どこでも同じパスワードが生成される……Kasperskyのパスワード生成ツールの問題とは?/Ledger DonjonがKasperskyの許可を得て内容を公表。2020年のパッチで修正済み
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のトピックを紹介する。様々なサービスから流出したパスワードの分析結果と、ふくい産業支援センターで発生したトラブル、カレー店のメールマガジンシステムに対する不正アクセスである。 2万3000を超えるサービスから流出したパスワードが見つかる(11月19日) セキュリティー研究者のトロイ・ハント(Troy Hunt)氏は2万3000を超えるサービスから流出したとみられるメールアドレスやパスワードを含むデータの分析結果を公開した。同氏はメールアカウントやパスワードが流出していないかを利用者自身が確認できるサービス「Have I Been Pwned」(HIBP)の運営者として知られている。 分析したデータはハッカーフォーラムでやりとりされていたものとみられ、2.2億個のメ
第一報に関してはこちらよりご確認ください QUOINE株式会社(本社:東京都千代田区、代表取締役:栢森 加里矢、以下当社)は、2020年11月15日に発表した不正アクセスに関する事象について、さらに社内調査を進めた結果を以下のように報告致します。 このような事態が発生し、お客様に多大なご迷惑をおかけしましたことをあらためて深くお詫び申し上げます。 なお本事案に関しましては適宜監督官庁へ報告を行っております。 1.発生事象 2020年11月13日、当社のコアドメイン名の1つを管理するドメインホスティングプロバイダー(GoDaddy社)において、当社アカウント・ドメインの登録情報が悪意のある第三者(以下、第三者)に変更されました。 これにより、第三者は当社のDNS(ドメイン・ネーム・システム)レコードを変更し、複数の内部の電子メールアカウントを制御できるようになり、当社のシステム・インフラの一
徳丸: ISPによって取り組みに温度差はあるのでしょうか? 赤阪: やはりICT-ISACに加盟しているISPは、取り組みが早いですね。またケーブルテレビ系ISPについても、ケーブルテレビ連盟を通じて連携し、協力いただいています。 さて、2019年第3四半期までの結果ですが、ポートが開いていて管理画面がインターネットにさらされており、IDとパスワードを入力できる状態にあるデバイスが約11万1000件ありました。そして、これらのうち実際にマルウェア「Mirai」やその亜種が使っている100種類のパスワードを入力するとログインできる状態のものがのべ1328件ありました。 徳丸: 直感的には意外と少ないように思いました。もっと多いのかなと思っていたのですが……。 赤阪: 全世界規模で約10万台の機器がMiraiに感染したといわれています。その数字と比べると、確かに思ったよりも少ないかもしれません
お名前ドットコムのログインパスワードを解読困難なものに変更しました。 独自ドメインをお名前ドットコムで取得したのですが、最近セキュリティの重要性を意識させるできごとがいくつかありパスワードを変更しました。 バリュードメインのように2段階認証を取り入れだしたレジストラもあります。ドメインハイジャックを防止するためにセキュリティ強化を行いました。 お名前ドットコムのログインパスワードを変更した理由 ログインパスワードの決め方 英文を作り単語の最初の文字をパスワードにする方法 自分だけに分かるテーマを決める方法 パスワード強度を測定する方法 パスワード強度に不安があるようなら変更するのがお勧め お名前ドットコムのログインパスワードを変更した理由 きっかけとなったのは、お名前ドットコムからiPhoneにドメイン保護設定無効のSMSメッセージが届いたことです。こちらの過去記事をご参照ください。 ww
CVE-2019-14287 [sudo] Potential bypass of Runas user restrictions の確認 - Qiita
CVE-2019-14287 [sudo] Potential bypass of Runas user restrictions の確認sudovulnerability sudoで潜在的なRunasユーザの制限バイパスについての脆弱性が出たので、確認した。 summary (TL;DR) 影響を受けるユーザアカウントは限定的 既にsudoers登録がある "どのユーザとして実行できるか"でALLキーワードがある アップデートは実施したほうが良い リスク次第で、緊急 から 次のメンテタイミング、までの間で実施したい。 大半のシステムでは 緊急には該当しない と推定される 脆弱性概要 ALLキーワードで任意のユーザとして実行可能な場合、rootとして実行が可能 例えば user00 (ALL) ALL の場合は、もとから ALLだけなので、rootで実行可能 ALLを制限している場合、例え
![CVE-2019-14287 [sudo] Potential bypass of Runas user restrictions の確認 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/d879c3cb947c2e8cc4fe433cac4b925b724ad8c2/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9Q1ZFLTIwMTktMTQyODclMjAlNUJzdWRvJTVEJTIwUG90ZW50aWFsJTIwYnlwYXNzJTIwb2YlMjBSdW5hcyUyMHVzZXIlMjByZXN0cmljdGlvbnMlMjAlRTMlODElQUUlRTclQTIlQkElRTglQUElOEQmdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZzPWEzNDA1NzljYjAwNGUxMGU3MjM2YzljOTFmMzZlMTI3%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBob2dlaHVnYSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9YThkZWU2YjY3YTAxMDI4ZWU3NWU5MWI4N2UzZjM3Zjg%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D43a0d450a93d0d4d0549b8c878cd7d1a)
Webブラウザと拡張機能の組み合わせは便利だが、セキュリティホールを生み出してしまうこともある。Amazon.comやGmailのパスワードを第三者が盗む方法を研究チームが発見した。 Webブラウザと拡張機能を組み合わせることで利便性が増す一方で、セキュリティホールを生む原因にもなり得る。 あまりにも簡単にパスワードが手に入る ウィスコンシン大学マディソン校の研究チームが2023年8月30日に発表した論文によれば、Amazon.comやgmail.comが入力されたパスワードを一時的に保持する方法に欠陥があり、あるWebブラウザの拡張機能を使うと、第三者がパスワードを読み取れる可能性があるという。これは現実的な危険なのだろうか。 結論から言えば現実的な危険だ。理由は2つある。理由の一つはトラフィックの多いWebサイトの一部にセキュリティ設計が甘いものがあること。もう一つの理由は、悪意のある
trivyとGithub Actionsを使用しTerraform設定ファイルのセキュリティスキャンを実行する仕組みを作りました - コネヒト開発者ブログ
この記事はコネヒトアドベントカレンダー21日目の記事です。 コネヒト Advent Calendar 2023って? コネヒトのエンジニアやデザイナーやPdMがお送りするアドベント カレンダーです。 コネヒトは「家族像」というテーマを取りまく様々な課題の解決を 目指す会社で、 ママの一歩を支えるアプリ「ママリ」などを 運営しています。 adventar.org はじめに コネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。 今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。 今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。 弊社ではインフラ構成をTerraform利用して管理するようにして
作ったもの タイトルはSimple Newsです。 サイトURLは、 こちらです。 ソースコードは こちらです。 Google News を参考にしました。 どんな機能があるの? NewsAPIからニュースサイトの記事のデータを取得し、タイトルと画像を表示 NewsAPIは、世界中のニュースサイトから検索をかけて、情報を取得できるAPI ( Application Programming Interface ) OpenWeatherMapから取得した、現在の天気情報と5日間の天気予報を表示 OpenWeatherMapは、現在の気象やある期間の気候の予測データを取得できるAPI ページ遷移が高速 記事をクリックすると、記事が掲載されているサイトへ飛びます。 こんな感じでとてもシンプルで高速に動くニュースサイトです。 こんな人に読んでほしい Next.jsを使ってみたい初心者 外部APIを
たなかK📛 @tanaka_____k 彼女「あなたのこともっと知りたいの」 彼氏「なんでも聞いて!」 彼女「はじめて覚えた料理は?」 彼氏「カレーライス!」 彼女「子供の頃好きだった絵本は?」 彼氏「はらぺこあおむし」 彼女「はじめて飼ったペットの名前は?」 彼氏「......パスワードリセットしようとしてる?」 2021-09-01 22:01:04 たなかK📛 @tanaka_____k エンジニア6年目/個人開発者/クソアプリクリエイター/React/Unity(勉強中)/indie game dev/3D素材屋/blender/普段は温厚ですがビルドこけるとキレます localhost3000.work
学校が生徒用アカウントのパスワードをすべて「Ch@ngeme!(変更して!)」に変更してしまう事態が発生、全校生徒が好きな相手のアカウントにログインし放題に
アメリカの高校で、生徒全員の学校用Googleアカウントのパスワードが「Ch@ngeme!」に勝手に変更されてしまうという事態が発生しました。パスワードが「Ch@ngeme!」に変更されたことは全校生徒に通知されたため、一時的に誰でも好きな相手のアカウントにログインできる状態に陥っています。 High school changes every student’s password to ‘Ch@ngeme!’ | TechCrunch https://techcrunch.com/2023/06/29/high-school-changes-every-students-password-to-chngeme/ 海外メディアのTechCrunchが独自に入手した情報によると、アメリカのイリノイ州にあるOak Park and River Forest(OPRF)高校が、保護者に「ベンダーに
日頃から「ABEMA」をご利用いただき誠にありがとうございます。 この度、「ABEMA」では以下の期間をもちまして、Internet Explorer 11のサポートを終了いたします。サポート終了後、Internet Explorer 11にて利用していた「ABEMA」アカウントを引き続き他ブラウザやデバイスでご利用いただくには、「ABEMA」アカウントの引継ぎが必要となります。 引継ぎが必要となるお客様にはご不便をおかけいたしますが、何卒ご理解とご協力の程よろしくお願い申し上げます。 ■ サポート終了環境 Internet Explorer 11(以下、IE11) ■ サポート終了日 2021年4月21日(水) ■ サポート終了の背景 以下の背景のもと、IE11のサポートを終了いたします。 ・IE11を提供しているMicrosoft社が、IE11でのみ閲覧可能なページ以外はMicroso
1.破られにくいパスワードを作成する自分のPCに、PINやパスワードを設定していない人の何と多いことか。 他人があなたのデバイスを手に入れて、ファイルや個人データを詮索する場面を想像してみてください。 PCにログインパスワードを設定することは、最も実行しやすいセキュリティ対策です。 推測しにくい8〜12文字以上の長いパスワードを使用してください。 PCにパスワードを設定する方法は次のとおりです。 PCのホーム画面で、左下にある「スタート」ボタンをクリックします。「設定」→「アカウント」の順にクリックします。「サインインオプション」タブをクリックします。ウィンドウの右側のセクションに移動し、「パスワード」メニューの「追加」ボタンをクリックします。すでにパスワードがある場合は、「変更」をクリックするとパスワードを変更できます。ドロップダウンメニューから「コントロールパネル」をクリックし、「ユー
Malwarebytesは1月11日(米国時間)、「Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes」において、Googleアカウントのセッション情報が窃取された可能性のある場合に取るべき対策について伝えた。Googleアカウントのセッション情報は、窃取されるとGoogleのゼロデイの脆弱性によりパスワードの変更では解決しない継続的な侵害を受ける可能性がある(参考:「Google認証に不正アクセスの脆弱性、パスワード変更では不十分 | TECH+(テックプラス)」)。 Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes Googleアカウン
〜パスワードを使わず、自分の顔や指紋で認証が可能に〜 株式会社メルカリは、フリマアプリ「メルカリ」にパスワードレスの生体認証機能である「パスキー」の導入※1をお知らせいたします。この機能により、お客さまはより安全性の高い認証方法を利用できるだけでなく、端末ごとの生体認証設定が不要になるため、利便性の向上にも繋がります。 ※1:ビットコイン取引サービスより対応、順次拡大予定。 メルカリは、これまで電話番号認証※2や3Dセキュア2.0※3による認証など、安心・安全なマーケットプレイスの実現に向け複数の本人認証サービスを提供してまいりました。一方で、お客さまから端末移行時に「再登録に失敗してしまった」といった声や、「機種変更時に煩雑である」というお声をいただいていたことから、今回「パスキー」の導入を決定いたしました。 従来の生体認証では端末内にのみ認証するために必要な情報(秘密鍵)を保存するため
PCに付箋でパスワードをペタリ → ずさんな管理だと思ったら…… セキュリティ意識が高いのか低いのか分からなくなる“ステッカー”が話題
ハッキングやサイバー攻撃に備え、「管理ずさんだけどパスワード頑丈すぎるやつ」になれるアイテムが、X(Twitter)で3万件以上のいいねを集める話題となっています。セキュリティ意識が、高いのか低いのか……。 投稿者は、エンジニア兼“セキュリティ芸人”として活動するアスースン・オンライン(@asusn_online)さん。アルファベットの大文字と小文字、数字や記号がランダムに組み合わさった長くて複雑なパスワードを、ステッカーに印刷してパソコンに貼ってしまうという大胆な管理法です。 見ながらでも打ち込むのが難しそう 本人ですら入力するのに苦労しそうな文字列は、画面の向こうの第三者が解読することは困難でしょう。おまけに常に目の付く場所に貼っておけば、パスワードを忘れてしまう心配もないので一石二鳥。しかしその分、PC本体を見られたら一発でセキュリティを突破されてしまうという問題はありますが……。
GitHubでは2021年8月13日にパスワード認証が廃止されるそうです。 https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ パスワード認証が廃止された場合、以下のようなメッセージが表示されるようです。 (2021年7月28日のBrownoutsで確認) $ git clone https://github.com/username/repository.git Cloning into 'repository'... Username for 'https://github.com': username Password for 'https://username@github.com': remote: Password authentication is tempo
pixivが「安全なパスワード」への変更のお願いを掲出中です。安全ではないパスワードの場合、5月10日以降はログインできなくなります。ねとらぼでは安全なパスワードの判定基準について、pixivに取材しました。 「パスワード変更のお願い」画面(デスクトップ版) 自分が対象ユーザーであるかどうかは、ログイン後に「パスワード変更のお願い」画面が表示されるかどうかで判断できます。長期間ログインしていない人は、早めにログインしてみるのが良いでしょう。 再設定のためにはアカウントに設定しているメールアドレスが必要となるため、対象ユーザーはメールが受信できるかどうかの確認もしておきましょう。メールが受け取れないとパスワードの再設定ができなくなり、5月10日以降のログインができなくなるので要注意。 SNS上では、pixiv側がパスワードの安全性をどのように判定しているかも注目の対象に。pixivの広報担当
Windows 10のユーザーアカウントには、セキュリティの観点からパスワードを設定するのが基本となります。このパスワードを忘れてしまうと、Windows 10にサインインできなくなってしまいます。パスワードの再設定方法を覚えておけば、いざというときにも安心です。 Microsoftアカウント、ローカルアカウント、どちらを使用中? まずはWindows 10のサインインに使用しているユーザアカウントが「Microsoftアカウント」なのか「ローカルアカウント」なのかを確認しましょう。利用しているユーザーアカウントを確認するには、「スタートメニュー」から「設定」画面を開いて「アカウント」に進み、「ユーザーの情報」で確認します。 ①「ユーザーの情報」に表示される②ユーザー名の下にメールアドレスが表示されていれば、Microsoftアカウントを利用しています 同じく「ユーザーの情報」のユーザー名
Obsidian Authenticator has been renamed "Sentinel"For too many times we have been confused with the "Obsidian note-taking app". Same team, same purpose. We only thought we deserved our own identity.
ついにGoogle ChromeでiCloudキーチェーンが使えるようになった!その方法は? | ライフハッカー・ジャパン
「これ、マストだわ」モニター購入して気づいた、あったほうがいい周辺機器4選 #Amazon新生活セール
パスワード付き圧縮ファイルを添付したメールとパスワードを別々に送るいわゆる“PPAP”の代替として、利用が進んでいるサービスは──HENNGEは2月27日、こんな調査結果を発表した。情報システム担当者300人に聞いたところ、最多は添付ファイルを自動でクラウドストレージに保存し、受信者がURLから認証・ファイルをダウンロードする「添付ファイルダウンロードサービス」(52.7%)だった。 2番目は「クラウドストレージ」(40.9%)、3番目は「大容量ファイル転送サービス」(18.2%)、4番目が「メール以外のサービスでのファイル送信」(15.5%)だった。 現在のPPAPの実施状況を聞いたところ、17%が「禁止して、代替手段を導入している」と回答。11.7%が「許可しているが、代替手段での送信を促している」、5%が「許可しているが、今後禁止を検討している」、13.7%が「もともと行っていない」
ワンタイムパスワードのCSV書き出しが可能になった「1Password for Mac」から「iCloud Keychain」へデータを移行する方法。
ワンタイムパスワードのCSV書き出しが可能になった「1Password for Mac」から「iCloud Keychain」へデータを移行する方法です。詳細は以下から。 カナダAgileBitsが現地時間2021年10月04日にリリースしたパスワードマネージャアプリ「1Password for Mac v7.8.8」では、iOS 15/iPadOS 15およびmacOS 11 Big Sur以降のSafari 15でサポートされたタイムベースの2ファクタ認証用ワンタイムパスワード「TOTP (Time-based One Time Password)」のデータの書き出しが可能になりました。 これは、iOS 15/iPadOS 15およびSafari 15でワンタイムパスワードがサポートされる事が決まった時から、AgileBitsに対しAppleやユーザーが求めていた機能で、この機能を利用
マイクロソフトの多要素認証を迂回する攻撃が発見される
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバー犯罪者が、Microsoftの休眠アカウントを悪用して多要素認証を迂回(うかい)し、クラウドサービスやネットワークにアクセスしていることが明らかになった。 Mandiantのサイバーセキュリティ研究者によれば、この手口は、ロシアの対外情報庁(SVR)との結びつきが指摘されているAPT29(Cozy Bearとも呼ばれる)の攻撃キャンペーンで使用されているという。他の攻撃的なサイバー脅威グループも、同様の手口を使用していると考えられている。 Mandiantによれば、このサイバー犯罪グループは、「Microsoft Azure Active Directory」などのプラットフォームに、ユーザーが自分で多要素認証を導入するプロセス
2020/11/17(火)、平井デジタル改革担当相が定例会見で「パスワード付き ZIP (通称、PPAP) の廃止」について言及されました。国民からの意見を直接募り、一国の担当者が、このような運用にまで言及されたことは、とても珍しいように思えます。 IIJスタッフがやりとりするメールでも、業務やお客様のご都合もあり、全面的にすぐ廃止はできませんが、準備ができたところから順次、パスワード付き ZIP を廃止していく方針です。 なぜパスワード付き ZIP を廃止するのか まず、メールを運用する立場から、パスワード付き ZIP 廃止の方針に賛成します。 なぜなら、一言に危険だからです。 じつは、従来から誤送信対策とされるパスワード付き ZIP (暗号化 ZIP) は効果が薄いばかりか危ない、という主張をしていました。次の資料は 2018年 11月に開催された「迷惑メール対策カンファレンス × J
TechCrunch
Advances in generative AI have taken the tech world by storm. Biotech investors are making a big bet that similar computational methods could revolutionize drug discovery. On Tuesday, ARCH Venture Par
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AgileBits、パスワード管理サービス“1Password”のLinuxクライアントをベータ公開/「Rust」言語で構築。フル機能に加え、Linux版ならではの心配りも
200以上の国内サービスからパスワードが流出か、暗号化していても犯人は「解読済み」
当社利用のドメイン登録サービスにおける不正アクセスについて(第二報)
総務省が明かす危機感 狙われる“低セキュリティ”のルーター、実は家庭より企業に多い理由
お名前ドットコムのログインパスワードを解読困難なものに変更した話 - はるなぴログ
「Google Chrome」でパスワードがダダ漏れに そのカラクリとは?
Next.js+TypeScriptでシンプルなニュースサイトを作ってみた。 - Qiita
「あなたのこともっと知りたいの」から始まる誘導尋問が怖いと盛り上がる皆さん
パスワード管理サービス“1Password”のコマンドラインツールが正式リリース/他のコマンドラインツールと連携させたり、スクリプトで処理を自動化できる
【重要】「ABEMA」Internet Explorer 11 サポート終了のお知らせ
【特集】 【最新版】安全で使いやすいパスワード管理ソフト4選。生体認証併用がセキュアで便利!
WindowsとMacのセキュリティ対策5つ | ライフハッカー・ジャパン
Googleアカウントが不正アクセスを受けた、パスワード変更以外の対処は?
デスクトップ向け上位機能が無償化 ~パスワード管理アプリ「Enpass 6.3」がリリース/料金体系は“買い切り”モデルから“サブスクリプション”モデルへ
フリマアプリ「メルカリ」、パスワード不要な生体認証「パスキー」に対応
「保護者からも賛同を得た」 練馬区中学校の「SNSパスワード」提出問題、教育委員会に聞く - 弁護士ドットコムニュース
マイナカードの長い方のパスワード(16桁)、コンビニで再設定可能に
[てっぱんアプリ!] バックアップ機能で機種変がラクに。2段階認証用アプリ「Microsoft Authenticator」
![[てっぱんアプリ!] バックアップ機能で機種変がラクに。2段階認証用アプリ「Microsoft Authenticator」](https://cdn-ak-scissors.b.st-hatena.com/image/square/0f1b96084869b906d25d207b86e8865e691c22cd/height=288;version=1;width=512/https%3A%2F%2Fk-tai.watch.impress.co.jp%2Fimg%2Fktw%2Flist%2F1211%2F726%2F000.jpg)
Google Chrome、パスワードレス認証「パスキー」を導入
GitHubがパスワード認証を廃止するらしいので - Qiita
pixiv、安全でないパスワードのアカウントは5月10日以降ログイン不可に 対象者にログイン画面で通知
Windows 10のパスワードを忘れてサインインできない、対処法は?
Obsidian - 2FA / MFA Authenticator
Windows PCで接続中の無線LANのパスワードを確認 ~これからは「設定」アプリで
「過去に用いた2つ以上のパスワードから、変更後のパスワードを推測する手法」が発表され話題に【やじうまWatch】
PPAPの代替、主流は? HENNGEが情シス300人にアンケート
パスワードレス認証でフィッシング被害にも効果あり! パスキーを展開する「FIDOアライアンス」の現況とこれから
個人の「Google アカウント」でパスワードレス認証「パスキー」がデフォルト提供開始/最新の「Windows 11」もパスキーに対応済み
パスワード付き (暗号化) ZIP廃止の考え方と対策 | IIJ Engineers Blog
Google、パスワードとアカウントを安全に保つための10の方法を公開
Google、パスワードのみに頼らない2段階認証を自動で有効化すると発表 「パスワードを過去のものに」。デバイスによる認証を併用して高い安全性を確保
