【独自】全国初摘発 京大院卒の男が就活テスト替え玉受検か“4千件以上 通過率95%” 「人の心の助けにもなる」(TBS NEWS DIG Powered by JNN) - Yahoo!ニュース
関西の大企業の社員の男が大学生から依頼を受け、企業の採用で実施されたインターネット上での「適性診断テスト」を替え玉受検したとして警視庁に逮捕されました。 こうした“替え玉受検業者”が摘発されるのは全国初です。 捜査関係者によりますと私電磁的記録不正作出・同供用の疑いで逮捕されたのは、京都大学の大学院を卒業し、関西地方の大企業に勤める大阪市の田中信人容疑者(28)です。 田中容疑者は今年4月、就職活動中の20代の女子大学生から依頼を受け、企業が採用時に実施している「適性診断テスト」のIDとパスワードを受け取り、インターネットから不正にログインし、替え玉受検をした疑いがもたれています。 取り調べに対し、田中容疑者は容疑を認めているということです。 警視庁は女子大学生も22日に書類送検する方針で、事情聴取に対し「自分の力では受からなかったので依頼した」と話しているということです。 「適性診断テス
sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうという強烈なものです。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 【01/27/2021 10:30更新】Amazon Linuxのリンク(ALSA-2021-1478)も加えました。また、詳細情報を追記しました。 【01/27/2021 14:30更新】O
最大2万円分のポイントにワクチンの接種証明。 マイナンバーカードの機能が増えていて、新たに作ろうとする人もいるのではないでしょうか。 さっそく申し込もうと思ったら、パスワードが4種類? えっ、こんなに覚えられない。 どうすればいいのでしょうか? (大阪拠点放送局 中本史・ネットワーク報道部 柳澤あゆみ・清水阿喜子) 現在、およそ4割の普及率のマイナンバーカード。 政府はカードの取得者に最大で2万円分のポイントを付与する新たな制度で、人口のおよそ75%にあたる9500万人まで取得者を増やしたいとしています。 今月20日からはマイナンバーカードとスマートフォンを使って、電子化されたワクチン接種証明書を入手できるようにすると岸田総理大臣が表明。
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
基本的にはビデオ会議機能の提供ですね。 有料版では参加人数や時間の制限が変わる形ですね。 プロ版以降の機能はZoomのメインの機能ではなく、付加機能であると思われるので Zoomと同じことをしたいと思うならとりあえず、ビデオ会議できればいいんですよね。 wordpressとは WordPress(ワードプレス)は、オープンソースのブログソフトウェアである。PHPで開発されており、データベース管理システムとしてMySQLを利用している(後述のプラグインよりSQLiteでの使用も可能)。単なるブログではなくコンテンツ管理システム (CMS) としてもしばしば利用されている。b2/cafelogというソフトウェアのフォーク(後継)として開発、2003年5月27日に初版がリリースされた[4]。GNU General Public License (GPL) の下で配布されている。 参考:wikip
セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 セブン&アイHD/セブン・ペイ 2019年7月1日 [PDF] セブン&アイのバーコード決済「7pay(セブンペイ)」本日サービススタート! 2019年7月3日 【ご注意ください】ID・パスワードの管理について(削除済み) 7payに関する重要なお知らせ [PDF] 7pay に関する重要なお知らせ 2019年7月4日 チャージ機能の一時停止に関するお知らせ [PDF] 「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について 2019年7月5日 「7pay(セブンペイ)」に対する不正アクセスの件(第3報)セキュリティ対策の強化を目的とした新組織発足の
たった数分で環境構築が完了!TypeScriptでWebアプリケーション開発ができるフレームワーク「frourio」が本当に手軽だった。 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
たった数分で環境構築が完了!TypeScriptでWebアプリケーション開発ができるフレームワーク「frourio」が本当に手軽だった。 こんにちは、エンジニアのづやです。 突然ですがエンジニアのみなさん、TypeScriptに触れた経験はありますか? TypeScriptはGitHubが毎年発表しているランキングで今年4位に急上昇したくらい、もっともアツいプログラム言語の1つです。 出典:https://octoverse.github.com/ しかし、いざ試してみようと思っても、 フレームワークは何を使えば良い? どうやって導入したら良い? など、意外とハードルって高くないですか? そこで「frourio(フルーリオ)」という画期的なフレームワークを見つけました。こういうのってある程度経験を積んだエンジニアでないと使いこなせない……というケースも多いですよね。 でもfrourioはそ
カプコン、不採用者の応募書類を破棄せず 採用ページには「責任を持って破棄」と記載も、サイバー攻撃で情報流出の可能性
応募者情報についてカプコンは自社の採用サイトで「採用選考の結果、採用に至らなかった方、採用を辞退された方の応募書類などは選考後、当社において責任をもって破棄致します」と記載していた。本来破棄されるはずの個人情報が破棄されていなかったことについて、Twitter上では同社の対応を疑問視する声が上がっている。 カプコンは「応募者の履歴書などをデータ化し、一定期間保管していた」と説明。「データ化についての言及がなく、表現が不足していたため誤解が生じた。おわびする」と陳謝した。保管理由については「応募者によっては複数回応募される方もいる。過去の応募履歴をスムーズに確認するためだった」と釈明した。応募者のデータを一律保管していたのかなどについては「現時点では不明」としている。 採用応募者の情報については、氏名、生年月日、住所、電話番号、メールアドレス、顔写真などが流出した可能性があるとしている。同社
本文の内容は、2022年8月29日にAlejandro Villanuevaが投稿したブログ(https://sysdig.com/blog/26-aws-security-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Well-architected フレームワークの最も重要な柱の1つは、セキュリティです。したがって、AWSセキュリティベストプラクティスに従って、不測なセキュリティの事態を防止することが重要です。 さて、あなたは問題を解決するために、ソリューションを構築してホストする目的でAWSに着目しました。アカウントを作成し、コーヒーを淹れてワークステーションに座り、設計、コーディング、ビルド、デプロイをする準備はすべて整いました。しかし、そうではありません。 ソリューションの運用性、安全性、信頼性、パフォーマンス、費用対効果を高めるには、多く
画像生成AIのStable Diffusionは、ノイズを除去することで画像を生成する「潜在拡散モデル」で、オープンソースで開発されて2022年8月に一般公開されたため、学習用のデータセットを変えることで特定の画像を生成するのに特化したフォークモデルが多数存在します。そんなStable Diffusionから派生して生まれた特化型モデルとその特徴や生成例をまとめてみました。 Stable Diffusion Models https://rentry.org/sdmodels 実際に複数のモデルとシード値で、同一のプロンプト・ステップ数・CFGスケールで画像を生成した結果をまとめてみました。 モデルは左からStable Diffusion v1.4、Waifu-Diffusion v1.2、Trinart Stable Diffusion、Hentai Diffusion、Zack3D_K
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
こんにちは、CX事業本部の夏目です。 MacのタッチバーのタッチIDが非常に便利なのですが、Terminalでsudoを叩かないと行けないときに使えたらなぁと思ったので、情報を共有します。 使う方法 /etc/pam.d/sudoにauth sufficient pam_tid.soを追加します。 書き込みには管理者権限が必要になるので次のようにして編集します。 # 自分の環境では最初管理者でも書き込みができないようになってたので、できるようにする $ sudo chmod +w /etc/pam.d/sudo $ sudo vi /etc/pam.d/sudo もともとはこんな感じになっていると思うので、 # sudo: auth account password session auth sufficient pam_smartcard.so auth required pam_ope
「Twitterへの投稿をDiscordに同時投稿」「メールの本文をスプレッドシートにまとめる」など、複数のウェブサービスを連携させると便利な状況は多々あります。複数のウェブサービスを連携させるサービスとしてはIFTTTやZapierなどが有名ですが、それらのサービスには無料で使える機能が少なかったり、対応しているウェブサービスが少なかったりといった問題も存在しています。「Make(旧称:Integromat)」は1000以上のサービスに対応しており、無料プランでもユーザー数無制限で利用可能といった特徴を備えているとのこと。そこで、実際にMakeの会員登録手順や、ウェブサービス同士の連携手順を確かめてみました。 Make | Work the way you imagine https://www.make.com Makeの会員登録を行うには、まずMakeのトップページにアクセスして「G
委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。 会見では、職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと返答していた。 これを受け、Twitterでは尼崎市のセキュリティ体制への批判が続出。パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなるという指摘が相次いだ。中には明らかになった情報から、同市が使っていたパスワードを推測する人も。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」
GPUでZIPパスワードを解析する - Qiita
企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していません。 Windows版のJohn
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。 パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。 取引先や顧客など社外の相手とファ
従業員向けセキュリティ教育のネタ
情報セキュリティマネージメントというと、必ずやらないといけないのが従業員教育。 しかし、古めかしいe-learningツールで、nextボタンをポチポチしつつ、つまらない動画を見る教育コンテンツは、はっきり言って意味ないと思うし、苦痛でしかない。とはいえ、カスタマイズして数百人の従業員にデリバリーするほど工数も割けない。 自分の会社の場合、KnowBe4というプラットフォームを契約して、オンボードや年次の必須教育をデリバリーしているが、これらは、なるべく苦痛にならない程度のボリュームのものを選んで、宿題でやってもらう感じにしています。事前に読んでチェックしなければいけない利用規程(Acceptable Use Policy)を読ませて、読みましたチェックを押してもらう、などもKnowBe4でやっています。しかし、さすがに全部のエッセンスが入ったコンテンツを割り当ててしまうと、普通に1hとか
By Brad Duncan August 21, 2020 at 6:00 AM Category: Tutorial, Unit 42, Unit 42 Tags: tutorial, Wireshark, Wireshark Tutorial This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 昨今、対象となる疑わしいネットワークアクティビティのトラフィックが暗号化されているこ
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2020年9月3日 サイズ ソフトカバー/A4判 ISBN ISBN 978-4-905318-74-3 定価 定価:2,200円(税抜価格2,000 円、消費税率10%) 書籍概要 概要 IPAでは、「情報セキュリティ白書」を2008年から毎年発行しており、今年で13冊目を数えます。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーなトピックを新たに取り上げています。 各トピックでは国内外の官民の各種データ、資料を数多く紹介しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 また、本白書は次のような使途で利用されています(昨年版の読者アンケートから抜粋)。 顧客向け資料への参考や引用 社内資料に使用 業界動向把握
2ヶ月で28万円の子どもの電話代(100時間超のゲーム対戦時の通話)が請求される前に親がやっておくこと - 斗比主閲子の姑日記
こんなTweetが話題になっていました。 うちの息子がとんでもないことやらかしてくれました😭 友達とスマホで通話しながら対戦ゲームしてて てっきりLINEの無料通話してるのかと思ったら相手はキッズ携帯で 普通に通話してて電話代が2ヶ月で28万円😭 しかも相手の子は親から言われてこちらからかけなおさせてた😭 もっと早く気づいていれば😭 pic.twitter.com/RYbcgwrf2h — KSSソフト@ゲーム制作 (@sakazakiryo) 2022年8月12日 我が家では子どもたちはネット通話メインで、通話=料金がかかるという概念を持っていなさそうだったので、子どもたちにこのTweetを見せたら大変驚いていました。ご自身は大変辛いと思いますが、申し訳なくも、他山の石として大変参考になりました。ありがとうございます。 それで、いくつかTweetを見ていたら、こういったことが自分
WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita
(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup
映画作品などの知的財産は著作権で保護されており、勝手にウェブ上で公開することはできませんが、著作権の保護期間が満了すればパブリックドメインとなり原則として誰でも自由に公開することが可能になります。そんなパブリックドメインの映画を集めた「Public Domain Movies」が登場、実際に視聴することができます。 Public Domain Movies - Watch Free Videos Online https://publicdomainflix.com/ 上記URLにアクセスしたところがこれ。「The Outlaw」(邦題「ならず者」)という映画のサムネイルが表示されているので、中心にある再生ボタンをクリックすると…… 映画が始まりました。映像はYouTubeにアップされたものを、プレイヤー機能を一部制限して表示しているようです。 「Videos」をクリックすると、「新着」「
『個人開発がやりたくなる本』を自費出版しました #技術書典 - 下町柚子黄昏記 by @yuzutas0
ご挨拶 自称企画屋・コンセプトデザイナーの@yuzutas0です。 執筆者一同をはじめとして、 アンケートに回答してくださった皆様、各所で書籍を紹介してくださった皆様、 その他何らかの形でご協力いただいた皆様、本当にありがとうございました。 さて、発売から間が空きましたが、 裏話をツイートしたところ反響をいただけたので、ブログに制作秘話をまとめます。 個人開発者や技術書典参加者のヒントになれば幸いです。 『個人開発がやりたくなる本』の経緯・裏話をブログにまとめようと思ったけど、細部まで語りだしたらキリがないことに気付いた。1時間枠で登壇できる内容・分量だ……。 pic.twitter.com/Qr9PcHF46c— ゆずたそ (@yuzutas0) May 3, 2019 もくじ ご挨拶 もくじ 1. はじめに 1-1. 免責・謝罪・注意・お願い 1-2. 書籍概要 1-3. この取り組み
警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog
警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。 VPNのパスワードが漏れた可能性 不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。 ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。 複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1 ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2 警視庁からの情報提供を受け発覚 2020年11月25日に警視庁から「不正アクセ
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 22.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 クライアントマシン側で生成した公開鍵を ~/.ssh/authorized_k
絵画や彫刻などの芸術作品は時間が経つにつれて劣化してしまうため、貴重な作品を後世に残すために定期的な修復作業を行う必要があります。しかし、時には修復作業が専門の知識と技術を持った人ではなく、単なる素人に任されてしまうケースもあります。そんな素人による芸術作品の修復事例が相次いでいるスペインで、またもや「素人による修復作業で芸術作品が台無しになってしまった」という事例が報告されました。 El Ecce Homo de Borja no está solo. Restauradores advierten de errores irreversibles por intervenciones no profesionales https://www.europapress.es/comunitat-valenciana/noticia-ecce-homo-borja-no-solo-resta
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
20分で分かるDirty Pipe(CVE-2022-0847) - knqyf263's blog
極限まで詳細を省けば何とか20分で雰囲気だけでも伝えられるんじゃないかと思って書きました。書き終えてから見返したら多分無理なので誇大広告となったことを深くお詫び申し上げます。 背景 概要 脆弱性の影響 ページキャッシュやsplice パイプ マージの可否 下準備 攻撃手順 まとめ 背景 先日Dirty PipeというLinuxカーネルの脆弱性が公表されました。 dirtypipe.cm4all.com Linuxのパイプに関する脆弱性なのですが、仕組みは意外とシンプルでぎりぎりブログでも伝わるかもしれないと思ったので自分の理解を書きました。あといつも細かく書きすぎて長くなるので、今回は雰囲気だけでも伝わるようにとにかく説明を簡略化し、ふわっとした概要だけでも理解してもらえるように頑張りました。その結果、若干正確性に欠ける部分があるかもしれませんがお許しください。細かい部分はまた別の記事でま
技術部 SRE グループの id:itkq です。2019 夏アニメで一番好きな作品は Re:ステージ!ドリームデイズ♪ です。この記事では SRE が運用している退職処理の自動化について説明します。 退職処理とは 入社後に業務のための様々なアカウントを作成するのと反対に、退職時にはそれらのアカウントを無効化する必要があります。これを退職処理と呼んでいます。SRE が管轄している典型的な例では、SSO に対応していない SaaS のログインアカウント・AWS の IAM User・データベースの個人ログインユーザなどが該当します。これらのアカウントは社員によって要否が異なったり必要な権限が異なるため、入社時に一括で用意せず必要に応じて申請してもらう形をとっています。一方で退職時にはそれらのアカウントをすべて無効化する必要があります。 退職処理は繰り返され、自動化の余地のあるタスクです。また
もっと早く導入すべきだった……。お家の中の「Wi-Fiが届かない」問題が簡単に解決2021.03.31 17:00Sponsored by 株式会社バッファロー 小暮ひさのり こんなに簡単に解決できたのか…。 と、驚きが一番大きかったですね。突然ですが皆さん、Wi-Fiってお家の隅々まで届いていますか? 我が家では、部屋を模様替えしてルーターの位置を変え、リビングのテレビボードの中に隠したところ、リビングでは快適につながるも、2階の寝室や書斎、子供部屋に行くとつながりにくくなってしまいました。速度が落ちるとかいうレベルではなく、部屋によっては寸断されちゃうくらいまで不安定。 こちらは奥まった場所にある書斎。Wi-Fiはギリギリ届くか届かないかくらいなので頻繁に接続が切れます。リモート会議とかトンデモナイ状態なので、会議のたびにリビングに移動しなければなりません。これは 優先的に解消したいと
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 不十分な対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2
どういうハッキングをされるのか? さて、本題です。ここ10年ちょっとWordPress専門で仕事をしていますが、自分が遭遇したり知り合いが遭遇したケースは「サーバー内のファイルが書き換えられて、アクセスすると他のサイトにリダイレクトされる」というケースです。 サーバーのファイルを見てみると概ね以下の症状になります WordPressをインストールした各ディレクトリのindex.phpなど、phpファイルの文頭に怪しげなコードを書き込まれているwp-content/uploads/ の中には通常画像ファイルなどばかりのはずが、見に覚えのないファイルを大量に置かれる通常の投稿内にいろいろ投稿される(このケースは近年は自分や周りでは遭遇していない) これらのファイルは全部キレイに駆除しない限り、該当部分を削除したり、該当ファイルを削除しても残っているファイルから再度改竄してくるので面倒です。 復
絶対に画像をダウンロード&スクレイピングさせないWebページを本気で作ってみた - blog.potproject.net
巷で話題になっているこの話題、画像をスクレイピングやダウンロードされたくないということで騒がれています。その話に関しては色々な意見があると思ってますがここでは置いておくとして・・・ 技術的にやるとしたら実際どれくらい対策できるの?ということが気になったので、自分の知識で出来る限り対策したものを作ってみることにしました。 最初に 賢い方はわかると思いますが、タイトルは釣りです。 絶対に画像をダウンロード&スクレイピングさせないページは存在しません。ソフトウェアにおいて絶対と言う言葉はまず存在しないのです。ブラウザで表示している以上、仕組みさえわかれば技術的には可能です。 そのため、 「元画像のダウンロードとスクレイピングを非常に困難にしたWebページを本気で作ってみた」 が実際のタイトルかなとなります。 とはいえ、この仕組みであれば大多数の人は機械的にスクレイピングすることを諦めるレベルの作
Hiromitsu Takagi on Twitter: "識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU"
識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
DB設計の共有で疲弊してない?dbdocsのすゝめ
DB設計の管理や作成に疲弊してません?こんにちは。ukmshiです。今日はDB設計の共有と管理に便利なツール、dbdocsについてお話しします。dbdocsを使えば、設計の可視化や共有がめちゃくちゃ簡単になるんです。今回は、その魅力と利点、そして実際の使い方について詳しく説明します。 dbdocsとは? dbdocsは、コードベース(DBML)でDB設計を管理し、URLで共有することが可能なツールです。データベースのテーブル構造や関係性を可視化し、それを他のチームメンバーやステークホルダーと手軽に共有することができます。 DBMLについてはこちらを参考に dbdocsの利点 dbdocsの利点について詳しく見ていきましょう。 無料 まず最初に、dbdocsは基本無料です。コストを気にせずに利用できるので、チームの誰もがアクセス可能です。 コードベースで管理 dbdocsはコードベースでDB
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万
無料でEPUBやPDFのほか7万以上の書籍を自由に読めてWindows・Linux・macOSなどで同期できる電子書籍リーダー「Librum」レビュー
オープンソースの電子書籍リーダーソフト「Librum」は、PDFや電子書籍ファイルであるEPUB・MOBIのデータを読み込んで本棚として共有できるほか、7万冊以上の無料書籍を自由にダウンロードして複数端末で読書進度も合わせて共有できます。 librumreader.com/ https://librumreader.com/ Librumの公式ページにアクセスし、「Download」をクリック。今回はWindowsからダウンロードしていますが、Windows、GNU/Linux、macOSに対応しており、iOSとAndroidは後日対応予定とのこと。 ダウンロードした「librum-windows-0.11.0-installer.exe」をダブルクリックして開きます。 インストーラーが開いてライセンスが表示されるので、「I accept the agreement」にチェックを入れて「N
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マイナンバー パスワード忘れた 多すぎない? | NHK | News Up
パスワード管理/MFA管理の戦略
「パスワードは定期変更の必要なし」総務省が国民向けサイトで正式見解【やじうまWatch】
ZOOMと全く同じ機能をwordpressで実装した時の概算見積を真面目に考えてみる - Qiita
7payの不正利用についてまとめてみた - piyolog
本番環境で実践したいAWSセキュリティのベストプラクティス26選
画像生成AI「Stable Diffusion」でいろいろ特化した使えるモデルデータいろいろまとめ
「認証」を整理する | IIJ Engineers Blog
MacのTerminalでsudo実行時にタッチIDを使用する方法 | DevelopersIO
無料でIFTTTやZapierのようにアプリやサービスを連動させ自動化できる「Make」を実際に使ってみたよレビュー
USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
Wiresharkによるパケット解析講座 8:HTTPSトラフィックの復号
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
情報セキュリティ白書2020 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
無料で著作権切れの映画を見放題な「Public Domain Movies」が登場
Ubuntu 22.04 LTS サーバ構築手順書
素人が絵画を修復しようとして大失敗する事態がまたもや発生、専門家が素人によるアート修復の規制を訴える
「安倍派というだけで罪人扱いか」 首相に批判噴出、疑惑ない議員も:朝日新聞デジタル
退職処理を可能な限り自動化する - クックパッド開発者ブログ
もっと早く導入すべきだった……。お家の中の「Wi-Fiが届かない」問題が簡単に解決
WordPressが改竄された時の復旧方法と絶対に改竄されない対策
パスワード管理ツールの LastPass の保管庫の漏洩について、被害者ができることを解説