コロナ禍で急速に普及したリモートワークを狙うサイバー攻撃が増加している。環境的な要因から生じる脆弱性を突いたものから、働き手のミスや油断などいわゆる「心理的な脆弱性」を突いたものまでさまざまだ。本記事では、リモートワークにおける情報漏えいリスクをどのようにして予防するのか、具体的に解説する。 リモートワークで高まる情報漏えいリスク リモートワークの際に、業務を行なう自宅やカフェなどではセキュリティ的に脆弱なことがある。その結果、こうした脆弱な業務環境を狙ったサイバー攻撃が多発している。IPA(独立行政法人 情報処理推進機構)が2021年8月に発表した「情報セキュリティ10大脅威 2021」では、「ランサムウェア」、「標的型攻撃」に加えて「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインした。実際に、業務用パソコンがマルウェアに感染したり、許可を得ていない私用端末がマルウェアに
「一連のサービスを停止している。ご利用いただいている預金者の皆様にはご迷惑をおかけしていることを合わせてお詫びする」 「当行からのからの発信が十分なものでなかったという点についてもこの場をお借りしてお詫びを申し上げる」 9月16日16時、緊急会見を開いたゆうちょ銀行の代表取締役副社長の田中進氏は、会見冒頭に謝罪を口にし、ゆうちょ銀行がかかわる、決済サービス事業者にからむ不正出金の状況説明をはじめた。 ゆうちょ銀行の発表によると、現時点で把握している被害件数は109件、総額1811万円が不正出金の被害にあっている。 ゆうちょ銀行が示した資料では、そのうちNTTドコモの「ドコモ口座」の被害は82件、総額1546万円にのぼることがわかった。 NTTドコモは9月16日午前0時時点の被害申告状況として、被害件数145件、被害金額2678万円と発表している。 ドコモ口座の被害額のうち、過半数がゆうちょ
豊田通商インシュアランスマネジメント傘下、豊田通商インシュアランス・ブローカー・インディア(TTIBI)のMicrosoftアカウントのログイン情報が漏れ、同アカウントから送信されたメールが閲覧できる状態にあったことが報告されました。 Hacking into a Toyota/Eicher Motors insurance company by exploiting their premium calculator website https://eaton-works.com/2024/01/17/ttibi-email-hack/ この問題を報告したのはセキュリティ研究者のEaton Zveare氏。同氏によると、TTIBIのサブドメインにあるアイシャー・モーターズの保険料計算ウェブサイトを通じ、Microsoftアカウントの認証情報が漏れ出たとのこと。 Zveare氏がこの情報を元
Uberが何者かによってハッキングされた模様 | 二本松 哲也
WebセキュリティエンジニアのSam Curry 氏によると、9/16 9:58 頃にUber従業員のHackerOneアカウントがハッキングされた事が確認された模様です。 Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE — Sam Curry (@samwcyo) September 16, 2022 “誰かがUberの従業員のHackerOneアカウントをハッキングして、すべてのチケットにコメントしています。彼らはおそらくUber HackerOneの全レポートにアクセスできる
グーグルは12月1日より、2年以上使用されていないGoogleアカウントの削除を作成されて以降一度も使用されなかったアカウントから段階的に開始する。 グーグルは12月1日より、2年以上使用されていないGoogleアカウントの削除を、作成されて以降一度も使用されなかったアカウントから段階的に開始する。 スパム・詐欺の温床になる可能性 グーグルは2023年5月16日(現地時間)に同社のアカウントポリシーをすべてのサービスで2年間に変更。少なくとも2年間使用またはログインされていない場合、そのアカウントとコンテンツ(Google Workspace(Gmail、ドキュメント、ドライブ、Meet、カレンダー)およびGoogleフォト内のコンテンツを含む)を削除する場合があるとしている。ただし、YouTube動画を投稿しているアカウントは削除されない。 放置されたアカウントは古いパスワードや複数サー
はじめに 最初に重要事項を発表します。私 Shougo はテキストエディタプラグイン開発に力を入 れていくために、github sponsors を有効にすることにしました。 これは大きな方針転換となります。これまでの私はオープンソース活動に対する寄付を 受け付けていなかったからです。なぜかというと、もっと自由にオープンソース活動を やりたかった、寄付を受けるとそこに責任が発生するのではないか、テキストエディタ との関係性が変わってしまうのではないかという懸念があったからです。 しかし、私もプラグイン開発を始めてからはやくも 10 年以上たちました。 昔とは完全に状況が変わってきています。プラグインやそれに使われる技術も複雑化、 高度化しかなり開発期間をかけないといけなくなりました。プラグイン開発に時間を費 すには資金が多いにこしたことはありません。 モチベーションの確保も課題です。通常の
擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開! | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第12回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティの高度解析部 ペネトレーションテスト課の課長で、執行役員でもあるルスラン・サイフィエフと、同じくペネトレーションテスト課の「黒林檎」こと、村島正浩。 イエラエセキュリティの
「Windows 11」、セットアップ終了後にまずやっておきたい6つのこと(ZDNet Japan) - Yahoo!ニュース
新しい「Windows 11」PCのセットアップはとても容易だ。実際、驚くほど簡単だと言える。クリック操作でダイアログボックスから設定を進めていき、アウトオブボックスエクスペリエンス(OOBE)の一環として数カ所の設定を指定すれば、Windows 11デスクトップの使用準備が整う。 しかし、これで作業が完了するというわけではない。Microsoftのデフォルト設定は必ずしも個々のユーザーにとって最適とはいえず、煩わしさを感じるものも存在している。しかし、それらはちょっとした操作で取り除けるようになっている。 「Windows」デスクトップまで到達した際には、何よりも先にまず、数分を費やし、以下に紹介する6つの作業を実行してもらいたい。 #1:「Microsoftアカウント」を用いてセキュリティを最大限に高める 自らが所有し、個人で管理するシステムでは、主なユーザーアカウントとして「Micr
Xの個人情報と広告
<path opacity="0" d="M0 0h24v24H0z" /> <path d="M17.207 11.293l-7.5-7.5c-.39-.39-1.023-.39-1.414 0s-.39 1.023 0 1.414L15.086 12l-6.793 6.793c-.39.39-.39 1.023 0 1.414.195.195.45.293.707.293s.512-.098.707-.293l7.5-7.5c.39-.39.39-1.023 0-1.414z" /> </svg>" data-icon-arrow-left="<svg width="28px" height="28px" viewbox="0 0 28 28" version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://ww
ついにパスワードを使ったログインがなくなる……? 8月10日、NTTドコモの「ドコモオンライン手続き」においてdアカウントとパスワードの組み合わせによるログインができなくなりました。今後はネットワーク暗証番号もしくはパスワードレス(FIDO)認証のいずれかが必須になります(一部を除く)。 上記のような試みをはじめとしてパスワードを用いないログイン方式は徐々に広まっています。それでもパスワードが早晩なくなることはないでしょう。使い回さないことは大前提として、突破されにくい文字列を考える作業はこれからも重要な作業の1つです。 そこで今回は、簡単に破られにくいパスワードを作成する術をご紹介しましょう。 ※以下は「ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」」からの抜粋です。 6文字増やすだけで2世紀破れないパスワードに変身!? 覚えやすいからと「1234567」
サイバーセキュリティには根本的な問題がある。パスワードによる認証は60年前に始まり、今日もアクセスコントロールに使われる最も一般的な方法だ。だが、これらは信頼性に欠ける。 サイバーセキュリティ事業を営むNetenrichのCISO(最高情報セキュリティ責任者)であるクリス・モラレス氏は「アクセスコントロールは古い技術から派生したものだ」と話し、パスワードを嫌っている。 「私たちは資金を投入してクールなビジネスに取り組んでいるにもかかわらず、セキュリティ全体がパスワードのせいで崩壊する。私たちが抱える問題は、認証に関して中間の状況がないことだ。全てにアクセスできるか、何にもアクセスできないかの二択だ。そして、ただパスワードを知っていればいいだけだ。パスワードを知っていれば信用できると見なされ、全てを手に入れられる」(モラレス氏) パスワードとIDによる認証は“破綻した仕組み” 「Cybers
週刊Railsウォッチ(20210412前編)Active Record属性暗号化機能がRails 7にマージ、RailsNew.ioでrails newオプションを生成ほか|TechRacho by BPS株式会社
週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙇 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:週刊Railsウォッチタグ) 🔗Rails: 先週の改修(Rails公式ニュースより) 今週は以下のコミットリストのChangelogを中心に見繕いました。 コミットリスト: Compa
国内有数の大手企業である楽天グループが運営する楽天ウォレット。 楽天ポイントが利用できる、楽天銀行と連携できるなど、普段から楽天を利用する方にとってはメリットが多いようです。 一方で、スプレットが高い、取り扱い通過が少ないという意見も聞かれました。 楽天ウォレットアプリは非常に使いやすいと評判なので、仮想取引を始めるのであれば、ぜひ選択肢に入れたいですよね。 ここからは、実際に楽天ウォレットを利用している方の口コミを参考に、メリットデメリットを確認していきましょう。 楽天ウォレットは最悪?デメリット紹介 引用元:Pixabay 他の取引所と比較すると、楽天ウォレットは取引通過が少ないようです。 楽天ウォレットを始めてから後悔しないように、実際の評判をよく確認していきましょう。 楽天ウォレットを利用している方からは、以下のデメリットが聞かれました。 それぞれ具体的に解説していきます。 楽天ウ
総務省は2024年3月5日、「通信の秘密」の漏洩でLINEヤフーを行政指導した。対象は同社が2023年11月27日に公表した情報漏洩である。業務委託先のマルウエア感染を契機に旧LINEのシステムへの侵入を許した。システムの管理をNAVER子会社に委ね、原因を即座に特定できない状態だった。総務省は行政指導で資本関係の見直しにまで言及する異例の事態となっている。 「電気通信事業全体に対する利用者の信頼を大きく損なう結果となったものであり、当省として極めて遺憾である」 総務省は2024年3月5日、電気通信事業法で定める「通信の秘密」の漏洩があったとして、LINEヤフーを行政指導した。同時に公表した資料では10ページにわたり、LINEヤフーにおける安全管理措置や委託先管理の不備などを指摘。さらには親会社との資本関係の見直しにまで言及した。総務省の強い憤りがにじみ出た異例の行政指導となった。 LIN
どう対応するべきか、ちょっと考えてみる。LastPassを勧めた記事を書いた手前、このnoteは本来有料マガジン用だが全文無料にする。ただし俺はこの手の分野は完全に素人なので、どこまで適切なことを書けるか分からないが。 実際のところ何が起きたのか。GIGAZINEは少々大げさに書くところがあるので、他ではどのように書かれているか調べる。 平文で盗まれたのは以下である。ユーザーの基本情報が抜かれた形だ。 LastPassでのユーザー名 請求先住所 メールアドレス 電話番号 IPアドレス 暗号化された状態で盗まれたものは、LastPassに覚えさせたもの。 ユーザー名 パスワード セキュアノート その他覚えさせたもの 盗まれていないもの。 LastPassのマスターパスワード LastPassは保存されたパスワードなどをAES 256 暗号化で保護している。マスターパスワード無しで解読しようと
任天堂は9月21日、ニンテンドーアカウントにパスキー認証機能を追加したと発表した。事前に設定しておけば、対応のスマートフォンやPCから生体認証などを使ってニンテンドーアカウントにログインできる。 パスキーは、スマートフォンなどにあらかじめ保存した認証情報(キー)を、生体認証(指紋・顔)などで呼び出し、サービス側にユーザー専用のキーを渡すことで認証する仕組み。パスワード入力不要でログインでき、不正ログイン対策に有効とされている。 利用には、事前の設定が必要。対応のPCやスマートフォンからニンテンドーアカウントにログインし、「新しくパスキーを設定」を選択。手元の機器で生体認証を行うと、パスキーを設定できる。 設定後は、スマートフォンから生体認証でニンテンドーアカウントにログインできる他、Nintendo Switchでログインする際も、「スマートフォンでかんたんログイン」を選んで表示されたQR
セキュリティアップデートがデバイスとユーザーの安全を守るここで私が言っているのは、機能のアップデートのことではありません。使用しているiPhoneが、Appleの提供する最新機能を利用できなくなるのはもちろん残念ですが、それでも十分に使えます。 しかし、セキュリティアップデートを受けられなくなると、そのデバイスは新たな脆弱性の影響を受けやすくなります。 使用しているスマホのOSアップデートが完全にサポートされなくなったとしましょう。 どこかの時点で、セキュリティ上の重大な脆弱性が発見され、悪意ある者があなたのスマホで好きなコードを実行し、実質的に乗っ取ることができるようになってしまいます。 たとえば、テキストメッセージやメールに含まれる悪意あるリンクを通じてこれを実現したり、そのスマホで2FA(二要素認証)コード詐欺を実行したりします。 いずれにせよ、この脆弱性は存在しており、ユーザーを危
サイバーセキュリティ企業のNordVPNはこのほど、少なくとも500万人がオンライン上で個人情報を盗まれ、ボット市場で平均866.03円にて販売されていたと発表した。この被害者のうち、約1万3000人以上が日本人だという。 データを盗むマルウェアの代表格はRedLine、Vidar、Racoon、Taurus、AZORult 本データは、NordVPNが3つの主要なボット市場を調査して得られたもの。 この場合の「ボット」は、自律的なプログラムを意味するのではなく、データを収集するマルウェアのことを指す。またボット市場とは、ハッカーがボットマルウェアで被害者のデバイスから盗んだデータを販売するために利用するオンライン市場のこと。 データはパケットとして販売され、その中にはログイン情報、クッキー、デジタル指紋、スクリーンショットなどの情報、つまり侵害された人の完全なデジタルアイデンティティが含
「石川や 浜の真砂は 尽くるとも 世に盗人の 種は尽くまじ」。これは石川五右衛門の辞世の句だと言われています。砂浜の小さな粒を全て取り尽くしたとしても、世の中に泥棒がいなくなることはない、という意味です。 筆者はサイバーセキュリティで今起きている現象と重なる気がして、ふと上記の句を思い出しました。サイバーセキュリティで“尽きない”と言えば「パスワード」ネタです。というわけで今回もパスワードの話をピックアップしたいと思います。 パスワードをちょっと変えただけでは使い回しと大差ない 「ITmedia NEWS」で山下裕毅氏による「パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表」という記事が公開されました。 これはタイトル通り、パスワードを少し変えて使い回しを防止したとしても、攻撃側はそれを予測できてしまうという研究結果です。記事によ
Microsoft 365 Copilot を発表 – 仕事の副操縦士 - News Center Japan
Modern Work & Business Applications 担当コーポレートバイスプレジデント ジャレッド スパタロウ (Jared Spataro) ※本ブログは、米国時間 3 月 16 日に公開された “Introducing Microsoft 365 Copilot – your copilot for work” の抄訳を基に掲載しています。 人間は、夢を見て、創造し、イノベーションを起こすように作られています。私たち一人ひとりが、偉大な小説を書く、科学的な発見をする、強力なコミュニティを築く、病人を看護するなど、生きがいを感じられる仕事を求めています。仕事の核心に触れたいという衝動が、常に私たちの中にあります。しかし、今日、私たちは、時間、創造性、エネルギーを奪う退屈な仕事に多くの時間を費やしています。仕事の本質を取り戻すために必要なのは、より良い方法で同じことを行
プログラミング言語のパッケージ管理ツールに潜む危険性
NECサイバーセキュリティ戦略本部 セキュリティ技術センター インテリジェンスチームの郡司です。今週のセキュリティブログでは、プログラミング言語のパッケージ管理ツールに潜む危険性に関する話題をお届けします。 最近のプログラミング言語にはたいてい「パッケージ管理ツール(およびパッケージリポジトリサービス)」があります。自分が作成したライブラリをパッケージという形にまとめてリポジトリに公開したり、逆に他人が作成したライブラリをリポジトリからパッケージとして追加したりといったことが簡単にできるプラットフォームが提供されています。たとえばプログラミング言語PythonではPyPI[1] 、Node.jsではnpm [2]、RubyではRubyGems [3]などです。自分が欲しいと思っている機能を誰かがすでに実装してパッケージとして公開しているのであれば、機能を一から開発しなくても、誰かが作ったパ
Uptime Kumaは登場して一年足らずな新進気鋭のモニタリングツールです。ただし登場して間もないとは思えないほど完成度は高く、そして「とりあえずこれだけやっときたい」という用途にちょうどよい塩梅の機能をもっています。今回はこのUptime Kumaをインストールしてみましょう。さぁ、🐻の時間だ! シンプルとかそんな甘言に騙されない(・(ェ)・) いわゆる「モニタリングツール」と呼ばれるものは、おおよそ次のような機能のすべて、もしくはいずれかが備わっています。 データの取得 データの収集 データの表示 監視対象の管理 状態監視 アラートの通知 たとえばPrometheusはExporterが各ノードのデータの取得を行い、Prometheus本体がそれを収集してデータベースに保存します。データの表示はPrmetheus本体でも行えるものの、より高機能で見やすい表示にするためにGrafan
インターネット上の会員制サイトなどにおける個人認証では、パスワードを用いる方法が一般的だ。しかし、最近ではパスワードによる認証だけでは安全性の担保が難しくなりつつある。そこで、新しい認証方式として広がってきているのが二要素認証や二段階認証と呼ばれる認証だ。この記事では、二要素認証、二段階認証の認証方法それぞれの概要や違い、そして認証強度を上げるためのヒントまで解説する。 認証のための3要素 大手金融機関が提供する金融サービスで不正に金銭が引き出されるなど、攻撃者が不正ログインを行うリスクがかつてなく高まっている。その際に原因の一つと言われているのが認証の脆弱さだ。認証において多用される、パスワードの安全性の根拠は、文字列の組み合わせが多数あるという点だ。例えば、英数字4桁(英字の大小区別なし)のパスワードだと、以下のように約168万通りの組み合わせから一つ選択するものとなる。 約168万通
ここ最近、在宅勤務やサテライトオフィスで仕事をする方が増えたためか、サーバーへの SSH接続を IPアドレスで制限することができないケースがよくあります。しかし、特に重要なサーバーの場合は、パスワード認証だけではちょっと心配ですね。そこで今回は、Google Authenticator を使って SSHログインに二段階認証(「二要素認証」とも言います)を導入する手順をまとめてみました。 Google Authenticator アプリのインストールすでにインストールされている方も多いかと思いますが、まずはじめに、お手持ちのスマートフォンに Google Authenticator(確認コードの生成アプリ)をインストールしておきます。 Google Authenticator(iOS) Google Authenticator(Android) Google Authenticator PA
フィッシング詐欺・フィッシング対策まるわかり!利用者・サービス事業者がすべきこと こんにちは。PR担当のあいです! サイバー犯罪の一つである「フィッシング詐欺」。 みなさんも一度は聞いたことがあるのではないでしょうか。 今日はこのフィッシング詐欺について解説するとともに、フィッシングを防ぐ方法をご紹介いたします。 フィッシング詐欺ってどんな詐欺? フィッシング詐欺とは、大手通販サイトや銀行など、実在する組織になりすまし、偽物のWebサイトやメールを利用して、クレジットカード情報やログインパスワードなど、個人の重要な情報を盗み取るといった手口のサイバー犯罪です。 そういった情報を盗まれてしまうと、本人に成りすまして大量の買い物をしたり、不正送金を行ったり、といくらでも悪用できてしまいます。 時代の流れとしても、新型コロナウイルスによる影響で外出自粛が続いており、インターネットで物品を購入する
Googleは2020年1月30日(米国時間)、オープンな次世代認証標準である「FIDO U2F」と「FIDO2」に準拠したセキュリティキーオープンソース実装「OpenSK」の初期リリースを公開した。安全性を高めるためにRust言語で開発した。 同社は今回の試みにより、FIDOオーセンティケータ実装の高度化はもちろん、より幅広い開発者が貢献しやすいよう改善につなげたい考えだ。 FIDOセキュリティキーは、簡単でフィッシング耐性のある二要素認証(2FA)を支え、オンラインアカウントの保護方法を変えつつある。二要素認証方式はGoogleやソーシャルネットワーク、クラウドプロバイダーなど、多くのWebサイトから信頼されるようになっている。 OpenSKの初期リリースは、消費者向けではなく、研究プラットフォームとして公開された。Googleは、「OpenSKが研究者やセキュリティメーカー、熱心なユ
携帯電話契約時の本人確認において「マイナンバーカード必須」というニュースが盛り上がっている。 一部で「マイナンバーカード所有は義務ではなかったはずだが、携帯電話の契約で実質、所有を強要されるのはおかしい」と反発の声が上がっているのだ。 「マイナカード必須化」は非対面限定 しかし、実際のところ、マイナンバーカードがなければ携帯電話の契約ができないというわけではない。 デジタル庁や政府官邸の犯罪対策閣僚会議では「オンラインなど非対面での契約の場合、本人確認はマイナンバーカードのICチップに一本化」とあるが、ショップ店頭など対面での契約は「マイナンバーカード等のICチップ情報の読み取りでの本人確認を義務付ける」とある。 つまり「マイナンバーカード等」という「等」というのがミソのようで、ここには運転免許証や在留カードなどが含まれるとされている。つまり、マイナンバーカードなんて持ちたくないという人は
GitHub、コードのコントリュビュータに2要素認証を義務化、2023年末までに。パスワードレスへの対応も積極化
GitHub、コードのコントリュビュータに2要素認証を義務化、2023年末までに。パスワードレスへの対応も積極化 GitHubは、GitHub.comにおけるコードのコントリビュータ全員に対して、2023年末までに二要素認証を義務化することを発表しました。 Securing the software supply chain begins with the developer and we’re committed to raising the bar on account security. Today we’re announcing that users who contribute code on https://t.co/0iKPk21RVu will be required to enable 2FA by the end of 2023. https://t.co/mpk3r
米Twitterは12月2日(現地時間)、ヘイト行為に関するポリシーを改定し、人種や民族、出身地に基づいて他者の人間性を否定するようなツイートを禁止した。違反があった場合は投稿の削除を求め、繰り返される場合はアカウントの凍結や停止の対象にする。 特定の人種や民族、出身地に属する人を人間以外のものに置き換える言葉の使用を禁止する。例として「○○のような寄生虫は」「○○は無知で卑しいハエどもだ」などを挙げている。 ポリシーの改定にあたり、同社は外部の専門家とワーキンググループを設置。「社会的に主流派でないグループ内で交わされる会話をどのように保護するか」「適切な範囲で相応の強制的措置をとるにはどうすべきか」など、ヘイト発言の扱いについて検討したという。 同社はこれまでも、宗教や年齢、障害、病気に基づくヘイト発言を取り締まっており、今後も適用範囲の拡大を検討するとしている。 関連記事 Twitt
Sucuriは1月27日(米国時間)、「Why are WordPress Websites Targeted by Hackers?」において、WordPressを導入しているWebサイトがサイバー犯罪者の攻撃対象として狙われやすい理由を指摘した。WordPressは世界で最もシェアが多いCMSであり、4億4500万以上のWebサイトで利用されている。このシェアはWebサイトの40%以上に相当することから、サイバー犯罪者がWordPressを標的とすることはまず予想できることだと説明されている。 Why are WordPress Websites Targeted by Hackers? それ以外の理由として、同社は次のような状況がサイバー犯罪者にとって都合のよいものになっていると述べている。 予測可能なログイン認証情報が使われている。過去に流出したアカウントデータを利用したブルートフ
今でこそ“ランサムウェア”はメジャーなサイバー攻撃ですが、2007年頃は欧州圏を中心に猛威を振るっており、日本から見れば対岸の火事でした。その後、日本でも個人を標的としたランサムウェアが登場し、生々しい被害が報告されたのを覚えています。 このように海外で大きく注目された攻撃手法はいずれ日本にもやってきます。その中でも最近、個人的には日本に来るとは思えなかった手法が、とうとう上陸してしまいました。「SIMスワップ」攻撃です。 日本に上陸したSIMスワップ その手口は 「SIM」には自分の携帯電話番号や接続情報が書き込まれています。SIMスワップとは文字通り、携帯電話に差し込まれたSIMを交換する/奪うことで実行される攻撃です。かつては物理的にSIMを抜き、電話番号を奪う手法が海外で話題になっていました。 電話番号は今では本人認証の一つとして使われています。二要素認証における「所持情報」として
マイナンバーを含む個人情報を扱う自治体の端末に運用の不備が見つかった。会計検査院の抽出調査で「二要素認証」を一部導入していない「穴」があった。2015年の年金情報流出事件を踏まえて巨費を投じた対策が形骸化していた。自治体名は公表していないが、総務省に実態の把握と自治体への助言を求めた。総務省は従来の自治体向けセキュリティー対策について見直しも進めている。 会計検査院は2020年1月、マイナンバーを含む個人情報を扱う全国の自治体のセキュリティー対策について抽出調査したところ、217市区町村のうち12の自治体において、本来マイナンバーを利用する全ての端末に必要になる「二要素認証」を導入していない端末があったと公表した。 検査院によると、12自治体は二要素認証をマイナンバー利用端末の一部に導入していなかったり、利用端末の全てに導入する予定がなかったりした。 二要素認証は利用者だけが知っているID
ETHで「スマートアカウント」を実装 暗号資産(仮想通貨)イーサリアム(ETH)のブロックチェーンに、ERC-4337「アカウント抽象化」が実装されたことが2日に明らかになった。これにより、従来のユーザーウォレットでサブスクリプションやゲームでの支払い自動化など、プログラムベースの支払い手段が構築可能になる。 ERC-4337 is live! https://t.co/Nj09jqcBdU — yoav.eth (@yoavw) March 2, 2023 アカウント抽象化とは通称「スマートアカウント」とも呼ばれ、ユーザーがアカウントでスマートコントラクトを使用可能にするブロックチェーン技術。 EIP-4337はアカウント抽象化に対するイーサリアム標準であり、今回の発表を受けて開発者は本標準に基づいてアプリケーション構築を開始できるようになった。 スマートアカウントで可能なユースケースに
日経クロステックでも既に幾つか記事が出ているが、NTTドコモが運用する電子決済サービス「ドコモ口座」において見知らぬ第三者が勝手に出金してしまうという被害が相次いでいる。 そもそもの原因は、提携する地方銀行の口座から、バーチャルウォレットであるドコモ口座へ送金する仕組みにある。今回の場合、銀行口座とドコモ口座をひも付けるための本人認証確認に関しては、提携する各地方銀行に任されている。そのため今回の事件では、提携する全ての銀行において被害が確認されているわけではない。 被害が確認された銀行には、例えば、口座番号や口座暗証番号、名前、電話番号などの情報で本人確認が行われたケースがある。口座番号や電話番号は普段から決して秘密の情報として扱われているものではない。例えば、どこかの会員登録する際などに書類に記載するものだ。よって、今回暗証番号以外の情報に関しては、攻撃利用のためにダークウェブなどで売
はじめに 個人・法人に関わらずアプリ開発で必ず通る道が、 Google / Apple のアプリ審査です。 アプリを初めてリリースするときやバージョンアップ毎にアプリ審査が行われますが、審査には少し時間がかかります。 去年の話ですが、コロナの影響でAndroidの審査が1週間以上かかることが話題になっていました。 Androidアプリの公開用レビューもCOVID-19の影響で遅れがちに 審査は数年前に比べれば早くなりましたが、緊急の不具合修正で即リリースして反映したい時など問題になってきます(iOSは「App Reviewの優先処理(特急審査)」というものもありますが、審査はなくならないので待ち時間は多少あります) そこで今回は、アプリ審査なしでアプリに変更を加える方法や、そもそもどういうことができるのかを調べてみました。 注意 本記事が原因で生じたいかなる損害において責任を負いませんので
Sucuriは1月19日(米国時間)、「Vulnerable WordPress Sites Compromised with Different Database Infections」において、WordPressのWebサイトに対して展開されている2つのインジェクション攻撃型マルウェアについて伝えた。 Vulnerable WordPress Sites Compromised with Different Database Infections それぞれ無関係な目的を持っている2つのマルウェアが1つのWordPressサイトに感染していることが、Sucuriの調査により判明した。どちらもインジェクション攻撃を実行するよう設計されている。一方はユーザーをスパム的なスポーツサイトにリダイレクトさせるコードを注入するインジェクション攻撃とされ、他方は違法カジノサイトを検索エンジンでのオーソ
IAM Identity Center(AWS SSO)に移行して1年たったので使い方などまとめる | 株式会社PLAN-B
AWS SSOは現在「IAM Identity Center」に引き継がれています。本記事は2020年10月に公開されたもので、名称や機能などは当時の記載のままにしていますご了承ください。 AWSアカウントが複数ある時、みなさんは認証・認可の管理をどうしていますか? PLAN-Bでは2019年に全面的にAWS SSOを使い始め、1年以上が経ちました。以下の点で特にメリットを感じており、利用を継続しています。 アカウントごとにIAMを管理する必要がなくなるクレデンシャルが長期に渡ってローカルマシンに保持されることがない基本的には無料いずれも運用次第なので例外がありますが、マルチアカウントの管理に辟易していてゆるく始めるのであれば上記の認識で良いかと思います。きっちりかっちり管理が必要な場合もそれはそれで対応できるので、AWS SSOを導入した上で組織のポリシーと相談して合わせれば良いです。
アカウントにログインする際に、通常のパスワードだけでなくメールボックスや専用デバイスに届くワンタイムパスワードを入力する二要素認証は、資格情報を盗んだ第三者によるログインを防いでセキュリティを向上します。しかし、「いちいちワンタイムパスワードを確認してログインフォームに入力する」という作業が面倒で、二要素認証の設定をしていないという人もいるはず。そんな二要素認証の面倒さを解消するため、「キーを1回押すだけで二要素認証のワンタイムパスワードを入力できるマクロパッド」を自作した人物が現れました。 2FA_Sidecar | Hackaday.io https://hackaday.io/project/191580-2fasidecar Hackaday Prize 2023: Sleek Macro Pad Makes 2FA A Little Easier | Hackaday https
他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。 他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。乗っ取った後は、SMSを利用した二段階認証を突破してパスワード変更を行い、ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。 SIMスワップは、攻撃者が相手のSIMを乗っ取った後、そのSIMで受信できるSMSを使った二段階認証を突破し、オンラインバンキングなどに不正ログインを行う攻撃である。 別名「SIMスワップ(詐欺・攻撃)、SIMハイジャック(攻撃)」とも呼ばれる。 SIMスワップの典型的な海外の手口は、以下の流れで実行される。 攻撃者は攻撃対
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
リモートワーク時の情報漏えいにおける環境要因と対策
二要素認証アプリ「Microsoft Authenticator」Android版に設定のバックアップ機能が追加/新規デバイスへの移行時に二要素認証を再設定する手間を省けるように
【ゆうちょ銀行謝罪会見】「ドコモ口座」被害金額の過半数がゆうちょ、主張の食い違いも
トヨタグループ傘下保険会社のMicrosoftアカウントが漏えい、約25GBのメールや顧客情報が閲覧可能に
12月1日から「使われていないGoogleアカウント」削除が始まる(アスキー) - Yahoo!ニュース
github sponsors を有効にしたことと、これからのプラグイン開発について
パスワードが破られる時間を0.3秒から2世紀に延ばすには!?
「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い?
楽天ウォレットが最悪?評判の真相|楽天ビットコインは儲かるの? - MONEY TALK
ずさんな安全管理が露呈したLINEヤフー、総務省が注視するNAVERとの「支配関係」
LastPassがやられてしまったので状況を整理する|honeshabri
ニンテンドーアカウントがパスキー対応 パスワード不要でログイン可能に
古いiPhoneはいつまで安全なのか?セキュリティリスクになるタイミングを解説 | ライフハッカー・ジャパン
日本人1万3000人以上の個人情報がハッカーにより盗まれ、販売されていたことをNordVPNが発表|@DIME アットダイム
パスワードの使い回しはNGで“ちょっと変えても”意味がない ではどうする?
第707回 シンプルでおしゃれなモニタリングツールUptime Kuma | gihyo.jp
二要素認証と二段階認証の違いを理解していますか? | サイバーセキュリティ情報局
5分でできる!SSH + Google Authenticator 二段階認証設定(CentOS7)
Mamoru | フィッシング詐欺・フィッシング対策まるわかり!利用者・サービス事業者がすべきこと
Google、FIDOセキュリティキーのオープンソース実装「OpenSK」を発表
なぜ非対面の携帯契約で「マイナカード」が必須化されるのか--背景にある「SIM乗っ取り」問題
Twitter、人種・民族・出身地に基づくヘイト発言を禁止
WordPressがサイバー犯罪者に狙われやすい理由とは?
日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
自治体のマイナンバー端末で二要素認証が形骸化、対策がおろそかになった理由
イーサリアムが「スマートアカウント」を実装、ウォレットのユーザビリティ向上に期待
ドコモ口座の不正引き出しが防げない理由 足りない攻撃者の視点
アプリ審査なしでアプリに変更を加える方法を調べてみた | ギャップロ
複数のマルウェアに同時に感染するWordPressサイトが多数、要注意
面倒な「二要素認証のワンタイムパスワード入力」を一瞬で完了できるマクロパッドを自作した人物が現れる
SIMスワップとは?具体的な手口と講じるべき対策 | サイバーセキュリティ情報局