Google Chromeチームは5月2日(米国時間)、「Chromium Blog: An Update on the Lock Icon」において、2023年9月にリリースを予定している「Google Chrome 117」からアドレスバーにおける南京錠アイコンの表示を廃止すると伝えた。代わりに「調整」を意味するアイコンを表示すると説明している。 Chromium Blog: An Update on the Lock Icon アドレスバーの南京錠アイコンはWebブラウザがHTTPSで通信を行っていることを示すものとして導入された。通信の多くがHTTPで行われていた時代、傍受を防ぎやすいHTTPSが使われていることを示すために南京錠のアイコンが導入された。導入当初このアイコンは役割を果たしたが、現在この意味は失われはじめていると点をGoogleは指摘している。 Googleは次の2つ
半サメ半エイ!? ジャイアントショベルノーズシャークを釣る
数年前のこと。オーストラリア北東部へ虫を取材しに赴いた際、ついでに魚釣りでもしようかと訪れたビーチで地元のおっさんがとんでもない魚を釣り上げていた。 大きさは2メートルほどもある上、なにより形が異様でその存在感に度肝を抜かれた。その名は『ジャイアントショベルノーズシャーク』。 出会いは偶然に このビーチで事件は起こった。 舌を噛みそうになる長ったらしい名前だが、シャークとつくから要はでっかいサメ……ではない。詳細はのちほど説明するが実にややこしい話で、分類上はシャークという名でありながらエイの一種なのである。 この時、オーストラリアにはツムギアリなどの昆虫を探しに来ていた。 だが先ほども述べたとおり、その姿が非常に奇怪。そんな妙なネーミングも「ああ、まさに!」と納得してしまう容姿なのだ。 なんだこれ!超デカいし超カッコいいぞとおっさんに駆け寄り、砂浜へ引き上げるのを手伝う。 だがなにせ自分
Mac向けOSの次期メジャー版「macOS Ventura」が発表、iPhoneをMacBookのウェブカメラにすることが可能に
Appleの年次開発者向けイベントWWDC22の中で、Mac向けOSの次期メジャーバージョンとなる「macOS Ventura」が発表されました。 macOS Venturaプレビュー - Apple(日本) https://www.apple.com/jp/macos/macos-ventura-preview/ WWDC 2022 - June 6 | Apple - YouTube macOS Montereyの次となるバージョンは…… 「macOS Ventura」です。 macOS Venturaに追加される新機能が「ステージマネージャ」です。 コントロールセンターからステージマネージャを起動します。 すると、たくさん開かれていたウィンドウが左端に配置されました。 そして、作業中のアプリケーションが中央に配置されます。 Dockにあるメールをクリックすると、メール画面が中央に呼び
表示するだけでアウト。画像に隠されたマルウェアの脅威とその対処法2022.10.06 17:0057,489 Devid Nield - Gizmodo US [原文] ( Mme.Valentin/Word Connection JAPAN ) 待って! その画像には脅威が潜んでいるかも。 ウイルス、フィッシング詐欺、安全でないWi-fiの利用、怪しいUSBメモリなど、デバイスとデータの安全を脅かす危険はたくさんあります。今回は、あまり知られていない脅威の1つ、マルウェア埋め込み画像についてご紹介します。 一見、何の変哲もないデジタル写真にもマルウェアが仕込まれている場合があることがあります。この技術はステガノグラフィといい、あるファイルを別のファイルの中に埋め込む技術として知られていますが、 必ずしも悪意を持って使用されているわけでもありません。これは、画像に隠されたデータ、つまり画面
無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (技術編) - NFLabs. エンジニアブログ
tl;dr 前半をサイバー脅威インテリジェンスの理論、後半をハンズオンの形式で全6回の連載をしてきました 連載は現実のインテリジェンス業務をなるべく反映させたものであり、戦術脅威インテリジェンスがアウトプットの中心になります 実態のよくわからないバズワードに飛びつかず、企業は自組織の体制と世の中の脅威を正しく理解するところからはじめましょう はじめに 本稿は前回の記事「無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (非技術編)」の技術的内容部分を抜き出したものです。未読の方は先にそちらの記事を参考にしていただいた方が、内容を理解しやすいと思います。 blog.nflabs.jp 前回に引き続き @strinsert1Na です。事業推進部の Defensive チームで脅威インテリジェンスの生成やソフトウェアの開発をしていま
ロンドンの街中でデッカい肉食魚『ノーザンパイク』を釣る
※本記事は2017年9月に取材、執筆したものです デカい魚、しかも鋭い歯を持つ肉食魚といえば、往々にしてアマゾンだの南洋だの……。そういうなんだかとってもファラウェイな場所にいるのが道理である。…と長らく思っていたが、案外そうでもないらしい。 なんとロンドンの街中には「ノーザンパイク」なる大型肉食魚が出没するというのだ。 …それって逆にすごくね?釣りに行ってみることにした。 都会の運河〈カナル〉を捜索せよ!! 今回のターゲットであるノーザンパイク(単に『パイク』とも)とは体長1メートルを超える、淡水魚としてはかなり大型の肉食魚である。シルエットや体色といったビジュアルの要素ひとつひとつもイカす。 ユーロスターでロンドン入り。今から釣りをするとは思えない光景。 しかも相当な悪食というか健啖な魚で口に入るものなら、いや入らない大きさのものまで手当たり次第に食いつく激しい一面も知られている。 一
ドメイン乗っ取りを防ぐためにAWSで .com ドメインを使っている - selmertsxの素振り日記
TL;DR JPドメインの管理をしている株式会社日本レジストリサービスには、下記の規則がある ざっくり言うと、「誰かがあなたのドメインを欲しいと言って、あなたが10日以内に返事をしなければ、ほしいと言った人にあげちゃうよ」という規約である // https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html 2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事 業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ の意思を有する旨の回答を得たものとみなす。 流石にこれではやばいので、レジストラ企業の中には ドメイン移管ロック なる機能を提供しているところもある ドメイン移管ロック により守られたドメインは第三者から取られることがない A
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
心理学を遊撃する 作者:山田祐樹ちとせプレスAmazon 本書は認知心理学者山田佑樹による,「心理学の再現性問題」についてそれをリサーチ対象として捉えて突っ込んでいった結果を報告してくれる書物である. 「心理学の再現性問題」は,心理学者にとって自分のリサーチの基礎ががらがらと崩れていくかもしれないような重苦しいテーマであるに違いない.しかし著者はそれを軽やかに取り上げ,様々な角度からつつき,本質を見極めようとする.物語としてはその突貫振りが楽しいし,再現性問題が非常に複雑な側面を持ち,かつとても興味深い現象であり,到達点がなお見えない奥深いものであることを教えてくれる.それはまさに最前線からの「遊撃」レポートであり,迫力満点の一冊だ. 第1章 心理学の楽屋話をしよう 第1章では心理学の「楽屋話」が書かれている.まず著者の駆け出しのころの研究(ランダムネスの知覚),面白い効果を実験で示せたと
Webサービスにおけるファイルアップロード機能の仕様パターンとセキュリティ観点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、Webアプリケーション上で実装される「ファイルアップロード機能」の実装パターンをいくつか示し、「開発者が設計をする上で気をつけるべき脆弱性」とその対策について解説していきます。 「ファイルアップロード機能」の脆弱性は特定の言語やサービスによって発生する脆弱性だけでなく、特定の拡張子のファイルでのみ発生する脆弱性など非常に多岐にわたります。そのため、本稿では全ての脆弱性を網羅する事は目的としておりません。しかし、「ファイルアップロード機能」のセキュリティについて考えるための基本となる知識と対策観点を本記事で知って、今後の開発に応用していただければ幸いです。 はじめに ファイルアッ
万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブログに書きます。 今日の内容ですが、初めにパスキーの概要についてざっと触れます。 続いてWebアプリケーションにパスキーを導入するとなった場合にどこから手をつけるべきかというところに触れた後、一番の悩みどころになりそうなログインのUI/UXについて紹介します。 概要からいきましょう。 パスキーの紹介記事もたくさん出ているので要点だけまとめます。 パスキーとは「パスワードが不要な認証方式」であり、それを支える仕様はFIDOアライアンスとW3Cにより策
URL バーの表示の変遷 | blog.jxck.io
Intro ついに URL バーから EV 証明書の組織表示が消されるアナウンスが、 Chrome から発表された。 思えば、 URL バーの見た目も、だいぶ変わってきたように思う。 URL バーの表示の変遷を一度まとめておく。 URL バーの再現 本当なら古いブラウザのスクショを集めたいところだったが、これは非常に難しい。ネットで色々落ちてるものをかき集めても、ライセンスや解像度や表示されている URL などを考えると、使い勝手は決して良くない。 試しに古い Chromium をビルドしてみたが、一定より古いものはうまく開くことすらできなかった。開くことができたバージョンもあったが、どうやらそれだけでは当時の URL バーの UI までは再現されないようだ。 そこで、実物のスクショはあきらめ「一般的な URL バーのイメージ」を書いた図で、おおまかな変遷を辿る。あくまで架空の図であること
「Chromeウェブストア」から拡張機能をインストールすると、ブラウジングを快適にしてくれる機能を簡単にChromeに導入可能ですが、中には便利なツールを装って不正な動作をする拡張機能も存在しており、過去には200個もの拡張機能が一斉に削除されたこともあります。今回新たに、合計500個以上のChrome拡張機能が不正に個人情報を入手していたことが、セキュリティ研究者らの調べにより発覚しました。 Security researchers partner with Chrome to take down browser extension fraud network affecting millions of users. | Duo Security https://duo.com/labs/research/crxcavator-malvertising-2020 500 Chrome E
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
CNAME Cloakingを知ってトラッキングされない方法があるのか疑問に思って調べてみたらNextDNSで実現できそうなのでやってみた。 更には広告やマルウェアやフィッシングやマイニングもある程度防げます。 Windows 10で進めていますが、macOS/Android/iOSやルータにも設定できます。要はDNS設定できればNextDNSを使用することができます。 CNAME Cloakingとは ターゲティング広告のためにいろんなWebサイトで広告配信業者のCookie共有してユーザの興味あるものを勧めたろ! ↓ 3rd Party Cookie規制される流れやし、Webサイトのドメイン使ってターゲティングできるようにしたろ! 雑な説明ですいませんね。例を使って説明してみます。 前提) Webサイト所有者のドメイン:website.example 広告配信業者のドメイン:adtec
本記事は、 2020 年 5 月 26 日に Azure Active Directory Identity Blog に公開された記事 (Biometrics – Keep Your Fingers Close) を翻訳したものです。原文は こちら より参照ください。 「利用者がシステムに立ち寄って指紋をスキャンすると (もしくはカメラを見つめるかマイクに話しかけると)、あっという間にログインできるようなシステムが欲しい」。こんなご要望を特に製造業、政府系サービス、自動発券機の利用シナリオなどでお客様からよく伺います。 機械に近づくと、初めてそれを使う場合でも指紋や顔で簡単にログオンできるというのは確かに魅力的なシナリオのように思います。何かを購入して持ち歩いたり、落として無くしたりすることもなく、フィッシングにも会いませんし誰かに勝手に使われたりすることもありません。また、従業員が職場
いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。 スーパーマーケットを展開するいなげやは11月9日、神奈川県の川崎土橋店と川崎下小田中店で、ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生したと発表した。 問題は、10月27日~11月9日に発生。QRコードからサイトにアクセスした際、「netsuper.rakuten.co.jp」という文字と「OK」ボタンを含む画面や、「モバイルアクティベーション」と書かれた画面などが表示された場合は「予定した入会サイトではない」としてすぐに閉じよう案内している。 心当たりのあるユーザーにはクレジットカード会社に連
インターネットバンキングの口座から預金が不正に送金される被害が先月から急増していることがわかりました。多くは、携帯電話にうそのメッセージを送り、偽のサイトに誘導して個人情報を盗み取る手口とみられ、警察庁が注意を呼びかけています。 先月の被害額はおよそ4億2600万円と、去年1年間の被害額とほぼ同じになっています。 多くは「フィッシング詐欺」という手口で、携帯電話にショートメッセージが届き指示に従って操作すると偽のサイトに誘導されてIDやパスワードなどが盗み取られ、知らない間に口座から多額の預金がなくなっているというものです。 金融機関が携帯電話にメッセージを送って口座に関する情報を尋ねることはないということで、警察庁は不審なメッセージが届いても入力などをしないよう注意を呼びかけています。
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
XSSの脅威を考察する - セキュアスカイプラス
はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発生原因くらいは知ってるよ」という人を対象にしています。「XSSって何だっけ」という方は クロスサイトスクリプティング対策 ホンキのキホン (1/3):CodeZine(コードジン) などの記事を参照してください。 技術的な面からの解
ドコモ口座による預金引き出しにはリバースブルートフォースが使われたのか(久保田博幸) - エキスパート - Yahoo!ニュース
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が拡がっている。七十七銀行だけでなく、中国銀、大垣共立銀でも新規登録を中止した。また、これらを加えて14の銀行で口座の新規登録を停止したとドコモは発表した。 今回の不正な預金引き出しには「ドコモ口座」が絡んでいた。こちらは不正引き出し先となる。こちらのからくりには、銀行口座を登録することによって本人確認が済んでしまうことで、不正に入手した銀行口座の情報だけで本人になりすましやすい仕組みとなっていたようである。 そしてもうひとつ不可解な点があった。不正に入手した銀行口座とあるが、いったいどのようにして銀行の口座番号、名義、4ケタの暗証番号を不正に入手できたのか。 これについては「リバースブルートフォース攻撃」を使ったのではないかとの指摘があった。しかし、現実にそのようなことは可能なのか。 被害が出ている銀行は限
米CDN(Content Delivery Network)大手のCloudflareは8月10日(現地時間)、米Twilioが7日に発表したものと同じ高度なソーシャルエンジニアリング攻撃を受けたが、日頃の備えが奏功し、すべて阻止したと発表した。 Twilioが攻撃されたのとほぼ同時期に、Cloudflareの多数の従業員に対する攻撃があった。3人の従業員がこれにだまされたが、自社製品「Cloudflare One」ですべてのアプリへのアクセスに物理的なセキュリティキー(ハードキー)による認証を義務付けていたため、攻撃を阻止できたとしている。 攻撃が始まったのは7月20日。セキュリティチームに対し、少なくとも76人の従業員が、個人用および仕事用のスマートフォンで不審なテキストメッセージを受け取ったと報告した。攻撃者がどのようにして従業員の電話番号リストを入手したかはまだ特定できていない。
[追記] 2022/8/4 に Twilio がフィッシング攻撃で顧客データを漏洩しました。これが下で説明していたデータを預けるリスクです。 クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい - ITmedia NEWS クラウド電話APIサービスを手掛ける米Twilioは8月7日(現地時間)、4日に「高度なソーシャルエンジニアリング攻撃」を受け、一部の顧客アカウント情報に不正にアクセスされたと発表した。 最近驚いたのですが、どうもセキュリティ・プライバシーを重視する人たちは Twilio Authy から他のワンタイムパスワード(TOTP [Time-based One Time Password])ツールに移行しているようです。 TOTPは多要素認証としてよく使われるようになってきています。Google は2要素認証(2段階認証)によってアカウントへの侵入が
WebサイトのログインにPasskeyを追加できる新サービス「Passwordless.dev」、Bitwardenが正式公開。月間1万ユーザーまで無料
オープンソースのパスワードマネージャ「Bitwarden」などを提供しているBitwarden,Inc.は、Webサイトのログイン機能にPasskeyを簡単に追加できる新サービス「Passwordless.dev」の正式公開を発表しました。 WebサイトをPasskey対応にすることで、ユーザーはパスワードを覚えておく必要がなくなると同時に、指紋認証などの手軽な手段でWebサイトにログイン可能になります。さらに、サーバ側でのパスワード流出や、ユーザー側での偽サイトに誘導されるフィッシングなどのリスクがほとんどなくなるというセキュリティ面での大きなメリットもあります。 一方で、WebサイトをPasskey対応にするには、ログインに関わる認証のロジックを従来のIDとパスワードの組み合わせに加えて、Passkey対応を追加しなければなりません。 今回正式公開されたPasswordless.dev
※この投稿について 前半でIPレピュテーションとは何か?という説明をしていますので、未読の方は一読することをお勧めします。 メールというインターネットの闇とIPレピュテーション(だけど重要)(前編) https://qiita.com/nfujita55a/items/5848fcfbbe6cbf7d98c3 この後半では、IPレピュテーションをよくしてメールを滞りなく送りたいときの光要素と闇要素を、光→闇の順に書いています。 メールを円滑に送るためIPレピュテーションを高めたい、何ができるの(光要素) まずは、IPレピュテーションを含めて、メール送信を円滑に行うためにすることが大別して3つくらいあると思います。 送信ドメイン認証する いわゆるSPFやDKIMです(最近はこれにDMARCが加わる)。SPFなら送信側が「DNSを使ってこのEnvelope-FromのメールはこのIPアドレス帯
※本記事は、技術評論社「Software Design」(2024年1月号)に寄稿した連載記事「Google Cloudを軸に実践するSREプラクティス」からの転載1です。発行元からの許可を得て掲載しております。 はじめに 前回はDatadogによるクラウド横断のモニタリング基盤について解説しました。 今回はCloudflareとは何か、なぜ使っているのか、各サービスとポイント、キャディでの活用例を紹介します。 ▼図1 CADDiスタックにおける今回の位置付け Cloudflare とは 本記事では、Cloudflare社が提供しているプラットフォーム全体を「Cloudflare」とします。 Cloudflareは、ひと昔前までは数あるシンプルなCDN(Contents Delivery Network)サービスの1つでした。CDNとは、コンテンツの配信を最適化するためのネットワークです。
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
大手学習塾の「日能研」は、ホームページのサーバーが不正アクセスを受け、児童や保護者などのメールアドレス28万件余りが流出した可能性があると発表しました。 日能研によりますと、サービスの利用者から「スパムメールが急に届くようになった」という報告を受けて調査したところ、先月上旬、日能研が管理するホームページのサーバーが不正アクセスを受けたことが今月になって判明したということです。 この不正アクセスにより、サーバーに保管されていた児童や保護者のほか、資料請求などで過去にサービスを利用した人のメールアドレス、合わせて28万件余りが流出した可能性があるということです。 サーバーには、氏名や住所、電話番号などの個人情報も一括して保管されていましたが、日能研は、流出したのはメールアドレスのみだとしています。 日能研は、国の個人情報保護委員会に報告するとともに、メールアドレスが流出したおそれのある対象者に
【2020/08/03 「デジタル・フォレンジック研究会」追加】 2015年に公開した以下の記事、そろそろ全体的に更新したくなったので新たに記事を作成しました。 security.nekotricolor.com リンク切れの修正が主ですが、多少追加・削除しています。間違いがありましたらtwitter等でお知らせいただけると大変助かります。 目次 目次 政府機関 セキュリティ関連団体 セキュリティベンダー その他団体 脆弱性情報(全分野) 脆弱性情報(ベンダ・開発者) Microsoft Apple Adobe Cisco Oracle WordPress その他 脆弱性情報(言語) 国内のニュースサイト 海外のニュースサイト 関連記事 政府機関 公式サイト 新着情報の場所 内閣サイバーセキュリティセンター What's New 経済産業省:情報セキュリティ政策 最新情報 総務省:サイバー
GitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告 - ぶるーたるごぶりん
GitHub の Reverse Proxy 型フィッシングサイトの発見と報告 こんにちは、でじこだにょ 今回は GitHub を狙った Reverse Proxy 型のフィッシングサイトを探していこうと思います。 (長いので、Reverse Proxy 型のことをプロキシ型と略しちゃいます) 結論から書くと、24件のフィッシングサイトを新規に発見して報告しました。 今回はそれらのフィッシングサイトの探し方のほか、フィッシングサイトの検出方法や、 セーフブラウジングなどの話をしつつ、 今回見つけたフィッシングドメインに対して、簡単ではありますが、調査と考察を行ってみたいと思います。 探そうとしたきっかけ 数日前、 Twitter を見ていたところ、こちらのツイートが流れてきました。 あっぶね GitHubだと思ったら全然違ったわ pic.twitter.com/SRtHUu3XDM— ./
2020年3月末頃より、Twitterの名前欄がメールアドレスになっているアカウントが国内外で複数発生していました。影響を受けたとされる方によれば、表示されていたメールアドレスはTwitterに登録したメールアドレスだったと報告されていました。その後Twitterでこの事象について注意を呼び掛けたところ参考となる情報を複数頂き*1、頂いた情報を元に検証を行ったところ、一部未確認の部分はありながらも概ね原因とみられる理由が判明したため、注意を呼び掛ける意味でここでは検証した情報をまとめます。 アカウント名が登録メールアドレスに 利用者が意図せずにTwitterの名前欄がメールアドレスに変更される事象が起きていた 潜在的な脅威として、表示されたメールアドレスはTwitterで使用されるログインID(登録メールアドレス)の可能性があり、なりすましやフィッシング詐欺のターゲットにされる恐れがある。
by Umair Anwar 無料のアンチウイルスソフト「Avast!」と「AVG」がFirefox向けにリリースしていたアドオン(拡張機能)が、Firefox公式のアドオンストアから削除されました。背景には、両アドオンの挙動にプライバシー上の問題があったためだと指摘されています。 Mozilla removes all Avast Firefox extensions - gHacks Tech News https://www.ghacks.net/2019/12/03/mozilla-removes-all-avast-firefox-extensions/ 「Avast!」は、無料で使用可能なことで有名なアンチウイルスソフトです。2016年には、「Avast!」の開発元であるAvast softwareが競合ソフトである「AVG」の開発元を買収し、経営の一本化を図っていました。 ア
セーヌ川で巨大ナマズを釣る
花の都・パリを流れるセーヌ川。 誰もが知るあの水辺に、なんと体長2メートル以上に達する巨大ナマズが生息しているという。 エッフェル!ルーブル!大ナマズ!明らかに浮いた存在な気がするのだが…。 本当にそんなのいるのかね?確かめるべく釣りに行ってきた。 正真正銘、パリのど真ん中!! フランスの首都・パリに人知れず巨大魚が潜む…。なんとも都市伝説めいた話題である。 パリ市街中心部を流れるセーヌ川。こんなところに大ナマズが…? まず、セーヌ川も日本人の感覚からするとかなり大きく長い河川である。 上流へ上流へと遡っていけば、やがて自然に囲まれた「なんかデカい魚くらい普通にいそう」な景色にたどり着く。 大ナマズの噂もどうせそういう「セーヌ川(※大自然、ど田舎)」での話なのだろうと最初は思っていた。 「東京でクマが出た!→奥多摩だけどね」みたいなね。 釣り場の移動はには地下鉄を使う。 しかし!今回の件に
あけましておめでとうございます、@1000chこと泉水翔吾です。2019年に続いて、2020年のWeb標準技術について寄稿します。今年は、Webコンテンツの配信の形を拡張するWeb PackagingとWebにおける認証の形を変えるWeb Authenticationについて取り上げます。 Web Packagingを使った新たなコンテンツ配信の形 現在Web Packagingという仕様の策定が進んでいます。Web Packagingは、Webのコンテンツの可搬性を高める技術仕様で、コンテンツを配布元が署名して改ざんされていないことを保証したり、複数のリソースを一つにまとめたりすることを実現します。Web Packagingは以下の3つに分類されます。 Signed HTTP Exchanges:単一のHTTPリクエストとレスポンスに対して署名する Web Bundles(旧Bundle
実は2月1日からメールが届いていないかも? Gmailガイドラインで事業者、利用者が知っておくべきこと(1/2 ページ) 先日、神奈川県の高校出願システムでGmailドメインのアドレスにメールが届けられず、受験生による登録や出願に影響が出る問題が発生しました。ネットを大きく騒がせたこの問題、実はメールに関する比較的新しいルール変更が原因と考えられています。 神奈川県個別の問題についてはすでに掲載しているインタビューに譲りますが、この問題は他の事業者にとっても他人事ではありません。一体、いまGmailを巡って何が起こっているのか、簡単に解説します。 Gmailのガイドライン変更、詳細は そもそも電子メールの歴史は非常に古く、その原型は1970年代に遡るといわれています。一方でその仕組みは今も大きく変化はしておらず、悪意の混入が当たり前の現代インターネットには合わない部分も増えてきました。
【動画】「あつまれ どうぶつの森」でサカナクションの「新宝島」MVを丁寧に再現! 山口一郎も「おー嬉しいー!」と反応するクオリティー
「あつまれ どうぶつの森」の島でサカナクションの「新宝島」のMVの世界を再現した人が大きな注目を集め、サカナクションのメンバー山口一郎さんが「おー嬉しいー!」と反応するなど話題を呼んでいます。丁寧な再現はどのようにして行われたのか、作者を取材しました。 【あつ森】新宝島/サカナクション あつ森の楽器演奏&ベース サカナクション / 新宝島 作者はベーシストでVtuberの花奏かのん(@_kanade_kano)さん(YouTubeチャンネル)。Nintendo Switch用ゲームソフト「あつまれ どうぶつの森」では、舞台が「無人島」となっていることから、地形の変更や河川の造成などが可能な「島クリエイター」機能、オリジナルのデザインを作るための「マイデザイン」機能などが用意されており、それらを使って自分好みの島を作れるのが特徴です。 かのんさんはこうした機能に加え、楽器の演奏機能などを使っ
※この投稿は米国時間 2019 年 6 月 20 日に Google Cloud blog に投稿されたものの抄訳です。 私たち Google Cloud は、Google Cloud Platform(GCP)上に移行もしくは構築されるアプリケーションの最終目標として、よく「クラウドネイティブ アーキテクチャ」という言葉を使います。では、クラウドネイティブとは正確にはどういう意味なのでしょうか。そして、そのようなシステムはどうすれば設計できるのでしょうか。 大まかに言えば、クラウドネイティブとは、クラウドによってもたらされる、従来のオンプレミスにはない新しい可能性に適応することを意味します(アーキテクチャ上の制約も従来とは大きく異なるため、それにも適応)。ソフトウェア アーキテクトとして私たちが考慮するよう訓練を受けている高レベルの要素について考えてみましょう。 システムの機能要素(何を
キャリアって何だ? 自分らしい強みを活かし、蓄積することで、到達するありたい姿 Will:何がしたいのか Can:何ができるのか Must:何を求められているのか スキルの寿命は短くなり、キャリアの形成期間は長期化の傾向にある。 自らのキャリアアンカーを知る 長期的な方向性の道しるべとして「キャリアアンカー」を活用する。 エドガー・H・シャイン(Edgar Henry Schein)博士によって提唱されたキャリア理論 築き上げてきたキャリアに基づいた、生涯にわたってぶれない自己欲求・または自己が望む価値観 まずは「セルフアセスメント(40問)」を実施し自分のタイプを把握しておく 8つの分類(専門・職能別 / 全般管理 / 保障・安定 / 起業家的創造性 / 自律と独立 / 社会への貢献 / ワークライフバランス / 純粋なチャレンジ) ※注意:8つの分類とは違うキャリアアンカーを持つ人もい
ritou です。 Developers Summit 2023にてパスキーについて講演させていただきました。 資料も公開しました。難しい話ではないです。 同じ時間帯の他の講演者の方々が豪華なのでワンチャン誰も聞いていなかった説がありますが、それもいいでしょう。とりあえず無事に終わりましたというところで、発表内容全部書き出してみたをやってみます。 講演内容 (省略) 今回の内容です。コンシューマ向けサービスにおけるこれまでの認証方式を振り返り、最近話題のパスキーとはどういうものかを紹介します。そして、実際に導入を検討する際に考えるべきポイントをいくつか紹介できればと思います。 早速、これまでのユーザー認証について振り返りましょう。 最初はパスワード認証です。知識要素を利用する認証方式であり、ユーザーとサービスがパスワードを共有します。 このパスワード認証を安全に利用するために、ユーザーとサ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Chrome、南京錠アイコンを2023年9月に廃止
表示するだけでアウト。画像に隠されたマルウェアの脅威とその対処法
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
書評 「心理学を遊撃する」 - shorebird 進化心理学中心の書評など
偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife
500個ものChrome拡張機能が個人情報を盗んでいたことが判明、被害者は170万人を超える
SMS OTPの自動入力によるリスクとその対策
CNAME Cloakingが回避できるらしい「NextDNS」の設定方法|ふじい
生体情報 - どうか指紋情報が漏洩しませんように!
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
被害額4億円余 ネットバンキングの不正送金 急増で注意 | NHKニュース
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵
認証アプリ「Authy」の安全性を危惧する声。何が問題なのか。Authyに登録したトークンをエクスポートして移行する方法
メールというインターネットの闇とIPレピュテーション(だけど重要)(後編) - Qiita
第10回:Cloudflareの紹介と運用のポイント - CADDi Tech Blog
大手学習塾の日能研 児童などのメールアドレス 28万件余流出か | NHKニュース
セキュリティに関する情報源を整理してみた 2020年版 - トリコロールな猫/セキュリティ
Twitterアカウントの名前が意図せずメールアドレスになる理由について調べてみた - piyolog
Mozillaが人気アンチウイルスソフト「Avast!」と「AVG」を削除した理由とは?
2020年のWeb標準 | gihyo.jp
実は2月1日からメールが届いていないかも? Gmailガイドラインで事業者、利用者が知っておくべきこと
クラウドネイティブ アーキテクチャ、5 つの原則 | Google Cloud 公式ブログ
サイバーセキュリティ領域で生き抜くためのキャリア論 - Qiita
Developers Summit 2023にてパスキーについて講演しました