米Twitterはロシアによるウクライナ侵攻が始まった2月24日、紛争地域での安全なTwitterの使い方についてアドバイスをウクライナ語の連続ツイートで行った。 一連のツイートは「紛争やその他のリスクの高い地域でTwitterを使用する場合は、プロフィールとデジタル情報を管理する方法を知っておく必要がある」というツイートで始まり、強力なパスワードを作成する方法、アカウントが乗っ取られているかどうか確認する方法、二要素認証の設定方法などについてのウクライナ語のヘルプページへのリンクを紹介している。 関連記事 Twitter、ウクライナ情報提供アカウントを複数停止に 「人為的エラー」と公式 ウクライナ情勢が緊迫する中、Twitterで信頼性の高い関連情報を共有する複数のアカウントがロックされた。ロシアによる大量報告によるのではという懸念に対し、Twitterは「人為的エラー」であって、誤って
米Metaは10月7日(現地時間)、米Appleと米Googleに対し、「Facebookアカウントでログイン」機能を悪用する400件以上のアプリを公式アプリストアから削除するよう求めたと発表した。 ユーザーがこれらのアプリをインストールし、Facebookアカウントでログインすると、Facebookのパスワードが盗まれてアカウントを乗っ取られ、Facebookに提供している個人情報を盗まれる恐れがある。 同社はアカウント情報が盗まれた可能性のあるFacebookユーザー100万人以上に対処法を添えた警告を送った。 米Engadgetによると、AppleとGoogleは既に問題のアプリをアプリストアから削除済みという。 こうしたアプリのジャンルは多様で、写真編集、カメラ、VPNサービス、ゲーム、広告管理など、便利そうあるいは楽しそうなものが中心だ。大量の偽レビューを投稿して評価を上げてユー
Webブラウザと拡張機能の組み合わせは便利だが、セキュリティホールを生み出してしまうこともある。Amazon.comやGmailのパスワードを第三者が盗む方法を研究チームが発見した。 Webブラウザと拡張機能を組み合わせることで利便性が増す一方で、セキュリティホールを生む原因にもなり得る。 あまりにも簡単にパスワードが手に入る ウィスコンシン大学マディソン校の研究チームが2023年8月30日に発表した論文によれば、Amazon.comやgmail.comが入力されたパスワードを一時的に保持する方法に欠陥があり、あるWebブラウザの拡張機能を使うと、第三者がパスワードを読み取れる可能性があるという。これは現実的な危険なのだろうか。 結論から言えば現実的な危険だ。理由は2つある。理由の一つはトラフィックの多いWebサイトの一部にセキュリティ設計が甘いものがあること。もう一つの理由は、悪意のある
セキュリティ英単語帳
2022年6⽉ 独⽴⾏政法⼈ 情報処理推進機構 産業サイバーセキュリティセンター 第5期中核⼈材育成プログラム 「セキュリティエンジニアのための English Reading」プロジェクト 動詞 単語 意味 関連語 使用例 include ~を含む 【名】inclusion: 包含、含まれるもの 【形】inclusive: すべてを含んだ the email including a malicious macro 悪意のあるマクロを含むメール steal ~を盗む steal sensitive information 機微な情報を盗む exploit (脆弱性) を突いて攻撃する 【名】エクスプロイト (コード) 【名】exploitation: (脆弱性を突く) 攻撃 【形】exploitable: 悪用可能な actively exploited vulnerability よく攻
2023年1月23日にAppleがリリースしたiOSやiPadOS、macOS向けのアップデートでは、Apple IDへのサインイン時にFIDOに準拠した物理セキュリティキーを利用できるようになりました。セキュリティキーによるログインはセキュリティを強固にするだけでなく、SMS認証の手間からも解放されるので非常にお役立ち。そこで、実際にセキュリティキーを設定する手順や、解除する手順をまとめてみました。 About Security Keys for Apple ID - Apple サポート (日本) https://support.apple.com/ja-jp/HT213154 ・目次 ◆1:セキュリティキーの設定手順 ◆2:実際にセキュリティキーでサインインしてみた ◆3:セキュリティキーの連係解除手順 ◆1:セキュリティキーの設定手順 今回は、iOS 16.3にアップデートしたiP
2020年のWWDCは、新型コロナウイルスによる感染症拡大のため、ほかの様々なイベントと同様に開催形式が変わる。現地時間の22日(日本時間では23日)、KeynoteとPlatforms States of the Unionが行われ、その後に様々なセッションビデオが公開される予定だ。 WWDC20 期待 Appleプラットフォームの開発者としては、WWDCは一年で最大の楽しみである。昨年はCatalystやSwiftUIが発表され、たいへん盛り上がった。今年は何が発表されるのか、否が応でも期待が高まる。 SwiftUI 2 今年はとうぜん、SwiftUIの大幅なアップデートが出てくるだろう。画面いっぱいに「SwiftUI 2」の文字が大写しになるのが待ち遠しい。SwiftUIでアプリを作ろうとするとすぐに気づくのだが、SwiftUIはまだ機能不足である。 WKWebViewをラップしたW
Twitterの2要素認証、携帯電話番号が不要に
米Twitterは11月21日(現地時間)、ログインでオプションで設定する2要素認証で、ショートメールを使う以外の方法を選択すれば、携帯電話番号が不要になったと発表した。これまでは、使える3つの方法のいずれでも、Twitterアカウントに携帯電話番号を登録する必要があった。 ヘルプセンターの「2要素認証を使う方法」から「ログイン認証を設定するには、Twitterアカウントに携帯電話番号を登録します。」という注記がなくなった。 Twitterの2要素認証では、ショートメールを使う方法に加え、Google Authenticator、Authy、Duo Mobile、1Passwordなどの認証アプリを使う方法と、物理的なセキュリティキーを使う方法が選択できる。 だが、これまでは、すべての方法でまずは携帯電話番号の登録が必要だった。同日から、ユーザーはショートメールベースの二要素認証を無効にし
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で Open Source Security(OpenSSF)とOpen JS Foundationは、先日発生したXZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起を行っています。 注意喚起の中では、オープンソースプロジェクトの乗っ取りをはかる動きは現在もいくつかのプロジェクトで起きつつある可能性があることが示され、ソーシャルエンジニアリングによる乗っ取りを防ぐためのガイドラインが紹介されています。 XZ Utilsのようなプロジェクトの乗っ取りはいまも起きている XZ Utilsのインシデントでは、正体不明の人物がメンテナとしてプロ
先日、料理研究家でYouTuberのリュウジ氏は、運営しているWebサイトのURLを投稿したところ、そのページが何らかの不正なアクセスでリダイレクトされたと報告しました。ランディングページには著名なCMS「WordPress」を使用していたそうで、これを機に別のCMSへと移行するという対策を講じたようです。 こちら原因がわかりまして、LPに使用していたWordPressに外部からハックされ、違法なサイトに飛ぶようになっていたようです 対策として今後はWordPressは使用せずにセキュリティの高いbaseのページを使用します。 (リュウジ氏のTweetより) 筆者はこのツイートを見て、リュウジ氏の対応を理解できるとともに、WordPressについてある種の誤解が広まっていると感じました。 現在、大企業はもちろん、中堅・中小企業も自社のWebサイトを持っていますし、ECサイトがビジネスの中心
家庭のルーターはサイバー犯罪者の標的になる スマートフォンやPCを使うとき、オンラインで利用しないというケースはめずらしいだろう。インターネットにつなぐのは当たり前の時代、ルーターを保有している家庭も多いはずだ。 しかし、セキュリティ意識が必ずしも高くない環境で利用されている家庭用ルーターは、悪意のある人間にとっては標的にしやすいもの。第三者にルーターを不正利用され、踏み台にされてしまうサイバー犯罪もあることに注意が必要だ。 総務省、国立研究開発法人情報通信研究機構(NICT)、一般社団法人ICT-ISACが運営する、IoT機器のセキュリティ対策向上プロジェクト「NOTICE」(National Operation Towards IoT Clean Environment)をご存知だろうか。 NOTICEでは、家庭のルーターやネットワークカメラなどIoT機器の安全啓発のための動画を、Yo
“偽サイトを見分けよう”という行為自体がもう危ない
このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。 ITの世界では「銀の弾丸」(Silver Bullet)という表現がよく使われます。元ネタは、米国の著名なエンジニアであるフレデリック・ブルックス氏が1986年に公開した論文『No Silver Bullet - essence and accidents of software engineering』で、「プログラミングにおいて特効薬となる技術はしばらく登場しない」ということを指しています。 しかしセキュリティにおいては、皆が銀の弾丸の探しているだけでなく、“ハリボテ”の弾丸を“銀”だと言う論調も見かけます。もはや銀の弾丸のような万能のソリューションはなく、銀の弾丸かどうかの見
攻撃されやすい人向け、Gmail「強固なセキュリティ機能」が誰でも利用しやすくなる | Forbes JAPAN 公式サイト(フォーブス ジャパン)
20億人近い人々が無料のGmailを利用し、毎日3000億通のメールが同サービスを介して行き交っている。Gmailのデータへの扉となるGoogleアカウントが、犯罪者や国に雇われたハッカーたちの主要なターゲットになっていることに不思議はない。 グーグルの「高度な保護機能プログラム」は、政治家、活動家、ジャーナリストといったオンライン攻撃の標的となるリスクが高いユーザー向けに、アカウントにアクセスするための最も安全性の高いオプションだ。これまで二要素認証(2FA)の方法として、ハードウェアによるセキュリティキーが必要であり、別途費用がかかっていた。 グーグルは、「高度な保護機能プログラム」(APP)に登録するユーザーはハードウェアキーの代わりに「パスキー」も使用して、個別の二要素認証は必要なく、オールインワンのログイン方法として利用できるようになったと発表したのだ。 パスキーが「高度な保護機
変顔を登録すると顔認証のセキュリティが強化される、との研究結果2021.03.29 07:0012,026 Andrew Liszewski - Gizmodo US [原文] ( 岩田リョウコ ) コンビニで支払いの度に変顔するのかな。 顔認証が普及して、PINナンバーやパスワードを覚える必要がなくなってきたのはすごく便利ですよね。AppleのFaceID=顔認証は、TrueDepthカメラシステムでユーザの顔の形状を正確に読み取るため、セキュリティツールとしてかなり高度な技術だと言われています。 たとえばカメラの前にその本人の顔の写真をかざしたとしても認証されない強いシステムなんです。でも抜け道ってあるんですよ。寝ている人や意識のない人の顔にメガネをかけさせて顔認証がアンロックできちゃうというリサーチ結果も出ているんです。 エンジニアの教授たちがそういったケースを回避するために提案した
リモートワークでDiscordを導入しました - MicroAd Developers Blog
追記:この記事がきっかけで活用事例として本に紹介されました。詳しくは以下をご覧ください。 developers.microad.co.jp マイクロアドのサーバサイドエンジニアでチームリーダーを担当している松宮です。 マイクロアドは先月まで全社員フルリモートで、現在はリモートワークを取り入れた新しい働き方を模索している段階です。 リモートワークにおけるコミュニケーションは大きな課題であり、いくつかの試行錯誤がありました。現在はタイトルにもあるように音声・ビデオ通話ソフト「Discord」を導入することで、コミュニケーションの改善をはかっています。 今回は、Discordを導入して、どのようにコミュニケーションを改善したかをご紹介したいと思います。 Discordとは そもそもDiscordとは、無料で利用できるゲーマー向けの音声・ビデオ通話ソフトです。クラウド上にサーバをホスティングし、ユ
BeyondCorp - A New Approach to Enterprise Security - - 発明のための再発明
GitHubのを眺めていたら、ORYのoathkeeperを見つた。 これがGoogleが社内で使用している「BeyondCorp」を参考にしているということが書いてあったので、その論文を読んだ。 BeyondCorpとは GoogleがVPNの代わりに使用している、認証・認可のシステム。 人・デバイス・ネットワークなどを基に社内システムへのアクセス制御を行い、ホテルやカフェなどから、Google社内システムへのアクセスができるようになっている。 論文は何個か出されているが、読んだのは、BeyondCorp: A New Approach to Enterprise Security また、GCPのサービスにもなっていて、Cloud Identity-Aware proxyという名前になっている BeyondCorpの仕組み 図にすると、↓のような構成らしい 認証 HRのシステムと結びつい
2019年7月、NPO日本ネットワークセキュリティ協会(JNSA)は記者に向けたセミナー「今知りたい! システムを守る認証の実態」を開催した。このセミナーは、最近のスマートフォン向け決済サービスの不正利用事件を受け、近年のインターネットサービスにおける認証技術と運用上の実態に関して、より正確な現状を認識するために企画されたもの。「認証」と「セキュリティ」をキーワードに3人の登壇者が、現在、サービスを提供する企業、そして利用者ができることを語る会となった。 この中では幾つもの有益な情報や提言が含まれていた。その一部を紹介しよう。 認証とは何か/認証技術の現状 ココン 技術領域投資室パートナーの林達也氏は、認証の基礎的な部分に関して解説を行った。林氏はOAuthやOpenID connectの標準化に携わるなど、“認証”を追いかけ続けたエンジニアの一人だ。 「認証の分野は以前に比べるとスケール
かつて個人が趣味で行っていたハッキングは、犯罪組織や悪意を持った国家が目標を達成する手段に変わった。2021年のランサムウェア攻撃は2020年よりも92.7%増え、侵害の90%が認証の問題によって引き起こされているという調査結果もある。 攻撃者が脆弱(ぜいじゃく)な認証を回避する方法の一つがフィッシングだ。英国政府の調査「Cyber Security Breaches Survey 2021」は、フィッシングが最も使われており、セキュリティ侵害の83%を占めるとしている。 時代遅れのソリューション 企業や消費者の多くは時代遅れのソリューションを使っている。その一つがパスワードだ。 パスワードは最新のセキュリティソリューションではない。強力なパスワードであっても、フィッシングやランサムウェア攻撃には対抗できない。そのため、Microsoftなどは「パスワードレス」を推進している。 モバイルア
米Googleは、2年間使用またはログインされていない個人用Googleアカウントを削除する新ポリシーについて、YouTube動画を含むアカウントは対象外にする方針を示した。「YouTube動画を持つアカウントにどのような影響を与えるかを明らかにする」として、当初の発表があった公式ブログの記載を更新した。 Googleは5月16日(現地時間)の発表当初、対象のアカウントについて、事前に通知の上で、フォト、Gmail、ドキュメント、ドライブ、Meet、カレンダー、YouTubeといったコンテンツごと削除すると告知していた。12月から開始する予定で、まずは作られたが全く使われたことのないアカウントから削除するとしていた。 アカウントの削除を避けるには、最低2年に一度、メールの送受信やYouTube動画を視聴するといった操作を行うよう案内していた。しかし、ユーザーからは「故人の記録や投稿がなくな
「二段階認証」の誤解を解く。「二要素認証」「多要素認証」と何が違うか – サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】
2019年7月の「7pay事件」は記憶に新しいところですが、この事件がクローズアップされた際によく取り上げられた言葉に「二段階認証」という言葉があります。そもそも二段階認証とは何か。「二要素認証」「多要素認証」とは何が違うのか、見ていきたいと思います。 知っていますか?「二段階認証」の多くは間違いです セキュリティ向上のための「二段階認証」と聞いて、一般的に思い浮かべるのは、以下のような流れではないでしょうか。 最初、IDとパスワードを入力し認証を行う (一段階目の認証) 次に、IDとパスワード以外のものを入力して認証を行う (二段階目の認証) 二段階の認証を通過するとログインできる。 通常は、1段階目の「ID・パスワード認証」のみなので、認証が2段階で2回求められるので「1段階より安全」という理解が持たれています。しかし、これは2つの意味で正しくありません。 (1)二段階であること自体に
週刊Railsウォッチ: VSCodeでRubyコード実行結果を表示、rubygems.orgがgem作者に多要素認証を呼びかけほか(20220621後編)|TechRacho by BPS株式会社
こんにちは、hachi8833です。RubyKaigi 2022のCFPが一昨日締め切られました。 Final Call: CFP for RubyKaigi 2022 closes at midnight today (in JST). Don't forget to submit your proposal(s) within 6.hours.from_now! 🥷💨 https://t.co/mLjIuqCsyM #rubykaigi — RubyKaigi (@rubykaigi) June 19, 2022 週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@h
冒頭、辻氏は「セキュリティに関する最新情報を追い掛けたり、気にしたりする人が増えてきた。『常々追い掛けていないと、置いてきぼりになるかも』と不安になる人もいるだろう。しかし、新しいことだけを追い掛けていても、見落としてしまったり、やるべきことが抜けていたりと、基礎を考えないまま進んでよいのか。今回のディスカッションでは、変わりゆく現状に追い掛けられる状況ながらいったん立ち止まり、おろそかかもしれない“基礎”が大丈夫かを確認したい」と提案した。 根岸氏も「変化が激しい今、何が変わって、何が変わらないのかに注目して聞いてもらえれば」と述べる。 意識すべき「外から見た組織」――“よろしくやってくれ”でいいの? 辻氏がまず取り上げたのは、外から見た自組織の形はどう見えているかというポイントだ。多くの組織がサイバー攻撃対策として、さまざまなセキュリティ製品を導入していることに異論はないだろう。しかし
2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。 【7位】 2要素認証でない「2段階認証」 これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービ
パスキー利用状況レポート @ マネーフォワード ID (vol.2, Aug 2023) - Money Forward Developers Blog
English version of this article is available here. はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 前回のパスキー利用状況レポート vol.1から3ヶ月ほど経過しました。その後エンドユーザーのみなさんに向けたプロモーションも実施し、順調にパスキー利用者数が伸びています。 パスキープロモーションの進捗 2023年6月から、マネーフォワード ME という家計簿アプリのユーザー向けにパスキーの登録を促すプロモーションページの表示を開始しました。 現在パスキー未登録なユーザーがパスワードを使ってマネーフォワード ME にログインすると、以下のようなプロモーションページが表示されるようになっています。 プロモーション対象は開始当初は1%ほどに限定していましたが、7月終わりごろから全マネーフォワード ME ユーザー向けに対
本当はre:Inventかその周辺で発表されたアップデートについて書こうかなと思ったんですが、自分自身の時間の都合と、例によって某ブログに大量に情報があるので今回は見送りましたw zennに何か書こうと思って書くのも今回が初ですね。 さて、今回は個人的に以前から非常に気になってしまう使われ方が多いIAMの使い方について、あらためてネタにしようと思います。 どちらかというとAWSにそれほど詳しくない人向けのつもりです。 しれっと使ってますが、そもそもベストプラクティスって何? という方はとりあえずこちらを ベストプラクティス (best practice)とは あくまでもベストプラクティスなのでいきなり全部を満たすのは難しいかもしれませんが、こういうものがあるんだよ、というのを認知してもらえればと思います。 とりあえず真っ先に気を付けたほうがよいことや注意してほしいことは よく見るまずい(と
Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場:セキュリティニュースアラート TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される | スラド セキュリティ
RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713、 The Registerの記事、 CVE-2019-15224)。 不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。 不正アクセスを受けたメインテナーのHacker Newsへの投稿に
2019年2月5日、NoOps Japan Communityが主催する勉強会「NoOps Meetup Tokyo #4」が開催されました。「システム運用保守の"嬉しくないこと"をなくそう!」 をテーマに、 NoOpsを実現するための技術・設計手法・開発運用保守サイクル・ツールや考え方・事例などを共有します。プレゼンテーション「Zero Trust Networkで実現するアプリケーションサービス 」に登壇したのは、F5ネットワークスジャパン合同会社ソリューションアーキテクトの伊藤悠紀夫氏。講演資料はこちら Zero Trust Networkで実現するアプリケーションサービス 伊藤悠紀夫氏:みなさんこんにちは。F5の伊藤と申します。私も実はテーマが同じで、Zero Trust Networkのアーキテクチャの部分です。前半は概要をお話しさせていただきまして、後半は実際にやってみたという
世界最大級の通信キャリア・T-Mobileは、「SIMカードの交換」を利用して個人情報を盗もうとする「SIMスワップ」に悩まされています。直近で新たに、従業員を買収してSIMスワップを行わせようとする試みが確認されていることがわかりました。 T-Mobile Employees Across The Country Receive Cash Offers To Illegally Swap SIMs https://tmo.report/2024/04/t-mobile-employees-across-the-country-receive-cash-offers-to-illegally-swap-sims/ 「SIMスワップ」は、SIMカードの交換を利用したサイバー攻撃で、特定のユーザーになりすましてSIMカードの交換を申請することにより、偽物のSIMカードに対して通信キャリアから個
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
2019年10月のハニーポット観察記録。100万回を超えるMySQLへの攻撃を観測(大元隆志) - エキスパート - Yahoo!ニュース
サイバー攻撃は日々変化しており、サイバー攻撃者の手口やトレンドを知ることは対策を考える上で貴重なデータとなる。こういったサイバー攻撃者の手口を知るツールとして、ハニーポットというツールが存在する。ハニーポットとは、わざとサイバー攻撃を受ける「囮サーバー」を設置し、サイバー攻撃者の手口や、トレンドを把握するというもの。 2019年10月1日から31日までの期間に、AWS上に設置したハニーポットで検知したサイバー攻撃についてレポートする。 ■ハニーポットの構成 本レポートで使用したハニーポットはAWSの東京リージョンに設置されており、AWSのパブリックIPアドレスを割り当て、パブリックDNSは割り当てていない。AWSのセキュリティグループはハニーポットにログインするポート番号以外は全てオープンとなっている。「AWSのセキュリティグループの設定を誤るとこんな攻撃を受ける」という視点で見て貰うと、
パスワード管理ツール LastPass vs. 1Password 「使いまわし」「下二桁変更」で済ませていませんか?
企業でのSaaS活用も進み、10以上のSaaSを利用している企業も決して珍しくはなくなってきている。SaaSのユーザーアカウントは管理者から利用者に付与され、そのIDとパスワードは利用者自身で管理をすることが基本だが、利用するSaaSが増えればアカウントも増えるため、IDとパスワードを管理するのが大変になってくる。 とある企業に勤める情シス担当者の方からは、社内からの問い合わせの半分以上が「パスワードを忘れた」というものだという話も聞いたことがある。 SaaSはインストールが不要で、インターネットブラウザ上でさまざまなソフトウェアを利用できる非常に便利なものではあるが、IDとパスワードが外部に漏洩してしまえば不正にアクセスされる危険性も高い。セキュリティ強化のために近年では二要素認証(通常のパスワード認証に加えて、ワンタイムパスワードによる認証を設定する機能)などを必須にするSaaSも増え
ショートメッセージサービス(SMS)はスマートフォンで広く使われている。個人的なメッセージはもちろん、多要素認証のコードを受け取る場合もあるだろう。Googleによればここにワナが待ち受けているという。どんなワナだろうか。 Googleによればショートメッセージサービス(SMS)はあまりにも古い技術を使っているため、セキュリティが時代遅れになっていて、危険な状態にあるという。 2023年9月27日、Googleは安全性認証・試験機関のDekraが公開したホワイトペーパーを取り上げ、SMSのセキュリティの欠点を紹介した。どのような欠点があるのだろうか。 SMSのセキュリティはひどすぎる 友人とメッセージを交換したり、家族の写真を共有したり、銀行口座の機密データにアクセスするための多要素認証コードを受け取ったりするために、ユーザーは日々SMSを利用している。生成AI(人工知能)のような最新技術
最近の一連のサイバー攻撃は、多要素認証(MFA)の有効性に疑問を投げ掛けている。 2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。 同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。 サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。 MFAは魔法ではない Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏(情報セキュリティ部門責任者)によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入
何らアクションせずともシステム侵害や情報窃取が起こり得る――。ゼロクリック攻撃と呼ばれるサイバー攻撃では、メッセージアプリでのメッセージ受信だけで情報漏えいが生じたといった被害も報告されている。この記事では、ゼロクリック攻撃と呼ばれる手法について、どのような対応が求められるのかを解説する。 ゼロクリック攻撃とは ゼロクリック攻撃とは、ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法のことだ。特定のリンクへのクリックや、ファイルの実行といったユーザーのアクションが発生せずとも攻撃が成立する。多くの場合、ユーザーの気づかぬ間に、情報を窃取するスパイウェアなどのマルウェアがインストールされ、被害に至る。 ゼロクリック攻撃の脅威が知れ渡るきっかけとなったのが、スパイウェア「Pegasus」を使ったゼロクリック攻撃だ。このPegasusは、2016年にイスラエルのテクノロジー企
Mastodonのプライバシー、セキュリティ、モデレーションってどんな感じなの?投稿者: heatwave_p2p 投稿日: 2022/12/102022/12/10 Electronic Frontier Foundation 本稿はMastodon・fediverseシリーズ記事の1つである。他にもfediverseとは何か、なぜfediverseは(我々次第で)素晴らしいものになりうるかなどの記事を提供している。EFFのMastodonはこちらから。 多くのユーザがマイクロブログプラットフォームのオルタナティブとしてMastodonに移行している。それにともない、このプラットフォームのプライバシーとセキュリティに多くの疑問が投げかけられている。このトピックについて、包括的とはいえないものの、我々の考えを共有したい。 基本的に、Mastodonはあなたの声をフォロワーに公開し、他の人が
![Mastodonのプライバシー、セキュリティ、モデレーションってどんな感じなの? | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/49e6a0def6985a59b67a68b597f75c04c1bb136e/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2022%2F12%2Fwelcome-mastodon.png)
スターバックスでクレジットカード不正利用:二要素認証なしとカード追加が弱点に(三上洋) - エキスパート - Yahoo!ニュース
スターバックスでクレジットカードの不正利用事件が起きました。会員サイトに不正ログインされ、登録されていたクレジットカードからお金をチャージされ店頭でコーヒー豆などを買われた被害です。事実関係と不正利用の原因をまとめます。 5件・約18万円被害だが住所・氏名・電話番号が閲覧された可能性ありスターバックスの会員サービス「My Starbucks」に不正ログインがあり、登録されていたクレジットカードが不正利用されたことが10月24日に発表されました。スターバックスジャパン広報への電話取材を元に、事実関係をまとめておきます。 ●スターバックス・クレジットカード不正利用の経緯(10月25日13時の電話取材)・10月16日に最初の不正利用(17日に利用者からの問い合わせでスターバックス側が把握) ・被害が確認できたのは10月16日から18日にかけての3日間 ・5アカウントが5店舗で不正利用された ・購
ウイルス対策ソフトウェアベンダーのアバスト(Avast Software)は、2019年10月21日、同社自身がターゲットとなった標的型攻撃の詳細をブログで公表した。社内ネットワークへの侵入を許してしまったのち、どのように対処して被害の拡大を防ぎつつ攻撃者の情報を収集したのか。今回のインシデント対応を指揮した同社CISOのジャヤ・バルー(Jaya Baloo)氏に話を聞いた。 同社公式ブログによると、社内ネットワーク上で最初に不審な活動を検知したのは9月23日のこと。モニタリングを強化し警戒していたところ、1週間ほど経った10月1日に「Microsoft Advanced Threat Analytics(MS ATA)」が、同社のVPNアドレス範囲に属する内部IPアドレスからディレクトリサービスが不正に複製されたことを検知した。 不審な行動の詳細を追うと、同社のVPNにおいて一時的なVP
コロナ禍で急速に普及したリモートワークを狙うサイバー攻撃が増加している。環境的な要因から生じる脆弱性を突いたものから、働き手のミスや油断などいわゆる「心理的な脆弱性」を突いたものまでさまざまだ。本記事では、リモートワークにおける情報漏えいリスクをどのようにして予防するのか、具体的に解説する。 リモートワークで高まる情報漏えいリスク リモートワークの際に、業務を行なう自宅やカフェなどではセキュリティ的に脆弱なことがある。その結果、こうした脆弱な業務環境を狙ったサイバー攻撃が多発している。IPA(独立行政法人 情報処理推進機構)が2021年8月に発表した「情報セキュリティ10大脅威 2021」では、「ランサムウェア」、「標的型攻撃」に加えて「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインした。実際に、業務用パソコンがマルウェアに感染したり、許可を得ていない私用端末がマルウェアに
「一連のサービスを停止している。ご利用いただいている預金者の皆様にはご迷惑をおかけしていることを合わせてお詫びする」 「当行からのからの発信が十分なものでなかったという点についてもこの場をお借りしてお詫びを申し上げる」 9月16日16時、緊急会見を開いたゆうちょ銀行の代表取締役副社長の田中進氏は、会見冒頭に謝罪を口にし、ゆうちょ銀行がかかわる、決済サービス事業者にからむ不正出金の状況説明をはじめた。 ゆうちょ銀行の発表によると、現時点で把握している被害件数は109件、総額1811万円が不正出金の被害にあっている。 ゆうちょ銀行が示した資料では、そのうちNTTドコモの「ドコモ口座」の被害は82件、総額1546万円にのぼることがわかった。 NTTドコモは9月16日午前0時時点の被害申告状況として、被害件数145件、被害金額2678万円と発表している。 ドコモ口座の被害額のうち、過半数がゆうちょ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitter、ウクライナ語で「紛争地域での安全なTwitterの使い方」を連投ツイート
「Facebookでログイン」でパスワード盗むアプリ、100万人以上被害
「Google Chrome」でパスワードがダダ漏れに そのカラクリとは?
Apple IDで物理的なセキュリティキーを二要素認証として設定する方法&解除する方法まとめ
WWDC20で何が発表される?予想をまとめてみました! - cockscomblog?
リュウジ氏の一件から考える 本当にWordPressは脆弱なのか?
家で使っているルーターが乗っ取られて「ゾンビ」になる!? 気をつけることは
変顔を登録すると顔認証のセキュリティが強化される、との研究結果
【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか
モバイルアプリによる二要素認証をさっさと捨てるべき理由
Googleの“2年放置アカウント削除”、YouTube投稿アカは対象外に
「セキュリティのアレ」のリサーチャー3人が振り返る、「侵入されて当たり前」は本当に当たり前か?
平成のうちにやめたかった『ITの7つの無意味な習慣』 - Qiita
AWSを使うにあたりIAMのベストプラクティスをもう一度確認する
Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場
Zero Trust Networkで実現するアプリケーションサービス
サイバー攻撃「SIMスワップ」のために従業員を買収する試みが確認されている
国内ネットバンキングの二要素認証を狙うフィッシングが激化
Googleが「SMSのセキュリティは穴だらけ」と批判する理由
多要素認証が効かない「Pass-the-cookie攻撃」の仕組み
ゼロクリック攻撃?なぜそのような攻撃が起こり得るのか? | サイバーセキュリティ情報局
Mastodonのプライバシー、セキュリティ、モデレーションってどんな感じなの? | p2ptk[.]org
標的型攻撃「Abiss」で狙われたアバスト、CISOが実践した対策の裏側
リモートワーク時の情報漏えいにおける環境要因と対策
二要素認証アプリ「Microsoft Authenticator」Android版に設定のバックアップ機能が追加/新規デバイスへの移行時に二要素認証を再設定する手間を省けるように
【ゆうちょ銀行謝罪会見】「ドコモ口座」被害金額の過半数がゆうちょ、主張の食い違いも