ゆうちょ銀行は11月9日、都内で記者会見を開き、不正送金や情報流出が相次いだVisaデビット・プリペイドカード「mijica」について行った調査結果を公表した。ログインIDの再設定など、セキュリティ対策に必要な14事項に不備があったという。 会見の冒頭、池田憲人社長は「各種サービスの不正利用について、被害に遭った方々や、一部サービス停止によって多くの利用者にご不便をお掛けしていることを深くおわび申し上げる」と陳謝。「サービス継続を前提に、新規サービスの構築や他のサービスによる代替案も含めた具体的な施策を早急に決定する」として、mijicaカードの廃止は明確に否定した。 不備があった14項目の具体的内容 経営責任への言及は 萩野善教副社長は今回の不正の原因について、「リスクに対する感度が鈍かった」と釈明。ゆうちょ銀では9月以降、「ゆうちょPay」「mijica」「JP BANKカード」のセキ
「辞書に載っている単語を含めてはいけない」「120日ごとに新しくパスワードを設定すること」などバカげたパスワードのルールを持つサイトを集めた「Dumb Password Rules」
デバイスやウェブサービスのアカウントにパスワードを設定する際は、不正アクセスなどを防ぐために「文字数を長くする」「単純な数字や単語を使わない」といった対策を取るのが一般的です。しかしパスワードを設定する際に「大文字を1字以上追加してください」などのエラーメッセージが表示された経験がある人も多いはず。エンジニアのduffn氏が複雑なパスワードのルールを設定しているさまざまなウェブサイトについて「Dumb Password Rules」でまとめています。 Dumb Password Rules https://dumbpasswordrules.com/ duffn氏はDumb Password Rulesを作成した理由について「複雑なパスワードのルールに遭遇すると私は非常にイライラします。私はこれらのパスワードのルールがどれほどバカげているかを皆さんに知らせたいと思いました」と述べています。
「@spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』」に付け加えたかったこと。仮説(169) - Qiita
「@spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』」に付け加えたかったこと。仮説(169)改善無駄小川メソッドDoCAPCountdownCalendar2022 @spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』 拝見して、いろいろ調べないといけないことを思いつきました。それよりもっと仕事で無駄なこといっぱいあるような気もして書き始めました。 私は通信が専門のはずです。穴(tunnel)を掘る方が専門です。穴を埋める技術(security)については詳しくありません。間違っていたらごめんなさい。 お正月休みにIEEE Ethernet規格(英文:個人利用無料)を読もう。1日1000ページ目標。:英語(48) 『ITの7つの無意味な習慣』は、よく理解していないかもしれません。掘り下げる努力をし始めます。 【7位】 2要素認証でない「2段階認証」 『「二
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に パスワードマネージャのBitwardenがPasskey対応を発表しました。 Passkey対応のWebサイトへのログインも、BitwardenのマスターパスワードでのログインもPasskeyでできるようになります。 Passkeys are coming soon to Bitwarden! This summer, you'll be able to log into Bitwarden using a passkey as well as store #passkeys within your vault. Check out the blog: https://t.co/XqkHrNJzaf pic.twitter.co
・昨今、テレワークなど効率的な働き方が浸透中。Webサービス利用が増えると共に、管理すべきパスワードも急増。 ・「使い回し」と「単純な文字列」はNG。Webサービスを乗っ取られてしまう。 ・対策は、「1つ捻った」覚えやすい文章にすること。 テレワーク拡大で「パスワードの使い回し」大量発生!? 数年前から始まった働き方改革の推進に伴い、効率的な働き方を模索する動きが社会全体で進んでいます。テレワークやオンライン授業といった働き方/学び方も、昨今の情勢と相まって選択肢の1つとして普及していくでしょう。 そして労働効率の改善にはこれまで以上にWebサービスの利用が重要です。そして同時に、それらを利用するためのログイン情報、つまりIDとパスワードがWebサービスの数だけ必要になります。ID=メールアドレスであることが多いので、正確にはパスワードが急増するでしょう。しかし面倒だからと言って、使い回し
良いUIUXは利益になる。スピードの裏にある日本と中国で異なるUI/UXデザインの考え方 2024年5月21日 ITジャーナリスト 牧野 武文(まきの たけふみ) 生活とテクノロジー、ビジネスの関係を考えるITジャーナリスト、中国テックウォッチャー。著書に「Googleの正体」(マイコミ新書)、「任天堂ノスタルジー・横井軍平とその時代」(角川新書)など。 中国のアプリやミニプログラムのUI/UXデザインには、とにかく便利さを追求したものが多い。中国では、使いやすいアプリはユーザーの離脱を防ぎ、コンバージョンを高めてくれる上に、売上に直結すると認識されているからだ。近年、アジア圏にまたがりサービスを提供する中国企業が増え始めるとともに、その優れたUI/UXが日本にも認知されるようになっている。そのような越境アプリからは学ぶべき点が多いはず。 keyboard_arrow_down 課題を抱え
DX(デジタルトランスフォーメーション)で失敗している企業は多い。筆者はIT関連の開発に長年携わっており、「失敗学」の経験を基に『DX失敗学 なぜ成果を生まないのか』(日経BP)を上梓(じょうし)した。今回は、その方法で実際のプロジェクトが失敗した真因を探ってみる。題材とするのはセブン&アイ・ホールディングス(以下セブン&アイ)の「7pay(セブンペイ)」だ。 7payはセブン&アイが2019年7月1日に始めたスマートフォンによるバーコード決済のサービス。2万店舗を超えるセブンイレブン店舗で利用できるようにした。既存のセブン-イレブンアプリに支払い機能を付加したもので、アプリトップ画面から最少2タップで利用登録できるという簡単さを売りにした。当初の予定では、2019年10月以降に外部加盟店での利用も始め、2020年からはセブン&アイグループ各社のアプリとの連携を図っていく予定だったが約3カ
しかしそれはホットワードに乗ったからではなく、本当に必要なものを求めた結果だったという。導入の経緯と狙い、そして効果について、同志社大学の情報システムを担当する山北英司氏に話を伺った。 ほしいものが偶然ゼロトラストだった 山北氏は現在、同志社大学の情報システム部門に在籍し、今回のシステム刷新に携わってきた。同大ではそれまで、大学のWebサイトに緊急のお知らせを掲載する際、VPNを使って校内ネットワークに入り、更新作業をする必要があった。 しかし、システム管理者はセキュリティを確保するためにID管理やファイアウォールの設定など複雑な作業をする必要がある。ユーザーにとっては利用頻度が低く、システムの使い方を思い出す作業が必要な上に、セキュリティ対策のために実施している二要素認証などに慣れてもらうにも時間がかかった。情報発信までのハードルが高く、ユーザーから使いにくいという声が上がっていたという
ChatGPTのセキュリティへの影響 | Cloud Security Alliance Japan
© Copyright 2023, Cloud Security Alliance.All rights reserved. 1 Acknowledgements Authors: Kurt Seifried Sean Heide Bogdan Filip Vishwa Manral Lars Ruddigkeit Walter Dula Eric E. Cohen Billy Toney Supro Ghose Marina Bregkou Additional Staff: Stephen Lumpe (Cover illustration, with assistance from Midjourney) This is a Release Candidate version and is subject to change. © 2023 Cloud Security Allian
クラウド電話APIを提供する米Twilio(トウィリオ)は8月30日、日本市場でのさらなる事業拡大を目指し、日本法人「Twilio Japan」を設立したと発表した。従来はKDDIウェブコミュニケーションズ(KWC)に営業活動などを一任していたが、今後は日本法人がマーケティングやブランディング、直接販売を担う。パートナー企業による販売も行い、Twilio Japanが各社のセールス活動を支援する。 米Twilioは2008年創業。Webサイトやアプリケーションに数行のコードを書き加えるだけで、音声通話機能やSMS送受信機能、チャット機能などを組み込めるクラウドAPIを提供している。日本市場には12年に参入し、KWCと業務提携。13年にサービス提供を始めた。Twilioのサービスは、日本ではヤフーやリクルートライフスタイル、本国では米Morgan Stanleyや米Netflixといった企業
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
SNSやWebサイトなどを使った予約システムは、近年、ITの知識がなくても簡単に作れるほか、無料で始められるサービスが増えています。 そんな予約システムの導入を考えている飲食店経営者に向けて、無料で簡単に作る方法や導入のポイントを紹介します。導入のメリット・デメリットも解説するので、検討する際の参考にしてみてください。 こんな人におすすめ 飲食店を経営しており、予約の受付・管理を効率化したい人 予約システムの導入を検討しており、無料で始められるサービスについて調べている人 機能やメリット・デメリット、導入の際のポイントについて知りたい人 予約システムを導入する方法 「LINEで予約」を活用する 予約システム作成ツールを使って予約サイトを開設する 自店のホームページに予約フォームを埋め込む 導入する際に見るべきポイント 無料で始められる簡単予約システム作成ツール12選 予約管理や顧客管理が簡
NTT 東日本 - IPA 「シン・テレワークシステム」 入門 - 今すぐ使ってみよう トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ | 掲示板 (ユーザーサポートフォーラム
Sucuriは8月24日(米国時間)、「Why WordPress Gets Hacked & How to Prevent It|Sucuri」において、WordPressがハッキングされる主な理由とその手法を伝えた。「なぜWordPressはハッキングされるのか」という疑問の潜在的な間違いを指摘し、Webサイトを攻撃から保護するために役立つ情報を伝えている。 Why WordPress Gets Hacked & How to Prevent It|Sucuri 「なぜWordPressはハッキングされるのか」という疑問に対し、Sucuriは「WordPressは標的となる唯一のCMS (Content Management System)プラットフォームではない」と回答している。ズレた回答をしているようにみえるが、Sucuriによると、攻撃はすべてのWebサイトに対して行われており、
Twitter社は2023年2月18日未明、二要素認証(二段階認証)のSMS認証を、Twitter Blue(有料プラン契約者)に限定する方針を打ち出しました。 SMS認証に代わる、TOTP認証を設定する方法について解説します。 そもそも、なぜ移行する必要があるの? 2023年3月19日までに移行を Twitterにアクセスできなくなることを防ぐため、非契約者のSMS認証は2023年3月19日までに削除することを求めています。 認証アプリやセキュリティキーといった従来方式の二要素認証は利用できるため、TOTP認証に移行しましょう SMS認証よりTOTP認証の方が安全 そもそも、なぜそんなの移行しなきゃいけないの?と疑問に感じるユーザーも居ると思います。 TOTP(Time-base One Time Password)認証とは、30秒や1分程度で切り替わるアプリ上の数字(ワンタイムパスワー
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
ツイッターに裏アカ・匿名アカウント特定をまねく不具合、540万人分の名簿データをハッカーが販売 | テクノエッジ TechnoEdge
Twitterに匿名アカウントの身元特定につながる脆弱性があり、悪用したハッカーが540万件にのぼる名簿データを販売していたことが分かりました。 Twitter社はこの脆弱性について、すでに修正済みであるものの対策前に悪用されたこと、サンプルを調査して本物のユーザーデータであったと確認できたことを認めています。ハッカーが取得したのは匿名・仮名アカウントを含むTwitterアカウントIDと、紐づいた電話番号やメールアドレスを組にしたデータ。 Twitter社は影響を受けたユーザーへ直接告知する計画であること、今後こうした問題の影響を軽減するためユーザー側が設定すべきプライバシー対策についても説明しました。 問題の脆弱性は、Twitterアカウントに登録した電話番号やメールアドレスなど、本来は外部に非公開のはずの情報が照会可能になっており、任意の電話番号やメールアドレスからTwitter ID
当たり前になりつつある二要素認証 人によってはほぼ毎日受け取っているかもしれない、ショッピングサイトを騙る詐欺メール。ASCII.jpの記事や、このコラムなどを読んでくださっている読者なら、フィッシングサイトのリンクを踏むことはそうそうないだろうと思います。 また、それほどセキュリティへの知識がない方でも、「二要素認証」を設定している人も多いでしょう。パスワード+SMSで送られてくるコード、パスワード+指紋認証など、異なる認証要素の2つを組み合わせる認証方法です。 二要素認証における“認証要素”は、大きく分けて3つあります。IDやパスワード、秘密の質問などの「知識要素」。スマートフォンを使ったSMS認証やアプリ認証など、その人が所有しているものに付随する情報の「所有要素」。顔認識や指紋、虹彩(目の膜)など、身体的な情報の「生体要素」です。 対して、IDとパスワード、さらに秘密の質問を入力す
パスワードの利用は、もはや時代遅れと考えられ、パスキーの利用が推奨されつつある。本記事では、パスキーへ移行することで得られるメリットや、その際の課題を解説する。 膨大なパスワードの管理に、うんざりしている人もいるだろう。多数のオンラインアカウントへのアクセスを管理しなければならない今、パスワードはもはや目的にそぐわなくなっている。複数のアプリやWebサイトで覚えやすい同じパスワードを使い回している人は多い。パスワードの扱いでよくある間違いをしているため、悪意のある攻撃者が容易にパスワードを類推して盗用できる状況になっている。パスワードが一度破られてしまうと、デジタル生活そのものが危険に晒されてしまうので注意が必要だ。 パスワードが長らく使われてきた理由は、それ以外の有効な手段がなかったためだ。しかし、パスキーの登場により、その状況は変わりつつある。グーグル社は(アップル社やマイクロソフト社
「ドコモ口座使っていない」「携帯がドコモじゃない」から大丈夫ではない ドコモ口座不正出金、提携銀行に口座がある人は確認を
※本記事はアフィリエイトプログラムによる収益を得ています NTTドコモは9月10日、電子決済サービス「ドコモ口座」を使用した不正出金事件を受け、ドコモ口座と提携している35銀行全てで同サービスの新規利用登録を停止しました。 ドコモ口座は、銀行口座を登録してチャージを行うとスマートフォンなどの端末で送金やショッピングが可能になるサービス。今回の犯人は、サービスを悪用し、他者になりすまし、その銀行口座をドコモ口座に紐付けることで不正出金を行っています。 「ドコモ口座」不正出金の仕組み 犯人の手口は調査中で未だ明らかになっていませんが、ドコモ側、銀行側ともに、銀行口座の連携や出金に必要な本人確認のシステムが十分でなかったことが大きな問題だと言えるでしょう。 現在、ドコモ口座関連の不正出金があったと発表されているのは、イオン銀行、大垣共立銀行、紀陽銀行、滋賀銀行、七十七銀行、中国銀行、東邦銀行、鳥
セキュリティトークンとは セキュリティトークンとはワンタイムパスワードを発行するための小さなハードウェアで、ハードウェアトークンと呼ばれることもある。ワンタイムパスワードにも、いくつかの方式があるが、セキュリティトークンで発行されるワンタイムパスワードは、時刻同期方式(詳細は後述)と呼ばれる方式が主に採用されている。セキュリティトークンのメリットは「トークンごとに異なる情報を保持している」ということであり、セキュリティトークンの所有という行為がセキュリティの強化を担保することになる。このような方式は「所有認証」と呼ばれる。 ワンタイムパスワードとは、その名の通り、毎回あるいは一定時間ごとに変更されるパスワードを使うことで、セキュリティを高める仕組みである。セキュリティトークンを使わずとも、メールや電話でワンタイムパスワードを受け取るという方法もある。しかし、サービスにログインしようとするた
「Twitter」の利用者の個人情報が流出したと、運営元の米ツイッター社が8月8日までに自社ブログで発表した。何者かが脆弱性を突き、システムを攻撃。アカウントにひも付けられたメールアドレスや電話番号などを取得し、販売された可能性があるという。同社は該当するユーザーに通知するとともに、不正使用を防ぐため「二要素認証」の利用を推奨している。 同社によると1月、バグの発見者に報奨金を支払う取り組みを通じて、システムに脆弱性があるとの情報提供があったという。確認したところ、ユーザーがメールアドレスや電話番号などをシステムに送付すると、それらを利用するアカウントを特定できることが分かった。これにより、匿名で運用しているアカウント(いわゆる裏アカウント)も特定できる状態だった。 このバグは2021年6月にソースコードを更新した際に発生したといい、同社は直後に修正。社内調査した時点では脆弱性を突いたとみ
パスワード管理ツールの定番「1Password」のiOS版(iOS 17)が、パスワードレス認証「パスキー」に対応した。事前に設定しておけば、生体認証などで1Passwordにログインでき、複数のパスワードをより簡便に管理できる。 6月からβ対応していたWebブラウザ版でも正式にパスキー対応した。Android版も提供準備ができており、近日中にAndroid 14で利用できるようになる予定だ。 パスキーは、事前に設定しておくことで、パスワード入力不要でログインでき、不正ログイン対策にもなるセキュアな認証方式。スマートフォンなどのユーザー端末で鍵ペアを生成。アプリやサーバには公開鍵を、デバイス側には秘密鍵を安全に格納し、ログイン時に指紋などデバイス側の生体認証で秘密鍵を取り出して鍵ペアで認証する。 関連記事 1Password、「パスキー」をサポート 主要ブラウザのβ版拡張機能で サブスク制
正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。 このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。 例えば、パスワードとスマートフォンの認証アプリを使う方法があり、多くの企業がセキュリティー対策の1つとして導入している。この方法では、パスワード(知識情報)を知っていて、なおかつあらかじめ登録されたスマホ(所持情報)を持っていないとログインできない。パスワードだけの場合と比べてセキュリティーレベルは飛躍的に向上する。 だが万全ではない。上記のような多要素認証を破る手口が数年前から確認されており、現在も使われている。「プロンプト爆撃(prompt bombing)」
SSHブルートフォースログイン攻撃を防ぐ基本的な対策
Sucuriはこのほど、「How to Prevent SSH Brute Force Login Attacks」において、SSHブルートフォースログイン攻撃を防ぐための基本的なセキュリティ対策を紹介した。 How to Prevent SSH Brute Force Login Attacks SSHブルートフォース攻撃は、UNIXベースのサーバ上で安全なリモート接続のために使用されるSSHサービスを標的にするサイバー攻撃の一つ。攻撃者は自動化されたツールやボットを使用し、一般的なユーザー名とパスワードの組み合わせを継続的に試行してサーバへのアクセスを試みる。SSHログインの試行回数が多すぎる場合、SSHサーバがブルートフォース攻撃の標的になっている可能性は高い。 SSHブルートフォース攻撃を行う攻撃者の動機はさまざまとされ、貴重な財務情報やファイルへの不正アクセス、サービスの妨害、他
リモートワークでも便利な認証付きプロキシを作っている
リモートワークでも重宝する認証付きプロキシをずっと自作しているので、それをご紹介します。 認証付きプロキシとは リバースプロキシとして振る舞い、リクエストが誰から行われたのか検証してからバックエンドへ転送するプロキシです。 これによりインターネットから直接プロキシにアクセスできるようにすることができます。 したがってVPNを使わずに社内ツールへのアクセスを可能にすることができます。 最近ではこういったプロキシは ゼロトラストプロキシ と呼ばれます。 しかしプロキシに認証機能を付加するというアイデアは昔からあり、様々な実装があります。 例えば nginx の ngx_http_auth_request_module もそのうちのひとつです。 他にも pomerium や oathkeeper といったプロジェクトもあります。 なぜ作っているのか 元々はリモートワークのためではなく、自宅にある
2023年1月13日、Gen Digitalよりリスト型攻撃によりアカウントが不正ログインされた可能性を知らせるアナウンスが利用者へ行われているとBleeping Computerが報じました。同社のパスワードマネージャーを利用している場合は影響を受ける恐れがあるとして注意が呼び掛けられています。ここでは関連する情報をまとめます。 侵害開始10日超で事態把握 既に外部へ流出している認証情報を使用するリスト型攻撃を行うことでNortonアカウントへの不正ログインが行われた。Bleeping Computerによれば、Gen Digitalは攻撃の標的となった可能性のある925,000件のNortonアカウント(非アクティブなものを含む)に対してパスワードリセットや追加的なセキュリティの対策といった保護措置を講じたとしている。*1 顧客宛に通知された内容によれば、Gen Digitalが攻撃に
iOSで二要素認証ができるオープンソースのワンタイムパスワード発行アプリ「Tofu Authenticator」レビュー
ウェブサービスなどへのログインにワンタイムパスワードを用いるとセキュリティを大幅に強化できます。しかし、ワンタイムパスワード発行アプリの多くはクローズドソースで開発されており、「セキュリティに直結する認証情報をクローズドソースのアプリに任せるのは怖い」と感じている人も多いはず。オープンソースで開発されているiOS向けのワンタイムパスワード発行アプリ「Tofu Authenticator」を見つけたので、使い勝手を確かめてみました。 Tofu Authenticator for iOS https://tofuauth.com/ ◆Tofu Authenticatorのインストール Tofu Authenticatorをインストールするには、まず以下のリンク先にアクセスします。 Tofu Authenticator on the App Store https://apps.apple.co
Twitterの脆弱(ぜいじゃく)性を突いて盗み出したとされる4億人分のユーザーデータを、Ryushiと名乗るハッカーが売り出そうとしていることが分かりました。RyushiはTwitterやイーロン・マスクCEOを相手取ってデータの購入を迫り、「EUの一般データ保護規則(GDPR)による多額の罰金を食らう前に即刻購入せよ」と要求しています。 Hacker claims to be selling Twitter data of 400 million users https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/ ハッカーフォーラムに投稿されたRyushiの声明によると、Ryushiはメールアドレスや名前、電話番号などの非公
『マインクラフト』JavaバージョンがMicrosoftアカウント移行へ―移行数カ月後には現アカウントは使用不能に | Game*Spark - 国内・海外ゲーム情報サイト
Mojangは、『マインクラフト』Javaバージョンについて、独自のアカウントシステムからMicrosoftアカウントへの移行を行うことを発表しました。 これは二要素認証によるセキュリティの強化などを主眼においたもので、ゲーム自体の変更はないものの今後の移行数ヶ月で現Mojangアカウントやそれ以前のユーザー名でのアカウントは『マインクラフト』で使用不能になることを明らかにしました。移行したプレイヤーには特別なマントがプレゼントされます。移行は2021年初頭から開始される予定で、メールやプロフィールページ・ランチャーなどにて各ユーザーに順次移行方法が送付されるとのことです。 なお、複数のアカウントを有している場合は、それぞれのMojangアカウントを別々のMicrosoftアカウントに移行する必要があるとしています。 《Arkblade》
電子署名法第3条関係はもっと知られるべき
例のオープンレターが界隈を賑わしてますけれども。 署名の有効性に関して、事務局が本人確認を怠った事に謝罪が無いとか、後からでも良いので本人確認するべきとか言われてますけれども。 そもそもあのオープンレターの署名、正当な手続きでの署名ではないので、署名の部分は無効なんですよね。 元々署名とは 民事訴訟法228条 (省略) 4 私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。 というものがあります。 また、 平成十二年法律第百二号電子署名及び認証業務に関する法律 https://elaws.e-gov.go.jp/document?lawid=412AC0000000102 が発令される際に、2020年9月4日、総務省・法務省・経済産業省の連名により、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&
2019年8月27日、米セキュリティ企業Impervaは自社のクラウドWAF製品で情報流出があったと発表しました。ここでは関連する情報をまとめます。 Impervaの発表 www.imperva.com ソフトバンク・テクノロジーから注意喚起としてImperva 日本現地法人の発表が掲載されている。 [PDF] Cloud Web Application Firewall(旧:Incapsula)におけるセキュリティインシデントに関するお詫びとご報告 発表内容の意訳 Imperva製品でセキュリティインシデントが発生し、一部の顧客の情報流出があった。 影響範囲は過去にIncapsulaと呼称されていたCloud WAF製品に限定される。 2017年9月15日までにCloud WAFを契約していたアカウントが対象。 2019年8月20日に第三者から顧客情報が閲覧可能と教えられたことが発端。
システムバグ以外の問題もあった米民主党アイオワ州党員集会の集計トラブルをまとめてみた - piyolog
2020年2月3日夜に米大統領選の指名獲得に向け開催されていた民主党のアイオワ州党員集会(アイオワ・コーカス)で集計システムにトラブルが発生し、集計結果の公表が遅延する事態となりました。原因は初めて導入されたアプリだったと報じられています。*1ここでは関連する情報をまとめます。 悲劇的なバグで集計遅延 2020年2月3日夜にトラブルが発生し集計結果の公表が延期。翌日午後にかけ断続的に結果が公表される事態となった。*2 アイオワ州民主党の集会は米大統領選民主党候補者を指名するプロセスで最初に行われるもので、今後の各州の動向に大きな影響を及ぼす。そのため今回のトラブルも注目を浴びる結果となった。 集計結果が確定しない状況から主要な候補者たちが自らの主張で勝利宣言をし、そのまま次のニューハンプシャー州に向かう事態となった。*3 集計トラブルが起きた原因は今回初めて導入されたスマートフォン向けアプ
ハッカーはGmailを狙う、あなたのアカウントを保護する3つのステップ | Forbes JAPAN 公式サイト(フォーブス ジャパン)
グーグルは、二要素認証用ハードウェアのTitanセキュリティキーの最新バージョンを公開し、ハッカー被害のリスクが最も高い人たちに10万台を無料で配布すると約束した。しかし、それ以外の人には、Gmailアカウントの安全性を高める3つの無料のステップがある。 Gmailアカウントは2023年のメールクライアント市場で世界シェアの約30%を占めている。米国に限れば市場シェアは53%に跳ね上がる。18億人以上のアクティブユーザーによって、推定3330億通のメールが毎日送受信されているGmailは、価値あるデータの宝庫でもあり、犯罪者ハッカーを引き寄せる磁石になっている。Gmailの受信箱に侵入したハッカーは、パスワードリセット通知や個人情報にもアクセスが可能になり、無数の攻撃シナリオを実行する。 しかし、あなたのGmailの受信箱に侵入するためには、あなたのGoogleアカウントにアクセスする必要
NTTドコモの電子決済サービス「ドコモ口座」を通じて、同サービスと連携する複数の銀行から不正引き出しが行われた問題は、メディアで大々的に報じられ、多くの人に不安を抱かせた。そして、個々のサービス設計や不正アクセス監視体制の不備が指摘され、二要素認証の導入をはじめとする対策の必要性が叫ばれている。 ただ、より根本的な対策を考えるならばもう一歩引いて、組織化が進むサイバー攻撃全体の動向を俯瞰する必要があるのではないか――。アカマイ・テクノロジーズは2020年10月9日に開催した記者向け説明会「金融、決済サービスを狙う不正事件の考察と最新のセキュリティ攻撃手法の解説」において、そのような問題提起を行った。 分業化と専門化が進むダークウェブ、「進化したリスト型攻撃」の全貌 一般的な企業において、ビジネスの下流から上流まですべてを一社で完結させられるケースはまれだ。製造プロセスがサプライチェーンに依
迂回する方法の一つは「SIMスワッピング」といわれる方法です。携帯電話会社のコールセンターなどにソーシャルエンジニアリング(要は、オレオレ詐欺のような、言葉巧みなだましの手口です)を用いてSIMの再発行を依頼し、事実上、被害者の携帯電話を乗っ取ってしまいます。 こうなればSMSなどで送信される認証コードは手に入り放題ですから、いくら多要素認証を実装していても意味がなくなります。ただ、国内ではユーザー確認手続がしっかり行われていることもあって、「この手口による被害はほとんど確認されていない」(新井氏)そうです。 ですが、もう一つの方法による被害は深刻そうです。19年になって海外のセキュリティ研究者が、多要素認証をかいくぐるツール「Modlishka」(モディスカ)を公開しました。Modlishkaはユーザーと正規サイトの間でリバースプロキシとして動作し、いわゆる中間者攻撃を行います。正規サイ
インセキュアな保育アプリ――AppleとGoogleだけが「アプリの良し悪し」を判断できる世界のままでよいのか投稿者: heatwave_p2p 投稿日: 2022/8/222022/8/22 EFFの同僚、アレクシス・ハンコックは、赤ちゃんを保育園に預けた際、保育管理アプリをダウンロードしてくれと言われたらしい。「授乳、おむつ交換、写真、活動、送り迎え」を管理・指定するために必要なのだそうだ(訳注:日本語訳記事)。 https://www.eff.org/deeplinks/2022/06/daycare-apps-are-dangerously-insecure ロックダウン中ということもあって、アプリはソーシャルディスタンスと接触確認(contact tracing)ルールを遵守するためでもあったし、「通い始めた子供とその不安な両親の分離不安」を解消するためでもあった。 こうした経験
![インセキュアな保育アプリ――AppleとGoogleだけが「アプリの良し悪し」を判断できる世界のままでよいのか | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/b97eb096a155edaf8c3df84e5a292e45c27ecee3/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2022%2F08%2Fmarianne-bos-4eBOAeFfY0w-unsplash_ee.jpg)
Twitter乗換先として話題のSNS「Bluesky」について「招待コードはいつゲットできる?」「どんなデータが公開されるの?」といった疑問を解決する公式Q&A
「Bluesky」はTwitterに似た操作感で使える分散型SNSで、Twitterからの乗り換え先として大きな注目を集めています。しかし、「Blueskyに興味があるけど、どんなSNSなのかよく分からないな」と感じている読者も多いはず。そんな時に役立ちそうな「よくある質問集」がBluesky公式ブログに掲載されています。 Bluesky User FAQ - Bluesky https://blueskyweb.xyz/blog/5-19-2023-user-faq Blueskyは分散型のSNSで、「ユーザーのデータをユーザー自身で管理可能にし、データを保ったまま手軽に別のSNS移行できる」というシステムの実現を目指して開発されているプロトコル「AT Protocol」を採用しています。Blueskyの外観はTwitterにソックリで、違和感なく移行できることも大きな特徴。Bluesk
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「22項目中14項目に不備」──調査で明らかになったゆうちょ銀「mijica」のずさんなセキュリティ
ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」
良いUIUXは利益になる。スピードの裏にある日本と中国で異なるUI/UXデザインの考え方
セブン&アイの7payはなぜサービス終了に至ったか、「失敗学」の方法で分析した
気付いたらゼロトラストだった――セキュリティ強化のためのネットワーク構築、重要なのは何がやりたいか
クラウド電話APIの「Twilio」が日本法人設立 コールセンターシステムなど拡販
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
無料で簡単に予約システムを作るには? 導入前に確認すべきポイントやおすすめツール - おなじみ丨近くの店から、なじみの店へ。
NTT 東日本 - IPA 「シン・テレワークシステム」 - 入門 - 今すぐ使ってみよう
WordPressがハッキングされる理由に関する誤解とは?
Twitterの二段階認証に「TOTP認証(モバイル認証アプリ)」を設定する方法。 - すまほん!!
【Ubuntu日和】 【第22回】強固なパスワードと二要素認証でUbuntuのセキュリティをさらに高めよう
「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
Amazonの二要素認証が突破される? 新手の詐欺が発生中
パスキーへ移行することで得られるメリットと課題
オンラインバンキングなどで利用されているセキュリティトークンのしくみを解説
米ツイッターから個人情報流出 メアド・電話番号など最大540万件か 「二要素認証」の利用推奨
1Password、iOS版でパスキー対応 Androidも対応へ
多要素認証を破る「プロンプト爆撃」の罠、ユーザーの寝込みを襲う恐怖の手口
巧妙な手口で「二要素認証」を突破、ネットバンキングの「ワンタイムパスワード」を狙う偽サイトに注意【意外と知らない? ネットセキュリティの基礎知識】
Nortonアカウントへのリスト型攻撃についてまとめてみた - piyolog
ハッカー「Ryushi」が4億以上のTwitterアカウントの個人情報削除と引き換えに20万ドルを要求、自衛方法はコレ
Impervaの顧客情報流出についてまとめてみた - piyolog
ドコモ口座経由の不正引き出しの背景に「進化したリスト型攻撃」 (1/2)
「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”
インセキュアな保育アプリ――AppleとGoogleだけが「アプリの良し悪し」を判断できる世界のままでよいのか | p2ptk[.]org