サイバー攻撃者たちの攻撃手法は日々巧妙化しています。何と最近、頼みの綱だった2要素認証ですら突破された事例まで報告されました。サイバー攻撃者は果たしてどのような手法を使ったのでしょうか。 コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗(しつよう)に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 新たな標的型攻撃についても注意が必要です。一部のかいわいで流行している手口としては、海外からのインタビュー依頼が届き、取材に必要な翻訳やビデオ通話といったツールを指定され、これをダウン
iOS 18世代ではこれまでキーチェーンとして提供されていた機能が「パスワード」アプリとして切り出される(出典:AppleのWebサイト) コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗(しつよう)に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 Cloudflareが受けた攻撃のフロー。入力されたID/パスワードなど、フォームに入力された情報はリアルタイムに攻撃者に渡るため、TOTPベースのワンタイムパスワードも有効期限が切れる前に悪用できてしまう(出典:「The mech
FIDO認証のセキュリティキーとして人気のYubiKeyに脆弱(ぜいじゃく)性があることが判明したと、セキュリティ企業のNinjaLabが発表しました。脆弱性を突いた攻撃には高度な知識と高価な設備が必要ですが、YubiKeyはファームウェアの更新ができないため、バージョン5.7より前の製品はすべて永久に脆弱なままとなります。 Security Advisory YSA-2024-03 | Yubico https://www.yubico.com/support/security-advisories/ysa-2024-03/ EUCLEAK - NinjaLab https://ninjalab.io/eucleak/ YubiKeys are vulnerable to cloning attacks thanks to newly discovered side channel |
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF
すっかりオキニのブランド ダイワピア39・テックドローストリングマルチボーダーTレビュー ディテール カラー 素材 着用イメージ(サイズ感、コーディネート、シルエット) まとめ すっかりオキニのブランド 比較的何か一つのブランドに固執する傾向がない私ですが、ダイワピア39は最近結構何着も買ってしまっている所を鑑みると、好きなのだろうなと思っています。 最近テック系のブランドの勢いが強く、トレンドと言われるようになってから幾分か年月も経っていますが、私もいい歳ではあるので如何にもど真ん中のテック系ブランドはどちらかというとやや苦手。 その点ダイワピア39はバックグラウンドにフィッシング3大ブランドの1つであるDAIWA(ダイワ)があり(後はシマノとアブ・ガルシア)、それを街着に昇華しているというストーリーがあるので抵抗がなくなっている気もします。 勿論普通に格好良いしデザインセンスも高いので
医療・介護事業などを展開するニチイホールディングス(HD)は9月2日、ランサムウェア攻撃を受け、PC 計20台を経由して、約2万6000件のファイルが暗号化されたことが分かったと発表した。 暗号化されたファイルには、同社の採用候補者や顧客などの個人情報が含まれていたが、その詳細はまだ分かっていないという。 8月8日、子会社で介護事業を展開するニチイケアパレスのPC 1台がランサムウェアに感染していることが判明。その後、ニチイHDと子会社のニチイ学館で使っているPCでもデータ暗号化を確認した。 外部の専門企業の協力を得て調査した結果、8月30日までにPC 20台を経由して約2万6000件のファイルが暗号化され、開封できなくなっていることを確認したという。 暗号化されたファイルには、顧客や関係企業の担当者、ニチイHDの採用候補者、従業員、元従業員の個人情報が書かれたファイルが含まれていることが
一ヶ月ほど前になってしまいました いわき市「食工房いろは」の 夏の期間限定カレーにチャレンジ宣言していたのですが すっかり報告を忘れていました💦 チャレンジは台風5号の影響で釣りが出来なかった 8月11日です 今年は、台風が多く感じるな(*_*; 開店時間の11時には行列が出来るかもしれないという 情報を得ていたので30分前に行ってみたら 一番乗り(;^ω^) それでも開店前には十人以上の行列でした この日は、カレーの提供が最終日だったので 確実にチャレンジできる位置で入店出来て まず第一段階はクリアーです! カレー大に挑戦しようと思っていたのですが 大将から「大はファミリー向けの米4.5合なので家族に食べてほしい」のお話をいただき 4.5合も食えるわけないし💦 中をお願いしました。 これぞ期間限定カレーライス 内側から食べていかないと 決壊を起こしてしまう! カルデラ湖タイプだった
Mastercard(マスターカード)は、生体認証を活用した新たにペイメントパスキーのサービスを発表し、グローバル展開に先駆けてインドで試験導入するという。この決済ではオンラインショッピングがより安全で簡単なものになるとしている。 同社はすでにJuspay、Razorpay、PayUなどの決済代行サービス企業やオンラインスーパーのBigBasket、アクシス銀行などと提携している。 インドでのペイメントパスキーの導入は、8月28日から3日間にわたってムンバイで開催されたグローバル・フィンテック・フェスでの基調講演で発表された。試験導入では消費者心理やペイメントパスキーに対する消費者の反応について興味深い洞察が得られそうだ。 使いやすさからワンタイムパスワード(OTP)の人気が高まっているが、マスターカードはフィッシングやSIMスワップ、SMSインターセプトといったオンライン詐欺の被害を受け
トレンドマイクロは8月29日(米国時間)、「Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool|Trend Micro (US)」において、パロアルトネットワークスのエンドポイント向け次世代ファイアウォール「GlobalProtect」に偽装したマルウェアを発見したと報じた。このマルウェアは主に中東のユーザーを標的にしているとみられている。 Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool|Trend Micro (US) 侵害経路 同社の調査によると、初期感染経路は不明とされる。しかしながら、偽装しているソフトウェアがVPN(Virtual Private Network)機能を持つネ
フィッシング詐欺の恐れがある怪しいメールを受信した場合、本文を開く際に警告画面を表示することで詐欺被害を防ぐ仕組み 1年間で80億円の被害! 昨年(2023年)のフィッシング詐欺における被害額は80.1億円に上りました。フィッシング対策協議会の発表によると同年のフィッシング報告件数は計119万6390件だったとのこと。2019年は通期で計5万5787件ですから、わずか4年で21倍以上に激増したことになります。 NTTドコモはこのフィッシング詐欺対策として、ドコモメールを対象に「なりすましメールの警告表示機能」を導入すると発表しています。導入の時期は2024年10月からを予定とのこと。 みなさんご存知の通り、フィッシング詐欺とは実在する企業・団体を装ったメールなどで被害者を騙して偽のWebサイトに誘導、クレジットカード情報などを含む個人情報を入力させて盗み取るという手口です。 ですから、届い
2024年8月26日週は、フランスに本社を置くサノフィが医療従事者の情報漏えいについて発表した。無許可で接続用IDを保存していたノートPCがマルウェア感染したことが原因だ。 2024年8月26日週は、サノフィからの医療従事者の個人情報漏えいの他、洋菓子を提供するエーデルワイスのECサイトが攻撃されてクレジットカード情報が漏えいした事件、損保4社からの契約者情報の漏えいが話題になった。同週の主要なセキュリティニュースをまとめて紹介する。 脆弱性攻撃にID管理への不正アクセス この1週間で起きたこと 2024年8月26日週で特に大きな話題となったのが、サノフィの情報漏えいだ。医療従事者の個人情報が70万分以上漏えいした。マルウェアを利用して個人情報を収めたデータベースにアクセスするためのID情報が盗み取られたことが原因だ。ID管理に穴があると、ソフトウェアの脆弱(ぜいじゃく)性などを利用されな
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く