いじめ温床のタブレット端末、パスワードは「123456789」 町田の小6自殺:東京新聞 TOKYO Web
東京都町田市立小学校の6年生女児=当時(12)=が2020年11月、「いじめを受けていた」とメモを残し自殺したことをめぐり、萩生田光一文部科学相は14日、「GIGAスクール構想」の先進事例として児童に配られたタブレット端末がいじめに使われたことを明らかにした。「極めて残念な事実。重く受け止め事実関係を確認する」として問題点を解明し全国の教育現場に伝える方針を示した。(小松田健一、服部展和、奥野斐)
東京都町田市立小学校の6年生女児=当時(12)=が2020年11月、「いじめを受けていた」とメモを残し自殺したことをめぐり、萩生田光一文部科学相は14日、「GIGAスクール構想」の先進事例として児童に配られたタブレット端末がいじめに使われたことを明らかにした。「極めて残念な事実。重く受け止め事実関係を確認する」として問題点を解明し全国の教育現場に伝える方針を示した。(小松田健一、服部展和、奥野斐)
当社アプリ(Android版)においてアプリの権限を求める件について | お知らせ | NEOBANK 住信SBIネット銀行
当社アプリのAndroid版バージョン5.0におきまして起動時にアプリの権限を求めることがございます。こちらは2020年7月31日にリリースを行いました「スマート認証NEO」の仕様によるものとなります。 いずれの権限も当社がお客さまの個人情報や他アプリの情報等を取得するものではございませんので、何とぞご理解賜りますようお願い申し上げます。 「スマート認証NEO」はサービスを利用するスマートフォンのみに保存された本人確認情報を利用して認証を行う方式で、従来のパスワードに変わる新しい認証技術(FIDO※)を用いています。認証に用いるデータがネットワークを経由せず端末のみに保管されているため、IDやパスワードなどの認証情報が漏洩するリスクが低く、より安心安全なお取引が可能となります。 また、当社「スマート認証NEO」ではFIDOの標準仕様に準拠して実装されており、お客さまのスマートフォンに保存さ
システム障害の渦中にあるKADOKAWAは28日、ランサムウェア攻撃による情報漏洩(ろうえい)が確認されたとし、同社サイトに「お知らせとお詫び」書面を掲載した。これを受け、ニコニコ公式は「念のため、ニコニコアカウントと同じパスワードを他サービスでもお使いの場合は、パスワードを変更することを推奨いたします」と注意喚起した。 【写真】その他の写真を見る KADOKAWAの書面では「当社グループでは、データセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩の可能性について調査を開始しており、現在も継続中です」と説明。そして「その最中、当該ランサムウェア攻撃を行ったとする組織が、当社グループが保有する情報を流出させたと主張しています。当社グループは、当該組織の主張内容の信憑性について現在確認
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
SQLインジェクションによる認証回避 SQLインジェクションによる影響として、情報が漏洩するとか、データが勝手に更新されてしまうなどとともに、認証回避の例がよく紹介されます(私の本でも取り上げています)。 典型的な例は下記のとおりです。 // $id と $password は外部からの入力 $sql = "SELECT * FROM users WHERE id='$id' AND password='$password'";
西日本高速道路(NEXCO西日本)は3月15日、個人情報191人分を保存していた可能性があるUSBメモリを紛失したと発表した。データは暗号化していたものの、メモリ本体にパスワードを貼り付けていたという。 保存していた可能性のある情報は、191人分の氏名、住所など。いずれも、道路を損傷させた人に復旧費用の負担を求める「原因者負担金」に関する情報という。 紛失は2月13日に判明。社員が気づき、捜索したが見つからなかったという。個人情報保護委員会への報告は3月11日に済ませた。情報を保存していた可能性がある人には個別に連絡するという。 関連記事 元日限定「JR西日本乗り放題きっぷ」発売 新幹線も利用可能 2017年の元日限定で、JR西日本と智頭急行の全線が乗り放題になる「元日・JR西日本乗り放題きっぷ2017」が登場。 USBメモリ、メモ、ノートPC……紛失事案が目立った10月セキュリティまとめ
子供たちに「一人一台端末」を配る国の「GIGAスクール構想」の被害者が出た。昨年、全国に先駆けて端末を配った東京都町田市のICT推進校で、小6の女の子がいじめを苦に自殺したのだ。配布端末のIDは出席番号、パスワードは全員「123456789」で、なりすまし被害が横行していた。当時の校長は、20年以上前からICTを学校教育に取り入れてきた先駆者で、GIGAスクール構想の旗振り役として知られる人物だった――。 学校で配られた端末でYouTube見放題 「あれ、和哉(仮名)、まだYouTube見ているの?」 昨年9月某日の夜11時。ベッドの上で寝転びながら、動画を見ている小学6年生(当時)の和哉さんを見て、母の小林愛菜さん(仮名)は驚いた。小林家では夜9時以降、クロームブックは使えない設定にしていた。「宿題をやっていた」と言い訳する和哉さんからクロームブックを取り上げて、YouTubeからログア
「パスワード付き添付ファイル」が無意味どころか社会の害になる理由
早稲田大学理工学部を卒業後、日本DECに就職。営業サポート、ソフトウェア開発、研究開発に従事し、1997年からはMicrosoftでWindows製品の開発に携わる。2006年以降は、GoogleにてWeb検索のプロダクトマネジメントやChromeのエンジニアリングマネジメントなどを行う。2015年11月、技術情報共有サービス『Qiita』などを運営するIncrementsに転職。17年6月より独立し、プロダクト戦略やエンジニアリングマネジメントなどの領域で企業の支援を行う。17年9月、ヘッドハンティング・人材紹介を展開するクライス&カンパニーの顧問に就任。2019年1月、テクノロジーにより企業や社会の変革を支援するTably株式会社を設立。「プロダクトマネージャーのキャリア戦略」 及川卓也のプロダクト視点 アマゾン、アップルといった米国企業や中国企業からの遅れが目立ち始めた日本企業。かつ
クロネコメンバーズの二段階認証、実は無意味な飾りだった
辻 伸弘 (nobuhiro tsuji) @ntsuji ANAはWebパスワードを導入 JALは生年月日による認証(?)の追加 ヤマトはメールの二段階認証導入 SAGAWAはパスワードによる認証 こういう取り組みの結果、ユーザの利用選定基準になると取り組み側にもいい影響があるんじゃないかなって思っていますよ。 2015-04-03 15:09:50
最大2万円分のポイントにワクチンの接種証明。 マイナンバーカードの機能が増えていて、新たに作ろうとする人もいるのではないでしょうか。 さっそく申し込もうと思ったら、パスワードが4種類? えっ、こんなに覚えられない。 どうすればいいのでしょうか? (大阪拠点放送局 中本史・ネットワーク報道部 柳澤あゆみ・清水阿喜子) 現在、およそ4割の普及率のマイナンバーカード。 政府はカードの取得者に最大で2万円分のポイントを付与する新たな制度で、人口のおよそ75%にあたる9500万人まで取得者を増やしたいとしています。 今月20日からはマイナンバーカードとスマートフォンを使って、電子化されたワクチン接種証明書を入手できるようにすると岸田総理大臣が表明。
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。 会見では、職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと返答していた。 これを受け、Twitterでは尼崎市のセキュリティ体制への批判が続出。パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなるという指摘が相次いだ。中には明らかになった情報から、同市が使っていたパスワードを推測する人も。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」
GPUでZIPパスワードを解析する - Qiita
企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していません。 Windows版のJohn
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。 パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。 取引先や顧客など社外の相手とファ
WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita
(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup
警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog
警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。 VPNのパスワードが漏れた可能性 不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。 ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。 複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1 ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2 警視庁からの情報提供を受け発覚 2020年11月25日に警視庁から「不正アクセ
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 不十分な対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しないと使えないようにする。【関連記事】セブン&アイ、セブンペイ不正利用で失ったもの7iDは不正利用された決済サービス「セブンペイ」や「セブン―イレブンアプリ」など傘下企業のスマホアプリだけでなく
インタフェースデザインのお約束
デジタル製品のデザインに役立つ101の指針。製品のユーザビリティや性能を高める上で必須かつ基本のツボ、マスターすれば時間を節約し顧客満足度をアップできるテクニックが101のコンパクトなルールにまとめられています。メッセージが明確で説明もわかりやすいので短時間で気軽に読むことができます。101のルールは、タイポグラフィ、コントロール、カスタマージャーニー、各種要素の統一、UX全般に関わるプラクティスに分類されているのでリファレンス的に読むことも可能です。「よくある落とし穴」を巧みに回避し、自信をもってユーザーのために闘い、すばらしいユーザーエクスペリエンスを提供するプロへと成長させてくれる一冊です。 ●翻訳者による「日本語版のサポートページ」。 ●日本語版独自の8つの追加ルールが収録された「訳者あとがき」のPDF(6MB)。 というわけで、この長すぎる「訳者あとがき」では、原著者があげなかっ
IIJは、パスワード付きZIPファイルを添付したメールとパスワード記載メールを個別に送信する「PPAP」を廃止すると発表した。2022年1月26日から添付ファイルは削除し、メール本文のみを受信する。 インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。 同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。 今後、IIJは別
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
情報処理推進機構(IPA)は1月20日、気になるサイバー攻撃や自社の情報セキュリティ対策状況といった情報を入力すると、想定損害額や対策、効果などの情報を出力するExcelシート「NANBOK」を公開した。 従業員数やサービスの提供状況、「インシデントの初動対応を自社で実行できますか?」といった対策状況を入力すると、想定損害額を算出。攻撃手口の解説、具体的な対策製品・サービス、国内の導入状況、対策で得られる効果なども提示できる。 IPAは、情報セキュリティ製品購入の予算確保において「担当者は情報セキュリティ対策を経営者が理解できる言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多い」として、支援ツールの提供を決めたとしている。 関連記事 年末年始はいつも以上にご用心! IPAの「情報セキュリティ注意喚起」で万全な仕事納めを 年末年始の長期休暇では、シス
パスワードに阻まれて途方に暮れる遺族の現実
今や、ほぼ1人1台スマホやパソコンを所有している時代だが、そのパスワードについては、いくら親しい間柄とはいえ、知らされていないことが多い。 家族の誰かが亡くなったとき、その家族のスマホやパソコンを開かなくてはならない事態に陥っても、パスワードという壁に阻まれて、途方に暮れる遺族が増えている。一方で、スマホ・パソコンのデータ復旧やフォレンジックサービス(デジタル鑑識)に対応している企業は少なく、そうした企業の1つである「デジタルデータソリューション」には、家族が遺したデジタル資産に関するさまざまな相談が後を絶たない。 同社に相談した場合、相談料は無料だが、実際に作業を依頼すれば、20~30万円の費用がかかる。ただし、スマホやパソコンのロック解除の成功率は、100%ではない。 そこでデジタルデータソリューションに寄せられた相談から、「デジタル遺品」を取り巻く現在の人間模様を紹介し、万が一のとき
物理カード「PassCard」を使えば、複雑なパスワードを何パターン作っても、忘れることなく安全に管理できる! | ライフハッカー・ジャパン
パスワードは、ネットワーク経由のサービスに欠かせないもの。ところが、“簡単なパスワードはNG” 。しかも、“パスワードを使い回すとリスクが高まる” ため、もはや記憶に頼った運用は、実質的に不可能になっています。 そこで、強固にガードされたパスワード管理サービスを利用するのが、現状の最適解となっているところですが、実は、アナログな手法に回帰するという手段もあるのです。 「PassCard」は、完全にネットワークから遮断された環境でパスワードを管理できるセキュリティツールです。 アナログを経由すればハッキングは怖くないImage: TITLEincイタチごっこを繰り返すセキュリティ対策を単純化できる最も効果的な手段は、ネットワークとは隔離された環境でパスワードを管理することです。 「PassCard」は、物理的な暗号・復号化ツール。このカードの現物を盗難し、かつ復号するためのパターンを入手する
ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2023 の 初日の記事です。 こちら、参加者を募集中です!気軽に参加してみてください!してくれよ!はよ! なんの話か ちょっと想定以上に反応をいただいたこちらの記事について、ちょっとだけ補足をしたいと思います。 なんの話か詳しく 自分のはてブのコメントをつけたポストにもたくさん反応いただきました。 実際、海外のサービスはメアドをキーにして参照してるところも多く これはサービスのDBのUserテーブルがemailをプライマリキーにしているという話ではありません(が、そう思われた方からDMが来ました)。 最初にパスワード認証やメールでリンクを送信して認証させる仕組みを実装している状態から、ソーシャルログインを実装しようとする際に "email" をキーにした参照をすることがあるんよ
ソリトンシステムズが発表した「日本人のパスワードランキング2021」。2021年に発生した209の情報漏えい事件から日本人が利用するパスワードを分析したもので、1位は「123456」、他は「password」や「000000」などよく見掛けるものだが、少し変わったものとして、4位に「1qaz2wsx」がランクインしている。 一見ランダムに生成されたものに思えるが、実際にキーボードをタイプしてみれば納得がいく。QWERTY配列のキーボードを左から縦2列打ち込むと「1qaz2wsx」となるわけだ。「qwerty」の亜種みたいなものだが、ランキングを見るとこの手の配列に沿ったパスワードが多いことが分かる。
7pay終了へ 記者会見の一問一答まとめ
セブン&アイ・ホールディングスは8月1日、不正ログインの被害が相次いだモバイル決済サービス「7pay」を9月末で終了すると発表した。同社は同日午後3時から、都内で記者会見を開催。会見内容を一問一答形式でまとめた。 記者会見には、セブン&アイ・ホールディングスの後藤克弘副社長(兼 セキュリティ対策プロジェクト総責任者)、清水健氏(セキュリティ対策プロジェクト リーダー)、セブン・ペイ奥田裕康取締役、セブン&アイネット・メディア 田口広人社長が登壇した。 左からセブン&アイ・ネットメディアの田口広人社長、セブン&アイHDの後藤克弘副社長、セブン&アイHDの清水健執行役員(デジタル戦略推進本部 デジタル戦略部 シニアオフィサー)、セブン・ペイの奥田裕康氏(取締役 営業部長) ――手口について。原因は「リスト型アカウントハッキング」ということだが、不正利用にはログイン用のID・パスワードに加え、チ
"Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~"の発表資料です。 https://connpass.com/event/142624/
パスキーに入門してみた話 - Qiita
久しぶりの投稿です。 はじめに 昨今、様々なサイトがどんどんパスキーに対応しはじめてきました。 まだまだパスキーがデフォルトになっていくには時間が掛かりそうですが、どのような仕組みでパスキーを実装するのか、早めにキャッチアップしておくのも悪くないと思い、パスキーについて色々と調べてみました。 パスキーとは? パスワードの代わりに、自分の持つデバイスによる生体認証やパターンを用いて認証を行う方法のことです。 次世代認証技術であるFIDO(Fast IDentity Onlineの略で、「ファイド」と呼びます)を使った認証方式(詳細は後述)で、Apple、Google、MicrosoftがFIDOを普及させるために命名したブランド名になります。 FIDOとは? 脆弱なパスワードは安全ではありません。 2段階・2要素認証を採用してもそれを有効にするユーザーは少なく、昨今では2段階認証を突破する攻
LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現
LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現 LINEは、スマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuthn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開しました。 これにより、さまざまなWebアプリケーションやモバイルアプリケーションなどでFIDO2/WebAuthnを利用したログインが容易に実装できるようになることが期待されます。 LINE Security R&DチームがFIDO2認証標準を実装したFIDO2 ServerをOSSとして公開しました。 FIDO2-Serverは、FIDO2の登録と認証の主要部分を提供します。さまざまなWebブラウザとOSプラットフォーム、お
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog
2023年8月15日、GMWは同社が運営するサービスが不正アクセスを受けたことで、「pictBLand」及び「pictSQUARE」のデータベース情報が外部へ流出した可能性があると公表しました。また当該サービスのWebサイトを閲覧した際に別のサイトへ接続する状態になっていたことも明らかにしています。ここでは関連する情報をまとめます。 累計130万人登録のSNSに不正アクセス GMWが運営するサービスが不正アクセスを受け、pictBLandのサイトが一時改ざんされた他、データベース情報が外部に流出した可能性がある。サービスの累計登録者数は約130万人で、今回の不正アクセスによる影響を受けたアカウントの件数は約80万件。*1 不正アクセスとの関連があったとみられる事象が複数確認されており、それらは以下の通り。今後デジタルフォレンジックを行う企業へ調査を依頼することで影響範囲の特定を行うとしてお
Qurage🕷 @MQurage @radio1985head パスワードを間違えてデータが消えた場合、 「はじめまして」が表記されるためデータはまだ消えてないと思います...! パスワードがわからない場合、Appleに持って行って状態を説明してもらうと復活してもらえる場合があります...!! 2021-10-11 15:14:02 ROTUS. @radio1985head @MQurage 夜行バスの中で寝て、起きたらこーなってたのでおそらくゴーストタップで6回以上間違えた感じやと思います、、 この状態になるとiPadは使用不能で、使えるようにするには初期化するしかないとのことでして、そうなると外部クラウドにデータをあげてない自分は完全に、オワリ、オワリです 2021-10-11 15:16:11
なぜ『ITの7つの無意味な習慣』が無くならないのかを現場から考える - orangeitems’s diary
『ITの7つの無意味な習慣』 セキュリティー対策にて企業が導入しているいくつかの所作について、全く意味がないどころか生産性を下げているのになぜ生き残っているか、という記事が話題になっています。 qiita.com 2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ここでは7つの例が上がっていてそれぞれ具体性があるのですが、なぜ残ってしまっている
逆に、RFC 6749 以外で定義されている認可フローをサポートする場合、新たに別のエンドポイントの実装が必要になることがあります。例えば CIBA(Client Initiated Backchannel Authentication)ではバックチャネル認証エンドポイント(backchannel authentication endpoint)、デバイスフロー(RFC 8628)ではデバイス認可エンドポイント(device authorization endpoint)の実装が求められます。 この記事では、認可エンドポイントとトークンエンドポイントを実装します。サポートする認可フローは認可コードフローのみ、サポートするクライアント・タイプはパブリックのみとします。 2. 注意点 下記の理由、および書かれていないその他の理由により、本実装は商用利用には適していません。 セキュリティー上必須
Yahoo! JAPAN は日本にて検索やニュースといったメディアサービス、e コマース、メールサービスなど、100を超えるサービスを提供している企業です。これらのサービスで利用するためのユーザーアカウントも長年提供し続け、月間のログインユーザーは 5,000 万を超える規模となっています。しかし、このユーザーアカウントを提供する中で、ユーザーアカウントに対しての攻撃を継続的に受けており、また、アカウントを継続利用する上での課題についてユーザーから問い合わせも多く頂いていました。これらの課題の多くはパスワードという認証手段に依存するものでした。また、当時、技術的にもパスワード以外の認証手段を提供するための機能やデバイスの普及が始まりつつありました。こういった背景のもと、Yahoo! JAPAN はパスワードによる認証からパスワードレスな認証へ移行すると判断しました。 なぜパスワードレスか
はじめに つい先日、GitHubのRSA SSHホスト鍵が突如差し替えられるという一件がありました。 We updated our RSA SSH host key 詳細に関しては識者による解説に委ねますが、ちょうどタイムリーな話題だったので、SSHをより安全に利用するという観点でおすすめ設定についていくつか紹介します。 なお、クリアコードではSSH以外にもおすすめzsh設定やおすすめEmacs設定という記事も公開しているので参考にしてみてください。 2023年5月11日更新:StrictHostKeyCheckingをyesにする場合の安全なknown_hostsの更新方法について追記しました。 おすすめ設定について クリアコードでは、.ssh/configのおすすめ設定を https://gitlab.com/clear-code/ssh.d にて公開しています。 これは、社内で.ss
とあるスタバに来たら、レシートについているパスワードを入れないとトイレに入れない方式になっていた「これ、特に観光地の店舗に多い」
エスプレッソ ファクトリー @narumi45 文京区千駄木にあるカフェ、エスプレッソファクトリーで 毎日エスプレッソ淹れてます。つまらない冗談を言い続けるのが好きです。水曜日定休 ameblo.jp/esp-f/
他人に見られたくないファイルをリモートの相手に渡さなければならない場合、従来は暗号化ZIPファイルとその解凍パスワードをメールで送る、という手段が広く用いられてきた。読者諸氏もそのようなメールを一度は受信したことがあるだろう。 しかし、ZIPの暗号化など運用に手間がかかるわりにセキュリティが十分ではない、と指摘されることが多い。そこで、この方法でファイルを送るのは止めよう、という機運が高まっており、実際、内閣府と内閣官房ではこの手法を廃止すると発表している。 とはいえ執筆時点では、「これだ!」と断言できるような、代わりのファイル送信方法が確立しているわけではない。特に中小企業や個人だと、代替の方法が有償だったりシステム更新に手間がかかったりすると、おいそれと置き換えられない場合が多いだろう。できることなら、すでにある機材やソフトウェア、利用中のサービスなどで代替したいところだ。 そこで本T
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ニコニコ、他サービスで同じパスワード使用は変更推奨へ KADOKAWA情報漏洩を受け注意喚起
NEXCO西日本がUSBメモリ紛失 データは暗号化済……ただしパスワードは本体に貼り付け
【告発スクープ】小6女子をいじめ自殺に追い込んだ「一人一台端末」の恐怖 パスワードは全員「123456789」
マイナンバー パスワード忘れた 多すぎない? | NHK | News Up
パスワード管理/MFA管理の戦略
「パスワードは定期変更の必要なし」総務省が国民向けサイトで正式見解【やじうまWatch】
USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
パスワード管理ツールの LastPass の保管庫の漏洩について、被害者ができることを解説
セブン、全会員のパスワードを強制リセット 1650万人 - 日本経済新聞
IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除
「経営層への情報セキュリティの説明大変ですよね?」 IPA、予算確保の説得材料を出してくれるツール公開
なぜソーシャルログインの際にemailをキーにして参照するのか
謎の文字列「1qaz2wsx」 漏えいした日本のパスワードに頻出するワケ
マイクロサービスにおける内部通信の認証について
本人のメルアドを使うのはもはや時代遅れ? 「1Password」が捨てメール機能を正式実装【やじうまWatch】
気付いたらiPadの全てのデータが消去されていた…その原因はBluetoothキーボードだった
OAuth 2.0 の勉強のために認可サーバーを自作する - Qiita
Yahoo! JAPAN はパスワードレス認証で問い合わせを 25% 削減、ログイン時間も 2.6 倍速に
おすすめ.ssh/config設定 - 2023-04-03 - ククログ
「パスワード付きZIP」廃止、じゃあどうすりゃいいのか(OneDrive編)