【セキュリティ ニュース】W杯関係者を狙うサイバー攻撃、10月より大幅増加(1ページ目 / 全2ページ):Security NEXT
11月20日より中東のカタールにてワールドカップが開催されているが、開催前より大会関係者などを狙ったサイバー攻撃が観測されている。 これまでも大きなイベントに乗じたサイバー攻撃がたびたび確認されているが、Trellixによると今回のワールドカップについても同様の攻撃が確認された。 開催地であるアラブ諸国においては、10月の段階から攻撃の増加が見られ、悪意あるメールは10月の段階で通常の約2倍にのぼっていたという。大会関係者を標的としており、金銭やアカウント情報、データなどの詐取などを狙っていた。 具体的には、FIFA規制執行部のヘルプデスクを装い、二要素認証の解除などと説明してフィッシングサイトへ誘導したり、選手ステータス管理部門(PSD)を偽装して制裁金の未払いによる選手の新規登録を禁止する緊急通知に見せかけたフィッシングメールが確認されている。 またチケット窓口を装ってチーム関係者へ偽
二要素認証狙う 偽サイト手口 - Yahoo!ニュース
近年、国内におけるネットバンキングをかたったサイバー攻撃において、メールやSMSで通知されるワンタイムパスワードなどの二要素認証(二段階認証などとも呼ばれます)を狙う偽サイト(フィッシングサイト)を確認しています。これらの攻撃は、特にネットバンキングの仕組みを調べた上で巧妙な手口で、二要素認証を突破し、金銭の窃取を狙っていると考えられます。 続きを読む
メタマスクやバイナンス・チェーン・ウォレット、コインベースウォレットなどブラウザ拡張機能として動作するウォレットを標的とするトロイの木馬型の新しいマルウェアが発見された。 セキュリティ研究者の3xp0rtによると、「Mars Stealer」と名付けられたこの新しいマルウェアは、2019年に登場したマルウェアのOskiを強力にアップグレードしたものだという。暗号化されたブラウザ拡張機能やウォレット、二要素認証(2FA)から情報を盗む。40以上のブラウザベースの仮想通貨ウォレットをターゲットにされている。 メタマスクやニフティウォレット、コインベースウォレット、MEW CX、ロニンウォレット、バイナンス・チェーン・ウォレット、トロンリンクなどが標的となるウォレットの一部として挙げられている。3xp0rtは、このマルウェアはOperaを除くChromiumベースのブラウザの拡張機能をターゲット
Mimecastは3月16日(米国時間)「Incident Report|Mimecast」において、SolarWinds製品の脆弱性に端を発する問題に関連して発生したサイバーインシデントに関する調査結果を報告した。Mimecastは同インシデントの影響で同社のシステムが不正アクセスを受けたことに気づき、内部調査を開始した。今回の報告はこの調査結果を伝えるもので、何が行われ、どのような対応を取ったのかが説明された。 Incident Report|Mimecast Mimecastがサイバー犯罪者から受けたとされる主な内容は次のとおり。 Mimecastが発行した特定の証明書および関連する顧客サーバ接続情報にアクセスがあった 電子メールアドレス、そのほか連絡先情報のサブセット、暗号化/ハッシュ化/ソルト化された資格情報にアクセスがあった ソースコードリポジトリの一部にアクセスしてダウンロー
アノテーションコンタクトセンターチームの松浦です。GitHubの二要素認証設定に戸惑ってしまったため、同じく困っている方の助けになればと思い、設定方法をまとめてみました。 2023年3月13日より、順次2要素認証要求開始 この度GitHub社が、2023年3月13日から二要素認証の要求を一部の開発者に対して開始し、1年の間にすべての開発者へ展開していく予定と発表しました。 「GitHub(ギットハブ)」は、世界中の人々がプログラムコードやデザインデータを保存・公開できるソースコード管理サービスです。 比較的エンジニアさんたちが使うことが多い印象ですが、私の部署では弊社が公開しているYouTube動画に日本語・英語の字幕付けをするための推敲場所として使用しています。 ITバリバリの部署ではないため、私を含め二要素認証設定に戸惑う者もいたため、今回設定方法をブログにまとめてみました。 TOTP
そして三つ目。他のドラクエ作品をダウンロードできるという機能である。まず、真のエンディングのスタッフロールで表示される「ふっかつのじゅもん」を入力すると、移植版のドラクエIを無料でダウンロードできるという特典があった(2018年1月18日にて終了)。 また、PS4版に限っては、「あすとるていあへたびだとう」(アストルティアへ旅立とう)という「ふっかつのじゅもん」を入力することによって、「ドラゴンクエストX オンライン」の体験版を先行ダウンロードすることが可能であった。いずれも「ふっかつのじゅもん」の仕組みを最大限に利用した、とても面白い試みである。 ドラクエXIをプレイするときには、一度「ふっかつのじゅもん」を聞いてみたり、入力してみたりするのも面白いだろう。 ご愛読ありがとうございました というわけで、「架空世界で『認証』を知る」の定期講義はこれにて終了となる。認証とセキュリティについて
2023年に揺れたサイバーセキュリティの現場~ランサムウェア、サプライチェーン攻撃、クラウドの脅威を振り返る | DevelopersIO
2023年に揺れたサイバーセキュリティの現場~ランサムウェア、サプライチェーン攻撃、クラウドの脅威を振り返る アライアンス事業部のヘマントです。 今回は、2023年の主なセキュリティインシデントについて共有します。 背景 デジタル時代 今日の世界では、私たちは常に膨大な技術ネットワークにつながっています。個人のデバイスから重要なインフラまで、すべてが複雑なデジタルシステムで動いています。この相互接続性は便利ですが、同時に脆弱性を生み出し、悪意のある者たちに多くの機密データをさらすことにもなります。 サイバー犯罪 サイバー攻撃はもはや時々起こる小さな問題ではありません。それらは増え続ける流行病となり、事件の数とその巧妙さは着実に増加しています。2023年には、企業や政府機関、医療システム、個人まで、あらゆるものを狙った攻撃が急増しました。 見出しの一年 インターネット上で悪意のある者による攻
こんにちは。事業推進部の廣田です。 NFLabs. アドベントカレンダー3日目ということで、 本稿ではssh接続時の二要素認証の実装について書いてみたいと思います。 はじめに 現在私はNTTコミュニケーションズ株式会社からNFLabs.に出向しているのですが、出向してくる前にNFLabs.が実施するセキュリティエンジニア育成研修カリキュラムを長期間みっちりこってりと受講してきました。 研修ではサーバ構築など基本的な内容からソフトウェア開発やペネトレーション等、セキュリティエンジニアに必須となるスキルを体系的に幅広く学ぶことができ、今回はサーバ構築の時に取り組んだ課題についてのお話です。 どんな課題だったの? 研修課題の中でssh鍵認証を実装したWebサーバを構築したのですが、そこで追加課題として次のようなお題をいただきました。 構築したWebサーバをさらにセキュアに設定すること 脆弱な設定
twitterアカウント@yanmaが乗っ取られた - yanma 2021-04-03 22:55頃追記 字下げTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitter いわゆる乗っ取り事案ですね。 twitterアカウントのパスワードリセットを[_ そのアカウントに紐付いていないメールアドレスでリクエストすることができ、その場合はtweetで本人確認をする]らしい。twitterからワンタイムパスワードのような数字の羅列を貰い、リセットしたいtwitterアカウントでその数字をtweetするこ
TOTPを実装する
ここ数年で多くのサービスで採用されてきている二要素認証ですが、皆さん使っているでしょうか。 私は実は最近までは面倒であまり使っていなかったのですが、ようやく重い腰を上げてあちこち設定しました。 そのうち、近年特によく使われているのがTOTP(Time-Based One-Time Password)と呼ばれるアルゴリズムです。 TOTPアルゴリズムはRFC6238 で定義されたアルゴリズムで、サーバとクライアントが共有する秘密鍵および現在時刻から確認用のコードを生成するものです。 RFCやWikipedia を見てわかるよう、かなり簡素なアルゴリズムで、一つ一つ理解していけば比較的簡単に実装することができます。 Go言語のコードを実例に、サンプルコードを実装してみます。 HOTPとTOTPTOTPアルゴリズムとよく似たものに、HOTP(HMAC-Based One-Time Passwor
ランサムウェアの攻撃件数は、日を追うごとに増加し続けています。Veeamが今年2月に発表した年次調査レポート「データプロテクションレポート 2022」によると、過去12ヶ月間に76%の組織がランサムウェア攻撃の影響を受けており、これは前年比で15%増加しています。ランサムウェアの脅威は、より身近になっているだけでなく、より強力になっています。 また、企業がランサムウェア被害に見舞われた場合、失われたデータの平均3分の1以上(36%)をリカバリすることができないとの調査結果も出ています。ランサムウェア攻撃による脅威は、かつてないほど不安定になっており、その攻撃数は増加しており、攻撃はより複雑化しています。そして、これらの攻撃は、企業に甚大な被害をもたらす可能性があります。 一方で、企業はサイバー攻撃の威力にひるむことなく、自分たちでコントロールできること、つまり対策に力を注がなければなりませ
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 パスワードの概念は数世紀前から存在し、想像以上に早くからコンピューターの世界にも導入された。パスワードが長く使われ続けている理由の1つとして、人々が本能的にその仕組みを理解できる点が挙げられる。パスワードは、デジタル時代を生きる人々にとってアキレス腱のような存在だ。平均的な人でも100のログイン情報を保有しており、それは上昇傾向にある。パスワードを乱雑に扱う人が増え、結果としてセキュリティに問題が生じるのもなんら不思議なことではない。 パスワードは、サイバー犯罪者が個人情報や決済情報を入手する際の唯一の手段であるため、彼らはログイン情報の窃取や解読に躍起になっているのだ。私たちは、オンラインアカウントを保護するために、少なくとも同程度の労力を費やす必要があ
2023年4月観測レポートサマリ DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー ソフトウェアリリース情報 2023年4月観測レポートサマリ 本レポートでは、2023年4月中に発生した観測情報と事案についてまとめています。 当月はDDoS攻撃の総攻撃検出件数及び1日あたりの平均件数は、大きく減少した前月から一転して増加に転じ、過去1年における平均的な件数でした。最大規模を観測した攻撃はDNSプロトコルを用いたUDP Floodでした。また、当月最も長く継続した攻撃は11時間26分にわたるものであり、主にDNSプロトコルを用いたUDP Floodでした。 IPS/IDSにおいて検出したインターネットからの攻撃について、当月もSQLインジェクションが最も多く観測されています。次点ではWordP
ドコモ口座をはじめとする複数の決済サービスを使った不正出金の被害が相次いでいることを受け、ゆうちょ銀行が9月16日に記者会見を開き、被害件数は109件で被害総額は1811万1000円(同日午後時点)と発表した。被害が発生したものを含む10社の決済サービスでは、連携する際の本人確認で二要素認証を導入していなかったため、現在は新規口座の連携と各口座へのチャージを停止している。 田中副社長は「二要素認証の導入は、これまでも強く決済事業社にお願いしたが、合意に至らずここまで来てしまった」と説明する。例えば、NTTドコモとは被害発覚前から協議をしており、9月中にはドコモ口座との連携時に二要素認証を導入予定だったという。 直近では不正出金の報道を受け、連携している決済サービス事業者にあらためて二要素認証の導入を交渉したという。事業者側も早急な対応を取り、連携している10社中9社が9月17日までに二要素
Bleeping Computerは1月19日(米国時間)、「PayPal accounts breached in large-scale credential stuffing attack」において、PayPalが大規模なクレデンシャルスタッフィング攻撃を受けていたと伝えた。このサイバー攻撃は2022年12月6日から2022年12月8日にかけて行われたものとされており、約3万5000件のアカウントが漏えいしたことが明らかとなった。 PayPal accounts breached in large-scale credential stuffing attack PayPalはサイバー攻撃を受けた時点で攻撃を検知して緩和策を実施するとともに、ハッカーがアカウントへのアクセスを取得した方法について内部調査を実施したことを報告。2022年12月20日までに調査が完了し、無許可の第三者が有
おすすめのGmail代替メールサービス13選
Gmailは、現在最も人気のあるメールサービスで、そのアクティブユーザーは18億人に達しています。しかし、特にマーケティングやビジネスコミュニケーションにメールを使用していれば、Gmail以外のサービスに移行したい、あるいは少なくともGmailの機能を強化したいと感じることがあるはず。 そこで今回は、Gmailに代わる優れたメールサービスをご紹介します。この記事を読んで、自社に適したメールサービスを見つけてみてください。 Gmail以外のメールサービスを検討すべき理由 Googleはデータ収集に関して懸念が多く、過去にはプライバシーを侵害する行為やメールのスキャンなどが行われていたことが明らかになっています。加えて、Gmailにはパーソナライズされた広告を表示する機能があり、単に鬱陶しく感じることも。 GmailはGoogleエコシステムの一部。これはサステナブルの観点で、ベストな選択肢で
7Pay、内定辞退率データ、AWS障害、それぞれに教訓を残した2019年 2019年のセキュリティインシデントとして記憶に残るものはなぜか夏に集中し、それぞれに教訓を残した。最もインパクトが大きかったのはセブン&アイ・ホールディングスのスマートフォン決済サービス「7Pay」だろう。サービス開始後に不正アクセスがあり、最終的にはサービス廃止に追い込まれた。スマホアプリにおける本人確認(二段階認証)の重要性を広く周知した。 就職情報サイト「リクナビ」での内定辞退率データ販売は個人情報保護のありかたについての問題提起へとつながった。8月下旬にはクラウドサービスAWSの東京リージョンに属するデータセンターでサーバーが過熱し、EC2やRDSでサービス障害が生じ、多くのサイトが影響を受けた。この規模の障害はそう滅多に起きないものの、自社サービスをクラウドで構築する場合の冗長構成について考えさせられた企
ドコモ口座事件の正しい理解
ドコモ口座を発端とした不正口振受付サービス利用被害が今なお続いている。 この事件について余計な情報を削ぎ落とし、単純に説明するならば次の通りになる。 「銀行システムが不正アクセスを受け、その銀行口座の所有者に被害が出た」 「決済サービスの不完全なeKYCにより犯罪収益移転に使われてしまった」 この問題は二つに分けることができ、本来であればそれぞれ別々に議論されなければならない。 そこが理解されていないので銀行の対応も報道もちぐはぐになっている。 まずひとつめは銀行システムが不正アクセスを受けていることである。 「銀行システムが不正アクセス」されているわけだから、被害を受けるのは当然その銀行の利用者である。 「銀行システムが不正アクセス」を受けていると報道していれば、被害を受ける可能性のある人はドコモ口座を持っているかどうかは関係ないことが最初から理解されたはずだ。 二つ目は決済サービスが犯
パスワードはいかにして悪の手に渡るのか
一般的に、パスワードは、無数のオンラインサービスで使用する最も一般的な認証方法にすぎません。しかしサイバー犯罪者にとって、パスワードは、はるかに価値があるものです。他人の生活、大切な仕事のツール、そして売りたい商品への近道なのです。パスワードを知ることで、犯罪者は、ユーザーのアカウント、データ、金銭、さらには身元まで入手できるだけではなく、オンライン上の友達や親戚、勤務先や経営する企業を攻撃するために被害に遭ったユーザーを利用します。こういった被害を防ぐためには、そもそも他人がどうやってユーザーのパスワードを入手するのかを理解する必要があります。 パスワードはどのようにしてサイバー犯罪者の手に渡るのか パスワードが漏えいするときはユーザーが何らかのミスを犯している、というのは全くの誤解です。例えば、確認をせずにネットからファイルをダウンロードする、見知らぬ人から送信された文書を開く、怪しい
GitHubは9月21日(米国時間)、「Security alert: new phishing campaign targets GitHub users|The GitHub Blog」において、脅威者がCircleCIになりすましてユーザーの認証情報や二要素認証(2FA: Two-Factor Authentication)コードを窃取するフィッシングキャンペーンを展開し、GitHubユーザーを標的にしていたことを伝えた。GitHubはこのキャンペーンを2022年9月16日に知ったと伝えており、GitHub自体は被害を受けなかったが、多くの被害組織が影響を受けたと報告している。 Security alert: new phishing campaign targets GitHub users|The GitHub Blog このキャンペーンでは、ユーザーのCircleCIセッション
Google Authenticatorがクラウド同期に対応、二要素認証コードをデバイス間で共有可能に 2023年4月24日、Googleの二要素認証管理アプリGoogle Authenticator(Android版/iOS版)がバージョン4.0にアップデートされた。新バージョンでは二要素認証用のワンタイムコードをGoogleアカウントと同期し、デバイス間で共有できるようになった。 Google Authenticator now supports Google Account synchronization - Google Security Blog これまで、Google Authenticatorの二要素認証のワンタイムコードに必要な情報はデバイス内のストレージにしか保存されず、スマートフォンなどの機種変更時にはAuthenticatorデータのエクスポート/新機種へのインポート
ユニクロ「UNIQLO Pay」開始、QRコードで支払い可能なキャッシュレス決済サービスを開始 - 好きな事ブログ
そんな中、ファッション業界でも有名な 大手ファストファッションブランドUNIQLO(ユニクロ)が QRコードで支払い可能なキャッシュレス決済サービス「UNIQLO Pay」を開始しました。 1月19日(火)より、ユニクロアプリをご利用いただいているお客様に向けて、ユニクロ店舗でお買い物の際にご利用いただける新キャッシュレス決済サービス「UNIQLO Pay(ユニクロペイ)」を開始しました。 「UNIQLO Pay」は、ユニクロアプリに「銀行口座」もしくは「クレジットカード」を登録することで、全国のユニクロ店舗(一部店舗除く)のレジにて、ユニクロアプリの「会員証QRコード」を提示するだけで、簡単かつスピーディーにお支払いいただける決済サービスで、登録料は不要・手軽にご利用いただけます。 対応の銀行口座 「UNIQLO Pay」の銀行口座の登録および支払いに関しては 主要な都市銀行、地方銀行の
日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”(ITmedia エンタープライズ) - Yahoo!ニュース
ワンストップ方式のフローイメージ(出典:総務省「MNPワンストップ化の検討状況について」(2022年4月)の資料から抜粋) 今でこそ“ランサムウェア”はメジャーなサイバー攻撃ですが、2007年頃は欧州圏を中心に猛威を振るっており、日本から見れば対岸の火事でした。その後、日本でも個人を標的としたランサムウェアが登場し、生々しい被害が報告されたのを覚えています。 このように海外で大きく注目された攻撃手法はいずれ日本にもやってきます。その中でも最近、個人的には日本に来るとは思えなかった手法が、とうとう上陸してしまいました。「SIMスワップ」攻撃です。 日本に上陸したSIMスワップ その手口は 「SIM」には自分の携帯電話番号や接続情報が書き込まれています。SIMスワップとは文字通り、携帯電話に差し込まれたSIMを交換する/奪うことで実行される攻撃です。かつては物理的にSIMを抜き、電話番号を奪う
KNNポール神田です。 このところ、銀行口座からの『不正引き出し』が相次いでいる…。いや、これは相次いでいるのではなく、すでに発生した『不正引き出し』の『発覚』に時差があるからだ。現在、発覚しているのは氷山の一角であると考えるべきだろう。 □(2020年9月)16日に会見したゆうちょ銀行は、15日夜の段階で、6社で109件、1,811万円の被害が確認され、全額を補償すると発表した。NTTドコモの82件、1,546万円に次いで、PayPayが17件、141万円、メルペイが3件、49万円などとなっている。 □また「ゆうちょ銀行」は、提携する12社のうち次の10社のサービスを停止している。 □ゆうちょ銀行が即時振替サービスを停止した電子決済サービス ドコモ口座、Kyash、PayPay、LINE Pay、ペイパル、支払秘書、楽天Edy、PayB、メルペイ、ゆめか □他にも地方銀行やイオン銀行など
OneLoginを利用してMicrosoft AD環境のWorkSpacesでMFAをしてみた | DevelopersIO
Microsoft ADでActive Directoryを立ち上げた環境で「OneLogin Protect」を利用したMFAログインを設定してみました Bonjour、AWS事業本部のニシヤマです。 前回、Directory ServiceのMicrosoft ADを利用してAWS上にActive Directoryを立てましたが、今回はMicrosoft ADを利用した環境でWorkSpacesにMFAログインを設定してみたのでご紹介します。 はじめに 今回は以下の構成となります。環境は構築された前提で進めますがMicrosoft ADの起動とWindows Serverのドメイン参加については、前回のブログも参照してみてください。 長いので先に全体の流れを共有します。 Active DirectoryとOneLoginのユーザ情報の同期 OneLoginで多要素認証の有効化 One
日本マイクロソフトは3月6日、Windows 11に備わっているID保護やフィッシング対策などのセキュリティ機能とともに、Windows 11におけるセキュリティの方向性を紹介するメディア向けのオンライン説明会を開催した。 IDやデバイス保護のためにパスワードレスを推進 説明会に登壇したマイクロソフトコーポレーション セキュリティレスポンスチーム セキュリティプログラムマネージャーの垣内由梨香氏は、「IDとデバイス保護の領域において、マイクロソフトは現在、多要素認証とパスワードレスのサポートを最大の目標としている」と語った。 マイクロソフトコーポレーション セキュリティレスポンスチーム セキュリティプログラムマネージャー 垣内由梨香氏 背景にあるのは、年々増加しているパスワードへの攻撃増加がある。米マイクロソフトが自社サービスから得たセキュリティインサイトを分析したところ、マイクロソフトア
サービス設計に役立つガイドライン「NIST SP800-63B」とは 楠氏が、「サービス設計の参考にして欲しい」と話すガイドラインが、2017年6月に、米国の国立標準技術研究所(NIST)で発表された、デジタル認証に関するガイドライン(Digital Identity Guidelines)の最新版「NIST SP 800-63-3」である。 日本語翻訳版も公開されており、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」など国内基準にも影響を与えている。 たとえば、ID認証とライフサイクル管理について定めたのが「SP 800-63B」だ。 前述したSMS認証については、セキュリティの弱点があることから、「異常な振る舞い」のようなリスク指標を考慮すべきだとされ、ドラフト段階では多要素認証として「認めない」とされていた。 「NIST SP800-63B」のポイント 楠氏は
1Password、iOS15/PadOS15対応のSafari拡張機能をリリース 2021 9/21 現地時間9月20日、iOS/iPadOS15がリリースされたことに伴い、人気パスワード管理アプリ「1Password」のアップデートが公開されました。これにより、デスクトップ並みの拡張機能がiPhone及びiPadで利用できるようになりました。 iOS/iPadOS15に伴うアップデート iOS/iPadOS15からは、これまでMacでしか使用できなかったSafariのWeb拡張機能が、iPhone及びiPadでも利用できるようになりました。これにより、Safariを搭載した全てのAppleデバイスで、Web拡張機能が利用可能になっています。 1Passwordは今回、これに対応するアップデートを行い、ユーザーはWebページ上でのパスワード提案機能も含め、Safari内で全てのパスワード
ESETは12月9日(米国時間)、「Xenomorph: What to know about this Android banking trojan|WeLiveSecurity」において、Androidを標的としたバンキング型トロイの木馬「Xenomorph」について動画で解説した。 Xenomorph: What to know about this Android banking trojan|WeLiveSecurity ESETがXenomorphについて解説した動画は、YouTubeで公開されている。リンクは次のとおり。 ESET Insights - Lukas Stefanko about Xenomorph - YouTube 今年初め、5万台以上のAndroidデバイスが、Xenomorphと呼ばれるバンキング型トロイの木馬に感染していたことが確認されている。オランダ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
トークンベースの認証とは、ユーザーが自分のアイデンティティを確認し、代わりに一意のアクセストークンを受け取ることを可能にするプロトコルです。トークンの存続期間中、ユーザーはトークンが発行されたWebサイトやアプリにアクセスできます。同じトークンで保護されたWebページ/アプリ/リソースに再度アクセスするたびに、資格情報を再入力する必要はありません。 認証トークンは、刻印されたチケットのように機能します。認証トークンが有効である限り、ユーザーはアクセスを保持します。ユーザーがログアウトするか、アプリケーションを終了すると、認証トークンは無効になります。 トークンベースの認証は、従来のパスワードベースまたはサーバーベースの認証手法とは異なります。認証トークンはセキュリティの第2レイヤーを提供し、管理者は各アクションとトランザクションを詳細に制御できます。 しかし、トークンを使用するには、コーデ
リモートデスクトップとは リモートデスクトップとは、リモートアクセスを行なうための接続方法の一つで、離れた場所にあるパソコンのデスクトップ画面を、手元のPCやタブレット、スマートフォンなどに転送して操作する仕組みのことを指します。 リモートデスクトップは、アプリをインストールするだけで遠隔操作が可能なため、VPN接続やAPI接続などの他の接続方法よりも手軽にリモートアクセス環境を構築できます。また、無料で公開されているものや低価格な製品も多く、コスト面においても負担が少ないでしょう。 【iPhone・Android対応】リモートデスクトップアプリ8選 ここからは、iPhone・Androidに対応しているおすすめのリモートデスクトップアプリをご紹介します。 Chromeリモートデスクトップ Googleが提供する「Chromeリモート デスクトップ」は、Googleアカウントとブラウザだけ
この度 Twilio SendGrid では、セキュリティ強化を目的として、サービスご利用中の全アカウント(サブユーザ、Teammates含む)に対し、APIキー認証および二要素認証を必須に変更することになりました。 Twilio SendGridのご利用に影響が出る可能性がある非常に重要な変更となりますので、対象のお客様は、以下をご確認の上、期日までの対応をお願いいたします。 変更内容 日本時間2021年1月26日 午前1時以降、以下が必須に変更されます。 Web APIおよびSMTPリクエストのAPIキー認証 app.sendgrid.com/login からログインする際の二要素認証 対応が必要なお客様 以下のいずれかに該当する場合、後述の対応内容の実施をお願いいたします。 ユーザ名/パスワード認証を使用して、Web APIもしくはSMTPを利用している app.sendgrid.c
マネーフォワード MEのiOSエンジニアの椎名です。 今回は、MEにテストツール Magic Pod を導入した時の話と、そこで得た知見やMEでの活用方法をお話できればと思います。 テストでお悩みの方は是非御覧ください。 導入の経緯 MEではユニットテストのコードがほとんど無く、うまく自動テストが運用できているとは言えない状況で、品質の担保はQAテスターに頼っていました。 とはいえ、人によるテストには限界があります。テストのスコープが広がれば工数も大きくなりますし、その分ミスも増えます。 そこで、MEではE2Eテスト導入導入の試みがされることになりました。 なぜE2Eテストなのかというと、以下の理由があります。 MEの運用ではユニットテストを網羅的に書く事は、過去の知見から得策ではなさそう そもそもQAの負荷を減らす事が発端なので、QAがしているテストに近い方法が良さそう はじめにE2Eテ
2024年2月20日 お客様各位 当社で発生したRAGサービスへの不正アクセスについて 当社が提供しているRAG(Retrieval-Augmented Generation)サービスの稼働環境であるパブリッククラウド環境において、第三者による不正アクセスを受ける事象が発生しました。本件につきまして、下記の通りご報告申し上げます。 【概要】 当社が管理するパブリッククラウド上のシステムで使用しているアクセスキーが不正に使用され、パブリッククラウド上のユーザーアカウントおよび仮想通貨マイニング目的と思われる高スペックなサーバーインスタンスが不正に作成されました。 現在は、不正に利用されたアクセスキーの削除、不正に作成されたユーザーアカウントの削除、およびサーバーインスタンスを停止しており、元の状態に復旧済みです。 【不正アクセスの期間】 2024年1月25日~2月13日 【影響を受けたサービ
こんにちは!今回のテーマは、Bubbleのセキュリティチェックシートです。 クラウドサービスのプロバイダー企業が自社サービスのセキュリティ施策をチェックシート形式でまとめたものを一般的に「セキュリティチェックシート」と呼び、カスタマー企業がサービス導入にあたって、自社のセキュリティの要件を満たしているかを確認するために使用されます。 導入検討中のクラウドサービスがどのようなセキュリティ管理指針を取っているかはサービス導入決定のカギを握ることも多く、セキュリティチェックシートは重要な検討材料になります。 グローバルなクラウドサービスを中心に自社サービスのセキュリティチェックシートをウェブサイト上で公開しているプロバイダー企業が多いのですが、Bubbleも例にもれずセキュリティチェックシートを公開しています。ちなみに、Bubbleが公開しているのはCSA(Cloud Security Alli
この記事では reCAPTCHA v2 と v3 の違いについて説明します。 reCAPTCHA v2 には、Invisible、Checkbox、Android の3種類があります。この記事では v2 Invisible を主に扱います。Checkbox は「私はロボットではありません」のチェックボックスを見せるタイプ、Android はアプリに組み込むタイプで、これらを使いたい場合は、特に迷うことはないと思います。 https://developers.google.com/recaptcha/docs/invisible v3 は v2 を完全に置き換えるものではありません。v2 は、今後も並行してセキュリティおよびユーザビリティの改善とサポートを行うと、FAQ にあります。 見た目は一緒 v2 Invisible と v3 の見た目は同じです。デフォルトでは、画面の横にバッジが表示
OSSのオンラインストレージ『Nextcloud』日本語マニュアルを2021年5月19日より無償公開~PPAP対策やテレワークの業務改善に~
TOP > プレスリリース一覧 > 「その他IT・インターネット (企業向け)」のプレスリリース > OSSのオンラインストレージ『Nextcloud』 日本語マニュアルを2021年5月19日より無... オープンソースソフトウェア※1(以下、OSS)に特化したIT企業である株式会社デージーネット(本社:愛知県名古屋市、代表取締役:恒川 裕康)は、自社専用のオンラインストレージを構築可能な『Nextcloud(ネクストクラウド)』の日本語版利用マニュアルを2021年5月19日よりホームページにて公開します。 このマニュアルは、PPAP(パスワード付きZIPファイル送付)の代替策として活用可能なファイル共有の方法や、業務改善に役立つスケジュールの共有方法など、『Nextcloud』の利用方法を画面イメージを使って解説することで、利用者にとって優しいマニュアルとなっています。 Nextclou
WordPressのセキュリティを高めるには、簡単にログインできないようにすることが第一の対策です。もっともよく使われている対策はログイン時のパスワードを強化することですね。このようなサイトで最低10文字以上の英数字を生成するケースが多いかと思います。 パスワード強化だけでも十分効力はありますが、複数の人たちで管理している場合はパスワードが何かしらの理由で流出する可能性もなくはありません。その場合に有効なのが二要素認証です。例えば、万が一パスワードが流出しても、ログインの度にワンタイムパスワードや認証コードを必要とするようにすれば、ログインできません。 そうした二要素認証(二段階認証)の設定ができるのが今回ご紹介するWordPressプラグイン「Two-Factor」です。 二段階認証と二要素認証について まずはセキュリティ強化の前に前提知識として下記の記事をご覧ください。 ・「二段階認証
【レポート】気づいたら攻撃されていた…」を防ぐには? クラウド/テレワーク導入が生んだ新たなサイバー攻撃リスクと対策 # Security Days Spring 2023 | DevelopersIO
どうもさいちゃんです。 この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「気づいたら攻撃されていた…」を防ぐには? クラウド/テレワーク導入が生んだ新たなサイバー攻撃リスクと対策」というセッションのレポートブログになります。 セッション概要 クラウドサービスの活用などにより、これまで企業ネットワークの中に存在していたIT資産はあちこちに分散されるようになりました。またこれに加えて、これらへのアクセス環境もガラリと変化。テレワークの導入により社内だけでなく様々な環境から仕事をするようになったり、これまで現場に直接出向いて行っていた作業を遠隔から行うようになったためです。そんな大きな環境の変化に伴い生じたセキュリティの死角こそが、昨今のサイバー攻撃犯罪増加の大きな要因となっています。 そこで、本講演では昨今のこの劇的な環
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ホドラーご用心! メタマスクなど40の仮想通貨ウォレットを狙う新マルウェアが登場
Mimecastソースコードの一部が窃取される、SolarWindsサイバーインシデント
GitHub 二要素認証設定の仕方 | DevelopersIO
ドラゴンクエストの「ふっかつのじゅもん」で味わう認証の奥深さ
ssh接続時の二要素認証の実装について - NFLabs. エンジニアブログ
Twitterのセキュリティ設定を見直そう【大至急】
ランサムウェアは誰でも感染する可能性がある ―すべてが失敗することに備え、データ保護戦略を策定せよ
ハッカーがパスワードを盗む5つの方法と、その対策 | サイバーセキュリティ情報局
wizSafe Security Signal 2023年4月 観測レポート
ゆうちょ銀行、ずさんな本人確認 なぜ二要素認証の導入が遅れたのか 田中副社長「決済事業者と合意に至らず」
PayPalにサイバー攻撃、約3万5000アカウントの個人情報が漏えい
パロアルトネットワークス、マカフィー、トレンドマイクロの2019年セキュリティ総括と2020年予測
GitHubユーザーの認証情報や二要素認証盗むフィッシングキャンペーンに注意
Google Authenticatorがクラウド同期に対応、二要素認証コードをデバイス間で共有可能に | gihyo.jp
『#不正引き出し』の最大の原因は銀行側の『昭和システム』にある(神田敏晶) - エキスパート - Yahoo!ニュース
マイクロソフト、Windows 11のセキュリティの方向性と最新機能を解説
MUFGのフィンテック事業会社CTOが語る「キャッシュレス時代に求められるID技術」とは
1Password、iOS15/PadOS15対応のSafari拡張機能をリリース - iPhone Mania
5万台以上のAndroidデバイスが「Xenomorph」バンキング型トロイの木馬に感染
2019年第3四半期の脅威動向:「ECサイト改ざん」と「ネットバンキング二要素認証突破型フィッシング」
トークンベースの認証とは? 仕様とJWTのメリット、デメリット | Okta
リモートデスクトップアプリ比較10選!選び方や注意点も解説|ITトレンド
【重要】APIキー認証および二要素認証が必須に変更されます – サポート
Magic Podの導入 - Money Forward Developers Blog
NDIソリューションズ株式会社: お知らせ - 当社で発生したRAGサービスへの不正アクセスについて
BubbleのセキュリティチェックシートCAIQ解説 - ノーコード ラボ
reCAPTCHA v2 と v3 の違い - Qiita
ログイン時に二要素認証が設定できるWordPressプラグイン「Two-Factor」 – ワードプレステーマTCD