Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 なお、この記事では各項目の解説はあまり入れていません。2024年7月10日のClassmethod Odysseyで少し詳しく話そうと思っているので、よかったら聞きにきてください。オンラインなので無料です。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみC
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
Gmailに届かなくなる?最近の電子メールで何が起っているのか? | IIJ Engineers Blog
IIJ 技術担当部長 最近はインターネットの技術を紹介するのがお仕事です。元々プログラマ、サーバ・データセンター・ネットワーク・セキュリティ・モバイルといろいろやってきました。 ここしばらく「2024年6月よりGoogle (Gmail) が迷惑メール対策を強化、メールが届かなくなるかも」というややセンセーショナルなニュースが流れていました。本件、掘り下げるとややこしい話ではあるのですが、この記事ではざっくりと「何が起っているのか」についてまとめてみたいと思います。(説明を簡単にするため、細かいことは省いています) 結局、私は何をすれば良いの? この問題、「Google (Gmail)で何か起るらしい」という報道のため、Gmailを使っている人が何かしなければならない雰囲気があります。ですが、実際に対応しなければならないのは、Gmailを使っている人ではありません。むしろGmailを使って
大規模なサイバー攻撃を受けている出版大手、KADOKAWAの夏野剛社長のX(旧ツイッター)アカウントについて、傘下のドワンゴが手掛ける「ニコニコ動画」の窓口担当は25日、「乗っ取られたわけではない」とXで明らかにした。夏野氏はドワンゴの代表取締役社長も務めている。 「ニコニコ窓口担当」の投稿によると、「昨日、弊社代表取締役のXアカウントに連携しているアプリのいずれかよりスパムポストが投稿されるという事案がありました」という。一方、「代表取締役当人とともに弊社エンジニアが確認したところ、アカウントへの不審なログイン形跡は見当たらず、また不審なポストをされるより以前、サイバー攻撃を検知した当日にパスワードの変更を実施済みでした。したがいまして、代表取締役のXアカウントが乗っ取られたわけではなく、Xアカウントに連携しているアプリのいずれかよりスパムポストが投稿されてしまったものと思われます」と説
今回は、SSH接続を劇的に高速化する方法をご紹介します。たった3行の設定を追加するだけで、接続時間を10分の1に短縮できます。しかも、2回目以降の接続では認証も自動的に行われるので、パスワードやパスフレーズの入力も不要になります。 要点 .ssh/configファイルのHost *セクションに以下の3行を追加するだけです。 詳しい説明 1. ControlMaster auto この設定で、1つのSSH接続で複数のセッションを共有できるようになります。新しくSSH接続を確立するたびに認証情報を入力し直す手間が省けて、接続がぐっと速くなります。具体的には: 初回の接続時のみ認証が必要 2回目以降は既存の接続を再利用するため、認証プロセスをスキップ パスワードやパスフレーズの入力が不要になり、接続がほぼ瞬時に完了 2. ControlPath ~/.ssh/mux-%r@%h:%p Contr
システム障害の渦中にあるKADOKAWAは28日、ランサムウェア攻撃による情報漏洩(ろうえい)が確認されたとし、同社サイトに「お知らせとお詫び」書面を掲載した。これを受け、ニコニコ公式は「念のため、ニコニコアカウントと同じパスワードを他サービスでもお使いの場合は、パスワードを変更することを推奨いたします」と注意喚起した。 【写真】その他の写真を見る KADOKAWAの書面では「当社グループでは、データセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩の可能性について調査を開始しており、現在も継続中です」と説明。そして「その最中、当該ランサムウェア攻撃を行ったとする組織が、当社グループが保有する情報を流出させたと主張しています。当社グループは、当該組織の主張内容の信憑性について現在確認
やっぱり旦那は夜の街に行っていた (追記あり)
なんて事はない、前に使っていた携帯電話が居間にあったものだから。 記憶の中でロック解除している指の軌道を思い出すと、パスワードはなんとなく想像がついた。 そのままタップしたらロック解除されたものだから、何の気なしにSNSを見てしまったのだ。 予兆はあった。 数年前、その時も見なければ良かったのにロックを解除してしまった。 ネット検索エンジンの履歴にはメン工スのURL。 これ以上ないくらい、心臓がバクバクしたが検索だけで済んでいた、とその時は判断したのでひとまず写真だけ撮ってそっ閉じした。 それから何かあった時の為にと残しておいたけど、ある日、心が苦しくなって削除してしまった。 仕事に行く前、必ずキスをしてくれる旦那を疑いたくはなかったから。 レスになったのも、自分に魅力が無くなったからだと一人で慰むようになった。 今日も旦那は仕事に出かけていった。 目の前には機種変したばかりの旧携帯。 「
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応,全容がわかってきたので記録として残しておきます。 クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい! かなりの部分は上記の方と類似していましたので,こちらもご参照ください。 セゾンポータルアプリへの通知で気付く 最初に気付いたのは,セゾンポータルアプリへの通知でした。 この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。 続いてクレディセゾンモニタリング担当からSMSが セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。 上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物で
弊社始め多くのショッピングサイトは、地域振興や地域の自律的成長を支援するべく、地方自治体に負担を求めないポイント等でのプロモーションも含めて、「ふるさと納税」を応援してまいりました。地方への恩返しという納税者の思いも強く、ショッピングサイトを通じた「ふるさと納税」は、多くの地方自治体にとってかけがえのない財源となるだけでなく、地産品の振興にも大きく貢献しながら成長してまいりました。 総務省による今回のポイント付与禁止の告示は、民間原資のポイントまでも禁止し、地方自治体と民間の協力、連携体制を否定するものであり、各地域の自律的努力を無力化するものです。地方の活性化という政府の方針にも大きく矛盾しています。本告示については撤回するよう、皆さんの声を代表して政府、総務省に強く申し入れたいと思いますので、ご賛同いただける方はぜひオンラインでの署名をお願いします。 *総務省の告示 https://w
エンジニアのための十徳ナイフ「DevToys」がバージョン2になってクロスプラットフォームやCLI対応しさらに便利すぎる - Qiita
はじめに 以前紹介させていただき、2022年Qiitaのいいねランキング18位、ストックランキング20位を記録したこちらの記事の続編です! DevToysはリリース後しばらく定期的なバージョンアップが続けられていましたが、去年の7月からぱったりとアップデートが止まっている状態でした。 リポジトリや作者のXを見るとバージョン2の開発を行っているようで、今か今かと待ち続けていましたが数日前リリース予告のポストを見つけて、今日ついにプレリリースされました! ということで早速紹介していきます! DevToysとは DevToysは「開発者のためのスイスアーミーナイフ」の紹介文の通り、開発時によく使うツールを十徳ナイフのようにまとめたアプリとなっています。 JSONの整形とかエンコードデコードetc... プログラミングや保守運用の調査でやりがちな作業をいちいち変換サイトを探したり、エディター拡張機
{.md_tr}株式会社ドワンゴ ## サイバー攻撃について ### Q1.どこからどうやってどのようなウィルス・マルウェア・ランサムウェアの攻撃を受けたのかは判明しているのでしょうか。 専門の調査機関にもご協力いただいての調査が必要になります。より正確な調査結果など、お知らせすべき新たな事実が判明いたしましたら随時ご報告いたします。 ### Q2.ランサムウェアというのは何でしょうか。 警察庁の説明では、ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。 ### Q3.なぜランサムウェアだという発表を遅らせていたのでしょうか。 ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差
まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワードはすぐ変えるの推奨) 会社のシステムはどうなってるかこれはシステムがある会社で働いたことある人はわかるんじゃないかと思うけど 会社のシステムというのはいろんなものがあってそれぞれ全然別 メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるとは限らないというか多分されない さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)でスキルが全然違うのでやっているチームは普通違うし、物理的にサーバーがある場所も違うことが多い そのうえクレジットカードや最近ではシステムにアクセス
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
遠隔でシステムを操作するツールである「SSH」への攻撃をわざと行わせて行動を観察する「ハニーポット」を30日間にわたって設置した結果をセキュリティエンジニアのソフィアン・ハムラウイ氏が公開しています。 What You Get After Running an SSH Honeypot for 30 Days https://blog.sofiane.cc/ssh_honeypot/ ハムラウイ氏はカーネルが「6.8.0-31-generic」でOSが「Ubuntu 24.04 LTS x86_64」のマシンを用意し、ハニーポットとして使用しました。 30日に行われたログイン試行は合計1万1599回で、1日あたり平均386回ログインが試されている事がわかります。 ログインを試す際に使用されたユーザー名のランキングには「root」や「admin」「ubuntu」「support」など、標準で
2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com
画像生成ソフトウェア「ComfyUI」のノードにキーロガーが仕込まれていたことが発覚、クレジットカード情報やパスワードなど全ての入力が筒抜けに
ノードベースの画像生成ソフトウェア「ComfyUI」向けに作られたノードの一つ「ComfyUI_LLMVISION」にマルウェアが仕込まれていることがわかりました。発覚後、ComfyUI_LLMVISIONのGitHubリポジトリが削除されています。 PSA: If you've used the ComfyUI_LLMVISION node from u/AppleBotzz, you've been hacked byu/_roblaughter_ incomfyui クリエイターのロブ・ラフター氏がRedditで共有したところによると、ComfyUI_LLMVISIONをインストールして使用した場合、ブラウザのパスワード、クレジットカード情報、閲覧履歴がWebhook経由でDiscordサーバーに送信されてしまうとのこと。 ラフター氏自身も影響を受け、ComfyUI_LLMVISIO
KADOKAWAグループがランサムウェアを含む大規模なサイバー攻撃を受け、ドワンゴの全従業員の個人情報や、一部の取引先情報などが漏えいした問題で、犯人グループがダークウェブに公開したとみられる漏えい情報を取得し、ネット上に公開するユーザーが現れている。 ドワンゴは6月28日、「興味本位でこれら(漏えい情報)をダウンロードする行為は、ウイルス感染などの危険があるだけなく、違法である可能性が高い」とニコニコの公式Xで指摘。ダウンロード・拡散を控え、ダウンロードした場合は削除するよう呼び掛けた。 また、「ニコニコアカウント」のパスワードについては、「システム内でハッシュ化されてから保存しているため、仮に流出していたとしてもすぐに悪用される可能性は低い」と説明。念のため、ニコニコアカウントと同じパスワードを他サービスでも利用している場合はあ、パスワードを変えるよう呼び掛けている。 関連記事 ニコニ
当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告 | FAST RETAILING CO., LTD.
株式会社ファーストリテイリング 株式会社ユニクロ 株式会社ジーユー 株式会社プラステ to English page この度、株式会社ファーストリテイリング(以下、当社)が管理する情報システムにおいて、個人情報の取扱いに不備があり、当社および個人情報の取扱いを委託していない一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったことが、当社担当部署の調査により判明しました。 お客様および関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。 なお、この情報システムへのアクセスが可能だったのは、当社および委託先事業者の担当従業員に限られており、これらの者による当該情報システムからの個人情報の持ち出しは確認されておりません。また、当該情報システムへのアクセスはシステム上厳しく制限されており、これらの者以外の第三者によるアクセスについ
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
こんにちは、株式会社FIXER@名古屋オフィスの村上です。 クラウドインフラのシステム基盤構築にTerraformを採用している組織は多いですね。村上自身は特別な要件がない限り、”どのクラウドを使う場合でも” システム基盤構築にはTerraformを使いたいと考えているインフラエンジニアです。 私は、Terraformを3年間使用する中で、6つの課題に直面してきました。 このブログでは、実際の開発現場でどのような問題が起こったのか、またその問題をどのように回避、あるいは対策すべきだったのかについて、綴ってみました。 【課題1】プロジェクト始動直後にTerraform開発を開始したため、後工程で改修タスクが多発 SI案件では、クライアントが提案する調達要件RFPをもとに、ITベンダーがヒアリングを行いながら要件定義を進めていきます。 要件定義の一例として以下のようなものがあります。 クラウド
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAのハッキングの話チョットワカルので書く
KADOKAWA夏野社長のXアカウント「乗っ取りではなかった」ニコニコ窓口担当が公表
SSH接続を10倍速くするたった3行の設定 - Qiita
ニコニコ、他サービスで同じパスワード使用は変更推奨へ KADOKAWA情報漏洩を受け注意喚起
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
【楽天市場】ふるさと納税へのポイント付与を禁止する総務省告示に対する反対署名のお願い
当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ
KADOKAWAのハッキングの話が雑すぎるので書く
わざとシステムを攻撃させて攻撃手法を観測する「ハニーポット」を30日間設置した結果をセキュリティエンジニアが公開
100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も
ニコニコ「ダークウェブの情報をDL・拡散しないで」 ウイルス感染や違法の可能性
Xで個人情報販売か 再逮捕の警察共済組合職員「生活費や小遣いに」:朝日新聞デジタル
Terraformを採用する前に知っておくべき6つの課題