並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 613件

新着順 人気順

フィッシングの検索結果1 - 40 件 / 613件

  • 私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security

    新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最

      私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security
    • こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】

        こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】
      • セキュリティエンジニアを3年続けて分かったおすすめ勉強法

        セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場

        • KADOKAWAグループへのサイバー攻撃や悪質な情報拡散についてまとめてみた - piyolog

          2024年6月9日、KADOKAWAやニコニコ動画などを運営するドワンゴは、同グループの複数のWebサイトが6月8日未明より利用できない事象が発生と公表しました。システム障害の原因はランサムウエアによるもので、ニコニコ動画は復旧まで約2か月を要しました。またリークサイトから盗まれたとみられる情報を取得してSNSへ公開するなど悪質な情報拡散が確認されました。ここでは関連する情報をまとめます。 1.KADOKAWAグループのデータセンターでランサムウエア被害 公式及び報道より、データ暗号化の被害にあったのはKADOKAWAグループ企業 KADOKAWA Connectedのデータセンター(DC6)で運用されていたプライベートクラウドやそのクラウド上で稼働していたドワンゴ専用サーバー。またドワンゴの認証基盤であったActive Direcotryサーバーも攻撃者の制御下に置かれた。 侵害活動の拡

            KADOKAWAグループへのサイバー攻撃や悪質な情報拡散についてまとめてみた - piyolog
          • どうしてもドメインを永久保持できない企業向け 企業はどうドメインを捨てるべきか - Web > SEO

            コロナ禍中に取得された地方自治体のドメインがオークションで高値売買され、中古ドメインとして悪用されるなど、公的機関のドメイン放棄問題が注目されています。 11月25日のNHKニュース7でドメイン流用の件が報じられました。私も取材を受け少しご協力をしています。 www3.nhk.or.jp 公的機関のドメイン放棄問題の理想の解決は、今後は lg.jp、go.jp などの公的機関しか使えないドメインだけを使うようにすることです。 ただ今回の問題はコロナ禍初期の大混乱時、非常にスピーディにサイト立ち上げが求められていた時の話です。 信頼が求められる lg.jp などのドメインの利用には厳格なルールがあるのも当然です。あの混乱時期にルール改定も難しかったと思います。新規ドメインが選ばれた事は仕方がない事と思っています。 ただ、コロナ禍が落ち着いた今、無責任に放棄されるのは明らかな問題です。 今回の

              どうしてもドメインを永久保持できない企業向け 企業はどうドメインを捨てるべきか - Web > SEO
            • パスワードはおしまい! 認証はパスキーでやろう

              はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン

                パスワードはおしまい! 認証はパスキーでやろう
              • Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita

                最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。 手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在する この手法は第三者のTwitterカードを利用することができる つまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができる これはフィッシングの手法になりうる 見つけたツイート 以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ

                  Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita
                • パスキーの基本とそれにまつわる誤解を解きほぐす

                  2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。

                    パスキーの基本とそれにまつわる誤解を解きほぐす
                  • 変なドメイン取るな.net

                    このサイト is 何 ドメインの取得と運用は慎重に行ったほうがいいということを身をもって伝えるために生まれたサイトです。 変なドメイン取るなとは インターネット上のドメインは、未登録であれば、多くは簡単な操作ですぐに取ることができます。 費用についても、(ものにもよりますが) 企業や自治体などの団体からすれば大した金額ではありません。 そのため、一時的なキャンペーンなどのために気軽にドメインを取得・運用する例が跡を絶ちません。 取得するのはいいのですが、問題が起こるのはそのドメインを使って運営していた Web サイトが役目を終えたときです。 ドメインの取得は早いもの勝ちなので、誰かが取得済のドメインを取ることは基本的にできません。 しかし、元の持ち主が手放したドメインは別です。 いったん放出されたドメインは、誰の手に渡るかわかりません。 そのドメインで運用される Web サイトがどんなもの

                    • 「Twitter.com」を「X.com」に自動変換 Xが仕様変更も、批判相次ぎすぐ撤回 ネット失笑

                      「Twitter.com」という文字列を入力したはずなのに、Xにポストした瞬間、自動的にその文字列が「X.com」に変換されてしまう――トラブル続きのXで今度はそんな現象が発生し、詐欺に利用されかねないとして一部のユーザーが警戒を呼びかけた。問題は間もなく解消されたものの、Xの混乱ぶりにあきれる声や批判の声が飛び交っている。 米メディアのMashableやKrebs on Securityによると、自動変換はiOS向けのXで4月8日(米国時間)に始まった。この問題は「Twitter.com」が「X.com」に置き換わるだけにとどまらなかった。 例えば「space-twitter.com」というリンクをポストすると、末尾の「twitter.com」の部分の文字列だけが勝手に「x.com」に置き換えられて、Xの画面では「space-x.com」と表示される。一方で、実際のリンク先は変わらないま

                        「Twitter.com」を「X.com」に自動変換 Xが仕様変更も、批判相次ぎすぐ撤回 ネット失笑
                      • 株価大幅下落で新NISA「損切り民」が続出?

                        株価が25日も値下がりし、一時は4万1000円を超えていた日経平均ですが、その高値からは3000円以上、値下がりしていて、新NISA(少額投資非課税制度)を始めたことを後悔する投稿も相次いでいます。 25日、日経平均株価は24日より831円余り下げて3万7628円。再び3万8000円台を割り込みました。 異変が起こったのは19日。終値が3年ぶりに1000円以上、下落したのです。要因は中東情勢の緊迫。イスラエルによるイランへの攻撃の報道を受け、一時1300円以上、下落しました。 今年に入って上昇を続け、一時4万円の大台を突破した株価。さらに、より投資が身近になる新NISAが始まり、投資熱が高まるなかでのこの大幅下落。SNSには悲鳴にも似た声が…。 Xへの投稿 「毎日、資産が減り続ける。NISAは何かの陰謀か?」 「貯蓄より投資と言われてだまされた。もうかるって言ったじゃないか」 資産運用の後

                          株価大幅下落で新NISA「損切り民」が続出?
                        • イオンカード、不正利用の対応遅れを謝罪 「カード止めてと依頼しても止まらず、数十万円請求された」などの声

                          「イオンカードを不正利用され、カード会社に対応を求めたのに、何カ月も対応してもらえないまま不正利用が続いている」――こんな悲鳴がXに相次い投稿されて、話題になっている。 こうした声を受け、イオン銀行とイオンフィナンシャルサービスは10月8日、不正利用の被害対応に時間がかっていると謝罪。「被害実態や複雑かつ巧妙化する犯罪手口の解明と、被害金額の特定・返金処理などに時間を要している」と釈明した。 Xでは「イオンカードの不正利用が6月に発覚し、止めてほしいと依頼しても止まらず、8月までに30万近く支払った」「不正利用されてカードを再発行したけれど、返金が可能か3~6カ月かかるので不正利用分はいったん支払った。返金されるか不安」「1月にイオンカードに不正利用の連絡をしたが、関連の書類が10月にようやく届いた」などの声が出ている。 ここ最近は、フィッシング詐欺による被害や、ECサイトへの不正アクセス

                            イオンカード、不正利用の対応遅れを謝罪 「カード止めてと依頼しても止まらず、数十万円請求された」などの声
                          • ニトリの組み立てサービス付でベッドを配達頼んだら時間を読み違えて現着に間に合わず再配達になった人の長文への反応

                            羽田徹_別荘民泊プロデューサー @hada0505 融通が利かないニトリさん。 大手だからルールあるのは分かる。 でもね、田舎の僻地だし、もう一回来てもらうの申し訳ないでしょ? だから、「キーボックスで鍵開けて中に入れて下さい」って、入れてもらう時はある。 配達の方も「助かります!入れときます」って。 でも今日は、 「それは会社の規定でできません」 って。 ベッドの組み立てサービスも使ったので9台もベッド組み立てる必要あった。 「じゃぁ、あと27分で着きますから、作業しといて下さい。作業している間に着きますから」 「お客様がいないと中に入れません」 「大丈夫です。家の中にはまだ何も無いので、無くなったとか盗まれたとか言いませんから。再配達になる方が面倒なので」 「私では判断できないので、会社に連絡します」 会社から電話が掛かってきた。 「やはり中に入ることはできません」 そのやり取りの間に

                              ニトリの組み立てサービス付でベッドを配達頼んだら時間を読み違えて現着に間に合わず再配達になった人の長文への反応
                            • 迷惑メールは「meiwaku@dekyo.or.jp」に転送しちゃうといいぞ!/「不在だったので荷物を持ち帰りました」みたいなフィッシングSMSも受け付け中【やじうまの杜】

                                迷惑メールは「meiwaku@dekyo.or.jp」に転送しちゃうといいぞ!/「不在だったので荷物を持ち帰りました」みたいなフィッシングSMSも受け付け中【やじうまの杜】
                              • マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話

                                マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応,全容がわかってきたので記録として残しておきます。 クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい! かなりの部分は上記の方と類似していましたので,こちらもご参照ください。 セゾンポータルアプリへの通知で気付く 最初に気付いたのは,セゾンポータルアプリへの通知でした。 この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。 続いてクレディセゾンモニタリング担当からSMSが セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。 上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物で

                                  マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
                                • HTTPSは安全なのか? - Qiita

                                  いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか? コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ (編集履歴はqiitaの機能で見れると思います) 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え

                                    HTTPSは安全なのか? - Qiita
                                  • 徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策

                                    徳丸浩氏に聞く、クレカ情報の非保持化に潜む漏洩リスクとEC事業者の対策 ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がク

                                      徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策
                                    • ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果

                                      パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ

                                        ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
                                      • パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai

                                        この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。 とりあえずドラフトですが公開します。識者のみなさまの暖かく、そして鋭いツッコミを期待します。 パスキーについて、非常にわかりやすいブログをえーじさんが書いてくださいました。コレを読んで頂ければほとんどのことが分かると思います。 先日の次世代Webカンファレンスで、私は、「結局、パスキーは秘密鍵と公開鍵のペア」と申し上げた立場からも、この疑問はごもっともだと思いましたので、すこし、私の思うところを述べたいと思います。 パスキーは2要素認証の場合が多いほとんどのユーザは、OS標準のパスキーを使うのではないかと思います。そして、生体認証、もしくは画面ロック用のパスワードやPIN等が設定されていない限り、OS標準のパスキーを使うことができません。そして、OS標準パスキーの利用時には、生体認証もしくは画面ロック解除のため

                                          パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai
                                        • カドカワ公表の情報漏洩の原因に衝撃走る「権限ある社員なら誰でも起こせる」

                                          ドワンゴが所在する歌舞伎座タワー(「Wikipedia」より/Tak1701d) ハッカー集団からマルウェアを含むサイバー攻撃を受け情報漏洩が起き、一部サイトやサービスが停止していたKADOKAWA。今月5日には「ニコニコ動画」が再開するなど徐々に正常化に向かいつつあるが、同日には「ニコニコ動画」を運営する子会社のドワンゴがプレスリリースを発表し、情報漏洩の原因や範囲を説明。窃取されたアカウント情報によって社内ネットワークに侵入されたことが原因だと推測したが、悪意を持った社員などがアカウントを使ってシステムにアクセスすることによって情報漏洩やサービスダウンを起こせる可能性が改めて認識され、「逆に恐ろしい」「アクセス権限を持つ社員なら誰でも起こせる」といった声もあがり一部で衝撃が走っている。 KADOKAWAのシステムで障害が発生したのは6月上旬のことだった。動画共有サービス「ニコニコ動画」

                                            カドカワ公表の情報漏洩の原因に衝撃走る「権限ある社員なら誰でも起こせる」
                                          • ランサムウェア攻撃による情報漏洩に関するお知らせ | 株式会社ドワンゴ

                                            {.md_tr}株式会社ドワンゴ 株式会社ドワンゴ(本社:東京都中央区、代表取締役社長:夏野剛)は、このたびの当社へのランサムウェア攻撃に起因した情報漏洩により、関係するすべての皆様に多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。 6月8日にKADOKAWAグループの複数のサーバーにアクセスできない障害が発生した事実を受け、早急に社内で分析調査を実施したところ、ニコニコを中心としたサービス群を標的として、KADOKAWAグループデータセンター内の当社専用ファイルサーバーなどがランサムウェアを含む大規模なサイバー攻撃を受けたものと確認されました。 当社およびKADOKAWAグループでは本事案発生時以降、社外の大手セキュリティ専門企業の支援を受けながら、情報漏洩の可能性および漏洩した情報の範囲を把握するための調査を鋭意進めてまいりました。このたび現時点の調査結果として

                                              ランサムウェア攻撃による情報漏洩に関するお知らせ | 株式会社ドワンゴ
                                            • FBIがみんなに広告ブロッカーを使って欲しい理由

                                              FBIがみんなに広告ブロッカーを使って欲しい理由2023.11.15 16:3598,228 Thomas Germain - Gizmodo US [原文] ( Kenji P. Miyajima ) 2022年12月26日の記事を編集して再掲載しています。 みなさんは広告ブロッカー、使ってますか? 凶悪犯罪の捜査で忙しいはずの米連邦捜査局(FBI)が、公式サイトで広告ブロッカーを使用するように呼びかけました。 広告ブロッカーはネット詐欺防止に効果的GoogleやBingなどの検索結果にブランドや企業の広告が表示されるじゃないですか。インターネット犯罪苦情センターによると、広告のブランドになりすました犯罪者が何の疑いも持たないユーザーを本物そっくりの偽サイトに誘導して、ランサムウエアやフィッシング攻撃の餌食にするそうです。FBIは、対応策として広告ブロッカーが効果的としています。 FBI

                                                FBIがみんなに広告ブロッカーを使って欲しい理由
                                              • KADOKAWAのハッキングの話が雑すぎるので書く

                                                まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワードはすぐ変えるの推奨) 会社のシステムはどうなってるかこれはシステムがある会社で働いたことある人はわかるんじゃないかと思うけど 会社のシステムというのはいろんなものがあってそれぞれ全然別 メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるとは限らないというか多分されない さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)でスキルが全然違うのでやっているチームは普通違うし、物理的にサーバーがある場所も違うことが多い そのうえクレジットカードや最近ではシステムにアクセス

                                                  KADOKAWAのハッキングの話が雑すぎるので書く
                                                • 不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社

                                                  LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、ユーザー情報・取引先情報・従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせいたします。 本件につきまして、以下の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。 なお、後述の当社へのアクセスの経路となったと推測される当社関係会社のシステムからは、当社の各サーバーに対するアクセスを遮断しております。11月27日時点でユーザー情報や取引先情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め必要な対応が発生した場合は速やかに対応してまいります。 ■発生した事象 当社関係会社である韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに

                                                  • Amazon SESとAmazon Route 53によるDKIM, SPF, DMARCの設定 - DMARCパラメータの概要と設定例 - - NRIネットコムBlog

                                                    小西秀和です。 2024年2月1日以降、Gmailでは迷惑メール削減を目的として、Gmailアカウントにメール送信する送信者は送信元アドレスのドメインにDKIM(DomainKeys Identified Mail)、SPF(Sender Policy Framework)の設定が必要となりました。 また、Gmailアカウントに1日あたり5000件以上のメールを送信する場合にはDMARC(Domain-based Message Authentication, Reporting, and Conformance)の設定も必要となっています。 参考:Email sender guidelines - Google Workspace Admin Help このような事情から最近再びDKIM, SPF, DMARCの設定に関する話題が多くなっていたので、今後の新規ドメインによるメール送信も考

                                                      Amazon SESとAmazon Route 53によるDKIM, SPF, DMARCの設定 - DMARCパラメータの概要と設定例 - - NRIネットコムBlog
                                                    • 偽のセキュリティ警告画面(サポート詐欺)が表示される仕組み - NTT Communications Engineers' Blog

                                                      みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析をしています。 最近、広告から偽のセキュリティ警告画面に飛ばされる事例が目立っています。 本記事では、偽のセキュリティ警告画面が表示される仕組みについて、実際に使われているツールを使って紹介していきます。 ぜひ最後まで読んでみてください。 NA4Secについて 「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有

                                                        偽のセキュリティ警告画面(サポート詐欺)が表示される仕組み - NTT Communications Engineers' Blog
                                                      • 認証に電話網を使うのはそろそろやめよう

                                                        こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして

                                                        • Google AI「折りたたみスマホ40%」事件

                                                          Google Drive のデータ消失不具合の陰に隠れているし、こちらは直接の被害はほとんどないが 今後もこの調子が続くならば、検索のGoogleという強みも、今後のAIでのシェアも揺らぐであろう事態が起きた Google検索の試験運用AIや、Google Bard に日本での折りたたみスマホの普及率を尋ねると 「折りたたみスマホを持つ人の割合は40%」と回答したのだ (注:この増田を書いている時には学習元となった記事も消え、Google AIも40%を返さなくなっている) 2023年現在の日本では折りたたみスマホを持つ人はレアであり40%という数字は明確な誤りである、というのは前提としてほしい Googleに限らず、AIが誤った回答を出すことは多い しかしこの事件は、誤答の経路がハッキリしている点で他のAI誤答とは一線を画している 1.合同会社リュミエールデスポワールがPR TIMESに

                                                            Google AI「折りたたみスマホ40%」事件
                                                          • 2024年のWebアクセシビリティ | gihyo.jp

                                                            あけましておめでとうございます。株式会社ミツエーリンクスの中村直樹です。昨年と同じく、2023年のWebアクセシビリティに関連する出来事を振り返りつつ、2024年のWebアクセシビリティの展望について俯瞰していきたいと思います。 WCAG 2.2の勧告とWCAG 2.1の更新 長らく待ちわびていたWCAG 2.2について、2023年10月5日付けでようやくW3C勧告(Recommendation)となりました(日本語訳はまだありません。詳細は後述の「臨時WGの活動状況」を参照⁠)⁠。また、これと連動する形でWCAG 2.1(日本語訳)の勧告も改めて発行されました。 今回のWCAG 2.1の更新では、達成基準4.1.1構文解析に注記が設けられています。これにより、WCAG 2.2で削除された達成基準4.1.1の扱いについて連続性が保たれるようになっています。WCAG 2.1からの変更点は、公

                                                              2024年のWebアクセシビリティ | gihyo.jp
                                                            • 激安焼き肉弁当、QRコードで頼んだら…カード情報聞かれる新手口か:朝日新聞デジタル

                                                              ","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

                                                                激安焼き肉弁当、QRコードで頼んだら…カード情報聞かれる新手口か:朝日新聞デジタル
                                                              • メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる

                                                                  メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる
                                                                • バーチャルボーイ史上、もっとも重要なゲーム19選

                                                                  ■ゲームボーイ史上、もっとも重要なゲーム10選 https://anond.hatelabo.jp/20241026213447 ■ゲームボーイアドバンス史上、もっとも重要なゲーム10選 https://anond.hatelabo.jp/20241029214132 お次はバーチャルボーイの19選をやるぞ。 ①マリオズテニス(任天堂) ②ギャラクティックピンボール(英語版)(任天堂) ③テレロボクサー(任天堂) ④レッドアラーム(英語版)(T&amp;E SOFT) ⑤とびだせ!ぱにボン(ハドソン) ⑥T&amp;E ヴァーチャルゴルフ(英語版)(T&amp;E SOFT) ⑦バーチャルプロ野球'95(コトブキシステム) ⑧バーティカルフォース(英語版)(ハドソン) ⑨V・テトリス(英語版)(BPS) ⑩マリオクラッシュ(任天堂) ⑪スペーススカッシュ(英語版)(ココナッツジャパンエンタ

                                                                    バーチャルボーイ史上、もっとも重要なゲーム19選
                                                                  • はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知

                                                                    2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの

                                                                      はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
                                                                    • 海外を中心に「街中のQRコードを不正利用して個人情報を抜き取る」という「クイッシング詐欺」が流行しているらしい

                                                                      🐰まおまお🐰 @OllieTheUsagi うちの旦那は銀行屋に務めているのだけど、詐欺アラートの中で最近増えてるのがQRコードを使った詐欺。レストランのメニューとかお店の情報とか最近QRコードでサイトにアクセスしてねって物が多い。詐欺師がそれを偽物にすり替えて、誰かがアクセスしたら全部個人情報流れるようになってるらしい。 🐰まおまお🐰 @OllieTheUsagi 長い間ネザーランドドワーフ🐰の下僕で、今はギズモさんに仕えてます。 アートと音楽とゆるい笑いが好きで頑張り過ぎずに生きてます。ナチュラル・ボーン・怠け者。楽する事ばかり考えてます。イギリスと言う島に住んでる🇬🇧。 調べてみると、海外を中心に「クイッシング」と呼ばれる詐欺手口が増えているとのこと。日本でも数年前から「ステッカー型詐欺」など同じような手口のフィッシング詐欺は増えているそうです。 クイッシングとは【用語

                                                                        海外を中心に「街中のQRコードを不正利用して個人情報を抜き取る」という「クイッシング詐欺」が流行しているらしい
                                                                      • 日本人のサイバーセキュリティ知識は世界最下位

                                                                        日本人のサイバーセキュリティ知識は世界最下位世界のオンラインプライバシーとサイバーセキュリティに対する意識は悪化の一途をたどっているという調査結果 世界のオンラインプライバシーとサイバーセキュリティに対する意識は悪化の一途をたどっているという調査結果 昨年と比べ、日本は世界ランキングで9位から12位に後退しました。韓国と並び世界最下位です。 日本人はAIを仕事に使用する際のプライバシー問題について無知です。 2023年と比較すると、FacebookがFacebookを利用していない人のデータも収集できることを理解している日本人の数は減りました。 サイバーセキュリティ企業NordVPNの新たな調査[https://nordvpn.com/ja/blog/national-privacy-test-japan-2024/] によると、サイバーセキュリティとインターネットプライバシーに関する知識

                                                                          日本人のサイバーセキュリティ知識は世界最下位
                                                                        • 神奈川県立高校の出願システムはどうするべきだったか

                                                                          安易にjpドメインを取得して運用を試みるべきでなかったここの結論を先にいうと,神奈川県公立高等学校入学者選抜インターネット出願システムなんだからドメインは shutugan.pref.kanagawa.jp か shutugan.pref.kanagawa.lg.jp などの地域型JPドメインか属性型JPドメインを使う設定をするべきであった. これは最近問題になっているいわゆる行政サイト使い捨てドメイン問題とも関連あるし,(1次ソースにするには怪しいとしても総合的にみると載っている情報は正しそうな)カナガク https://kanagaku.com/archives/69495 によれば,なんと shutsugankanagawa.jp shutsugan-kanagawa.jp nyuushi-kanagawa.jp の三つとも本番環境として使われているようなのであり( nyushi-k

                                                                            神奈川県立高校の出願システムはどうするべきだったか
                                                                          • アドビ基本利用条件のアップデートに関するお知らせ

                                                                            アドビは、いくつかの特定の領域についてより明確にすることを目的として、基本利用条件を更新し、Adobe Creative CloudおよびAdobe Document Cloudをご利用のお客様にこれらの規約の定期的な再承認を促しました。この更新の内容に関して、多くのご質問をいただきましたので、説明をさせていただきます。 アドビは、透明性の確保とクリエイターの権利を保護し、お客様が最高の仕事をできるようにすることに引き続き全力を尽くします。 基本利用条件の変更点 今回の更新の焦点は、アドビが実施しているモデレーション・プロセスの改善について、より明確にすることでした。生成AIの爆発的な普及と、アドビの責任あるイノベーションへのコミットメントを考慮し、コンテンツ投稿の審査プロセスに、手動モデレーションの強化をすることにしました。 基本利用条件で変更のあった箇所は以下の通りです。 ※日本語の基

                                                                              アドビ基本利用条件のアップデートに関するお知らせ
                                                                            • コスト最適化目的で個人 AWS アカウントの整理をした

                                                                              ここしばらく円安が続いているのと、結局自宅サーバのおもりがへたっぴで崩壊し続けている関係で EC2 とかばんばか使っていたら日本円コストが嵩んでしまっていた。2024/2 から Public IPv4 Address 課金も開始されるのもきっかけ。 なんとかすべく 2023 年末に休みを取って大整理をやった。サボっていたけどこのままだとさすがにキツいなと思って基本的にはしょうもない整理です。基本的には homelab として意図的に色々あそべるようにしていたのを止めたりとかになる。ご笑覧ください。 どんなもん 月間コスト 378 USD (2023/8) → 153 USD (2023/12), without tax 日本円コスト 59,099 JPY → 24,583 JPY/mo, with tax 内訳 (USD); EC2-Instances: 140.92 → 61.27 S3

                                                                              • Google認証に不正アクセスの脆弱性、パスワード変更では不十分

                                                                                The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register

                                                                                  Google認証に不正アクセスの脆弱性、パスワード変更では不十分
                                                                                • 徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは

                                                                                  徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。

                                                                                    徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは