NTTグループのNTTコム オンライン・マーケティング・ソリューションは5月18日、2020年7月に提供終了した同社のアクセス解析ツール「Visionalist」で使っていたドメインが何者かに取得されたと発表した。情報セキュリティ上問題のあるスクリプトが設置されている可能性があるとしている。 問題のドメインは「tracer.jp」。以前はVisionalistのログ収集システムを置いていたが20年のサービス終了に伴いドメインを廃止していた。ユーザーがWebサイトに設置したアクセス解析用のスクリプトを放置していると、意図せず悪意のある処理が実行される恐れがある。 同社はサービス終了時、ユーザー向けにアクセス解析用スクリプトを削除するよう呼び掛けていたが、今回の件を受けリスク回避のため改めて注意喚起した。 関連記事 ドメイン名の乗っ取りを防ぐサービス ムームードメインで提供開始 GMOペパボは
2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を中心に大きな注目を浴びる事案となっています。ここでは関連する情報をまとめます。 1.何が起きたの? FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明。 SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれた。資格情報窃取による侵害の手口が報告されている。 2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組
TBS NEWS DIG | TBS/JNNのニュースサイト
「総務省書いてあって警戒とけた」だまされた男性が証言 マイナポイント申請期限が期限迫るなか巧妙化するフィッシング詐欺メール【news23】 多角的な視点で様々な意見を聞いていく「voice23」。9月に入ってから急増しているマイナポイントを巡る詐…
VisionOSのSDKが公開されたので出先でダウンロードして早速試してみた。エミュレータはそれだけで楽しい。VisionOSでどんなことができるか想像しやすい。どんなイメージビデオよりも説得力があり、肌触りがある。 VisonOSのSDKはMacとApple IDがあれば誰でも無料でダウンロードできる。たぶん。僕は何年も個人アカウントのApple Developer Promgramへの支払いをしてない。 UnityでVisionOSを触る前にSwiftでVisionOSを触ってみる。 触ってみてわかったのは、全く絶望的なくらい、「空間大のiPad」でしかないということ。 プログラミングモデル的にはこれまでiOSアプリを作ってきた人にとってはかなりとっつきやすいだろう。例えば平面的なアプリなら、ほとんどそのまま動きそうである。 反面、例えばお絵描きアプリみたいなのが標準で入っているが、お
ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。 Bypassing 2FA - Secret double octopus https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/ 企業向けのパスワードレス認証技術を手がけるDouble Octopusによると、そもそもパスワードを用いること自体が基本的に安全なものとは言えないとのこと。そのため、2FAを導入したログイン方法もその場しのぎの対処法に過ぎず、せいぜいパスワードだけ
🐰まおまお🐰 @OllieTheUsagi うちの旦那は銀行屋に務めているのだけど、詐欺アラートの中で最近増えてるのがQRコードを使った詐欺。レストランのメニューとかお店の情報とか最近QRコードでサイトにアクセスしてねって物が多い。詐欺師がそれを偽物にすり替えて、誰かがアクセスしたら全部個人情報流れるようになってるらしい。 2023-12-01 19:00:51 🐰まおまお🐰 @OllieTheUsagi 長い間ネザーランドドワーフ🐰の下僕で、今はギズモさんに仕えてます。 アートと音楽とゆるい笑いが好きで頑張り過ぎずに生きてます。ナチュラル・ボーン・怠け者。楽する事ばかり考えてます。イギリスと言う島に住んでる🇬🇧。 調べてみると、海外を中心に「クイッシング」と呼ばれる詐欺手口が増えているとのこと。日本でも数年前から「ステッカー型詐欺」など同じような手口のフィッシング詐欺は増え
[CEDEC 2023]メタスコア85点を獲得した国産インディーゲームは,いかにして作られたのか。セッション「『メグとばけもの』のつくりかた - 心を揺さぶるゲームの技術」をレポート
[CEDEC 2023]メタスコア85点を獲得した国産インディーゲームは,いかにして作られたのか。セッション「『メグとばけもの』のつくりかた - 心を揺さぶるゲームの技術」をレポート ライター:大陸新秩序 2023年8月25日,ゲーム開発者向けカンファレンス「CEDEC 2023」にて,セッション「『メグとばけもの』のつくりかた - 心を揺さぶるゲームの技術」が行われた。 本セッションには,インディーゲームデベロッパ Odencatの代表取締役社長 佐藤大悟氏(以下,Daigo氏)が登壇し,同社の「メグとばけもの」(PC / Mac / Xbox Series X|S / Nintendo Switch / Xbox One)の開発過程を披露した。 「メグとばけもの」とは Daigo氏によると「メグとばけもの」は,HP99999の化け物が少女を守って戦うゲームで,内容は「ありきたりな設定で
![[CEDEC 2023]メタスコア85点を獲得した国産インディーゲームは,いかにして作られたのか。セッション「『メグとばけもの』のつくりかた - 心を揺さぶるゲームの技術」をレポート](https://cdn-ak-scissors.b.st-hatena.com/image/square/7e0d86c959da770e672c4416bb164845b51f050f/height=288;version=1;width=512/https%3A%2F%2Fwww.4gamer.net%2Fgames%2F633%2FG063301%2F20230826012%2FSS%2F012.jpg)
4D防水STRETCHデニムパンツで雨に備えよう!ワークマンの完全防水デニムは最強の防水性! - 格安^^キャンプへGO~!
近年キャンプブームの最中、コストをかけずにキャンプを楽しむのに欠かせないキャンプウェアメーカーといえばワークマンです。 筆者も安くて高性能なワークマン製品を愛用していますが、天候の影響を受けやすいキャンプにおいて、4D防水STRETCHデニムパンツの防水性能は凄いの一言です。 ワークマンから完全防水デニム発売! ? 4D防水STRETCHデニムパンツとは! 4D防水STRETCHデニムパンツ【素材】 4D防水STRETCHデニムパンツ【防水性】 4D防水STRETCHデニムパンツ【透湿性】 4D防水STRETCHデニムパンツ【7つの特徴】 【特徴1】防水3層構造! 【特徴2】シークレットポケットも安全! 【特徴3】4Dカットでフィット感が高い! 【特徴4】ウエストゴム使用で気軽に履ける! 【特徴5】防水ブラケットで水の侵入を防ぐ! 【特徴6】リベット・タックボタンで耐久性UP! 【特徴7】
KDDIのスマホ決済サービス「au PAY」のアカウントの情報が盗まれ、商品の購入に悪用される被害が各地で相次いでいます。 京都では8日、「au PAY」を不正利用した疑いで中国籍の容疑者が逮捕され、警察は組織的な犯行とみて捜査しています。 スマホの決済サービスをめぐっては、セキュリティーを高めるために、認証の強化などさまざまな対策が取られてきましたが、いま、なぜ被害が増えているのでしょうか。 (京都放送局 絹川千晴) 「au PAY」不正利用 中国籍の容疑者を逮捕 警察によりますと、ことし4月、京都府八幡市のコンビニエンスストアで、スマホ決済サービス「au PAY」を不正に使った男に加熱式たばこのカートリッジ10箱5800円相当がだまし取られる被害がありました。 警察は、8日、大阪に住む中国籍の自営業の24歳の容疑者を詐欺の疑いで逮捕しました。 警察の調べに対し、「au PAYを使ってた
今や数え切れないほど存在するWeb制作会社。 大手から個人事業まで、一説では国内に1万社以上存在するといわれています。 競争は激しく、それぞれの強みを生かしながら、生き残りに必死です。 そんな中、画期的な戦略で注目を集めている会社が MS社です。 主語のない文章 MS社のサイトにアクセスすると、最初に飛び込んでくるのが、会社のキャッチフレーズですが、いきなり意味不明です。 MS社 デジタルメディアが拡大し続ける現代において、幅広いターゲットに大きな影響力を与えています。 「メディアスターツ」ではテレビ業界出身の専門スタッフが、知見によるノウハウを活用し、最適なメディアリレーションをご提供します。 「デジタルメディアが拡大し続ける現代において、幅広いターゲットに大きな影響力を与えています。」と、主語が読み取れない意味不明な日本語が書かれていますね。 ところが、ほぼ同じ文章が書かれている会社が
Mozillaは1月5日(米国時間)、個人情報がオンラインデータ侵害を受けたかどうかを確認できるサービス「Firefox Monitor」に、Twitterからのデータ流出として2億件のアカウントデータを追加したと伝えた。電子メールアドレスが漏洩の対象とされている。 Firefox Monitor 今回のTwitterデータ漏洩に関して使用しているTwitterアカウントのメールアドレスが漏洩データに含まれているかどうかは、「Firefox Monitor - Twitter (200M) のデータ侵害にさらされていますか?」に、電子メールアドレスを入力して「調査する」をクリックすることで調べることができる。 漏洩したデータに自分の電子メールアドレスが含まれていた場合、今後このデータを悪用したフィッシング詐欺といったサイバー攻撃が実施される危険性があることに注意する必要がある。また、パスワ
アカウント凍結をちらつかせて金銭を要求する「凍結屋」の被害がTwitterで相次ぐ Twitter「以前から存在について報告は受けていた」
Twitter上で現在、「凍結屋」と呼ばれるアカウントによる脅迫トラブルが問題になっています。Twitter社に問い合わせたところ、「以前から存在について報告は受けており、28日より凍結屋として報告されたアカウントを順次凍結していっています」とのことでした。 凍結屋とは、故意に他人のアカウントを凍結させ、凍結防止や、凍結からの復旧をちらつかせて金銭を要求する悪質なアカウントのこと。調べてみると、2020年以前から被害の報告はちらほらとありましたが、それが2021年12月ごろになって急増。編集部にも12月半ばごろから複数の情報が寄せられていました。 「凍結屋」とされるアカウントの1つ(現在はアカウント凍結済み) Twitterアカウントの「凍結サービス」「凍結解除サービス」などをうたっていた(上記アカウントの投稿より) もろもろの情報を総合すると、凍結屋の手口は以下のようなもの。 虚偽の通報
楽天カードから「アニメグッズしか買わないお前がディズニーランドをペアで決済するはずがないからカードを止めたで(意訳)」って連絡がきた。私のことをご存知で優秀なAIですね(泣)
愛宕の人△絵を描く7/16結束グルーヴ @arabunstaff 👩「過去の履歴も確認したいのですが、4/30に決済されたクラファンは?」 愛宕「心当たりあります…(お酒)」 👩「4/26の長野行きの夜行バスは?」 愛宕「心当たりあります…(酒蔵巡り旅)」 👩「大丈夫そうですね(ニッコリ)」 愛宕「あっ…はい…😂」 #酒クズ 2023-05-15 12:08:35 愛宕の人△絵を描く7/16結束グルーヴ @arabunstaff フィッシング詐欺に引っ掛かったのが不正利用の理由です。ちょうど今月はスマホの機種変更して、ログインや登録が多かったのでその中から詐欺サイトに情報入力してしまいました。 特にスマホの機種変更やカード変更した際は警戒が緩むことがあるのでお気をつけてください(自戒)。 2023-05-15 12:53:38 愛宕の人△絵を描く7/16結束グルーヴ @arabun
Azure Active Directory (AzureAD)をご存知でしょうか? Azure ADについて 今まで企業の端末やユーザ管理をするとき使われてきた、Windows Actice Directoryのようなものですが、根本的な設計は全く異なります。SAML認証に対応していたりと、いわゆるIDaaSのようなもので、組織がクラウドサービスを利用する際のID基盤として使われています。 Microsoft Azureや組織向けOffice 365、Microsoft 365を利用している方は、ほぼ自動的にAzureADのテナントで管理されるユーザとして利用していると思います。 AzureAD知ってるよという方、会社や学校のアカウントの個人IDもAzureADを利用して払い出されている方も多いのではないでしょうか?いろんな便利なSaaSが増えてきたし、1つのアカウントで各サービスが使え
FF14、販売停止 広告も中止 混雑解消のため
スクウェア・エニックス(スクエニ)は12月16日、MMO RPG「ファイナルファンタジーXIV」(FF14)のパッケージ販売を停止すると発表した。ログイン時の混雑が継続して発生しているため。 FF14は12月7日に拡張パッケージ「暁月のフィナーレ」をリリースしたばかり。しかしアーリーアクセス開始後から混雑が続いているという。 FF14のプロデューサー兼ディレクター・吉田直樹氏は「長時間のログイン待ちが継続発生している」とプレイヤーに謝罪。ピーク時にはサーバの許容量を超えるため、パッケージ販売している「ファイナルファンタジーXIVスターターパック/コンプリートパック」の出荷を一時停止するとした。 フリートライアル版の登録受付も一時停止する。またCMやオンライン広告も新規出稿を取りやめ、ユーザーの増加を抑える考え。 FF14では7月ごろから北米や欧州のワールドを中心に新規のプレイヤーが大幅に増
ゲーム業界の165人が2022年を振り返り,新年への抱負を語る。年末恒例のコメント集企画 編集部:荒井陽介 編集部:Igarashi 123456789→ 4Gamerの年末恒例企画,ゲーム業界著名人の年末コメント集をお届けしよう。本年は165名に参加いただいた。 2022年のゲーム業界も,話題には事欠かなかった。MicrosoftによるActivision Blizzardの買収発表,多くのデベロッパが拠点を置いていたウクライナへのロシアによる侵攻,東京ゲームショウの3年ぶりとなる一般公開など,大きなものだけでも枚挙にいとまがない。 同様に,ゲームタイトルも豊作の年だった。ゲーム・オブ・ザ・イヤーを受賞した「ELDEN RING」,猫好きゲーマーをうならせた「Stray」,待望のシリーズ最新作「スプラトゥーン3」,Keyの麻枝 准氏による久々の新作「ヘブンバーンズレッド」,キム・ヒョンテ
2023年5月1日、2022年7月より実行者らの摘発が続くメルペイを不正使用した詐欺事件で、技術者役とみられる男から押収されたPCより約290万件のID、パスワードなどが発見されたと報じられました。ここでは関連する情報をまとめます。 メルペイ不正使用の技術者役PCに大量の認証情報 他人のメルペイのアカウントを不正使用して加熱式たばこを大量に購入していた詐欺事件において、男は一連の犯行に関わっていたグループの指示役を担っていたとみられることから、不正アクセス禁止法違反の容疑で2023年5月1日に再逮捕された。氏名不詳の人物らと共謀し、2021年12月22日から2022年1月15日頃まで、メルカリの12件のアカウントに不正ログインした疑い。一連の事件は8県警の合同捜査本部によって捜査が進められ、これまでに摘発された人物は13人に及ぶ。男は「自分はやっていない」と供述しており容疑を否認しているが
安易にjpドメインを取得して運用を試みるべきでなかったここの結論を先にいうと,神奈川県公立高等学校入学者選抜インターネット出願システムなんだからドメインは shutugan.pref.kanagawa.jp か shutugan.pref.kanagawa.lg.jp などの地域型JPドメインか属性型JPドメインを使う設定をするべきであった. これは最近問題になっているいわゆる行政サイト使い捨てドメイン問題とも関連あるし,(1次ソースにするには怪しいとしても総合的にみると載っている情報は正しそうな)カナガク https://kanagaku.com/archives/69495 によれば,なんと shutsugankanagawa.jp shutsugan-kanagawa.jp nyuushi-kanagawa.jp の三つとも本番環境として使われているようなのであり( nyushi-k
技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。 問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。 このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
家族で釣りへ出かけよう! 車で全国を釣り歩いている僕がおすすめしたい関東のスポット #くるまも - くるまも|三井住友海上
はじめまして。「ぬこまた釣査団」の大西と申します! 私は大学を卒業してから10年間会社員をしていましたが、釣り好きが高じて2020年に思い切って脱サラ。現在はYouTube、ニコニコ生放送での配信や執筆活動をなりわいにしながら、釣り生活を送っています。 大物とツーショット大きな魚を求めて遠征することもあります。この原稿を書いている数日前(2023年3月)には、住んでいる千葉県から岡山県まで片道800kmを運転して、3日間の釣行(ちょうこう。釣りへ出かけること)へ。コブダイという大きな魚を釣ってきました。 岡山で釣ったコブダイ今回は、私が釣り歩いた関東の釣り場の中でも、特に「ファミリーにおすすめな釣りスポット」5ヵ所を紹介したいと思います。 釣りは場所によっては電車や手ぶらでも楽しめますが、車があるとより便利で快適になると思います。釣り好きの私が実感しているマイカー所有のメリットもお伝えしま
アドビ基本利用条件のアップデートに関するお知らせ
アドビは、いくつかの特定の領域についてより明確にすることを目的として、基本利用条件を更新し、Adobe Creative CloudおよびAdobe Document Cloudをご利用のお客様にこれらの規約の定期的な再承認を促しました。この更新の内容に関して、多くのご質問をいただきましたので、説明をさせていただきます。 アドビは、透明性の確保とクリエイターの権利を保護し、お客様が最高の仕事をできるようにすることに引き続き全力を尽くします。 基本利用条件の変更点 今回の更新の焦点は、アドビが実施しているモデレーション・プロセスの改善について、より明確にすることでした。生成AIの爆発的な普及と、アドビの責任あるイノベーションへのコミットメントを考慮し、コンテンツ投稿の審査プロセスに、手動モデレーションの強化をすることにしました。 基本利用条件で変更のあった箇所は以下の通りです。 ※日本語の基
コスト最適化目的で個人 AWS アカウントの整理をした
ここしばらく円安が続いているのと、結局自宅サーバのおもりがへたっぴで崩壊し続けている関係で EC2 とかばんばか使っていたら日本円コストが嵩んでしまっていた。2024/2 から Public IPv4 Address 課金も開始されるのもきっかけ。 なんとかすべく 2023 年末に休みを取って大整理をやった。サボっていたけどこのままだとさすがにキツいなと思って基本的にはしょうもない整理です。基本的には homelab として意図的に色々あそべるようにしていたのを止めたりとかになる。ご笑覧ください。 どんなもん 月間コスト 378 USD (2023/8) → 153 USD (2023/12), without tax 日本円コスト 59,099 JPY → 24,583 JPY/mo, with tax 内訳 (USD); EC2-Instances: 140.92 → 61.27 S3
社内認証パスワードレス化のすゝめ
パスワードレスとは 「パスワードレス」とは言葉通り「パスワードが要らない」という意味です。パスワードにはたいてい「英数字・記号を含む8文字以上の複雑な文字列にしてください」「一年ごとに変更をしてください」といった煩わしい制約が存在します。利用者にしてみれば毎回違うパスワードを考えたり覚えたりするのは負担ですし、結局簡単なものや同じようなパスワードを使いまわしがちになり、管理者としても望んだ結果ではないという問題があります。パスワードレスはそういった煩わしさから利用者・管理者双方を解放します。 ヤフーの社内認証事情 ヤフーには一万人を超える社員が在籍しており、毎日一回以上認証の機会があります。 社員が社内ツールにアクセスすると、まずはじめに共通の入口である内製の社内認証基盤へとリダイレクトされます。そこで社員は実際のログイン手段として以下の三種類の認証方式から選択します(図1)。 社内ID/
The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register
アメリカ最大の石油パイプライン運営企業・Colonial Pipelineや、世界最大の食肉業者・JBSなど、日常生活に深く関わる企業がランサムウェア攻撃の対象となる事件が多発しています。そんな中、アメリカ合衆国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がランサムウェア対策ツール「Ransomware Readiness Assessment (RRA)」を2021年6月30日にリリースしたので、実際に使ってみました。 CISA’s CSET Tool Sets Sights on Ransomware Threat | CISA https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/cisas-cset-tool-sets-sights-ransomware-threat Releas
元Webデザイナーのセキュリティエンジニアが警告する、CSSインジェクションの脅威 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
※この座談会は緊急事態宣言以前に実施しました。 イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第11回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティのペネトレーション課に所属する馬場将次。Webデザイナーとしての経験から、Webに関するセキュリティへの鋭い視点を持つ馬場。
スマートフォンの決済サービスの不正利用事件で、神奈川県警察本部が逮捕した中国人グループのパソコンを詳しく調べたところ、のべ数百万人分にのぼるIDやパスワードなどの情報が保存されていたことが捜査関係者への取材でわかりました。 一部は国内で利用されている決済サービスのものだったということで警察は情報の分析や入手ルートの捜査を進めることにしています。 スマートフォンなどを使った決済サービスが不正利用された事件で、神奈川県警察本部は他人のアカウントに違法にログインし商品を購入したなどとしてこれまでに専門学校生の胡奥博容疑者(30)ら中国人グループを詐欺などの疑いで逮捕しています。 その後の捜査で警察がグループの指示役とみられる胡容疑者の自宅から押収したパソコンを詳しく調べた結果、のべ数百万人分にのぼるIDやパスワードなどの情報が見つかったことが捜査関係者への取材で分かりました。 このうち一部は、国
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。メッセージング技術領域における第11代黒帯(ヤフーでのスキル任命制度)の中村成陽と申します。エンジニアとしてYahoo!メールを担当しております。 今回の記事では、メールの比較的新しい認証規格である BIMI についてのご紹介、そしてその BIMI を Yahoo! JAPAN が導入することになりましたので、それまでの過程や実際の対応内容などについてご説明します。さらに、BIMI における今後の展望に関しても触れられればと思います。 フィッシングメール対策として、Yahoo! JAPANから配信するメールにアイコンが表示される規格「BIMI」を導入(プレスリリース) BIMI とは? BIMI (Brand Indi
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
あけましておめでとうございます。 今年も細々とながら発信を続けていこうと思いますので、どうかよろしくお願いします。 今回はセキュリティ情報 (公開情報) の集め方について、私がどのようにしているのかご紹介します。 これがベストというわけではなく、このとおりやればいいというわけでもなく、あくまでひとつのケースとしてお考えください。 ※「誰それをフォローするといいよ!」といった個別具体的な情報源の紹介はしません。 最後にご紹介する他のリサーチャの方の中には情報源のリストを公開されている方もいらっしゃるので、ニーズに合いそうならそれらの情報源を利用されるとよいと思います。 なぜ情報収集をするのか どんな情報を集めるか 具体的な情報収集の方法について RSS リーダー Inoreader RSS を配信していないサイトの対策 Twitter TweetDeck 英語について 情報収集の注意点 他の
アフリカのジブチ沖で、漁に使うライトに、プランクトンと若いジンベエザメが引き寄せられる。(PHOTOGRAPH BY TOM PESCHAK, NATIONAL GEOGRAPHIC IMAGE COLLECTION) 希少なクジラ類と船との衝突事故については以前から世界的に問題になっていた。しかし、世界最大の魚類であるジンベエザメも同じように命を落とすケースが多そうなことは、最近までわかっていなかった。2024年5月1日付けで学術誌「Science of the Total Environment」に発表された80人の研究者による合同研究の論文では、海運がジンベエザメにもたらす脅威について定量的な評価が行われた。(参考記事:「【動画】魚群を狩るジンベエザメの撮影に成功、超貴重な映像」) ジンベエザメは体長10メートルになることも多い。インド洋、太平洋、大西洋など、世界中の熱帯から亜熱帯の
詳解 インシデントレスポンス
インシデント対応には、様々な専門分野の知識が必要です。優れたインシデント対応担当者は、ログ分析、メモリフォレンジック、ディスクフォレンジック、マルウェア解析、ネットワークセキュリティ監視、スクリプトやコマンドライン技術などに精通している必要があり、様々な分野のトレーニングを継続的に受ける必要があります。 本書は、セキュリティ侵害を試みる攻撃者の活動に対し、日常的に予防・検知・対応を行う実務家によって書かれた、実務家のための書籍です。それぞれの専門分野のエッセンスを凝縮し、読者の環境ですぐに応用できるインシデント対応の効果的な技術を紹介します。侵害や情報漏洩がより速いペースで発生し、これまでとは異なる動的なアプローチを必要とする現代の脅威に合わせた最新技術を解説していきます。インシデント対応の理解を深めたいIT専門家、初めてインシデント対応を学ぶ学生、クイックリファレンスガイドを探しているセ
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
Storm-0558による複数の問題を悪用したMicrosoft クラウドサービスへの不正アクセスについてまとめてみた - piyolog
2023年7月11日、Microsoftは中国を拠点に活動をしている脅威アクターより政府機関を含む複数の組織の電子メールアカウントなどに対し不正アクセスが行われていたと公表しました。ここでは関連する情報をまとめます。 利用組織から不審なログ報告受け発覚 Microsoftが今回明らかにしたのは同社のクラウドサービスであるExchange Online(OWA)およびOutlook.comへの不正アクセス事案。同社のサービスを利用する政府機関を含む約25の組織の電子メールデータおよびこれら組織関連とみられる少数の個人アカウントへ第三者がアクセスを行っていた。米国では10のアカウントが不正アクセスの被害に遭ったとされ、米国国務省、米国商務省の長官、駐中国大使、国務省次官補(東アジア担当)らが含まれており、9つのアカウントは東アジア、太平洋地域を担当する職員のものであり、約6万通のメールが流出し
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。サービス統括本部ID本部で認証サービスの開発運用を担当している服部です。 パスワードに代わる新たな認証手段としてパスキーが登場し、多くのサービスでも利用ができるようになってきていますが、みなさんはご活用されていますでしょうか。このパスキーとはパスワードに代わる認証情報で、Fast IDentity Online(FIDO)仕様というFIDOアライアンスによって規格策定されている技術をベースとしています。ヤフーでも2018年から「生体認証でログイン」としてFIDO認証に対応し、2023年よりパスキーをつかった認証にも対応しています。 この記事ではこのFIDO認証の技術的な説明から当時の課題と解決方法、そしてその解決方法を
1. はじめに システム運用管理部の河石です。情報システム部門、コーポレートIT部門と呼ばれるところにあたり、社内システムの構築、運用を行っています。 この記事ではコインチェックの2020年11月時点で導入しているセキュリティ製品を用いたゼロトラストモデルの実装、運用を整理した内容になります。少しでも参考になるものがあればと公開したいと思います。 読んでいただくにあたって、まずコインチェックの環境を書きます。 1.1 組織について 現在コインチェックでは正社員、派遣社員、業務委託などを含めて200人ほどの従業員がいます。20代が2割、30代が5割と比較的若い人が多い会社になっています。 社内システムに関わる部門はシステム運用管理部の他にサイバーセキュリティ部門、リスク管理部門があります。 システム運用管理部は5人で活動しており、セキュリティ製品の具体的な設定や運用を行っています。設定内容は
JR西日本は3日夜、ホームページの一部が何者かに改ざんされ、利用者にクレジットカードの情報などを入力するよう誘導する、いわゆる「フィッシング詐欺」のサイトが表示される状態になっていたと発表しました。 ここにアクセスすると、アンケートへの回答を求める不審なサイトが表示され、利用者にクレジットカードの情報などを入力するよう誘導していたということです。 1日の午後に社員が異常に気付き、ホームページの管理会社が調べたところ、レンタルしているサーバーが何者かに改ざんされていたということで、偽のサイトを表示させて個人情報を盗み取る「フィッシング詐欺」とみられています。 JR西日本はすでに改ざんされたページを閉鎖していて、4日以降、専用のフリーダイヤルを設置して利用者の問い合わせに応じるとしています。 JR西日本は、「ご迷惑をおかけして申し訳ございません。原因が判明しだい、対策を進めたい」とコメントして
TL;DR 主要ブラウザのサポートによって DoH の普及がますます進みそう DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い 一般ユーザにはまずは使ってみることをオススメする (個人の意見です) 企業内では現状はブロックすることをオススメする (個人の意見です) 目次 TL;DR 目次 動向整理 DoH 推進派 DoH 反対派 (おまけ) DoH サポート状況まとめ Browser vendors Firefox (Mozilla) Chrome (Google) Windows (Microsoft) Application / Tool 1.1.1.1 (Cloudflare) cloudflared DOH Proxy Curl goDoH DoHC2 DNSBotnet Publicly available servers Spec Time
ドコモ口座を悪用した不正出金の被害額が約2000万円まで拡大しています。会見で「1日に約1万3000件の取引がある。既存顧客のサービスを止めると影響が大きい」としたドコモの丸山誠治副社長に対し「サービスを全面停止しなかったのは驚きだ」(ドコモの競合の通信大手幹部)「ドコモは(問題のサービスを)すべて停止すべきだ」(S&Jの三輪信雄社長)といった声も挙がっています。不正出金を防ぎ、人々からの信頼を取り戻すために、ドコモと金融業界、政府が取り組むべきことは何でしょうか。 推定される不正出金の要因ドコモ口座を悪用した不正出金が起こった原因は、ドコモと金融機関の双方に問題が指摘されています。まず当初ドコモとの加入者契約を前提としていたドコモ口座が、途中から電子メールアドレスの到達確認だけで開設できるようになり、そのことが提携行に伝えられていなかったようです。このため攻撃者が捨てアドレスを取得して、
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
提供終了したアクセス解析ツールのドメインが他者の手に 不審なスクリプトが設置されている可能性も
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog
VisionOSでプログラミングをほんのちょっとだけ触ってみて思ったこと|shi3z
電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
海外を中心に「街中のQRコードを不正利用して個人情報を抜き取る」という「クイッシング詐欺」が流行しているらしい
「au PAY」被害相次ぐ 不正利用疑いで容疑者逮捕 組織的犯行か | NHK
【注意喚起】「コピペ疑惑」のあるWeb制作会社と付き合ってはいけない - 畳之下新聞
Twitterからメールアドレスが漏洩、「Firefox Monitor」で確認を
【注意喚起】AzureADの設定適切ですか?意図しない情報公開について。 - Qiita
ゲーム業界の165人が2022年を振り返り,新年への抱負を語る。年末恒例のコメント集企画
メルペイを不正使用した詐欺事件についてまとめてみた - piyolog
神奈川県立高校の出願システムはどうするべきだったか
日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 | スラド セキュリティ
Google認証に不正アクセスの脆弱性、パスワード変更では不十分
「全ての組織が実行するべき」とされる政府公式ランサムウェア対策ツールを使ってみた
押収のパソコンからのべ数百万人分のIDパスワード 神奈川県警 | NHK
Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
セキュリティ情報の集め方 ~しなもんの場合~ - 午前7時のしなもんぶろぐ
最大の魚ジンベエザメが人知れず消えていっている恐れ、最新研究
FIDO認証&パスキー総復習(認証の仕組みやパスキー登場までの経緯)
コインチェックにおけるゼロトラストモデル - coincheck tech blog
JR西日本ホームページ 改ざんされフィッシング詐欺サイトに | NHKニュース
DNS over HTTPS (DoH) の動向 - セキュリティは楽しいかね? Part 2
ドコモ口座 信頼回復へ向け業界が取り組むべきこと(楠正憲) - エキスパート - Yahoo!ニュース