練馬区で大規模停電 企業や在宅勤務者に大ダメージ
8月5日午後2時2分から、東京都練馬区と埼玉県の一部地域で停電が発生した。Twitterでは「在宅勤務中に停電した」「信号機も止まっている」などの声が多く上がっていた。東京電力によると、午後2時14分には全て復旧済み。 東京電力の停電情報によると、午後2時9分時点で東京都と埼玉県で約11万540軒が停電していたが、午後2時14分には全て復旧したという。午後2時30分現在、原因は発表されていない。 関連記事 長期化するライフライン停止で問題なのは“電気以外”だ 電気は意外に早く復旧する。それ以外のライフラインをどうするかが課題だ。 電力需給ひっ迫、電気事業連合会など「節電」呼びかけ 12月下旬から続く厳しい寒さで全国的に電力需要が増え、電気事業連合会や電力各社が節電を呼びかけている。 東電かたる詐欺メールに注意 「くらしTEPCO」の偽ページで個人情報を窃取 フィッシング対策協議会が、東京電
セキュリティに気をつけている人の中には、SNSなどに投稿されたリンクをクリックする前にカーソルを合わせて、リンク先のURLを確認する習慣が付いている人も多いはず。Facebookには、このような対策をしていてもそれと気づかないような手法でリンク先が差し替えられていると、ウェブ開発者が指摘しています。 チェコでセキュリティ対策の講師を務めているウェブ開発者のMichal Špaček氏はTwitterに、「リンクをクリックしたりコピーしたりすると、最初に『l.facebook.com』が開いてから、その後に元のサイトにリダイレクトされることをご存じでしょうか。しかし、ソースを確認した時に表示されるHTMLタグも、リンクにマウスカーソルを合わせた時に見えるURLも、元のサイトを示しています」と投稿しました。Špaček氏が投稿したスクリーンショットを見ると、ソースのリンクタグやブラウザ上
Slackで認定されたURLリンク偽装の脆弱性 Apr 27, 2020 フィッシング詐欺における偽サイトへの誘導では、正規サイトのURLをかたってリンクをクリックさせる手口が後を絶たない。この手口は主にメールや掲示板からの誘導で悪用されるが、グループチャット内でもURLリンクを偽装できれば脅威になると考えた。ビジネスチャットツールとして世界的に利用されているSlackでのURLリンク偽装(#481472)について解説する。 URLリンクの偽装 HTMLでは、ハイパーリンクとして表示するURLと、実際にリンクするURLを個別に設定できる。例えば、以下のHTMLはレンダリングにより https://example.com となる。表示上は example.com へのリンクに見えるが、実際には akaki.io へリンクする。 <a href="https://akaki.io">https
XSSを理解して安全なWebアプリケーションを作る
どうもoreoです。今回はXSSについて記載します。 1 XSS(cross site scripting)とは? XSSとは動的にHTMLを生成するWebサイトで悪意あるスクリプトが埋め込まれたコンテンツをHTMLとしてそのまま表示した際に、スクリプトが実行される攻撃手法(または脆弱性)です。 XSSの脆弱性があると偽サイトへの誘導、フィッシング、Cookie情報漏洩などの脅威があります。 XSSには主に下記3つの攻撃手法があります。 1-1 Persistent XSS(持続型XSS) Stored XSS(格納型XSS)とも言われます。悪意あるスクリプトが格納されたWebサイトを閲覧した際に、ユーザーのブラウザ上で不正なスクリプトが実行される攻撃手法です。 例えば、掲示板のようなユーザー投稿機能があるWebサイトを考えます。攻撃者が悪意あるスクリプトを含むコメントを投稿し、そのデータ
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
GoogleやIBMなども利用するDNS転送ソフト「Dnsmasq」にDNS乗っ取りを可能にする脆弱性「DNSpooq」が報告される
オープンソースのDNS転送ソフトウェアである「Dnsmasq」で7つの脆弱性が見つかりました。Dnsmasqは大手メーカーに採用される人気ソフトウェアですが、発見された脆弱性が攻撃者に利用されれば、ユーザーが無意識のうちに悪意あるウェブサイトにリダイレクトされ情報流出につながるほか、DoS攻撃のターゲットになる可能性があるとのことです。 DNSPOOQ - JSOF https://www.jsof-tech.com/disclosures/dnspooq/ DNSpooq bugs let attackers hijack DNS on millions of devices https://www.bleepingcomputer.com/news/security/dnspooq-bugs-let-attackers-hijack-dns-on-millions-of-devices
Appleは、フィッシング攻撃の可能性のあるSMS経由で送信された2ファクタ認証コードの自動入力のブロックを開始し、SMSのメッセージの形式を変更しました。 フィッシングサイトでの自動入力をブロック Appleの2ファクタ認証コードの自動入力機能は、SMSで送られてくる認証コードを入力する手間が省ける便利な機能です。しかし、ユーザーが、攻撃者によって作成された偽サイトへのリンクをクリックすると、認証コードが自動で入力され、ユーザーがフィッシングの被害を受けてしまう可能性がありました。 Appleはこの問題に対処するため、偽サイトにおける自動入力をブロックするより安全な新しいフォーマットで認証コードをSMSで送信するよう企業に呼びかけています。 新しいフォーマットでは、Webサイトと2ファクタ認証コードを送信したドメインが一致した場合にのみ、認証コードの自動入力が行われるよう変更が加えられて
(CNN) 海洋に投棄されたタイヤの中に、ヤドカリが入り込んで脱出できなくなっている――。弘前大学の研究者が行った調査で、そんな「ゴーストフィッシング(幽霊漁業)」の実態を解明した。 餌や隠れ場所を求めてタイヤの内側に入り込んだヤドカリは、内部構造に阻まれて脱出できないまま死んでいた。人間が捨てた漁網などの廃棄物に海洋生物が絡まるこの現象がゴーストフィッシングと呼ばれる。 弘前大学の曽我部篤准教授は、2012年に陸奥湾で行った調査でこの現象に気づいた。陸奥湾沿岸のヨウジウオをモニタリングする過程で、廃タイヤの内側に大量の巻き貝の殻やヤドカリが存在することを発見したという。 曽我部氏はCNNの電子メール取材に応じ、タイヤの中に入り込んだヤドカリは、タイヤの反り返った内部構造のために脱出できなくなり、やがて死んだと思われると指摘。それを自身で証明したかったと述べている。 この調査で見つかったヤ
LINEヤフーは11月27日、委託先企業への第三者による不正アクセスにより、ユーザー情報、取引先情報、従業員などに関する情報漏えいが判明したと発表した。該当情報は合計で最大約44万件に上る。 漏えいのうち最大30万2569件が「ユーザーに関する利用情報」。そのうちLINE IDとは別に、内部でユーザーを識別する文字列にひも付く、サービス利用履歴などが4万9751件。メッセージなど特定の人とのやり取りに関するような通信の秘密に該当する情報が2万2239件。日本に限ると漏えいしたユーザー利用情報は最大12万9894件で、ユーザー識別子にひも付くサービス利用履歴が1万5454件、通信の秘密に該当する情報が8981件。 なお、口座情報やクレジットカード情報、LINEアプリにおけるトーク内容は含まれないとしている。 取引先に関する個人情報は最大8万6105件が該当。そのうち、取引先などの従業員の氏名
KADOKAWAの臨時ポータルサイトより 8日未明に発生した「ニコニコ動画」をはじめとするKADOKAWAの複数のサービスのシステム障害が長期化の様相を呈している。同社はサイバー攻撃を受けた可能性が高いとしているが、詳しい原因や普及の見通しは不明。10日にはニコニコ運営チームがリリースを発表し、「ニコニコのシステム全体を再構築をするための対応を進めています」と説明していることを受け、SNS上では 「システム全体の再構築とかデスマーチ確定じゃないか」 「なんて大変な。想像を絶する」 「相当な工数かかりそう」 などとさまざまな声があがっている。なぜ障害は長期化しそうなのか。また、システム全体の再構築とは、どれほど大変な作業なのか。業界関係者の見解を交えて追ってみたい。 同社の発表によれば、障害が発生しているのは、動画共有サービス「ニコニコ動画」、KADOKAWAのオフィシャルサイト全体、ECサ
Googleから、不定期に上記のようなSMSが届きます。 半年に1回とか、1年に1回とか、それくらいのスパンです。 これは、電話番号が現在も使用されているか、 確認のために送られてくるものです。 詐欺業者からのものではなく、 Google公式によるものなので安心してください。 goo.glとは? SMSの冒頭には、Googleと書いてありますが、URLはhttps://goo.gl/LHCS9Wとなっています。 「goo.gl」というドメインを見慣れていない人は、フィッシング詐欺などを疑うかもしれません。 「goo.gl」は、Googleが運営しているURL短縮サービスで使用されているドメインです。 https://goo.gl/LHCS9W というURLを開くと、実際には、 https://support.google.com/android/answer/7521240 というURLへ
購入者からの問合せになりすましたECショップ管理者を狙うフィッシングについてまとめてみた - piyolog
2023年1月10日、ECショップ作成サービスを運営するBASEは、同社のサービスを利用するECショップ管理者に対し購入者になりすました不審メールが発生しているとして注意を呼びかけました。被害に遭ったECサイトからはさらにクレジットカード情報の窃取を狙ったメールがそのECショップの購入者宛に送られる事例も確認されています。ここでは関連する情報をまとめます。 ECショップに不正ログインし盗んだ購入者情報を悪用 【不審なお問い合わせにご注意ください】 このたび、BASE管理画面のログイン情報を不正に入手することを目的とした、なりすましの事案が確認されたため、注意喚起の記事を公開しました。重要な情報のためご確認いただけると幸いです。https://t.co/WTzbYCr41Z— BASE(ベイス)💻ネットでお店を開くなら (@BASEec) 2023年1月10日 購入者のなりすましたメッセー
研究開発部 システム&セキュリティ担当の松倉です。 世間の DMARC 対応を加速させたといっても過言ではない Gmail におけるメール送信者のガイドラインが適用開始されてから 3 ヶ月近くが経ち、NFLabs. に届くメールでも DMARC ポリシーが設定されているドメインが多くなっています。 しかしながら、そのほとんどはポリシーが none であり、DMARC レポートを通じて影響範囲を見極めている、という企業がまだ多そうです。 受信側から見ると、ポリシーが quarantine または reject であればセキュリティ観点では安心感がある一方、正規のメールが検疫や破棄となる場合もあり悩まされることがあります。 DMARC 認証の失敗原因となりがちなのはメーリングリスト等のメール転送で、NFLabs. でもこれにより正規のメールが DMARC failとなって検疫される、という事例
ブログをおっ立てて、特に書くこともなかったのですが、今日、Google Hackingをしている時にふと考えました。。。 GitHub情報多いし、GitHub Hackingできるんじゃね!? そこで素人ながら試してみたのですが、とある企業の海外拠点のサービスの内部情報やらマルウェアらしき何かやら見つかり、意外と面白そうだったので記事をおこします。 先駆者がいましたら教えてください。 Google Hackingについては要望あれば書きたいと思います。 GitHub Hackingのための材料 検索ページ 検索クエリについて 取り扱える文字 条件式 空白文字を含む場合 ファイルの内容で検索 ファイル名で検索 ファイルパスで検索 範囲指定検索 GitHub Hackingをしてみる 最後に GitHub Hackingのための材料 まずはGitHubの検索仕様を確認します。 検索ページ 普通
Webサイトを安全に構築するためのサービス選び
Webサイトへの攻撃による過去のインシデント Webサイトにメールアドレスを打ち込んでもらって何かを申し込んでもらったり、Webサイトから何かを買ってもらったり、Webサイトを経由してデータのやり取りをするケースは案外多いものと思われます。 「何かの複雑なシステムを作ろう!」と意気込んでいる場合には、案外自分に慣れ親しまない『新たな挑戦』をすることになるので、思ったよりも身構えながら慎重に進めていくのが人間の性ですが、 普段自分が「利用者」として使っている『Webサイト』についても同じように考えられているでしょうか。 Webサイトに対するセキュリティ意識 Webサイトを経由して情報のやり取りがあるということは、少なくともWebサイトからデータベースまでは、正当な経路でのデータのやり取りができているということを意味します。逆に言えば、このデータのやり取りに少しでも不十分なところがあれば、デー
4Gamer恒例企画,ゲーム業界著名人コメント集。157人が振り返る2019年と,2020年に向けた思い 編集部:荒井陽介 編集部:Igarashi 123456789→ 本日(2019年12月28日)は4Gamerの年内最終更新日。恒例となっているゲーム業界著名人の年末コメント集企画を今年もお届けしよう。今回は国内外から157人の方にご参加いただいた。 元号が平成から令和へと変わった2019年,ゲーム業界でも新時代の到来を感じさせる動きが目立った。 まず挙げるべきは次世代ゲーム機「PlayStation 5」「Xbox Series X」の発表だろう。ともにAMDのアーキテクチャを採用して8K解像度に対応し,2020年ホリデーシーズンに発売予定と,現時点では似たところが目立つ。それぞれの特徴がこれから明らかになる情報ででこまで見えてくるのか気になるところだ。 5G通信の普及を見据えて,ク
米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。 複数の認証要素で安全性を高めたはずが 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。 そこでメールなどのクラウドサービスを利用する企業の一部は、多
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF
QRコードはどんな技術で何が危険なのか?
2020年に世界的に流行した新型コロナウイルス感染症(COVID-19)により、タッチ決済などの非接触型技術が急速に普及しました。こうした非接触型技術の1つである、正方形の白黒コードをカメラで読み取る「QRコード」について、暗号化プロトコルの専門家であるテネシー大学コンピューターサイエンス科のスコット・ルオーティ助教が解説しています。 How QR codes work and what makes them dangerous – a computer scientist explains https://theconversation.com/how-qr-codes-work-and-what-makes-them-dangerous-a-computer-scientist-explains-177217 QRコードはトヨタグループに属する自動車部品メーカーのデンソーが1994年に
NTTドコモと七十七銀行は9月7日、ドコモが提供するウォレットサービス「ドコモ口座」において、七十七銀行の銀行口座登録・銀行口座変更を停止したと発表した。 ドコモ口座は、「dアカウント」とパスワードで開設できるウォレットサービスで、ドコモのキャッシュレス決済「d払い」での支払いや、ウォレット同士での送受金に残高を使うことができる(口座からのチャージ、送金は本人確認が必須)。dアカウントがあれば開設できるため、ドコモ以外のユーザーでも利用できる点が特徴だ。 今回の登録停止は、七十七銀行の口座とドコモ口座を使った不正利用が報告されたためで、Twitter上では、「ドコモコウザ」という名義で、数十万円引き落とされたという投稿が9月に入ってから複数報告されており、ドコモ口座を利用したことがないユーザーも被害にあっている模様。 ドコモ広報部に確認したところ、七十七銀行から「口座で不正な引出しがあった
進化するフィッシング攻撃。従来のフィッシング攻撃対策の常識がむしろ被害を拡大させる。(大元隆志) - エキスパート - Yahoo!ニュース
企業や個人を狙うフィッシング攻撃が急速に進化を遂げている。従来の古いフィッシング攻撃対策の常識がむしろ被害を拡大しかねない。最近の事例を交えて、進化したフィッシング攻撃について解説する。 ■急増する個人を狙うフィッシング攻撃による被害 警察庁による発表では、2019年9月から、フィッシング攻撃によるものとみられる不正送金被害が急増しており、被害件数で前月比4倍、被害額は6倍に達しているという。この勢いは衰えを見せておらず、10月も引き続き猛威を振るっている状況だという。 9月に急増したフィッシング攻撃によるものとみられる不正送金被害。出典:警察庁https://www.npa.go.jp/cyber/policy/caution1910.html■なぜ、フィッシング攻撃による被害が増加しているのか? 警察庁の発表で注視すべき点は、これが警察庁の発表で有るという点で考えると「フィッシング攻撃
Google、「Chrome Enterprise Premium」発表。Chromeブラウザにポリシーの適用や動的URLフィルタリングなどのエンドポイントセキュリティを提供
Google、「Chrome Enterprise Premium」発表。Chromeブラウザにポリシーの適用や動的URLフィルタリングなどのエンドポイントセキュリティを提供 Webブラウザが、企業においてもあらゆる業務アプリケーションのフロントエンドとして使われるようになってきたと同時に、リモートワークの普及やBYOD(Bring Your Own Device)の拡大によって、オフィス以外の場所からWebブラウザを通じて企業内のアプリケーションや業務用のサービスにアクセスする、もしくは社員の私物のスマートフォンなどからWebブラウザを通じて業務アプリケーションにアクセスする機会が大幅に増大しています。 こうした状況においては、エンドポイントとなるWebブラウザにおいてマルウェアやフィッシングの対策、データ漏洩対策を行うことが欠かせません。 今回発表されたChrome Enterpris
安全なパソコン利用のためにも、セキュリティ対策は欠かせない。Windowsが標準で搭載しているWindowsセキュリティを有効にすれば、セキュリティソフトは不要という声もある。この記事では、Windows標準のセキュリティ機能と市販のセキュリティソフトの違いや、セキュリティソフトが必要な理由を解説していく。 セキュリティソフトは何をするソフトウェアなのか セキュリティソフトとは、コンピューターをさまざまなサイバー攻撃から守るためのソフトウェアだ。例えば、ウイルスに対するワクチンや銃弾に対する防弾チョッキのようなものであり、セキュリティソフトを導入していないコンピューターは、そうした脅威に対して無防備な存在ともみなせる。 当初、セキュリティソフトはコンピューターウイルスの侵入を防ぐためのアンチウイルス、あるいはウイルス対策ソフトとして登場したものだが、時代の変化に伴ってさまざまな機能が追加さ
ChatGPTのセキュリティへの影響 | Cloud Security Alliance Japan
© Copyright 2023, Cloud Security Alliance.All rights reserved. 1 Acknowledgements Authors: Kurt Seifried Sean Heide Bogdan Filip Vishwa Manral Lars Ruddigkeit Walter Dula Eric E. Cohen Billy Toney Supro Ghose Marina Bregkou Additional Staff: Stephen Lumpe (Cover illustration, with assistance from Midjourney) This is a Release Candidate version and is subject to change. © 2023 Cloud Security Allian
Web3.0研究会報告書
Web3.0 研究会報告書 ~Web3.0 の健全な発展に向けて~ 2022 年 12 月 Web3.0 研究会 ■ 構成員(敬称略、座長・副座長以外は五十音順、肩書は研究会設置時のもの) 座 長 國領 二郎 慶應義塾大学総合政策学部 教授 副座長 稲見 昌彦 東京大学 総長特任補佐・先端科学技術研究センター 身体情報学分野 教授 石井 夏生利 中央大学国際情報学部 教授 伊藤 穰一 株式会社デジタルガレージ 取締役 チーフアーキテクト 千葉工業大学 変革センター センター長 河合 祐子 Japan Digital Design 株式会社 CEO 株式会社三菱 UFJ フィナンシャル・グループ 経営企画部 部長 株式会社三菱 UFJ 銀行 経営企画部 部長 殿村 桂司 長島・大野・常松法律事務所 弁護士 冨山 和彦 株式会社経営共創基盤 IGPI グループ会長 藤井 太洋 小説家 松尾 真
それではさっそくAnnazonの偽サイトを見てみたいと思います 偽サイトのアドレスは www2.amazon.co.jp.openid543466245identity.sekainorekisi.ddnsfree.com Amazonとは関係ない世界の歴史?関係ないアドレスになっています 利用規約、プライバシー規約、お困りですか?、ヘルプをクリック しても他のページには飛びませんでした 偽サイトに登録します ユーザー名 suteakaunto@desu.com パスワード damasarenaiyo ステアカウントでログインすると 次の表示された画面は、、、 何かお探しですか? 入力したURLが当サイトのページと一致しません Amazon.co.jpホームへクリック画面が表示されます 偽サイトの入力画面です ホームへをクリックすると アカウントサービス お支払オプションを管理 Amazo
![Amazonアラート サービス番号: [447507]](https://cdn-ak-scissors.b.st-hatena.com/image/square/cc17a45d8b548396348cc6d385187e4843351ef0/height=288;version=1;width=512/https%3A%2F%2Fmikotoniomakase.work%2Fwp-content%2Fuploads%2F2020%2F07%2Fmikoto.jpg)
伊藤忠サイバー&インテリジェンス
サイバーセキュリティー対策において組織がリスクアセスメントを実施することの重要性が語られており、サイバーセキュリティーのマネジメントは、リスクコントロールそのものであると言っても過言ではありません。 しかしながら、関連する資料を参考にしても、曖昧な内容に終始して判断に迷ったり、実施者の知識と経験が求められる部分が多かったり、その効果的な実施に各担当者が苦労している現実があります。 実効性のあるリスクアセスメントを実施するにはどうしたらよいか、伊藤忠商事・ITCCERT・伊藤忠サイバー&インテリジェンスでは長年その課題に取り組んできました。 それらの取り組みの中で、特に我々が三大脅威として定義している「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/BEC(ビーイーシー : Business E-mail Compromise)」に特化して、組織間での共通のリスク可視化を目的としたツー
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
・昨今、テレワークなど効率的な働き方が浸透中。Webサービス利用が増えると共に、管理すべきパスワードも急増。 ・「使い回し」と「単純な文字列」はNG。Webサービスを乗っ取られてしまう。 ・対策は、「1つ捻った」覚えやすい文章にすること。 テレワーク拡大で「パスワードの使い回し」大量発生!? 数年前から始まった働き方改革の推進に伴い、効率的な働き方を模索する動きが社会全体で進んでいます。テレワークやオンライン授業といった働き方/学び方も、昨今の情勢と相まって選択肢の1つとして普及していくでしょう。 そして労働効率の改善にはこれまで以上にWebサービスの利用が重要です。そして同時に、それらを利用するためのログイン情報、つまりIDとパスワードがWebサービスの数だけ必要になります。ID=メールアドレスであることが多いので、正確にはパスワードが急増するでしょう。しかし面倒だからと言って、使い回し
G SuiteアカウントでのWindows 10へのシングルサインオン、紛失時のリモートワイプ機能などが正式版に
G SuiteアカウントでのWindows 10へのシングルサインオン、紛失時のリモートワイプ機能などが正式版に 今年の1月にベータ版としてリリースされていた機能が正式版になったもの。 これによりG Suiteのアドミンコンソールを通じてiOS、Android、Chromeなどと同様にWindows 10デバイスを管理できるようになります。 具体的には、G Suite管理者はGoogleクレデンシャルプロバイダ for Windowsを通じて以下の機能など利用可能になります。 G Suiteのアカウントクレデンシャルを用いてWindows 10デバイスにログインでき、アプリケーションやサービスへのシングルサインオンが可能 Googleのアンチフィッシング、アンチハイジャッキング、怪しいログインの検知を通じてユーザーアカウントを守る さらにG Suite Enterprise、Gsuite
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
Gmail は AI を活用して、スパム、フィッシング、マルウェアの 99.9% 以上が受信箱に届かないように、毎日 約 150 億件の迷惑メールをブロックしています。しかし、Gmail の提供から約 20 年が経過した現在、私たちはメールの安全な送受信に関して複雑な問題に直面しています。 そこで、迷惑メールを阻止し、受信トレイをさらに安全にするために、大量送信者(Gmail アドレスに 1 日に 5,000 通を超えるメッセージを送信する送信者)に対する新しいポリシーを昨年の 10 月に発表しました。 メールの検証で悪意あるメールをブロック多くの大量送信者はシステムの保護と設定を適切に行っていないため、攻撃者は簡単に侵入することができます。この問題を解決するために、メール セキュリティの重要な側面である、送信者の本人検証に焦点を当てました。基本的なことのようですが、インターネット上には古
米Googleは7月12日(現地時間)、Gmailの受信箱に表示する送信者のアイコンとして、企業ロゴを表示できるようにしたと発表した。BIMI(Brand Indicators for Message Identification)を採用した企業の認証済みのロゴのみが表示されるので、なりすまし対策になる。 BIMI採用のロゴは、Gmail内で表示されるアカウントの頭文字やGoogleアカウントのプロフィール画像に代わって表示される。 BIMIは、メールの送信ドメイン認証技術、「DMARC」に基づく業界標準。Googleの他、Verizon MediaやTwilio、Fastmailなどが取り組みに参加している。 DMARCなどのセキュリティプロトコルはデジタル証明書と暗号化によるため、検証済みのロゴは実際の企業のメールドメインにしか表示されず、なりすましメールで真似することはできないことに
『Fall Guys』人気に乗じた詐欺サイトや模倣ゲーム増殖中。あの手この手、嘘と悪意で“本物のふりをする”ダマシロイヤル - AUTOMATON
今をときめくアスレティックゲーム『Fall Guys: Ultimate Knockout』(以下、Fall Guys)。その人気にあやかりつつ、ユーザーを騙そうとするコンテンツが量産されているようだ。その手口は、サイト、動画、ゲームなんでもござれ。旬を逃さんと言わんばかりに卑劣な戦いが繰り広げられているのだ。 『Fall Guys』はPC/PS4向けに発売中のバトルロイヤルゲームだ。最大60人のプレイヤーが、指定のステージにて生き残りを目指す競争が繰り広げられる。物理演算と障害物が引き起こすアクシデント性や、気軽に始められるカジュアル性が好評を博している。さらに見ているだけでも面白いというゲーム配信との相性の良さから、ゲーム動画が大量に投稿されており、そうした後押しを受け爆発的な人気を呼んでいる。 しかし人気者といえば、“狙われる立場”でもある。というのも、『Fall Guys』を騙った
用水路で魚を釣る少年と父 - mogumogumo.jp
《用水路で魚を釣る少年》という記事をアップしたのが1ヶ月前の8月28日。 mogumogumo.jp 記事でも書いている通り、その日に家の横の用水路で40cmオーバーのコイが釣れまして。 翌日には家から徒歩3分ほどの場所にて今度は30cmオーバーのナマズが釣れました。 僕はですね、感動したんです。自分の住んでいるすぐそばでこんな大き魚たちが普通にいるなんて。すぐそばなのに全く知らなかった事があるという事実に感動したんです。自分の暮らすそのすぐそばに全く知らなかった世界がある、それを知るって最高じゃないですか、ワクワクするじゃないですか。こうしてモグ家は息子ミツナリに続き、父も釣りにハマったのです。 それから1ヶ月、今では週に2〜3回は親子で近所を歩いてスポットを探して続けています。どこが深くてどこが浅いのか、どこだと魚影が見えるのか、どこなら釣れるのか、どこなら子どもでも釣りやすい環境なの
今度は「WebOTP」についてFrontend Weekly LT(社内勉強会)でお話しました - BASEプロダクトチームブログ
はじめましての人ははじめまして、こんにちは!フロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は社内勉強会 Frontend Weekly LT にて、WebOTP / OTPの概要と使い方について発表をしたので、その内容を皆さまにも共有できればと思って記事にしました。 (以前、同じように社内勉強会での発表内容が記事化された 「Frontend Weekly LT(社内勉強会)で「Vite」について LT しました」の記事もぜひどうぞ) 元々、BASEのどこかに使えないかなぁと思って個人的に調べていた内容を社内共有用にまとめたものなので一部 web.dev の記事をなぞっただけの部分もあるのですが、その内容と共にBASEでのOTPの使い方やWebOTPの利用状況についてのシェアしていければと思います。 イントロ Chrome 93から新機能が追加され、Andr
NTTドコモは5月25日、企業やサービスの公式アカウントが送信するメールに緑色の“公式マーク”を表示するサービスを始めた。送信する企業・受信する一般ユーザーともに利用料は無料。フィッシング詐欺の抑止が目的で、すでに佐川急便や三菱UFJ銀行、LINEなど13社が導入済みという。 登録した企業のメールに加え、ドコモが提供する「dカード」や「d払い」といったサービスの公式アカウントが送るメールにもマークを表示する。ユーザーは、Androidでは「ドコモメール」のスマートフォンアプリ、iOSではブラウザ版アプリからメールを閲覧した場合に、公式マークの有無を確認できる。 導入を希望する企業の申し込みは専用サイトで受け付ける。審査などにかかる期間は最短で1カ月。利用に当たってはSPF(メール送信元のサーバのIPアドレスを基になりすましを防ぐ認証技術)の導入や、性的なメールを送らない、マルチ商法に使わな
お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト
トヨタ自動車株式会社ならびにトヨタコネクティッド株式会社が提供するコネクティッドサービス*「T-Connect」をご契約いただいた一部のお客様のメールアドレスおよびお客様管理番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、29万6,019件が漏洩した可能性があることが判明致しました。お客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。 対象となるお客様は、2017年7月以降、「T-Connect」のユーザーサイトにてご自身のメールアドレスをご登録いただいた方となります。また、漏洩の可能性のある個人情報は、メールアドレスおよびお客様管理番号となり、氏名、電話番号、クレジットカード等その他の情報については、漏洩の可能性はなく、「T-Connect」のサービス自体への影響もございません。 セキュリティ専門家による調査の結果、お客様のメールアドレス
ChatGPTに人格を与えるとどうなる? スティーブ・ジョブスになりきってEUに毒舌、有害性が増大:この頃、セキュリティ界隈で AIチャット「ChatGPT」に人格を持たせると、性差別や人種差別など不穏当な発言を連発するようになって有害性が増大する──米国の非営利研究機関「アレン人工知能研究所」(AI2)はそんな研究結果を発表した。例えばスティーブ・ジョブズ氏の人格を持たせたChatGPTは、欧州連合(EU)について毒舌を吐いたと伝えている。 AI2は、マイクロソフトの共同創業者である故ポール・アレン氏が共同創設した研究機関。ChatGPTのような大規模言語モデル(LLM)のもつ可能性と限界のギャップを研究する目的で、ChatGPTで生成したコンテンツの有害性を分析した。 ChatGPTは初期設定で使う限り、一般的には差別用語などを含むコンテンツは生成しない仕様になっている。しかしAI2は
会社から従業員に向けてボーナスの通知が送られ、従業員が必要情報を入力して返信したところ、実はフィッシング詐欺に対する意識の高さを確認するテストであり、返信した人にはボーナスではなく再訓練のお知らせが届いた……という事態が報告されています。新型コロナウイルス感染症(COVID-19)に伴う困難が多かった一年の終わりに最も残酷ないたずらだと話題になっています。 GoDaddy Employees Were Told They Were Getting a Holiday Bonus. It Was Actually a Phishing Test. https://coppercourier.com/story/godaddy-employees-holiday-bonus-secruity-test/ GoDaddy wins our 2020 award for most evil com
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Facebookのリンクは「クリックする瞬間」だけ別のリンクにすり替えられる
Slackで認定されたURLリンク偽装の脆弱性
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
Apple、2ファクタ認証機能でフィッシング攻撃のSMS自動入力をブロック - iPhone Mania
廃タイヤに入ったヤドカリ脱出できず、「幽霊漁業」の実態解明 弘前大研究
LINEヤフーで不正アクセス、約44万件の利用情報などが漏えい 委託先PCがマルウェア感染
ニコ動・障害、復旧まで1カ月かかる可能性も…再構築に「デスマーチ」心配の声
Googleによる電話番号の確認 詳細 https://goo.gl/LHCS9WのSMSは詐欺業者ではありません
メール認証における ARC の仕組みと DMARC fail の対策 - NFLabs. エンジニアブログ
ド素人がGitHub Hackingというものを考え試してみた - かわしまのつぶやき
4Gamer恒例企画,ゲーム業界著名人コメント集。157人が振り返る2019年と,2020年に向けた思い
「多要素認証」を破る大規模フィッシング、1万社以上のMicrosoft 365利用企業を襲う
CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog
ドコモと七十七銀行、「ドコモ口座」への口座登録をストップ--不正利用の発覚で
Windows標準のセキュリティ機能だけでは不十分? セキュリティソフトが必要な理由
Amazonアラート サービス番号: [447507]
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
より安全で迷惑メールの少ない受信トレイを実現する新しい Gmail のポリシーについて
Gmail、なりすまし対策で送信元アイコンに企業ロゴ表示を可能に
ドコモ、キャリアメールに“公式マーク”表示 フィッシング詐欺を抑止 佐川急便など13社が導入
ChatGPTに人格を与えるとどうなる? スティーブ・ジョブスになりきってEUに毒舌、有害性が増大
偽の「ボーナス通知」が従業員を試すために送信され「邪悪すぎる」と話題に