今回確認された手法は、一般家庭で利用されているルーターを、サイバー攻撃者が外部から不正に操作して搭載機能を有効化するもので、一度設定を変更されると従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態となってしまう手法です。 従来の対策である 初期設定の単純なIDやパスワードは変更する。常に最新のファームウェアを使用する。サポートが終了したルーターは買い替えを検討する。に加え、新たな対策として、 見覚えのない設定変更がなされていないか定期的に確認する。をお願いします。 具体的には、ルーターの管理画面で次の事項を定期的に確認し、問題があった場合には、その都度是正するようお願いします。 見覚えのない「VPN機能設定」や「DDNS機能設定」、「インターネット(外部)からルーターの管理画面への接続設定」の有効化がされていないか確認する。VPN機能設定に見覚えのないVPNアカウントが追
素晴らしい課題でコーディング意欲を高めよう。 Photo by Ferenc Almasi on Unsplash. はじめに コーディングを上達させる最も効率的な方法の1つは、できるだけたくさん作ることです。 コーディング課題は、ものを作ることで自分のスキルアップする楽しい方法です。この記事のリストを参考に、何か選んで作り始めましょう! 急いでいる時や、コーディングのアイディアを枯渇させたくない時は、100以上の課題をここにまとめてあります。 課題には好きなツールを使えるので、練習したいものがあれば、気軽に挑戦してみてください。 1. タスクマネージャUI なんて美しいアプリケーションでしょう!クリーンでモダン、インテリジェントなUIです。 Aysenur Turkによる「CSSグリッドを使ったタスクマネージャーUI」 学べること HTMLでCSSを使用する方法。新しいCSSグリッドを試
関連記事 ■急にZOOMを使うことになったあなたへ送るZOOMの基本的な使い方マニュアル →使い方わからない人には「これ見ろ!」と言って渡してください。そういうのなかったので作りました。 結論 ・ランダムパスワード生成 ・URLにパスワードを埋め込まない ・待機室を有効にする ・2要素認証(2ステップ検証)設定する(管理者権限必要) ・参加者へのZOOMアカウントログイン強制 ※設定画面はブラウザからを前提にしています。 ほんとは調べてほしい かえるくん「なぁ,会社でZOOM使い始めてんけど,なんかいろいろまずいらしいな」 ぼく「あー,ね。」 かえる「なんかGoogle検索でURLヒットするらしいな」 ぼく「まぁ,ね。」 かえる「色々調べたけど,SkypeとかTeamsの方がええらしいな」 ぼく「うーん...」(こいつ調べてないやん) かえる「でも切り替え面倒やしZOOMの方がみんな使っと
【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開!
» 【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開! 特集 【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開! 耕平 2020年10月14日 相変わらず、進化が止まらないフィッシングメール界隈。 以前紹介した、Amazonのフィッシングメールを始め、数々のフィッシングメールの対策を紹介したが、新たに「三井住友カード」を名乗るフィッシングメールが今、猛威を振るっている。 今回はこのフィッシングメールに潜入した結果、歴代最強クラスということが判明したので、個人情報を抜き取られるまでの一部始終と防御策をお伝えしたいと思う。 ・入り口 「フィッシング行為のキモは、入り口であるメールのクオリティによって被害の拡大が左右される」と私(耕平
【作業効率化】優秀すぎて課金してでも個人的に使ってるmacOSソフトウェアまとめ【5選】 - Qiita
はじめに 全部で5つのソフトウェアを紹介します。基本はmacOS対応のみです。Windowsのみなさん、ごめんなさい! 正直あまりにも便利なので、僕が代わりに身銭を切ってでも、皆さんに使ってもらいたいものだらけです。 本記事は、特に駆け出しエンジニアの方に読んでいただきたいです。僕がこの業界に入ったときは、とにかく知らないものばかりで、便利なサービスとかも全然使ってなかった(というか、知らなかった)ので、そんな昔の自分のような方のお役に立てたら幸いです。 作業効率化、めっちゃ楽しいし気持ちいいですよ! 優秀すぎて課金してでも個人的に使ってるソフトウェアまとめ alfred 最強のランチャーアプリです。もはやAlfredなしではパソコンがいじれません。すべての操作はAlfredに通じます。 僕は最初、Alfredの無料ユーザーだったのですが、下記記事を見て有料版に移行しました。 Alfred
※ASPも厳密にはクラウドECに入りますが、この記事ではebisumartのような「フルカスタマイズ可能なクラウドEC」をクラウドECと定義します。 ebisumart(エビスマート)公式サイト それでは、次に個人でECサイトを制作する方法を順に解説します。 ①個人の場合は無料ASPから始めよう! もし、個人でECサイトを始める方は、まずは「BASE」や「STORES」「カラーミーショップ」という誰でもカンタンにECサイトを作れる無料ASPがありますので、こちらでECサイトの制作をするのをおススメします。なぜなら制作費用が0円だからです。しかもEC制作は、まるでFacebookのアカウントを開設するようにカンタンなので、予算が企業に比べて制限のある個人であれば、これを利用しない手はありません。 無料ASPは初期費用、月額費用とも0円ですが、商品が売れた時に「決済手数料」が3%から5%くらい
日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになった。子会社の日立ソリューションズが「秘文」ブランドで販売していたメールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了していた。同様の動きは他の大手ITベンダーでも進んでいる。 暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。 社内ルールを改定しPPAPを禁止 日本のITベンダーは自らが社内でPPAPを行うだけでなく、PPAPの手順を自動化するツールを顧客に販売するなど、これまでは強力な「PPAP推進派」だった。しかしPPAPがメール誤送信対策として不十分であるだけでなく、
2024年4月、偽造されたマイナンバーカードを使用したSIMスワップ事案が発生しました。さらにその後のっとられたSIMを通じて高級腕時計の購入などが行われる被害も発生しています。ここでは関連する情報をまとめます。 SIMのっとられ未遂含め400万円超の被害 SIMスワップの被害を報告したのは、東京都議会議員と大阪府八尾市議会議員の二人。愛知県名古屋市内のソフトバンクショップ(八尾市議会議員の事例ではソフトバンク柴田店)で何者かが契約変更(MNPや最新のiPhoneへの機種変更など)を行い、元々の契約者であった二人が所有するスマートフォンでSIMによる通話・通信ができない被害にあった。 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェック
(2021.1.31 14:27追記:この記事はマイナンバーカードを使った電子申告を前提にしているので、ID・パスワード方式で確定申告したい人にはあんまり役に立ちません) はじめに 2021年からはスマホで電子申告 特別定額給付金のときに技術的には可能であることが示されていた 実際にやってみた 本当に楽だった 2021.1.31 11:00追記:マネーフォワード クラウド確定申告 2021.1.31 14:14追記:普通のe-Taxも改善してきているらしい はじめに 今年も確定申告の時期になりました。 2020年は技術書典8疲れから4月になってから申請したのが記憶に新しいところです。会計を締めるまでには時間がかかりましたが、freeeが国税庁のe-Taxサービスに電子申告用バイナリデータをアップロードしてくれるmacOSアプリを用意してくれていたおかげで、e-Tax自体はとてもすんなり行き
この本の概要 テレビ会議やリモートワークが普及する中,情報を守る暗号や本人確認のための認証技術の重要性が増しています。本書は公開鍵暗号や署名などの理論を基礎から詳しく解説し,TLS1.3やHTTP/3,FIDOなどの新しい技術も紹介します。更にブロックチェーンで注目されている秘密計算,ゼロ知識証明,量子コンピュータなど最先端の話題も扱います。 こんな方におすすめ 暗号と認証の基礎を学習したい人 Web担当者やセキュリティ担当者など 1章 暗号の基礎知識 01 情報セキュリティ 情報セキュリティの三要素 情報セキュリティと暗号技術 利便性とコスト 追加された要件 02 暗号 暗号とは よい暗号と使い方 暗号の動向を知る 03 認証 パスワードによる認証 パスワード攻撃者の能力 パスワードの攻撃手法 認証の分類 認可 OAuth 04 古典暗号 シフト暗号 換字式暗号 符号化 2章 アルゴリズ
マルチプラットフォームのパスワード管理ツールを提供する米LastPassは2月16日(現地時間)、無料版「LastPass Free」で利用できるデバイスタイプを1つに限定すると発表した。3月16日から、モバイル端末かデスクトップWebブラウザかの選択を迫られる。 モバイル端末にはスマートフォン、スマートウォッチ、タブレットが含まれ、デスクトップWebブラウザは現在サポートされているすべてのPC上のWebブラウザのことだ。 例えばモバイル端末を選ぶと、iPhone、Android端末、iPad、Apple WatchでLastPassが使えるが、WindowsノートやMacでは使えない。デスクトップWebブラウザを選ぶと、その逆になる。 PC(Mac)とモバイル端末の両方でパスワード管理を続けたい場合は、月額3ドルの「LastPass Premium」あるいは月額4ドルの「LastPass
元Googleエンジニア「TikTokはパスワードなど全文字入力を取得できる」 → 公式が反論 → ニューヨーク・タイムズがさらに反論の論争に
プライバシー研究者で元GoogleエンジニアのFelix Krause(フェリックス・クラウス/@KrauseFx)さんが8月19日に公開した、SNSのモバイルアプリに関するセキュリティの懸念事項に関するレポートが話題です。このレポートにTikTok公式がTwitterで反論しましたが、さらにその反論にニューヨーク・タイムズ記者が反論するちょっとした論争に発展しています。 フェリックス・クラウスさんのレポート フェリックスさんのレポートは、アプリでURLをクリックした際などにリンク先をスマートフォンのSafariやChromeなどデフォルトブラウザではなく、アプリ内で開く“内蔵ブラウザ”についてまとめたもの。一部のアプリでは、この内蔵ブラウザがセキュリティリスクを抱えているということです。 このレポートでは、特にTikTokが最も多くのリスクを抱えていると指摘。リンクをタップした際にデフォ
Mac OS初期設定 開発用ソフトをインストールする前に、まずはMac OSの設定を整えて使いやすいデスクトップ環境を構築します。 初期設定 電源を入れると、色々と初期設定が求められます。基本的には指示に従って進めればOKです デスクトップ設定 まず電源を入れて目につくのが、下のDockが大きくて邪魔だということです。 その他にもスクロールの向きがWindowsと逆だったり、Finder(Windowsでいうエクスプローラ)が使い辛かったりするので、 以下のYouTubeチャンネルを参考にして設定し直すと、使いやすくなるかと思います。 OSアップデート 購入直後のOSはバージョンが古くなっていてセキュリティ的に脆弱なことがあるので、アップデートします。 基本的には初回起動時に自動でアップデート画面が出てきますが、以下の方法で手動アップデートも可能です ・Dockから「システム環境設定」を開
2022年6月23日、尼崎市は業務委託先企業の関係社員が個人情報を含むUSBメモリを紛失したことを公表しました。紛失したUSBメモリには同市全市民の住民基本台帳の情報等が含まれていました。ここでは関連する情報をまとめます。 データ更新作業で持ち出したUSBメモリ紛失 紛失したのは尼崎市から業務委託を受けたBIPROGYがデータ移管作業のためとして持ち出していたUSBメモリ2つ(1つはバックアップ用)。 BIPROGYは尼崎市から住民税非課税世帯等に対する臨時給付金支給事務を受託。給付金に関して自身が対象になるのか等の市民からの問合せにBIPROGYのコールセンターで応じるため、データの更新を行う必要があった。BIPROGYのコールセンターでのデータ更新作業はBIPROGY社員2人と協力会社社員1人、別の協力会社(アイフロント)の委託先社員1人が対応していた。 物理的な運搬を行った理由として
クレカを不正使用された話
タイトルまんまです。 ぼんやりした人がクレカを不正利用されると、とてもぼんやりした結果になるというお話です。 特に役に立つ情報はありませんが、不正利用されてがっかりした人に「もっと残念な仲間がいる」と思っていただければ幸いです。 不正に気が付いたのは、つい先日の、pictSQUAREの流出がきっかけです。 pictSQUAREは参加者としてのみユーザー登録していてクレカは登録していなかったのですが、メアドとパスワードの組み合わせは他サイトでも使っていたので 他サイトのパスワードを軒並み変更せざるをえませんでした。 しかし、この際、いろいろ見直すのも必要ではないか。せめても、セキュリティを見直すいいきっかけにしよう。 そう考えて、楽天カードで明細を確認するサイト、e-NAVIに登録することにしたのです。 なんと、それまで、していなかったのですね。 ただ、それには理由があって、私は楽天市場で買
Sen Ueno @sen_u サイバーセキュリティの株式会社トライコーダ、OWASP Japan Chapter Leader など。飲むとすぐ寝る。 tricorder.jp
半導体企業・Armが開発したArmアーキテクチャは、携帯電話や自動車、マイクロコントローラー、Amazon Web Services(AWS)のサーバーなどで使われる何十億ものチップで採用されています。Armはイギリスの企業でしたが、2016年にソフトバンクに買収されました。その後、NVIDIAへ売却されることが発表されたものの、中国国内でのライセンス権を持っていた中国合弁企業が一方的に独立を宣言し、知的財産権(IP)のライセンス権を横取りしたまま暴走を続けていると、半導体関連ブロガーのディラン・パテル氏が解説しています。 The Semiconductor Heist Of The Century | Arm China Has Gone Completely Rogue, Operating As An Independent Company With Inhouse IP/R&D -
妻が犯罪者予備軍かもしれない
グロテスクなものが苦手な方は読まないでください。 昔から妻はよく俺からスマホの画面を隠すような動きをしていた。そのことは別に気にしてはいなかったのだが、最近同僚が浮気されているかもしれないと不安をこぼしていたのもあり、気になって妻のスマホを開いてしまった。(妻のパスワードは前に開く瞬間をみてしまって、覚えていた) LINEやメールは普通だったので、あと妻がよく見ているのはTwitterか、と思って開いた。 妻はほとんど画像だけをツイートしているようだった。そして問題は、そのツイートされた画像である。 本当に全てグロテスクだったのだ。妻の描いたと思わしきイラストがあったのだが、それが本当におぞましかった。文章におこすのも躊躇われるが、そのイラストは、小さい男の子の腕がなくて血が噴き出している、というものである。 他にも服が破れて血だらけになって死んでいる、ようなプリキュアのイラストがあった。
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明
Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/ Locked In An Insecure Cage https://internetofdon.gs/qiui-chastity-cage/ Internet-enabled male chastity cage can be remotely locked by hackers - The Ve
1.はじめに 『ぷよぷよプログラミング 』 は 2020 年 6 月に無償提供を開始し、全国の小学校~大学、 e スポーツ団体や企業が主催するイベントで活用いただき、一般の方々を含め 10 万人以上のみなさまにご利用いただいております。 セガではゲーム事業やジャパン・e スポーツ・プロライセンス認定タイトル 『 ぷよぷよ 』 の e スポーツ展開を通じて培ったノウハウや資産を活用し、今回のカリキュラム提供のようにプログラミング教育に関する企画・運営をサポートしています。 2022 年度から高等学校において情報 が必修化され、ますますプログラミング教育が重要となる中、教育活動の一助となればと考え 『 ぷよぷよプログラミング 』 の開発・公開、教材作りを行いました。今後も先生方からご意見などを頂戴し、適宜修正・改編を進めてまいりますので、ぜひご活用いただき、所感などご教示いただければ幸いでござ
もう限界。Windows 11にやめてほしいこと8つ
もう限界。Windows 11にやめてほしいこと8つ2024.05.14 21:00419,920 Kyle Barr - Gizmodo US [原文] ( 福田ミホ ) Windowsってこんなにうっとうしかったっけ…。 Windows 11のリリースから2年以上経ち、来年にはWindows 10のサポート終了が迫ってるんですが、なかなか移行が進んでないと言われます。Windows 11のどのへんが問題なのか…米GizmodoのKyle Barr記者がまとめてくれました。 これ、多くのWindowsユーザーが経験したんじゃないでしょうか。新しいPCを買ってワクワクしながら立ち上げたんだけど、そうだ、これWindows 11だった…という気の重さ。いろんなありがたい機能と同じくらい、要らない機能も満載の、Windows 11だったっけ…と。 僕は最近iBuyPowerのScale PCを
JAWS-UG 初心者支部 #22 ハンズオン用の資料です。 目的 AWSアカウントを不正利用されないために、アカウントを作成したらまずやるべきセキュリティ周りの設定を行います。 前提 AWSアカウントを作成済みであること AWSアカウントにログインしていること リージョンは東京リージョンを利用します ハンズオン手順 アカウント周りの設定 ルートアクセスキーの削除 ※ルートアカウントのアクセスキーは、デフォルトでは作成されておりません。アクセスキーを作成済みの方を対象とします。 ルートアカウントは全てのサービスへのアクセスが出来てしまうため、ルートアカウントは使用せず、IAMユーザーを使用しましょう。 CLI等のプログラムアクセスも不要なため、アクセスキーを削除します。 https://console.aws.amazon.com/iam/home#/security_credential
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
2021年9月14日、文部科学相はGIGAスクール構想の先進事例として町田市立の児童に配布されたタブレットがいじめに使われたことを明らかにし、*1 同日に文科省は東京都教委、町田市教育委に事実関係の確認を行った上で個人情報の管理状況が不適切であったと指摘しました。*2ここでは関連する情報をまとめます。 児童全員が同じパスワード 不適切な管理が行われていたのは町田市内の市立小学校で2019年5月に配布されたChromebook。具体的には次の問題があったことが週刊誌、新聞で報じられている。*3 *4 *5 *6 なお、町田市教委はPRESIDENT Onlineが報じた一連の記事に対して同社より取材を受けていないとして内容確認中とするコメントを行っている。*7 児童が端末起動時に使用する認証情報はIDは「所属学級+出席番号」、パスワードは全員「123456789」固定と第三者から容易に類推で
Firefox / Safari MozillaはMozilla Specification Positionsというリストを公開しています。 IETFやW3C、TC39などが提唱しているWeb技術に対して、Mozillaはどのように評価しているかという立ち位置を表明したものです。 あくまで現時点での評価であり、もちろん今後の仕様変更などに伴い評価は変わる可能性があります。 Mozilla's Positions Mozillaはどのように評価しているかの分類。 under consideration 評価の検討中。 important 優れた概念であり、Mozillaにとっても重要である。 worth prototyping 優れた概念であるが、プロトタイプを作成し、フィードバックを得て磨きをかける必要がある。 non-harmful 有害ではないが、良いアプローチではなく、取り組む価値
楽天プロデュースの宿泊施設「Rakuten Stay 東京浅草」に泊まったらまさかのトラブル続きでビビった…『お買いものパンダルーム』は可愛かったけど!
» 楽天プロデュースの宿泊施設「Rakuten Stay 東京浅草」に泊まったらまさかのトラブル続きでビビった…『お買いものパンダルーム』は可愛かったけど! 特集 楽天プロデュースの宿泊施設「Rakuten Stay 東京浅草」に泊まったらまさかのトラブル続きでビビった…『お買いものパンダルーム』は可愛かったけど! 砂子間正貫 2023年10月5日 「Rakuten Stay(楽天ステイ)」といえば、楽天プロデュースの宿泊施設ブランドのこと。リゾート地に展開している1棟貸切のVILLAタイプや、観光やビジネスの拠点として使いやすいマンションタイプなど、多種多様な宿泊施設を全国約40カ所に展開しているという。 なんだかイケてる予感しかしない! ってことで「Rakuten Stay 東京浅草」に泊まってみることにした。どうやら無人運営らしく、チェックイン・アウトはタブレット端末で行い、緊急時も
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
JP Contents Hub
AWS 日本語ハンズオン Amazon Web Services(AWS) の 日本語ハンズオンやワークショップを、カテゴリごとにまとめています。 右側の目次や、ヘッダー部分の検索ボックスから、各コンテンツにたどり着けます。 また、Ctrl + F や command + F を使ったページ内検索もご活用いただけます。 料金について ハンズオンで作成した AWS リソースは通常の料金が発生します。作成したリソースの削除を忘れずにお願いします。 もし忘れてしまうと、想定外の料金が発生する可能性があります。 画面の差異について ハンズオンで紹介されている手順と、実際の操作方法に差異がある場合があります。 AWS は随時アップデートされており、タイミングによってはハンズオンコンテンツが追いついていない事もあります。 差異がある場合、AWS Document などを活用しながら進めて頂けますと幸い
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。 プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール
[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO
「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック!AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します! こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか?(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう!(それ いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは
![[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/46eee47df02797b1711e39b4cf67a6a7b8f87e53/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F10%2Fsuper_security_check_1200_630.png)
生きている間は手元にあってほしいけれど、死んだら自分と一緒に消滅してほしい。そんな都合のいい仕組みを簡単に作れるWindows用のフリーソフトがある。「死後の世界」だ。 特定のデータを時限装置で消去できる あらかじめ登録したドライブやフォルダー、ファイルなどを時限で消去するのが主な機能となる。消去するタイミングは年月日指定と、最終起動日からの期間指定が選べる。 年始を消去する日に指定して、毎年の大みそかに設定を更新するといった付き合い方もできるし、「30日間起動しなかったら自分に何かがあったとき」などと心に決めて期間指定で付き合い続けるのも有効だろう。生死とは無関係に、経理書類を数年間保管した後に自動で消去するといった使い方も便利そうだ。 拡張機能として、消去実行時にメッセージを表示する機能も備えている。家族が遺品整理の段階でPCを開いたとき、「このメッセージが表示されたとき、私は生きては
パスキーの基本とそれにまつわる誤解を解きほぐす
2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。
新型コロナウイルス感染症については、必ず1次情報として 厚生労働省 や 首相官邸 のウェブサイトなど公的機関で発表されている発生状況やQ&A、相談窓口の情報もご確認ください。※非常時のため、すべての関連記事に本注意書きを一時的に出しています。 はじめにエンジニア5年目くらいでフリーランス3年目でスマホアプリ以外はなんとか作れるような感じのエンジニアです。 普段僕は開発にGCPを使っています。本番にもデモの公開にも、気軽に使っていました。 無料枠もあるし、適当に使っても毎月少ししか請求がない程度しか僕の使い方では課金されないし。GCPを舐めきっていました。 事件の発覚した時Googleから今月のGCPの使用料のメールがきていました。ですが、普段数百円なのであまり気にせずスルーしていました。 ちらっとメールを見ると、雰囲気がいつもと違うメールでした。請求が正常に完了していないので、請求先のカー
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
こんにちは。 マネーフォワードの新卒Railsエンジニア、きなこ と申します。 マネーフォワードX という組織で、日々プロダクトの開発に勤しんでおります😊 突然ですが皆さんは JWT という技術をご存知でしょうか? 私は趣味でCTFというセキュリティコンテストに出場するのですが、最近ホットだと感じるのがJWTに関連する攻撃です。 今年の1月に初めてJWTを題材にした問題に遭遇し、その後JWTの出題頻度が強まっていると感じ、社内に向けてJWTにまつわる攻撃を通して学ぶための記事を書いたところ、たくさんの反応をいただきました。 今回の記事はその内容を社外向けにアレンジし、ハンズオンを通して実際にJWTを改竄し、受け取るAPIを攻撃することでJWT自体を学べるようにしたものです。 本記事はJWTに興味があるWeb開発者を想定していますが、そうでない方も楽しんでいただけるようにハンズオンを用意し
はじめに 入門監視をはじめ一般的な監視に関するプラクティスは出回っているものの、AWSで具体的に何を監視するか?そのとっかかりについてはあまり出回っていないような気がします。 AWSの監視ってみんな何監視してるんすか…っていうぐらい実例あまり見つからないな。門外不出?— mazyu36 (@mazyu36) 2023年2月14日 どこまで監視するかは基本的にシステムの特性によると思います。一方でAWSのサービスごとにシステムによらずよく監視で使う項目というのもあるかと思います。 今回は過去の経験をもとに、最低限この辺りは監視することが多いかなというものをまとめてみます。全体像としては以下になります。 最低限これは監視しないとダメでしょ、とかこれは不要でしょ、などなどあるかと思います。そういうのがあればぜひコメントいただきたいです。 はじめに 「監視」について 前提 1-1. Webサービス
Wi-Fiに接続する際、ルーターに記載されたパスワードを毎回確認して入力していませんか? 入力を間違えてやり直すこともありますよね。iPhoneの[ショートカット]アプリを利用すれば、読み取るだけで設定可能なQRコードを生成できます。 Wi-FiパスワードはQRコードで共有可能 スマートフォンやパソコンをWi-Fiに接続するとき、パスワードの設定に手間取ることがありませんか? ルーターの設置場所によっては、背面に記載されたパスワードを確認するのも面倒ですよね。パスワードを変更している場合は、手書きのメモを探すこともあるでしょう。 実は、Wi-Fiに接続済みのiPhoneがあれば、簡単に共有用のQRコードを生成できます。設定はQRコードを読み取るだけ。来客時などに、Wi-Fiのパスワードを1文字ずつ入力してもらう必要もありません。店舗などでWi-Fiを共有する場合にも便利です。 本記事では、
IDやパスワードを保管しておく『パスワード管理帳』が売っていたことに対してさまざまな意見が集まる「セキュリティ的にヤバい」「遺族には便利」
まかべひろし @sinpen (有)MCF社長17年プログラマ30年。3DS最大級の立体視「EYERESH 3DS」開発。個人の発言で子育て・飯多め。ガジェット/食い道楽/専門学校講師25年/子煩悩/ベーマガライター/PGはPC,スマホ,CS,組込他何でも/背はホビット。【まとめBlog転載禁止】 mcf.cn
Wireshark によるパケット解析講座 1: Wiresharkの表示列をカスタマイズする
This post is also available in: English (英語) 概要 Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うと、ネットワーク トラフィックをキャプチャーしたり、キャプチャーしたパケットを表示させることができます。ITの専門職についているかたがたは、このツールを使って日々ネットワークのさまざまな問題を解決しています。セキュリティの専門家も、この Wireshark を使ってマルウェアが生成するトラフィックを確認しています。 そこで、今回は Wireshark の便利な機能のひとつである表示列のカスタマイズをご紹介したいと思います。Wireshark はデフォルトでは、非常にたくさんの情報を列表示してくれますが、これをカスタマイズすることで皆さん自身の用途に使いやすいようにできます。 本稿は Wireshark
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
家庭用ルーターの不正利用に関する注意喚起について 警視庁
フロントエンドの刺激的なコーディング課題6選 - Qiita
ぼく「何度も聞かれるのでZOOMの”安全な設定"まとめ教えます」【待機室,2要素認証など】 - Qiita
EC初心者が10分で理解するECサイト制作の手順と費用相場
日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
偽造マイナンバーカードを使用したSIMスワップについてまとめてみた - piyolog
確定申告のe-Taxでカードリーダーが不要に!freeeの電子申告アプリが最高だった話
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須に
【M1 Pro/Max対応】M1 Mac環境構築ベストプラクティス - Qiita
全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた - piyolog
「バレバレじゃん」総当たり攻撃時のパスワード最大解読時間を表で示してみた「桁数を増やすことに意味がある」
Armの中国合弁企業がArmからの独立を宣言、一部ライセンスや中国市場の顧客をそのまま横取り
ぷよぷよプログラミング(学校向け)特設ページ – Monaca Education
AWSアカウントを作成したら最初にやるべきこと -セキュリティ編- - Qiita
児童全員同じパスワードで配布されたタブレットで起きた問題についてまとめてみた - piyolog
Firefoxは危険なJavaScriptに対応しない - Qiita
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
フリーソフト「死後の世界」が19年以上も現役であり続ける理由
GCPで約800万円の請求がきた話|mun|note
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
攻撃して学ぶJWT【ハンズオンあり】 - Money Forward Developers Blog
AWS監視アラート 事始め - mazyu36の日記
iPhoneのWi-FiパスワードをQRコードにする方法。来客時や店舗での共有に便利!