仮想MFAを設定しているのに、Security Hub の CIS AWS Foundations Benchmark v1.2.0 『ハードウェア MFA はルートユーザーに対して有効にする必要があります』が検知されて悩んだ話 | DevelopersIO
仮想MFAを設定しているのに、Security Hub の CIS AWS Foundations Benchmark v1.2.0 『ハードウェア MFA はルートユーザーに対して有効にする必要があります』が検知されて悩んだ話 Security Hubのコントロールのチェック項目通り、仮想 MFA デバイスではなく「ハードウェア MFA デバイス」を利用していないと不合格になってしまいます。この記事では、仮想 MFA デバイスでルートアカウントの保護を行っている方もCIS AWS Foundations Benchmark v1.2.0を活用できるよう、個別のチェック項目(コントロール)の無効化方法も紹介しています。 (2023/04/07 更新) チェック項目名およびドキュメントの表記に従い、『「ルート」アカウント』の表記を『ルートユーザー』に変更しました おはこんばんちは。オペレーシ
Googleは2023年5月3日(米国時間)、個人のGoogleアカウントにおける認証手段として「パスキー」の提供を開始したと明らかにした。 Googleアカウントにパスキーを追加すると、ログイン時やアカウントで機密性の高い操作をする際に、指紋、顔認識、またはローカルPINの入力が求められる。コンピュータやモバイル端末のロックを解除するのと同様の形でサインインできる。パスワードや二段階認証の入力、作業は不要になる。 Googleは、以下の理由からパスワード認証がユーザーに多くの責任を負わせるものであるとした上で、パスキーであれば、以下の問題を全て解決するのに役立つとしている。 さまざまなアカウントで強力なパスワードを作成して覚えておくことが難しい 経験豊富なユーザーでさえ、フィッシング詐欺にだまされてパスワードを教える 二要素認証/多要素認証は役に立つが、負担がかかり、ストレスを増やす フ
オンラインカジノの世界では、プレイヤーが安心してゲームを楽しむためにセキュリティ対策が欠かせません。個人情報の保護や不正行為からの防止など、多くの課題に対応するため、業界は日々進化しています。この記事では、オンラインカジノがどのようにプレイヤーの安全を確保しているかについて探ってみましょう。 オンラインカジノのセキュリティ対策の重要性と背景オンラインカジノは、インターネットを通じてリアルタイムにギャンブルが行われるため、プレイヤーの個人情報や資金のセキュリティが非常に重要です。多くのプレイヤーがオンラインカジノで賭けを楽しんでいますが、セキュリティ上の問題が起きる可能性もあります。それを防ぐために、オンラインカジノ事業者はさまざまなセキュリティ対策を講じています。 背景と現状オンラインカジノの普及に伴い、セキュリティ上の脅威も進化してきました。初期のオンラインカジノはセキュリティ対策が不十
電子金融取引に関する調査 | MMD研究所
ネット銀行・バンキングは約7割、ネット証券は約2割が利用経験者 セキュリティ対策、ネット銀行利用者の84.8%は行っている 「口座取引履歴をこまめに確認する」が37.3%で最多 MMD研究所は、2020年10月20日~10月29日の期間で「電子金融取引に関する調査」を実施いたしました。予備調査では18歳~69歳の男女4,400人、本調査ではネット銀行・ネットバンキング利用経験者の男女328人、ネット上での株式売買経験者の男女333人を対象に聴取いたしました。 【調査結果サマリー】 ■ ネット銀行・ネットバンキング利用経験者は約7割 メイン利用のネット銀行・ネットバンキングの上位は「楽天銀行」「ゆうちょ銀行」「みずほ銀行」 ■ 銀行口座に紐づけているキャッシュレス決済、スマホ決済(QRコード式)が29.1%、 スマホ決済(非接触型)が12.8%、カード型電子マネーが16.7% ■ ネット上の
昨今、クラウド上のサービスを利用する機会が増加したことにより、最近になってシングルサインオンの仕組みが再び注目されています。その理由の1つは、多数のサービスのアカウントを別々に管理し、それぞれのパスワードを記憶しておくことは、非常に煩雑で、パスワードを忘れてしまう恐れがあるからです。シングルサインオンの技術を活用し認証の要求を減らすことで、利用者の業務効率を上げるだけでなく、パスワードの安全性も強化することができます。この記事では、シングルサインオンを実現する方法として注目されているOSSとIDaaSを使った方法を比較し、それぞれの方法を選択すべき状況について解説します。 + 目次 シングルサインオンとは OpenAM Keycloak IDaaS オープンソースソフトウェアとIDaaSの比較まとめ デージーネットの取り組み シングルサインオンとは シングルサインオン(SSO; Singl
【宮内弁護士監修】立会人型(事業者署名型)の電子契約サービスにおける電子署名法第3条に関する政府見解について | GMOサインブログ
電子契約サービスにおける①当事者型(当事者署名型※「電子印鑑GMOサイン」では電子署名)、②立会人型(事業者署名型※「電子印鑑GMOサイン」では電子サイン)のうち、②の立会人型について、一定の場合には電子署名法第3条の推定効が適用されるとの政府見解が、2020年9月4日、総務省・法務省・経済産業省の連名により発表されました。 電子署名法3条に関するQ&A 出典:電子署名法3条に関するQ&A 従来の運用 これまで電子署名法3条の推定効が認められるためには、署名者本人名義の電子証明書による電子署名(当事者型)が必要とされていました。すなわち、電子認証局による厳格な本人確認が行われたうえで発行され、本人の意思による署名のみを可能とするように管理された本人名義の電子証明書で署名されたものについて、電子署名法第3条の推定効が及ぶものとされていました。 今回の政府見解の内容 しかし、今回、立会人型(事
わたしがつくりました はい。 題名で全てです。 受信したSMSをSlackに送る、イケてるはいてくましーんを作りました。 わはは。 その名もCorp-IT-SMSちゃんです。 ということでcorp-engr 情シスSlackのアドベントカレンダーの記事になります。 adventar.org 気づいたら12月、4記事目やで。頑張った。うむ。もうそろそろゴールしてよいですか。 さて 前置きはこのくらいにして、受信したSMSをSlackに送る、イケてるはいてくましーんをゴールデンウィークの自由研究でけっこう頑張って作ったので、GitHubで公開します〜。 https://github.com/rela1470/wio-sms-to-slackgithub.com ここから下は真面目注意なんですけども、この自由研究は所属する会社の部署研究開発費用でご支援頂きました。ここでお礼申し上げます。 rel
reverse-eg-mal-memoのブログサイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。 medium(英語):https://sachiel-archangel.medium.com/ 前回の記事では、「こんな理由で認証情報に対する攻撃が増えそうだな~」という話と、「認証情報を悪用された場合はこんな調査をしてます」という内容(=タダの私のお気持ち表明)を書きました。 今回は、技術的に認証情報に対する攻撃の中で、「二要素認証(多要素認証)、二段階認証に対する攻撃」について、考察していることを書いてみようと思います。 二要素認証(多要素認証)、二段階認証への攻撃って? 前回記事で「認証情報」に対する攻撃で、認証情報を盗まれることによって発生する不正アクセスによる被害の懸念などをかきました。 その対策として、「二要素認証(多要素認証)、二段階認証」の利用が専門家
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2024/01 フィッシング報告状況
フィッシング報告件数 2024 年 1 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 4,965 件減少し、85,827 件となりました。 フィッシングサイトの URL 件数 2024 年 1 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 2,314 件増加し、19,486 件となりました。 フィッシングに悪用されたブランド件数 2024 年 1 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 6 件減少し、74 件となりました。 総評 2024 年 1 月のフィッシング報告件数は 85,827 件となり、2023 年 12 月と比較すると 4,965 件減少しました。 前月に引き続き ETC利用照会サービスをかたるフィッシングの報告が多く、報告数全体の約 18.0 % となりました。次いで報告が多かった
メール送信API | SendGrid
SendGridのメール送信APIを使って、数分でシステム連携。 メール送信のノウハウが集約されたセキュアなインフラは 高い到達率や配信状況の見える化をスピーディに実現します。 世界中で使われるメール配信サービスを無料で試す アカウント作成 わずか5分で! SMTPやAPI経由で システムからメール送信 SendGridのSMTPリレーや柔軟なWeb APIで、トランザクションメールを細かくカスタマイズ。 ・Node.js, Ruby, Python, Go, PHP, Java, C# など、様々なフレームワークやライブラリが利用可能 ・APIリファレンス、サポート、チュートリアルなど、充実したドキュメント類 ・メールの配信状況やエンゲージメントデータをEvent Webhookでリアルタイムに把握 到達率やエンゲージメントの 最適化 我々にとってメールを届けることは最優先事項です。業界
「平成30年告示高等学校学習指導要領に対応した大学入学共通テストの『情報』の試作問題(検討用イメージ)」がいくつかの団体に公開され,情報処理学会がWebページに「参考資料」としてPDFを掲載した。 情報処理学会はこれを そこに示されている試作問題は,個別に見れば実際の出題に向け様々な推考・洗練を要するにしても,セットとして見たとき,カバーする範囲・難易度ともに極めて適切に設定されていると本会は考えます。と評価している。 ここでは,実際に授業を行なっている現場の感覚で,試作問題を検討する。公開された試作問題を上記の情報処理学会のWebページなどを通してダウンロードして参照されるとよいだろう。 なお,授業を行なっているのは,県下で十指に入る進学校である。 第1問 情報に関する法規や制度,情報セキュリティの重要性,情報社会に おける個人の責任及び情報モラルについての基本的な知識を問う 現行の教科
パスワードは“覚えるもの”という先入観はそろそろ捨てませんか?(ITmedia エンタープライズ) - Yahoo!ニュース
1Passwordの「Watchtower」機能を使うと、記録されているパスワード群のうち、使い回されているパスワードや弱いパスワード、二要素認証が使えるのに使っていないものなどが一覧で確認できる。「使い回しをやめよう」と言っている人がこの数値だと……説得力がないかもしれませんね(出典:筆者の1Passwordアカウントのキャプチャー) 先日、「ITmedia エンタープライズ」の特集企画で、アイティメディアのセミナーでもよく登壇いただいている川口 洋氏にお話をうかがいました(この様子はあらためて記事が公開されるのでお楽しみに)。その中で、本論とは少々外れた内容で「中小企業ができるセキュリティ対策の第一歩は何だろう」というお話になりました。 川口氏が推奨する、有料でも入れるべきソフトウェア 川口氏はこれについて、とあるソフトウェアを全員に買ってあげることが有効ではないかと主張しました。それ
UPI インド政府主導のデジタル決済共通基盤
要点UPI は、政府主導の多くのデジタル決済製品が相互運用可能なリアルタイム・モバイル・ペイメントを提供するためのソリューション。決済サービスプロバイダーがインド決済公社(NPCI)が開発したサービス群を使用するためのインターフェイスであり、背後のシステムが銀行口座間の取引を即時的に実行する。UPIを利用したモバイル決済の利用は急激に拡大しており、インドのデジタル決済市場の合計は、モバイル決済の増加を主因に、2023 年までに 5 倍の 1 兆ドルに達すると予測されるが、制度と技術の双方が急激な成長を許容する基盤を支えている。UPIは、40ドル以下の送金手数料は無料、40ドル以上については0.3%を上限としており、世界で最も安価なデジタル決済を実現。経済インフラを整備したことによる果実は、人口の大半を占めていた、非銀行アクセス層(Unbanked)にもたらされる。インドのデジタル経済の大い
2021年9月21日、Twilio Japan(トゥイリオジャパン)は国内のビジネス戦略説明会を開催。Twilio Japan 代表執行役員 社長の今野芳弘氏は、コロナ禍におけるコミュニケーションの課題に応えるTwilioの価値を披露し、特にAIと電話の連携が加速したという。 顧客エンゲージメントを向上するTwilioの価値、使いやすさ、最新動向 電話やSMS、メール、チャット、ビデオなどさまざまなコミュニケーションチャネルをAPI経由で利用できるTwilioは、コミュニケーションや顧客エンゲージメントを民主化する「CPaaS(Communication PaaS)」を謳う。2008年にサンフランシスコで創業され、2019年には日本法人も設立。開発者は1000万人を超えており、世界180カ国以上で24万アカウントが利用している。日本でも開発者向けの日本語リソースを拡充しており、2021年9
「早押しクイズ」を連想するアルゴリズム 顔認証で用いられるAIの多くは、あらかじめ設定した量のデータを全て取得して分析するため、時間がかかっていた。今回NECが開発したAIはデータを取得しながら分析し、所望の信頼度が得られたタイミングでデータ収集を打ち切るため、認証や検知の処理を高速化できる。 この手法は「逐次確率比検定」(Sequential Probability Ratio Test:SPRT)と呼ばれ、製造分野の品質管理で利用されていたが、必要となるデータの前提条件が厳しく、幅広い領域に適用することが困難だった。そこでNECは「複雑な意思決定をする際の脳活動」を応用したアルゴリズム「SPRT-based algorithm that Treat As Nth-Order Markov Series」(SPRT-TANDEM)を開発した。 関連記事 顔だけで二要素認証が可能に、ブリガ
ゆうちょ銀行「mijica」、セキュリティ点検で不備多数も「サービス内容は継続」:不正出金・情報漏えい・なりすましが発覚 ゆうちょ銀行は11月9日、不正な送金や個人情報の流出が発生していたデビット・プリペイドカード「mijica」のセキュリティを点検したところ、22項目中14項目の不備が見つかったと発表した。会員サイトへの不正ログインを検知する仕組みや、送金時のアカウント認証が不十分だった。池田憲人社長はmijicaについて「現在提供しているサービス内容の継続を前提に戦略を検討する」と話した。mijicaの名称を使わずに機能のみを他サービスへ移管することも視野に入れているという。 mijicaはゆうちょ銀行が発行するVISAブランドのデビッド・プリペイドカード。会員間の送金サービスを利用した不正出金で合計54件、総額332万2000円の被害が起きていた(9月24日時点)。ゆうちょ銀行ではそ
1 / 2 2020 年8月 25 日 各 位 会 社 名 平 田 機 工 株 式 会 社 代 表 者 名 代表取締役社長 平田 雄一郎 (コード番号:6258) 問 合 せ 先 常務執行役員 管理本部長 藤本 靖博 (電話 096-272-5558) (URL https://www.hirata.co.jp) 情報セキュリティインシデントについて 2020年8月上旬に発生した情報セキュリティインシデントにつきまして、 下記のとおりお知らせいたします。 記 1. インシデント内容 VPN 装置を利用していた当社社員 24 名と VPN 装置管理用の「ユーザーID」及び「パスワード」 が他社(約 900 社)の情報と一緒に、インターネット上で 2 週間限定でダウンロードできるようにな っていた。 (2020 年 8 月 17 日現在は存在しない) 2. 原因 2020 年 4 月後半から始
SBI証券は9月16日、悪意のある第三者による不正アクセスにより利用者の資産が流出したと発表、謝罪しました。現時点で被害が判明しているのは6口座で、被害総額は9864万円とのこと。流出先の内訳は、ゆうちょ銀行が9229万円、三菱UFJ銀行が635万円。 悪意のある第三者による不正アクセスに関するお知らせ SBI証券のサイト 9月7日に利用者から「身に覚えのない取引があった」との連絡があり、ログを調査したところ、悪意のある第三者による不正アクセスを確認。利用者の有価証券売却および、“利用者名義の出金先銀行口座”への出金が複数件確認されたとのこと。現在は出金先の銀行と連携しつつ、利用者の資産保護を最優先として対応を進めているとしています。 SBI証券では通常、出金は“利用者本人名義の出金先銀行口座”のみに限定していますが、今回の事案では、悪意のある第三者が「偽造した本人確認書類を利用するなどし
認証アプリか、セキュリティキーを使おう 多くの人がネットサービスを日常的に利用している現代において、アカウントを保護することはきわめて重要だ。そこで強い味方になるのが、二要素認証。パスワードやSMSコード、パスワードや指紋認証など、異なる認証要素の2つを組み合わせるセキュリティだ。 現在、SNSを始め、多くのネットサービスが二要素認証に対応している。Twitterも、その1つだ。 Twitterの二要素認証は、「SMS」「認証アプリ」「セキュリティキー」の3つのいずれかを用いる仕組みになっている。しかし、SMSを使ったものが、2023年3月20日から有料化となる(An update on two-factor authentication using SMS on Twitter)。 正確には、Twitterの有料サービスである「Twitter Blue」の会員以外は、2023年3月20日
「フィッシング詐欺」は「phishing」と表記される。総務省によれば、偽のメールやサイトをエサにして個人情報を釣ること(fishing)と、手口が洗練されていること(sophisticated)をかけた造語とのこと 通販サイトのIDやパスワード、クレジットカード番号などの個人情報を奪うフィッシング詐欺の被害が拡大中だ。さらには、スマホを乗っ取る「SIMスワップ詐欺」なる進化版の手口も横行しているという。最新の詐欺手口と対策について、ITジャーナリストの三上 洋(みかみ・よう)氏に話を聞いた。 【表】SIMスワップ詐欺の手口と個人でできるフィッシング詐欺対策 * * * ■止まらないフィッシング詐欺被害 今年8月の警察庁と金融庁の発表によると、今年上半期のインターネットバンキング関連の不正送金被害件数は過去最多の2322件、被害額も約30億円に上るという。 なぜ今、フィッシング詐欺が増えて
ユーザーとサービスなどの間にサイバー攻撃者が割り込んで、悪意のある動作を行う「Man in the middle」(MITM)攻撃。比較的古くからあるサイバー攻撃手法であるが、現在も引き続き行われている。2019年には、オンラインバンキングサービスのワンタイムパスワードによる二要素認証を突破するケースが確認されている。ここでは、MITM攻撃の特徴と二要素認証を突破した手法、および対策について紹介する。 MITM攻撃とは「Man in the middle(MITM)攻撃」はサイバー攻撃の一つで、「中間者攻撃」とも呼ばれる。古くは「バケツリレー攻撃」とも呼ばれた。MITM攻撃は、主にユーザーとサービスの間にサイバー犯罪者が入り込み、受け渡すデータを盗み見たり改ざんしたりする攻撃手法のことを指す。一般的に、公衆無線LAN(Wi-Fi)を利用する際や、Webブラウザーでオンラインバンキングを利用
この記事では、NetApp Cloud Syncを使ってBOXにあるファイルをAmazon S3に同期したいと思います。 Keyword Amazon S3とは Amazon S3(Amazon Simple Storage Service)はデータを格納・管理できるオブジェクトストレージサービスです。主にウェブサイトやアプリケーションなどのデータバックアップおよび復元、アーカイブなど、さまざまなことに利用します。また、ファイルのバックアップ、ファイル処理の加工前、あるいは加工後のファイルの保存、動画・画像ファイルやCSSなどWebで使う静的なファイルをS3に置いて配信するなど、非常に広範囲な使い方ができます。 BOX BOXは、世界中で活用されているファイル共有のオンラインストレージサービスです。オンラインストレージとはさまざまな形式のファイルを管理できるサービスであり、マニュアルの共有
警視庁も家庭用ルーターの不正利用に注意喚起 誰しもが、スマートフォンやPCでインターネットにつないでいる時代。家庭にルーターがある環境も当たり前になっただろう。とくにコロナ禍以降、自宅のルーターを介してネットに接続し、業務にあたる人も多いはずだ。 しかし、そのルーターを第三者に不正利用され、踏み台にされてしまうサイバー犯罪もある。その被害にあってしまうと、業務上の機密情報を保存した端末を自宅のネットワークに接続することで、情報漏洩が発生するリスクも考えられる。 警視庁のサイバー攻撃対策センターは、家庭用ルーターの不正利用に関する注意喚起を発表している(家庭用ルーターの不正利用に関する注意喚起について)。 これによると、一般家庭で利用されているルーターをサイバー攻撃者が外部から不正に操作して、搭載機能を有効化するという例があるという。一度設定を変更されると、従来の対策のみでは不正な状態は解消
本記事は2019年9月16日に公開した弊社英語ブログ10 Java security best practicesを日本語化した内容です。 このチートシートでは、オープンソースのメンテナーと開発者の両方に向けた、Java言語におけるセキュアコーディングのコツ10個を取り上げます。このチートシートは、SnykのデベロッパーアドボケートのBrian Vermeerと、Java チャンピオンでありManicode Securityの創設者であるJim Manicoとのコラボレーションによって作成されたものです。 このチートシートを参照し、10個のJavaセキュリティのヒントのそれぞれについて、以下の説明をよくお読みいただくことをお勧めします。 では、さっそく始めましょう。 Javaのセキュリティ問題 私たちは皆、優れたコードを書くことを目指していますが、Javaのセキュリティは、必ずしも開発者の
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2024/07 フィッシング報告状況
フィッシング報告件数 2024 年 7 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 33,695 件増加し、177,855 件となりました。 フィッシングサイトの URL 件数 2024 年 7 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 16,400 件減少し、38,591 件となりました。 フィッシングに悪用されたブランド件数 2024 年 7 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 2 件増加し、73 件となりました。 総評 2024 年 7 月のフィッシング報告件数は 177,855 件となり、2024 年 6 月と比較すると 33,695 件、約 23.4 % の急増となりました。 ヤマト運輸をかたるフィッシングが急増し、報告数全体の約 30.6 % を占めました。次いで各 1 万件
ソースコード管理プラットフォーム設定のベストプラクティス - The Linux Foundation
(このページは Source Code Management Platform Configuration Best Practices の参考訳です。) by the Open Source Security Foundation (OpenSSF) Best Practices Working Group, 2023-08-29 1. はじめに 共同ソースコード管理プラットフォーム(GitHubやGitLabなど)は、ソースコードの保存、管理、バージョン管理、開発者コミュニティとの共同作業のための中央リポジトリを提供し、現代のソフトウェア開発において重要な役割を果たしています。しかし、適切に設定されていなければ、潜在的なセキュリティ リスクにもなりかねません。このガイドでは、ユーザー認証、アクセス制御、パーミッション、モニタリング、ロギングなどのトピックを取り上げながら、これらのプラッ
米国国土安全保障省(DHS)は2023年8月10日(現地時間)、サイバー安全審査委員会(CSRB)が脅威アクター「Lapsus$」について調査した結果をまとめた報告書「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」を公開したと報じた。 Lapsus$はSIMスワップといった攻撃手法を駆使して数十の組織への侵入に成功している。報告書ではパスワードレス認証の推進やソーシャルエンジニアリング対策、連邦対応機関へのタイムリーな報告など10の緩和策が提言されている。 CSRBはLapsus$に関する調査結果「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」を公開した(出典:CSRBの報告書「Review Of
アカマイ、フィッシングサイト/偽サイト対策サービス「Brand Protector」を提供 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 新製品・サービス > アカマイ、フィッシングサイト/偽サイト対策サービス「Brand Protector」を提供 セキュリティ セキュリティ記事一覧へ [新製品・サービス] アカマイ、フィッシングサイト/偽サイト対策サービス「Brand Protector」を提供 アクセスログなどから候補を抽出、テイクダウンの依頼も可能 2023年4月25日(火)日川 佳三(IT Leaders編集部) リスト アカマイ・テクノロジーズは2023年4月25日、フィッシングサイト/偽サイト対策サービス「Brand Protector」を提供開始した。同社のCDN(コンテンツ配信)サービスやWAF(Webアプリケーションファイアウォール)サービスなどのユーザーを対象に、Webサイトへのアクセスログを利用した付加価値サービスとして提供する
ユーザーは多くのアカウント管理を強いられている一方で、アカウント情報の流出は頻繁に起こっている。もはやIDやパスワードは流出するものとして考えて、セキュリティに取り組む必要がある。不正アクセスなどのセキュリティ問題からユーザーを守るため、二要素認証は欠かすことができないのが現状である。しかし二要素認証にはさまざまな方法があり、サービス提供者が導入するにはそれぞれの方法の利点や欠点などを把握することが重要である。APIで二要素認証を提供しているTwilio Japan合同会社の池原大然氏は、複数の二要素認証手法の比較と認証システムについて語った。 本レポートは、2023年2月9日に行われた講演をもとにしたものです。 個人アカウントを守る、セキュリティを高める二要素認証の必要性 Twilio Japanは、SNSや電話、チャット、ビデオ、Eメールといった、さまざまなコミュニケーションチャネルを
イスラエルには情報戦、デジタル影響工作を請け負う会社がいくつもあるが、実態はあまり知られていない。フランスの調査報道のコンソーシアムである Forbidden StoriesがGuardian、Le Monde、Der Spiegelなど20のメディアで行った「Story Killers」というプロジェクトで、イスラエルのTeam Jorgeの実態を暴き、2023年2月に公開した。情報の多くは潜入捜査によるもので、The Marker、Radio France)、Haaretzの記者が行った。 ●Team Jorgeとはなにか?Tal Hananが率いる情報戦、デジタル影響工作を請け負う会社であり、Team Jorgeという名前で活動をしている。イスラエルのモディインに拠点を持っている。メンバーには、元上級情報将校や金融情報、心理戦の専門家がおり、イスラエルのShabak(国家保安局)に勤
CM.com Japanは2月3日、立会人型の電子署名サービス「CMサイン」に、SMSで署名依頼を送信する機能を追加したことを発表した。 SMSは、本人確実性が高く、二要素認証でも活躍していて、安全性が高いため、契約シーンにおいても署名環境の安全確保に有効とされている。
北條 孝佳(ほうじょう・たかよし) 2000年、電気通信大学大学院電気通信学研究科修了(ME)。2000~2014年、警察庁勤務。2015年、弁護士登録(東京弁護士会、68期)。2023年1月、西村あさひ法律事務所パートナー。 1 はじめに 近年、ランサムウェア攻撃が猛威を振るっており、小規模から大規模に至るまで世界中の数多くの企業がランサムウェア被害に遭い、日本の企業も例外ではない。ここで、ランサムウェアとは、マルウェアいわゆるコンピュータウイルスの一種であり、これに感染させた端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(暗号資産)を要求したり、データを窃取した上で、企業等に対し「対価を支払わなければ当該データを公開する」などと要求したりする不正プログラムをいう。警察庁が2023年2月に公表した統計資料によれば、2022年中に警察庁に報告さ
(ISC)²、アジア太平洋地域における2023年のサイバーセキュリティ業界の予測を公開ワイパー型マルウェア攻撃、OTインフラの脆弱性、サイバーセキュリティスキル不足の深刻化が上位トレンドになると予測 世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²(本社:米国フロリダ州クリアウォーター、CEO:クレア・ロッソ、 https://japan.isc2.org/ )は、2023年のサイバーセキュリティ業界の動向とトレンドに関する予測を発表しました。(ISC)²の予測では、差し迫った景気後退の可能性に起因するサイバーセキュリティスキル不足の深刻化や、オペレーショナルテクノロジー(OT)インフラの安全確保における抜け穴など、アジア太平洋地域が2023年に直面することが予想されるサイバーセキュリティの喫緊の課題を浮き彫りにしています。 (ISC)²の最高情報セキュリティ責任者(
SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される(ねとらぼ) - Yahoo!ニュース
SBI証券は9月16日、悪意のある第三者による不正アクセスにより利用者の資産が流出したと発表、謝罪しました。現時点で被害が判明しているのは6口座で、被害総額は9864万円とのこと。流出先の内訳は、ゆうちょ銀行が9229万円、三菱UFJ銀行が635万円。 【画像】SBI証券のサイト 9月7日に利用者から「身に覚えのない取引があった」との連絡があり、ログを調査したところ、悪意のある第三者による不正アクセスを確認。利用者の有価証券売却および、“利用者名義の出金先銀行口座”への出金が複数件確認されたとのこと。現在は出金先の銀行と連携しつつ、利用者の資産保護を最優先として対応を進めているとしています。 SBI証券では通常、出金は“利用者本人名義の出金先銀行口座”のみに限定していますが、今回の事案では、悪意のある第三者が「偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設した」こ
ITパスポートの令和2年秋の問題(全100問)を 3問ずつ解いていきます。問題の解き方や考え方をわ かりやすく、解説してみる連載です。 なお、問題の引用ルールはIPAに準じています。 問85 ファイルサーバに保存されている文書ファイルの内容をPC で直接編集した後、上書き保存しようとしたら「権限がない ので保存できません」というメッセージが表示された。この 文書ファイルとそれが保存されているフォルダに設定されて いた権限の組合せとして、適切なものはどれか。 問86 二要素認証の説明として、最も適切なものはどれか。 ア 所有物、記憶及び生体情報の3種類のうちの2種類を使用 して認証する方式 イ 人間の生体器官や筆跡などを使った認証で、認証情報の2 か所以上の特徴点を使用して認証する方式 ウ 文字、数字及び記号のうち2種類以上を組み合わせたパス ワードを用いて利用者を認証する方式 エ 利用者を
Facebookユーザー100万人のパスワードが盗まれた可能性、Meta発表(Forbes JAPAN) - Yahoo!ニュース
パスワードを盗もうとしたAndroidとiPhoneのマルウェアアプリが、最大100万人のFacebook(フェイスブック)ユーザーを標的にしていたことが、米国時間10月6日にMeta(メタ)が公開した報告書でわかった。 そのマルウェアは昨年発見されたもので、画像エディターや、ブラウザーを高速化したりブロックされているウェブサイトをアクセスできるとする仮想プライベートネットワーク(VPN)、モバイルゲーム、ライフスタイルトラッカーなど、さまざまな種類のアプリになりすましていた。ユーザーの顔写真をアニメに変換すると約束したり、占星術を提供するものもあった。それらのアプリはすべて、Apple(アップル)とGoogle(グーグル)のセキュリティ検査をすり抜け、両テック巨人の公式アプリストアに入り込んでいた。 マルウェアのやり口はシンプルだったとメタの脅威対策責任者デビッド・アグラノヴィチがメタの
医療情報システムの安全管理に関するガイドライン 第 5.2 版 本編 令和 4 年 3 月 厚生労働省 改定履歴 版数 日付 第 1 版 平成 17 年 3 月 第 2 版 平成 19 年 3 月 第 3 版 平成 20 年 3 月 第 4 版 平成 21 年 3 月 第 4.1 版 平成 22 年 2 月 第 4.2 版 平成 25 年 10 月 第 4.3 版 平成 28 年 3 月 第 5 版 平成 29 年 5 月 第 5.1 版 令和 3 年 1 月 第 5.2 版 令和 4 年 3 月 【目次】 1. はじめに ................................................................ 1 2. 本ガイドラインの読み方................................................... 3
$5,000で Let's Encryptを12時間ご利用いただけます。次の12時間で$5,000を寄付しましょう!お礼の印として、@Yubico よりSecurity Key NFCを無料でお受け取りいただけます (送料はかかりません)!https://t.co/swycXbtpSz pic.twitter.com/QJwoWKWKS8 — Let's Encrypt (@letsencrypt) July 30, 2020 昨年、 Let's Encrypt が寄付の返礼として YubiKey をプレゼントするキャンペーンを行っていて、以前より YubiKey には興味があったので入手していた。その後長らく放置してしまっていたのだが、前回 Macbook Pro (13-inch, M1, 2020) を購入した - the world as code で書いた通り、 PC を新調して
SOC(Security Operation Center)がクラウド時代に求められる理由とは? | サイバーセキュリティ情報局
セキュリティ強化・対策 企業ユーザー向け 2023.9.5 SOC(Security Operation Center)がクラウド時代に求められる理由とは? クラウドサービスが日常生活や企業での業務に浸透している時代が到来。多くの端末が場所を問わずインターネットに接続されるため、攻撃者にとってはターゲットが増加することに。こうした時代において企業はどのような対策が求められるのか。この記事では、近年その重要性が再認識されているSOCについて解説する。 クラウド時代に高まる脅威 コロナ禍を迎えるや否や、多くの企業がリモートワークへのシフトを余儀なくされた。企業、そして従業員の双方でその働き方にメリット、デメリットを実感する中で、コロナ禍が徐々に沈静化していき、リモートワークを取りやめる企業も一部出てきている。 しかし、働く従業員にとってリモートワークは「柔軟な働き方」を実現してくれたことから、
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 企業や組織を狙うサイバー攻撃は巧妙化・複雑化が進み、大きな脅威となっています。その侵入経路は主にメールとウェブアプリケーションの脆弱(ぜいじゃく)性であり、侵入しても気づかれないようにさまざまな手法を駆使しています。ここでは、脅威アクターが企業や組織に侵入する手法と、その被害について紹介します。後編では、サイバー攻撃による被害と対策の心構えについて解説します(前編はこちら)。 脅威アクターの「目的の行動」 企業内ネットワークの侵入に成功した脅威アクターは、侵入したPCのユーザーの権限を活用したり、横展開(ラテラルムーブメント)によってドメインコントローラーをハッキングして自らの権限を昇格したりします。これにより、高い権限が求められる重要
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
個人のGoogleアカウントで「パスキー」が利用可能に パスワードより強力な理由とは?
オンラインカジノのセキュリティ対策!安全に遊ぶコツをプロが解説
シングルサインオン(SSO)を構築するおすすめOSSとIDaaSの機能比較 | OSSのデージーネット
受信したSMSをSlackに送る、イケてるはいてくましーんを作ったぞ - rela1470のブログ
『「認証情報」に対する攻撃はどうなるのか?の考察 (2022年9月版・その2)』
高等学校「情報Ⅰ」:共通テスト試作問題を検討する|クリヤキン
AI+電話が加速 Twilioがコロナ渦でのコミュニケーション課題に応える
「顔認証に適用すると最大20倍の高速化が可能」 NECが時系列データを高速分析するAI技術を開発
ゆうちょ銀行「mijica」、セキュリティ点検で不備多数も「サービス内容は継続」
SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される
TwitterのSMS利用二要素認証が有料化、無料で二要素認証を有効にするには
被害総額30億円以上! スマホが乗っ取られる「SIMスワップ」とは?(週プレNEWS) - Yahoo!ニュース
いまだ根強い「Man in the middle」攻撃、二要素認証突破も|大塚商会
BOXにあるファイルをAmazon S3バケットに同期してみた - Qiita
意外と見過ごしがち! 家庭用ルーターのセキュリティ
Java開発者のためのセキュアコーディングのコツ10個 - Qiita
SIMスワップで組織内部に侵入 Lapsus$の手口と攻撃を緩和する10の方法
ユーザーに最適な二要素認証の方法を考える、それぞれのメリット・デメリットとは?
20カ国33の選挙に介入していたイスラエルのTeam Jorge|一田和樹のメモ帳
電子署名「CMサイン」SMSで署名依頼の送信機能を追加 - 週刊アスキー
経営とサイバーリスク、サイバーセキュリティ - 北條 孝佳|論座アーカイブ
(ISC)²、アジア太平洋地域における2023年のサイバーセキュリティ業界の予測を公開
まいにちあいぱす 令和2年秋問題解説 問85 問86 問87 - にしのクエスト2
Microsoft Word - 医療情報システムの安全管理に関するガイドライン第5.2版(本編) _訂正版
YubiKey + GPG で統一的な鍵の管理を行う - chroju.dev
脅威アクターによるデータ盗難の脅威(後編)--サイバー攻撃による被害と対策