並び順

ブックマーク数

期間指定

  • から
  • まで

41 - 80 件 / 403件

新着順 人気順

フィッシングの検索結果41 - 80 件 / 403件

  • 慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ

    従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及を受けて、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る恐ろしい仕様があるからだ。 偽の不在通知が猛威に SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。 2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日本郵便などを名乗る手口が出現した。 今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシン

      慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ
    • AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている

      多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して本人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。 The Booming Underground Market for Bots That Steal Your 2FA Codes https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon

        AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている
      • 激安焼き肉弁当、QRコードで頼んだら…カード情報聞かれる新手口か:朝日新聞デジタル

        ","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

          激安焼き肉弁当、QRコードで頼んだら…カード情報聞かれる新手口か:朝日新聞デジタル
        • メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる

            メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる
          • 電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない

            ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。 Bypassing 2FA - Secret double octopus https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/ 企業向けのパスワードレス認証技術を手がけるDouble Octopusによると、そもそもパスワードを用いること自体が基本的に安全なものとは言えないとのこと。そのため、2FAを導入したログイン方法もその場しのぎの対処法に過ぎず、せいぜいパスワードだけ

              電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
            • スマホ本人確認「マイナカード一本化」は本当? 実情とSIMスワップ詐欺問題を知る

              6月18日に「国民を詐欺から守るための総合対策」の報道で、「スマホ本人確認をマイナンバーカード一本化」という実際の施策とは異なるタイトルの話題が盛り上がった。5月には「偽造マイナンバーカード」を用いた「SIMスワップ」と呼ぶ手法で他人のスマートフォンの電話番号(SMS)を乗っ取り不正決済に利用される事件も話題になった。 「スマホ本人確認をマイナンバーカード一本化」報道のもとになった政府の「国民を詐欺から守るための総合対策」の概要では、赤線のように「マイナンバーカード“等”」となっている。後述するが、これはICチップを搭載する運転免許証や在留カードなども含む。「原則一本化」は法律上の本人確認方法が券面の提示のみという偽造に弱い状況を一新し、ICチップでの真贋確認を義務付けることを意味する 5月には偽造マイナカードを用いた「SIMスワップ詐欺」が話題になった。偽造の本人確認書類で他人のSIMカ

                スマホ本人確認「マイナカード一本化」は本当? 実情とSIMスワップ詐欺問題を知る
              • Google Chrome、南京錠アイコンを2023年9月に廃止

                Google Chromeチームは5月2日(米国時間)、「Chromium Blog: An Update on the Lock Icon」において、2023年9月にリリースを予定している「Google Chrome 117」からアドレスバーにおける南京錠アイコンの表示を廃止すると伝えた。代わりに「調整」を意味するアイコンを表示すると説明している。 Chromium Blog: An Update on the Lock Icon アドレスバーの南京錠アイコンはWebブラウザがHTTPSで通信を行っていることを示すものとして導入された。通信の多くがHTTPで行われていた時代、傍受を防ぎやすいHTTPSが使われていることを示すために南京錠のアイコンが導入された。導入当初このアイコンは役割を果たしたが、現在この意味は失われはじめていると点をGoogleは指摘している。 Googleは次の2つ

                  Google Chrome、南京錠アイコンを2023年9月に廃止
                • 偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう

                  万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い

                    偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
                  • 「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害

                    いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。 スーパーマーケットを展開するいなげやは11月9日、神奈川県の川崎土橋店と川崎下小田中店で、ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生したと発表した。 問題は、10月27日~11月9日に発生。QRコードからサイトにアクセスした際、「netsuper.rakuten.co.jp」という文字と「OK」ボタンを含む画面や、「モバイルアクティベーション」と書かれた画面などが表示された場合は「予定した入会サイトではない」としてすぐに閉じよう案内している。 心当たりのあるユーザーにはクレジットカード会社に連

                      「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
                    • ドコモ口座による預金引き出しにはリバースブルートフォースが使われたのか(久保田博幸) - エキスパート - Yahoo!ニュース

                      NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が拡がっている。七十七銀行だけでなく、中国銀、大垣共立銀でも新規登録を中止した。また、これらを加えて14の銀行で口座の新規登録を停止したとドコモは発表した。 今回の不正な預金引き出しには「ドコモ口座」が絡んでいた。こちらは不正引き出し先となる。こちらのからくりには、銀行口座を登録することによって本人確認が済んでしまうことで、不正に入手した銀行口座の情報だけで本人になりすましやすい仕組みとなっていたようである。 そしてもうひとつ不可解な点があった。不正に入手した銀行口座とあるが、いったいどのようにして銀行の口座番号、名義、4ケタの暗証番号を不正に入手できたのか。 これについては「リバースブルートフォース攻撃」を使ったのではないかとの指摘があった。しかし、現実にそのようなことは可能なのか。 被害が出ている銀行は限

                        ドコモ口座による預金引き出しにはリバースブルートフォースが使われたのか(久保田博幸) - エキスパート - Yahoo!ニュース
                      • Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵

                        米CDN(Content Delivery Network)大手のCloudflareは8月10日(現地時間)、米Twilioが7日に発表したものと同じ高度なソーシャルエンジニアリング攻撃を受けたが、日頃の備えが奏功し、すべて阻止したと発表した。 Twilioが攻撃されたのとほぼ同時期に、Cloudflareの多数の従業員に対する攻撃があった。3人の従業員がこれにだまされたが、自社製品「Cloudflare One」ですべてのアプリへのアクセスに物理的なセキュリティキー(ハードキー)による認証を義務付けていたため、攻撃を阻止できたとしている。 攻撃が始まったのは7月20日。セキュリティチームに対し、少なくとも76人の従業員が、個人用および仕事用のスマートフォンで不審なテキストメッセージを受け取ったと報告した。攻撃者がどのようにして従業員の電話番号リストを入手したかはまだ特定できていない。

                          Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵
                        • GitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告 - ぶるーたるごぶりん

                          GitHub の Reverse Proxy 型フィッシングサイトの発見と報告 こんにちは、でじこだにょ 今回は GitHub を狙った Reverse Proxy 型のフィッシングサイトを探していこうと思います。 (長いので、Reverse Proxy 型のことをプロキシ型と略しちゃいます) 結論から書くと、24件のフィッシングサイトを新規に発見して報告しました。 今回はそれらのフィッシングサイトの探し方のほか、フィッシングサイトの検出方法や、 セーフブラウジングなどの話をしつつ、 今回見つけたフィッシングドメインに対して、簡単ではありますが、調査と考察を行ってみたいと思います。 探そうとしたきっかけ 数日前、 Twitter を見ていたところ、こちらのツイートが流れてきました。 あっぶね GitHubだと思ったら全然違ったわ pic.twitter.com/SRtHUu3XDM— ./

                            GitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告 - ぶるーたるごぶりん
                          • 「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない

                            関連キーワード サイバー攻撃 | フィッシング | セキュリティ メールに不正な添付ファイルを仕込んで標的に送る――。これはフィッシング攻撃の代表的な手口だ。だが「その手口はもう古い」と、セキュリティベンダーMimecastは説明する。同社によると、攻撃者はさまざまなクラウドサービスを悪用し、より巧妙な手口で標的から認証情報を奪っている。特にこれから気を付けなければならない、フィッシング攻撃の新しい“3つの手口”とは。 フィッシング攻撃の新たな「3つの手口」とは 併せて読みたいお薦め記事 フィッシング攻撃の動向と対策は 「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う? “ソースコード流出”のDropboxが強化するフィッシング対策は? Mimecastによると、フィッシングを目的に不正リンクを送信する攻撃活動は活発だ。近年、ユーザー組織は不正アクセスを防ぐため

                              「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない
                            • IPA、「ビジネスメール詐欺」の対策や啓発資料をまとめた特設ページを開設

                                IPA、「ビジネスメール詐欺」の対策や啓発資料をまとめた特設ページを開設 
                              • 『架空請求』【重要】Аmazon Pay ご請求内容のお知らせ - ご注文を受け付けました:P84-7828468-0086469

                                Amazonを名乗る迷惑メールの内容こちらはAmazon(アマゾン)を名乗る架空請求業者から届いた高額請求書の迷惑メールの内容です。 件名:【重要】Аmazon Pay ご請求内容のお知らせ – ご注文を受け付けました:P84-7828468-0086469 From: Amazon.co.jp(no-reply@amazon.co.jp) Аmazon お客様 日頃は、Amazon をご利用いただきまして誠にありがとうございます。 お客様のアカウントは強制停止されています – アカウントで不審なお支払いが検出されました。取引注文を防ぐために、個人情報を確認する必要があります。 Amazonログイン なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。 概要 処理日 2020年2月8日  23:1

                                  『架空請求』【重要】Аmazon Pay ご請求内容のお知らせ - ご注文を受け付けました:P84-7828468-0086469
                                • すぐ貢献できる!偽サイトの探索から通報まで - Qiita

                                  『すぐ貢献できる!偽サイトの探索から通報まで』(Fighting Phishing Methods)の内容を「GitHubリポジトリ」でも公開しました。 本稿は、2018年7月2日に開催された Anti-Phishing Working Group 主催『巧妙化・国際化するオンライン詐欺やサイバー犯罪にどう対応していくのか?』にて講演された内容の解説記事です。 登壇資料 登壇資料のダウンロードはこちら -> 【LIVE】 すぐ貢献できる!偽サイトの探索から通報まで 不特定多数を狙った偽サイト・フィッシング詐欺は未然に防ぐのが難しく、犯罪者にとっては期待利益が高い犯行のひとつです。こうした現状を打開しようと、個人のボランティア活動として、技能を活かし「サイバー空間の浄化活動(サイバーパトロール)」に貢献されている方が数多くいらっしゃいます。本セミナーでは、誰かのために貢献してみたいと

                                    すぐ貢献できる!偽サイトの探索から通報まで - Qiita
                                  • “見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は|NHK

                                    問題です。 どちらが正規のサイトで、どちらが偽サイトでしょうか? 偽サイトに誘導し、IDやパスワードを盗んで預金をだまし取る「フィッシング詐欺」。 「見破るとか見分けるというのはまず無理」 サイバーセキュリティーの専門家はこう警鐘を鳴らしています。 ことし6月までの半年間の被害は去年1年間の2倍。 巧妙化する犯行グループの手口、そして私たちにできる対策を取材しました。 (社会部記者 安藤文音 田中開/札幌局記者 今江太一)

                                      “見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は|NHK
                                    • 日本を狙ったフィッシングサイトの情報配信はじめました - NTT Communications Engineers' Blog

                                      この記事は、 NTT Communications Advent Calendar 2023 3日目の記事です。 はじめに みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析業務をしています。 本記事では、日本を狙ったフィッシングサイトの情報配信をはじめたことについて紹介します。 セキュリティにおける情報配信について興味がある方、フィッシングについて興味がある方は、ぜひ最後まで読んでみてください。 NA4Secについて NA4Secは、「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指

                                        日本を狙ったフィッシングサイトの情報配信はじめました - NTT Communications Engineers' Blog
                                      • 攻撃者はいかにしてフィッシングサイトを隠すか?(インターンシップ体験記) - NTT Communications Engineers' Blog

                                        はじめに こんにちは、ドコモグループのサマーインターンシップ2023に参加した河井です。 普段は大学院で暗号理論の研究をしています。 この記事では、私がこのインターンシップで取り組んだことについて紹介します。 セキュリティ系インターンシップに興味のある人の参考になれば幸いです。 はじめに NA4Sec PJの紹介 インターンシップ概要 脅威検証:攻撃インフラの秘匿 セキュリティに関するクローキングとは サーバ側のクローキングの実装 IPアドレスによるクローキング RefererとUser-Agentによるクローキング 脅威検証:攻撃インフラの構築 OAuth 2.0のデバイス認可付与(RFC8628)とは 認可フローを悪用した攻撃 フィッシング攻撃の検証 おわりに 参考文献 NA4Sec PJの紹介 まずは、私がお世話になったNA4Sec PJについて紹介します。 正式にはNetwork

                                          攻撃者はいかにしてフィッシングサイトを隠すか?(インターンシップ体験記) - NTT Communications Engineers' Blog
                                        • パスワードを盗まずにアカウントを乗っ取る、新型フィッシングの恐ろしすぎる手口

                                          フィッシング詐欺の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。 アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。 パスワードを盗むのが常とう手段 一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ。攻撃者は実在する企業などをかたった偽メールをターゲットのユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。 ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入

                                            パスワードを盗まずにアカウントを乗っ取る、新型フィッシングの恐ろしすぎる手口
                                          • NTTドコモとソフトバンク、迷惑SMS拒否機能を提供。無料かつ設定不要 ドコモは3月中旬、ソフトバンクは春ごろを予定

                                              NTTドコモとソフトバンク、迷惑SMS拒否機能を提供。無料かつ設定不要 ドコモは3月中旬、ソフトバンクは春ごろを予定
                                            • ChatGPTでフィッシングサイトを自動検出する方法 NTTセキュリティが開発 精度は98%以上

                                              Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 NTTセキュリティ・ジャパンに所属する研究者らが発表した論文「Detecting Phishing Sites Using ChatGPT」は、ChatGPTでフィッシングサイトを検出する手法を提案した研究報告である。 この手法では、Webサイトから情報を収集するためにWebクローラーを使用し、その収集したデータを元にプロンプトを作成する。プロンプトはChatGPTに提示され、ChatGPTは与えられたWebサイトがフィッシングサイトかどうかを判断する。 WebクローリングとChatGPTの組み合わせにより、Webサイトの正当性や怪しさに関する情報に基

                                                ChatGPTでフィッシングサイトを自動検出する方法 NTTセキュリティが開発 精度は98%以上
                                              • パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生

                                                ユーザーをだますために人気の高いウェブサイトになりすますケースがありますが、これとマルバタイジングを組み合わせた攻撃が確認されています。攻撃者はオープンソースのパスワードマネージャーアプリであるKeePassの偽サイトを作成し、これをGoogle広告で配信していた模様です。 Clever malvertising attack uses Punycode to look like KeePass's official website https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website 悪意のある攻撃者は、特殊な文字エンコーディングであるPunycodeを使用して、KeePas

                                                  パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生
                                                • 公開鍵暗号方式だからフィッシング対策できるって意見、もうええでしょう|ritou

                                                  定期ってつけてるぐらいいつも言ってることなのですが、公開鍵暗号方式にしたらフィッシング対策もできてすんばらしいみたいな表現には反対です。 何が課題なのかパスワード認証とフィッシング攻撃における課題はいくつかあります。 フィッシングサイトにパスワードそのものが盗まれ、それを使ってログインされてしまう (クレデンシャルスタッフィング) フィッシングサイトの中継により、ログインセッションが盗まれてしまう(MiTM, AiTM) OTP、TOTP、認証アプリなどの認証を追加してもやられてしまう 前者については明示的ですね。そもそもSMS OTPは認証イベントに紐づいていますし、TOTPは時間に紐づけられています。なので前者のような再利用の課題へは元から対策されているとも言えます。Webアプリケーションやネイティブアプリが正規なものに対してのみパスワードが入力されるような仕組みが必要とされていたわけ

                                                    公開鍵暗号方式だからフィッシング対策できるって意見、もうええでしょう|ritou
                                                  • 詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策

                                                    スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。 個人情報をだまし取る 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールか

                                                      詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策
                                                    • 2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口(ITmedia エンタープライズ) - Yahoo!ニュース

                                                      iOS 18世代ではこれまでキーチェーンとして提供されていた機能が「パスワード」アプリとして切り出される(出典:AppleのWebサイト) コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗(しつよう)に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 Cloudflareが受けた攻撃のフロー。入力されたID/パスワードなど、フォームに入力された情報はリアルタイムに攻撃者に渡るため、TOTPベースのワンタイムパスワードも有効期限が切れる前に悪用できてしまう(出典:「The mech

                                                        2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口(ITmedia エンタープライズ) - Yahoo!ニュース
                                                      • パスキー対応における2つの段階と必要な機能

                                                        パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応

                                                          パスキー対応における2つの段階と必要な機能
                                                        • 『詐欺メール』???? Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認という怪しいメールがきたので登録しました

                                                          おかしいな???? Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認という怪しい迷惑メールが届きました 迷惑メールの設定をしていますが相変わらず毎日のように架空請求業者から詐欺メールがたくさん届きウンザリしています。 今回はAmazon(アマゾン)を名乗る架空請求業者から『???? Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認』という 詐欺メールが来たので、実際にメールが来た時の対処方法と登録するとどうなるのか?実験してみました。 この実験は十分なウイルス対策をしてWindowsやLinux上でVMwareと言う仮想ドライブで別のOSを動かしてステアカウントを使い実験をしています。 Amazon (アマゾン)を名乗る迷惑メールの内容こちらがAmazon(アマゾン)を名乗る架空請求業者から届いた迷惑メ

                                                            『詐欺メール』???? Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認という怪しいメールがきたので登録しました
                                                          • 『架空請求』PayPayアカウントの異なる端末からのアクセスのお知らせ◯◯◯◯@yahoo.co.jp

                                                            おかしいなPayPayを利用してないのにPayPayアカウントの異なる端末からのアクセスのお知らせという怪しい迷惑メールが届きました 最近話題のおサイフを持ち歩かなくてもスマホひとつで簡単にお支払いが出来る便利なサービスの『PayPay』ですが。 サービスを利用していないのに登録している別の端末からアクセスが有ったので確認してくださいと 『PayPay』を名乗る架空請求業者から怪しい迷惑メールが届いたので実際に登録するとどうなるのか?実験したいと思います。 この実験はウイルス対策としてVMwareと言うWindowsやLinuxで仮想ドライブを使って別のOSを動かしステアカウントを使って実験しています。 PayPay(ぺいぺい)とはPayPay(ペイペイ)とは、ソフトバンクとヤフーが設立した「PayPay株式会社」が運営する、スマホを使って支払うサービスです。 PayPayに対応しているお

                                                            • Browser In The Browser (BITB) Attack | mr.d0x

                                                              This article explores a phishing technique that simulates a browser window within the browser to spoof a legitimate domain. Introduction For security professionals, the URL is usually the most trusted aspect of a domain. Yes there’s attacks like IDN Homograph and DNS Hijacking that may degrade the reliability of URLs but not to an extent that makes URLs unreliable. All of this eventually lead me t

                                                                Browser In The Browser (BITB) Attack | mr.d0x
                                                              • エンジニアというITの専門家でありながら、小賢しいWeb系の詐欺に80%ぐらいはまって死にかけた話 - Qiita

                                                                みなさんこんにちは!記事を読んでくださりありがとうございます。 Qiitaには初投稿なので、簡単に自己紹介をさせてください。 自己紹介 ・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています ・2024年7月に日本に帰国し、プロダクトオーナーに転身します ・大阪出身です 何が起こったかの概要 タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。 時系列での解説と違和感ポイント みなさん、Facebookには「マーケットプレイス」という機能があるのをご存知でしょうか?日本で言うジモティーのような機能です。カナダでは不用品の売買でFBのマーケットプレイスが非常によく利用されます。私は2ヶ月後に日本へ引

                                                                  エンジニアというITの専門家でありながら、小賢しいWeb系の詐欺に80%ぐらいはまって死にかけた話 - Qiita
                                                                • Googleの「.zip」ドメインに懸念の声 ~フィッシングに悪用されかねない問題/値下げ中で悪い人たちも注目【やじうまの杜】

                                                                    Googleの「.zip」ドメインに懸念の声 ~フィッシングに悪用されかねない問題/値下げ中で悪い人たちも注目【やじうまの杜】
                                                                  • 「日本へのサイバー攻撃の検出数が3年連続で世界1位」、ESETが2023年上半期の脅威レポート公開

                                                                      「日本へのサイバー攻撃の検出数が3年連続で世界1位」、ESETが2023年上半期の脅威レポート公開 
                                                                    • 経産省「コンテンツ緊急電子化事業」偽サイトに注意 事業終了後、第三者が「.jp」ドメイン取得 ウイルス感染のおそれ

                                                                      経済産業省は11月18日、同省が過去に保有していた「コンテンツ緊急電子化事業」特設サイトのURLから、同事業と無関係なサイトへのリンクが張られているとして注意を呼び掛けた。アクセスすると、ウイルス感染などの恐れがあるとしている。 コンテンツ緊急電子化事業(緊デジ)は2011年度の事業で、既に終了している。特設サイトは「.jp」ドメインで作られ、14年に閉鎖されていた。 このドメインを第三者が取得し、緊デジのWebサイトのデザインを再現した上で、無関係なサイトへのリンクを貼り付けたようだ。 whoisによると、同ドメインは2021年に取得されており(有効期限は23年1月31日)、登録者名は「Darzev Metodi」、住所は東京・西新宿になっている。 関連記事 続出する公的機関の偽サイトに国が注意喚起 「必ずドメインを確認して」 内閣サイバーセキュリティセンターが、地方自治体などをかたる偽

                                                                        経産省「コンテンツ緊急電子化事業」偽サイトに注意 事業終了後、第三者が「.jp」ドメイン取得 ウイルス感染のおそれ
                                                                      • 安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board

                                                                        近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ

                                                                          安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board
                                                                        • フィッシングサイトを探す方法

                                                                          はじめに インターネット上での不正なサイトに対する被害は年々増加しています。 特にフィッシングサイトは、誤って入力してしまうと個人情報の漏洩や財産の損失などの被害があります。 このようなフィッシングサイトを探すためには、便利なツールがいくつか存在します。 この記事では、フィッシングサイトを探す方法としてdnstwistを紹介します。 手法 フィッシングサイトは、正規のサイトと似た名前やアドレスを使って作られているものが多いです。 このような似た名前やアドレスを探すためには、正規のドメイン名を入力して、似た名前やアドレスを生成することができるツールが便利です。 Dnstwistの動作 dnstwistは、正規のドメイン名を入力して、似た名前やアドレスを生成することができるツールです。フィッシングサイトを探すためには非常に便利です。 dnstwistは、GitHubから無料でダウンロードするこ

                                                                            フィッシングサイトを探す方法
                                                                          • 多要素認証を回避する中間者攻撃フィッシングが急増

                                                                              多要素認証を回避する中間者攻撃フィッシングが急増
                                                                            • SMSで届く詐欺メッセージ「スミッシング」被害が右肩上がりに その巧妙な手口とは

                                                                              SMS(ショートメッセージサービス)を使ったフィッシング詐欺「スミッシング」の被害が右肩上がりで増えている――NTTドコモが9月1日に主催した通信事業者向けのイベントで、セキュリティ製品を手掛けるマクニカネットワークスが警鐘を鳴らした。セキュリティ対策がほぼないSMSの弱みとマルウェアなどによる攻撃が組み合わさり、手口が巧妙化しているという。 スミッシングとは、電話番号だけで文章や画像を送受信できるSMSを悪用し、運送会社や銀行、携帯キャリアなどを装って個人にメッセージを送ってフィッシング詐欺を働く攻撃手法のこと。 攻撃者は「お荷物のお届けに上がりましたが不在のため持ち帰りました」「利用料金の確認が取れていません」といったメッセージとともにフィッシングサイトへのURLや電話番号を記載したメッセージを攻撃対象に送信。個人情報を窃取したり、スマートフォンにマルウェアをインストールさせたりする。

                                                                                SMSで届く詐欺メッセージ「スミッシング」被害が右肩上がりに その巧妙な手口とは
                                                                              • 「Bing」で「rakuten」と検索するとサポート詐欺サイトを踏んでしまうかも/当面の間は自衛するしかなさそう【やじうまの杜】

                                                                                  「Bing」で「rakuten」と検索するとサポート詐欺サイトを踏んでしまうかも/当面の間は自衛するしかなさそう【やじうまの杜】
                                                                                • そのSMS、安全ですか?自分で調べてみる方法について | IIJ Engineers Blog

                                                                                  セキュリティ本部セキュリティビジネス推進部セキュリティオペレーションセンターに所属。2019年新卒入社。大学生時代より情報セキュリティにまつわる研究・開発をしている。インターネットが好き。 【IIJ 2020 TECHアドベントカレンダー 12/23(水)の記事です】 TL;DR 身に覚えのないSMSには気を付けよう あやしいファイルを手に入れたときは取り扱いに注意しよう 不審なファイルの表層解析をしてみよう プロローグ こんにちは。IIJ入社2年目、セキュリティ本部で開発とセキュリティアナリストの兼業をしています。naotです。 突然ですが、みなさんの元にこんなSMSが届いたことはありませんか? あっ、これ…見たことある…! となった方も多いのではないでしょうか。 このメッセージに含まれている、 「お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください。」 でGoogle検

                                                                                    そのSMS、安全ですか?自分で調べてみる方法について | IIJ Engineers Blog

                                                                                  新着記事