認と認証が甘い」に尽きるんですが、それ以前の問題として、このビジネススキームが何を根拠に成立していて、その根拠に基づいた対応が行われていたか、ということがありますね。なにぶん、それなりに新しいことをやろうとしている話なので必ずしも法整備は十分ではないし、抜け道というか、既存の制度だったらこうすれば使えるよね、というスキームをひねり出して実施していくわけです。なので、根本的な法律や制度の問題とは別に、2者間で成立させるための個別の契約が必ずあるわけです。それがどのくらい今回の事態を想定していたかは定かではないですけれども、少なくともここについて一般に開示されることはないでしょう。でも、そこがキモってのがこの話の難しいところ。 とはいえ、銀行との資金移動に持っていく部分については口振契約ということは明らかですので、そのへんをちょっと考察してみま
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
Javaがサーバレスに至るまでの道のり
はじめに 先日、JakartaOne Live Japan 2022というイベントで登壇させていただく機会を頂きました。 QuarkusやHelidonのような新しめのEEフレームワークがこれまでのPayaraやWebLogicとどう違うのか? CloudRunのようなサーバレス環境でMicroProfileのどの機能が効果的に働くのか? という点を最近のWeb開発周りのトレンドと絡めながら話ました。上記のようにアーカイブ動画も公開されていますが、せっかくなのでQuarkusがサーバレス環境で実行に最適化されるまでの周辺事情等をまとめたいと思います。Javaだけに留まらず最近の環境事情の整理にも役立つかと思います。 TL;DR Quarkus/Helidonは軽量で高速な新しいEEフレームワーク コンテナや、サーバレス、クラウドネイティブなど最新のトレンドに基づいた設計 GCPのCloud
Kyashでは9月からIDaaSであるOneLoginを導入しました。 導入から3ヶ月が経過し、現時点でほぼすべての社内認証をOneLoginに統一することが出来ました! 今回は、なぜOneLoginにしたのか、使い勝手等を含めお伝えできればと思います。 すごくヨイショしている記事になってしまったんですが、お金はもらってません!!!!!笑 www.onelogin.com 公式HPにも取り上げて頂き、ありがとうございます! 実は前職でもかなり使い込んでおり、OneLoginは思い入れのあるプロダクトです。 www.pentio.com 今回の導入に関しても、OneLogin 日本代表の福見さんと代理店であるペンティオさんにかなりのお力添えを頂きました。ありがとうございます! Kyash Advent Calendar 2019 day11 ということでKyash Advent Calend
iPhone「メモ」アプリが生まれ変わる。仕事をブーストさせる9つの新機能【今日のワークハック】 | ライフハッカー・ジャパン
コントロールセンターにクイックメモを追加Screenshot: Khamosh Pathakクイックメモは、「メモ」アプリを開かずにメモができるすばらしい機能です。Safariで何かいいものを見つけたり、友だちとチャットしている時に何か思いついたりした時にクイックノートを使えば、その時使っているアプリを離れずに入力することができます。 「設定」>「コントロールセンター」で「クイックメモ」を有効にしましょう。これで、コントロールセンターを開いて、クイックメモのボタンをタップすれば、その時開いているアプリの上に新規メモが開き、簡単にメモをすることが可能に。 メモをし終わったら、使っているアプリに戻れます。 物理的な書類からテキストをスキャンScreenshot: Khamosh Pathak「メモ」アプリは、「カメラ」アプリ以上にテキスト認識表示機能が優れています。 使用するには、まず新規メモ
chmod -R 777 /usr を実行したCentOS7で、一般ユーザがroot権限を得られることを確認する - Qiita
chmod -R 777 /usr を実行したCentOS7で、一般ユーザがroot権限を得られることを確認するLinuxSecurityrootpermission Teratailで、suコマンドでrootログインできないという質問があり、てっきり/etc/pam.d/suまわりの設定かと思いきや、そうではなく、自己解決で説明された原因に一同驚愕ということがありました。 /usr/share/nginx/html に権限を追加したくて、横着して chmod 777 -R /usr とコマンド実行した記憶があります。 CentOS7、suコマンドでrootにログインできない、パスワードは絶対あっているのになぜ? /usr 以下のパーミッションをすべて777に設定したら、逆に動くべきものが動かなくなる例なのですが、これをやるとセキュリティ上問題であることは言うまでもありません。究極的には、
Apple、Google、Microsoftという3大OSベンダーが揃ってサポートを表明している「パスキー(Passkeys)」。パスキーを使うことで、パスワードが不要になり、フィッシングや成りすまし、流出などのセキュリティ問題が一気に解決するほか、パスワードをメモしたり覚えたりする必要がなくなる。果たして、パスキーによってパスワード不要の世界はやってくるのだろうか。 パスキーでログインはこう変わる パスキーとは一体何か? 理屈や背景を説明する前に、デモサイトの「Passkeys.io」にアクセスしてみるのが分かりやすい。パスキーは生体認証とセットの技術なので、指紋認証機能を備えたPCや、指紋/顔認証を備えたiPhone、Androidなどでアクセスしてみよう。
OSCP: ペネトレーションテストの実践的な資格を取った話 - ommadawn46's blog
はじめに 本記事は Recruit Engineers Advent Calendar 2020 の6日目にあたる記事です。 先日、Offensive Security Certified Professional (OSCP) という倫理的ハッキング技術に関する資格を取得しました。最近、日本でもこの資格の人気が高まっているような印象を受けますが、OSCPに関する日本語の情報はまだまだ少ないようです。今後受ける人の参考になればと思い、本記事ではOSCPに関する以下の事項についてお話したいと思います。 PWKコースとOSCP試験がどういう内容で、どんな人におすすめか 受ける前にどんな準備をすれば良いか 実際にPWK / OSCPを進める際に役に立つ情報 筆者のOSCP受験記 この記事では、まず「OSCPとは何か」を知りたい人のために一般的な説明をしています。その後、「OSCPを受けようか悩ん
ChatGPTやBardなど複数のチャットAIへ同時に質問して結果をずらっと比較できる「ChatALL」を使ってみたよレビュー
2022年11月にChatGPTが公開され、わずか5日間で100万ユーザーを突破したのを皮切りに、Microsoftが2022年12月にBing AI Chatを公開し、そしてGoogleも続いて2023年3月にBardを公開するなど多数のAIチャットサービスが登場しています。そうした複数のチャットサービスにまとめて質問を送信して結果を比較検討でき、一番いい結果だけを採用できるツールが「ChatALL」です。 sunner/ChatALL: Concurrently chat with ChatGPT, Bing Chat, bard, Alpaca, Vincuna, Claude, ChatGLM, MOSS, iFlytek Spark, ERNIE and more, discover the best answers https://github.com/sunner/ChatA
「ドコモ口座」+「Web口座振替受付サービス」の悪用 簡単な時系列 「Web口座振替受付サービス」のセキュリティがガバガバ 「ドコモ口座」もガバガバである 「Web口座振替受付サービス」のシステムも問題だが、「ドコモ口座」の責任も免れないだろう 9月9日中の追記 9月10日の追記 9月11日の追記 「ドコモ口座」+「Web口座振替受付サービス」の悪用 「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた。 簡単な時系列から「Web口座振替受付サービス」の実体、「ドコモ口座」の問題点などを述べていきたい。 被害情況については ドコモ口座を悪用した不正送金についてまとめてみた - piyolog が詳しい。 手法は不明であるが、『ドコモ口座』の不正利用、誰が被害に遭う?→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース や 「ドコモ口座」で相次ぐ不正出
東京オリンピックについて、これまで関係組織からの発表や報道されたサイバー関連事象についてまとめます。この記事は個別事象を整理したもので各々の関連性は一部を除きありません。また大会期間中のものを判別つきやすくするためタイトル部を赤文字で記載しています。 大会中に起きたこと 東京オリンピック期間中、過去大会で見られたようなサイバー攻撃などに起因する情報流出やシステム破壊の発生は報じられなかった。また官房長官は「サイバー攻撃に起因する問題発生は確認されていないとの報告を受領している」と7月26日にコメントしている。*1 大会後は経産大臣が電力やインフラなどのサイバーセキュリティに関してテロの様なものはなかったと説明した。*2 サイバー空間上でオリンピックに関連する事象が何もなかったわけではなく、大会に乗じた偽動画配信などの詐欺サイトの存在が報告されていた。またSNS上で選手への誹謗中傷が行われる
Googleのアプリは何かおかしい
事の発端はルーターを買い替えたこと。 元々ネットが遅かったり繋がりにくかった。リモートワークは問題なく行えてたからそのままにしてたが、TwitchやAbema、DaznなどをiPadで開く時に高確率でWi-Fiのオンオフをしないと見れなかった。(何回か繋ぎ直すと正常に見れる) 改善のために色々調べたこともあったが、その辺詳しくないので結局原因が分からず放置。ボーナスも入ったし、少しスペックが高いルーター買ってみるか、改善したらラッキーだな程度の気持ちでポチった。 ルーターの設定にはとても苦労した。夜の7時にルーターが届いて、夜中の2時まで色々試してみたが、結局ルーターから先のインターネットの環境に接続できなかった。 ルーターの専用アプリでネットワーク診断とトラブルシューティング(モデムやルーターの再起動、ケーブルの交換等)は書いてあること一通り試したが、接続できず。モデムの故障?プロバイダ
はじめまして、たにお(@tanio0125)です。 今回は私が作ったアプリの利用者が1万人を超えたので、リリースから今までにやったことを書こうと思います。 興味がある方はぜひ最後まで読んでみて下さい。 はじめにまずは製作したアプリの紹介したいと思います。 アプリ名は『Bonfire』です、iOS・Android向けに全世界に配信中です。 どんなアプリかと一言でいうと「匿名でつぶやけるアプリ」です。つぶやきアプリといえばTwitterを思い浮かべますよね。 Bonfireは「SNSに疲れた人向け」というキャッチコピーで、Twitterや他のつぶやきから離脱したいユーザーをターゲットにしてます。 要するに邪道でニッチなSNSです。 どんなアプリか知りたい方は上記のリンクから是非ダウンロードしてみて下さい。 ■アプリのコンセプト決め個人開発なのでTwitterや大手SNSと同じ土俵で戦っても勝ち
サイバー攻撃の脅威はなぜ増え続けるのか? 相次ぐ個人情報の大規模漏洩、米・中・露による国家主導のハッキング、企業・病院を標的にして猛威を振るうランサムウェア… IT社会が急速な発展を続ける一方で、私たちの「情報」を取り巻く状況は日に日に悪化している。 数々のセキュリティ対策が打ち出されているにもかかわらず、サイバー攻撃による被害は増え続けている。 今日の情報セキュリティが抱える致命的な〈脆弱性〉は、どこから来たのか? コンピュータの誕生前夜から現代のハッキング戦争まで、半世紀以上にわたるサイバー空間の攻防を描いた、情報セキュリティ史の決定版。 【Cybersecurity Canon Hall of Fame 2022 (サイバーセキュリティ書の殿堂) 受賞】 「私たちが今日直面するセキュリティ問題の多くは、何十年も前に下された愚かな決定によってもたらされた。本書は、ITの黎明期から現代の
インターネット上の保護されていないデータベースのほぼすべてが削除され、「Meow(ニャー)」というネコの鳴き声だけが書き残される「Meow Attack(ニャー攻撃)」が報告されています。記事作成時点で既に4000近くのデータベースがニャー攻撃によって削除されてしまったとのことです。 New ‘Meow’ attack has deleted almost 4,000 unsecured databases https://www.bleepingcomputer.com/news/security/new-meow-attack-has-deleted-almost-4-000-unsecured-databases/ Ongoing Meow attack has nuked >1,000 databases without telling anyone why | Ars Techn
VALUE-DOMAIN に存在していた2種類のドメインハイジャック脆弱性について - debiruはてなメモ
2022年3月2日に確認した VALUE-DOMAIN でのサブドメインハイジャックが可能な脆弱性について経緯を説明します。 ついでに2016年の記事「VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について」の続報も含めて、この記事で2022年現在の VALUE-DOMAIN の状況についてお伝えします。 脆弱性を2つ発見しました 第一:子ゾーン作成によるサブドメインハイジャック 第一の脆弱性の攻撃の原理 VALUE-DOMAIN のネームサーバについて 第一の脆弱性 発見後の経緯 サブドメインハイジャック攻撃を受けた場合の影響 第二:CSRF 攻撃によるドメインハイジャック ドメインハイジャック攻撃を受けた場合の影響 CSRF 攻撃によるドメインハイジャックの対策状況 VALUE-DOMAIN ユーザの方へ 脆弱性を2つ発見しました (第一)子ゾーン作
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 2段階認証を設定したアカウントで不正アクセス被害が報告 2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。 Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て
~はじめに~ 運用保守は、手順書通りするだけの楽な業務と勘違いしていませんか? 私は3年間運用保守(インフラ)に携わり、手順書作成や障害対応/調査、運用支援など様々なことを行ってきました。そんな私が思うに運用保守は、全くそんな楽な業務でありません。 運用保守は過信と油断をすれば、すぐに業務影響を出してしまいます。 構築設計段階でのお客様に影響を出すのとは、全く影響度合いが違います。 既に稼働しているシステムで業務影響を出すというのは、エンドユーザーへ多大なるご迷惑をおかけするということ、つまり絶対に許されません。 そんな状況にならないために、私が運用保守をする上で意識して行っていることについて書きたいと思います。 ~運用保守をする上で意識して行っていること~ 1. 簡単な作業や慣れた作業でも慎重に行う 私はどんな作業だとしても、過信や油断をせずに慎重を行うようにしています。 簡単または慣れ
近年、SSDの大容量化および低価格化が進み、多くのデスクトップマシンやモバイルマシンでSSDが採用されるようになりました。SSDは普及当初は書き込み回数制限による寿命の短さが指摘されていましたが、技術開発が進んだことによって「一般的な使用方法なら寿命を気にする必要はない」という状況に至っています。そんな中、ニュース共有サービスのHacker Newsで「ファームウェアのバグが原因で、SSDを4万時間動作させると動作不能になる」という不具合報告が話題となっています。 SSD will fail at 40k power-on hours (2021) | Hacker News https://news.ycombinator.com/item?id=32048148 SSDの登場初期は、構造上の理由から書き込み回数に制限が存在し、頻繁にストレージへの書き込みが発生する環境ではSSDの使用が
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(1/2 ページ) 不正アクセスを防ぐ対策の代表である、多要素認証。ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという。 ネット上のアカウントに対する不正アクセスを防ぐため、今や多要素認証は欠かせない対策となった。たとえIDとパスワードが盗まれたとしても、ワンタイムパスワードの入力が必要な状態にしておけば、アカウントは守られるという想定だ。ところがその仕組みを突破しようとする攻撃が増えつつある。 暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。 BleepingComputerによると、2021年3月~5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を
この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。 とりあえずドラフトですが公開します。識者のみなさまの暖かく、そして鋭いツッコミを期待します。 パスキーについて、非常にわかりやすいブログをえーじさんが書いてくださいました。コレを読んで頂ければほとんどのことが分かると思います。 先日の次世代Webカンファレンスで、私は、「結局、パスキーは秘密鍵と公開鍵のペア」と申し上げた立場からも、この疑問はごもっともだと思いましたので、すこし、私の思うところを述べたいと思います。 パスキーは2要素認証の場合が多いほとんどのユーザは、OS標準のパスキーを使うのではないかと思います。そして、生体認証、もしくは画面ロック用のパスワードやPIN等が設定されていない限り、OS標準のパスキーを使うことができません。そして、OS標準パスキーの利用時には、生体認証もしくは画面ロック解除のため
②の続きです。(読んでいない方はこちらから) たった1日の話で記事が3つ目になってしまった… ついに義両親を引きずり出します。どういう態度に出るのでしょうか。私としては、考えられる中でも結構最悪なパターンだなと、とても人生の勉強になりました。お楽しみください。 義実家へ電話私「今からあなたのご両親に電話してもいいですか?」 夫「…………………」 私「いつかは話さないといけない訳で、もうそうしたら今日話しちゃった方がいいと思う」 義両親に当日中に連絡を取ろうと思った理由は2つある。 まず、夫が茫然自失だったため、保護してもらう目的だ。同じ家に帰るのは気持ち悪くて無理だし、ホテル泊してもらったら自殺しそうだった。 (正直2022年現在の夫の開き直った態度を見ていると、そうなってしまった方があっさり終わってよかったなとも思わないこともない) もう1つは、本人が犯行を隠したい相手の最上位に来るであ
強力な「Dropbox詐欺」が現れた。これまでのビジネスメール詐欺と比べると検出が難しく、よりだまされやすくなっている。どのように対応すればよいのだろうか。 オンラインストレージサービス「Dropbox」を利用したビジネスメール詐欺(BEC)が急増している。Checkpoint Software Technologies傘下のAvananの報告によれば、2023年9月の最初の2週間だけで、このような攻撃が5440件も発生した。Dropboxをどのように悪用しているのだろうか、どうやって防げばよいのだろうか。 そもそもDropboxが悪いのだろうか 攻撃の手口は3段階に分かれる。まず攻撃者が無料のDropboxアカウントを作成する。 次に危険性のない文書を作成して、関係者のふりをして攻撃対象(ユーザー)と共有する。最後に狙われたユーザーにDropboxから「共有したコンテンツを誰かがクリック
Microsoft 365は同社の生産性向上アプリをまとめて利用できるサービスだ。同社によると、登場するMicrosoft 365 Basicでは「100GBのクラウドストレージ、『Outlook』による広告のない安全な電子メール、Microsoft 365と『Windows 11』の使い方に関する専門家のサポート」などを利用できるという。 1月30日から利用できるようになる予定で、価格は月額1.99ドル(日本では約229円)、年額19.99ドル(同2244円)。「Microsoft 365 Personal」の年額69.99ドル(同1万2984円)よりもはるかに安く、現在同価格で提供されている「OneDrive Standalone 100 GB」プランよりも内容が充実している。 100GBのストレージと広告なしのメールのほかに、ランサムウェア攻撃からの回復機能、「OneDrive」での
パスワード変更用のURLを明示すためのwell-known URL for Changing Passwordsという仕様について
作成日 2023-05-31 更新日 2023-06-02 author @bokken_ tag well-known, appsec はじめに パスワード変更のためのURLを示すための、A Well-Known URL for Changing Passwords という仕様が存在する。¶ この仕様は主にクライアントサイドのパスワード管理ツールで使われる想定の仕様だ。¶ 本記事ではこの仕様がどういうものか、どういった利点があるのかについてまとめる。¶ パスワード管理ソフトとその課題 パスワード管理ツールはクロスサイトでのパスワードの再利用を防いだり、オートフィルをしてユーザビリティを高めてくれる良いツールだ。 ブラウザにもパスワード管理ツールが搭載されていたり、有名どころでは1PasswordやBitwardenのようなツールがある。¶ これらのツールの中にはパスワードの強度を教えてく
{.md_tr}株式会社ドワンゴ 株式会社ドワンゴ(本社:東京都中央区、代表取締役社長:夏野剛)は、このたびの当社へのランサムウェア攻撃に起因した情報漏洩により、関係するすべての皆様に多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。 6月8日にKADOKAWAグループの複数のサーバーにアクセスできない障害が発生した事実を受け、早急に社内で分析調査を実施したところ、ニコニコを中心としたサービス群を標的として、KADOKAWAグループデータセンター内の当社専用ファイルサーバーなどがランサムウェアを含む大規模なサイバー攻撃を受けたものと確認されました。 当社およびKADOKAWAグループでは本事案発生時以降、社外の大手セキュリティ専門企業の支援を受けながら、情報漏洩の可能性および漏洩した情報の範囲を把握するための調査を鋭意進めてまいりました。このたび現時点の調査結果として
1988年にPCエンジンにて発売された、横スクロール型アクションゲーム「妖怪道中記」。このソフトには発売から30有余年が経過しても、判明していない「隠された秘密」がありました。 タイトル画面で特定のコマンドを入力すると「スタッフインフォメーションボード」という画面に切り替わります。そこでパスワードを入力すると隠しメッセージが表示されるという、当時の開発スタッフが仕込んだ、いわゆる「裏ワザ」があるのですが、全33個あるはずのパスワードのうち、3つが判明していませんでした。 この謎に挑んだのがYouTubeチャンネル「4ST(ヨンスタ)」の運営者であるSheNaさん(以下、シイナさん)。動画内やSNSで協力者を募り、総数531垓4838京4174兆4323億9822万9504通りというパスワード候補の中から探し当てるという途方もない作業の末、動画公開から約2か月後となる2022年2月に最後の隠
2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated
Microsoft、iOS/Mac/Windows/Android対応のパスワードマネージャー「Microsoft オートフィル」をリリース - こぼねみ
Microsoftは現地時間2月5日、iPhone、iPad、Mac、Windows PC、Androidデバイスなど、さまざまなデバイスでウェブサイトのパスワードを簡単に保存・同期・管理できる新しいAutofill(オートフィル)ソリューション「Microsoft オートフィル」を正式に発表しました。 「Microsoft オートフィル」はベータプログラムの一部としてすでに提供されていましたが、今後はMicrosoft Authenticatorアプリ、Google Chrome拡張機能、Microsoft Edgeを通じてすべてのユーザーが利用できるようになります。AppleのiCloudキーチェーンと同様に、Microsoft Autofillはパスワードを保存し、ウェブサイト上でパスワードを簡単に入力できるようになります。 Microsoft オートフィル Autofillとは自動
2021年の11月に、業務端末としてDELL XPS 13を購入して、Linuxデスクトップに移行しました。いまでは快適に使えるようになりましたが、Linuxデスクトップに慣れていないこともあって思ったように動かず困ったところがあったので、導入にあたって悩んだところをまとめました。 ディスクの暗号化 業務利用の要件にディスクの暗号化があるので、bootパーティションを除いて暗号化しました。手順は過去記事に追記しました。 blog.lufia.org GNOME KDE Plasmaの方がスタイルは好みですし、実際に業務端末でも2ヶ月ほど使っていましたが、Wayland環境ではタッチパッドの左右スワイプが動かないとか、XWaylandで動作するアプリケーションを4Kディスプレイで表示するとぼやけた表示になるなど厳しいなと思いました*1。個人で使うものなら、少し効率が悪い程度なら問題にしません
FigmaとNotionでUML・経理処理・デザインまでAll in oneな仕様書を書いて、更新・共有を楽にしてる話 - Qiita
前提としての情報 単に「Figmaで要件定義のためのUMLも、外部設計のためのデザインも、内部設計のためのERDも全部つくるよ〜〜」という話をすると、ERD書くならデザインツールなんて使わないで、DBMSから自動生成できるツールとか使った方がいいじゃん、みたいな疑問が出るのは重々承知なので、そもそもこの形式に落ち着いた前提事項を書いておきたいと思います。 ご興味がなければ読み飛ばしてください。 筆者の仕事範囲 さて、冒頭で「事業会社でデザイナーとPMの狭間みたいな仕事をしてます」と書きました。キャリアの背景的には受託のPMっぽい仕事(厳密には違うんですが、本旨ではないので割愛します)→事業会社のインハウスデザイナー→現職という感じで、外渉から手を動かす所まで、必要ならなんでもします。 ざっくりいうと、機能の起案をして、経理などの関連部署に相談して、WBS引いて、UML書いて、画面遷移図書い
ソースコード管理ツールのGitLabを提供するGitLab,Incは、1200人以上いる社員全員がリモートで働いていることでも知られています。 そのGitLabが社内のセキュリティ対策演習として社員にフィッシングメールを送信。実際に引っ掛かった社員がいたことなどを明らかにしました。 具体的には「レッドチーム」と呼ばれる社内の専門チームが、ランダムに選んだ社員50人に対して、情報部門からの連絡を装った「あなたのノートPCがMacBook Proにアップグレードすることになりました」という内容のメールを送信。 メールの末尾に、手続きのためのリンクが張られており、このリンク先のフィッシングサイトでGitLab社員がIDとパスワードを入力すると、これらの情報が盗まれる、というものです。 フィッシングメールには怪しい点がいくつも込められていた ただしこのメールには、あらかじめフィッシングメールらしい
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
枯渇が叫ばれるIPv4アドレスが突如1億7500万個も出現、一体何が起こったのか?
「何度も解約時にお金がかからないと言ったのに」 代理店のずさんな説明嘆く投稿に反響 NURO 光に見解を聞いた
Firebaseで1時間で簡単なWebチャットアプリが作れるハンズオン - Qiita
AWS認証情報が盗まれる2つのライブラリ改ざんについてまとめてみた - piyolog
Next.jsアプリをVercelからGoogle Cloudに移行した話
Web口振受付と即時口振に頼らなければならない新型決済スキームの問題 - novtanの日常
パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
KyashがOneLoginを選んだ理由 - rela1470のブログ
「パスキー」って一体何だ? パスワード不要の世界がやってくる
「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた - 最終防衛ライン3
東京オリンピックのサイバー関連の出来事についてまとめてみた - piyolog
【個人開発】Flutterで利用者1万人のアプリを作るまでの話|たにお
情報セキュリティの敗北史|白揚社 -Hakuyosha-
データベースの中身がほぼ削除されてネコの鳴き声だけが書き残される謎の「ニャー攻撃」が活発化
【Amazon】2段階認証を設定したアカウントで不正アクセス被害の報告が急増(2023年9月12日)
私がインフラ運用保守で意識して行っていること(コラム) - Qiita
「4万時間使うとSSDが動作不能になる」という不具合報告が話題に
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上
パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai
夫が裏垢で70人と不倫していたのが発覚した日の話③|ego@離婚協議中
「Dropbox詐欺」が始まった どうやって防げばよいのか
マイクロソフト、年額2244円で「Microsoft 365 Basic」を提供へ
ランサムウェア攻撃による情報漏洩に関するお知らせ | 株式会社ドワンゴ
PCE版「妖怪道中記」の隠しパスワードついに判明 30有余年の謎に終止符 | おたくま経済新聞
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog
業務端末としてLinuxデスクトップを使うために設定したこと - Plan 9とGo言語のブログ
GitLab、セキュリティ演習で社員にフィッシングメールを送信。その内容と、20%が引っ掛かったことを公開