GitHubは2023年2月28日(米国時間)、公式ブログで同社が提供する「GitHub Codespaces」が役立つ活用シーンや便利な機能を紹介する記事を公開した。 GitHub CodespacesはGitHubが提供するブラウザベースの統合開発環境(IDE)だ。GitHubがホストする仮想マシン(VM)で、Codespacesの開発環境を提供する。全てのGitHubユーザーは毎月60時間まで無料でGitHub Codespacesを利用できる。 GitHub Codespacesが役立つシーン 画像生成AI「Stable Diffusion」の実行 GitHub Codespacesを使うことで、与えられた文章を画像に変換するML(機械学習)モデルの1つである「Stable Diffusion」を実行できる。Stable Diffusionのようなデータ量の多いタスクを実行するには
事前にチェック!iPhoneを紛失したときの対処法と予防策 - 【磐田,浜松,袋井】パソコンサポートと出張修理 はてな版
個人的にもiPhoneを使っていますが、常にポケットに入れているので外出先ではどうしても紛失のリスクが出てきます。 もしiPhoneをなくしてしまったら、まずは冷静になりましょう。 iCloudの「iPhoneを探す」機能を利用すれば、紛失したiPhoneの場所を確認できます。 他にも下記のような「サウンド再生」オプションを使って、遠隔操作で音を出して位置を特定することも可能です。 よくある「家の中でiPhoneがどっかに行った!?」というときも、サウンド再生ができればすぐに見つけることができますしね。 事前に下記を参照にして、場所の確認やサウンド再生を試しておくと安心かもしれません。 support.apple.com 1.バックアップの重要性 iPhoneを紛失した場合、中のデータ損失は避けたいところです。 定期的にiCloudやiTunesを使用してバックアップを取ることで、もし紛失
技術分野は成熟が進み、新しい領域が急激に増えています。本コーナーでは技術へのタッチポイントを増やすことを目標に、各分野で活躍されている方をお迎えします。 今回はエンジニアなら誰もが気にかけるセキュリティ分野で活躍されている鈴木さんにリスクとの付き合い方を学びます。 【話し手】 鈴木研吾 SUZUKI Kengo証券会社向けのManaged Security Serviceに従事した後、Fintech系スタートアップにてインフラのセキュリティを担当。セキュリティキャンプ全国大会の講師やセキュリティ系同人サークル「Secure旅団」の主催など広く活動している。 Twitter @ken5scal GitHub ken5scal 身近な脅威 日高: セキュリティはIT業界でも重要なテーマの一つですが、どのような経緯で携わるようになったのでしょうか。 鈴木: きっかけは新卒でセキュリティベンダーに
Ed Bott (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子 2022-01-20 06:30 新しい「Windows 11」PCのセットアップはとても容易だ。実際、驚くほど簡単だと言える。クリック操作でダイアログボックスから設定を進めていき、アウトオブボックスエクスペリエンス(OOBE)の一環として数カ所の設定を指定すれば、Windows 11デスクトップの使用準備が整う。 しかし、これで作業が完了するというわけではない。Microsoftのデフォルト設定は必ずしも個々のユーザーにとって最適とはいえず、煩わしさを感じるものも存在している。しかし、それらはちょっとした操作で取り除けるようになっている。 「Windows」デスクトップまで到達した際には、何よりも先にまず、数分を費やし、以下に紹介する6つの作業を実行してもらいたい。 #1:「Microsoftア
インターネット上で安全にデータを保管・通信するために開発された技術のひとつとして知られる、ハッシュ化と暗号化。しかし、その違いを正確に理解することに難しさを感じる人も少なくないのではないだろうか。この記事では、ハッシュ化と暗号化の違いを明らかにした上で、その安全性について解説する。 ハッシュ化と暗号化の違いは「不可逆性」 ハッシュ化とは特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理を指す。代表的な使用方法としては、パスワードをハッシュ化して保存・管理することが挙げられる。第三者が不正にパスワードへアクセスしたとしても、ランダムな文字列に変換されていることで、悪用されるのを防げるためだ。 ハッシュ化を施すアルゴリズムはハッシュ関数と呼ばれ、ハッシュ関数によって生成されるランダムな文字列はハッシュ値と呼ばれる。ハッシュ関数は入力する元データによって異なるハッシュ値を返す。同
2020年10月13日に一部報道でauじぶん銀行の「スマホATM」という機能がフィッシング被害にあい、現金を不正に引き出される事件の容疑者が逮捕されました。報道およびauじぶん銀行のリリースを元に、このフィッシングの手口を再現してみます。この事件からもわかるように、フィッシングに対しては2要素認証に対する過度の期待は禁物であり、利用者側としてSMSやメールで送信されるURLにはアクセスしない、アクセスしてもパスワード等を入力しないという自衛策が求められます。 本日お伝えしたいこと ・じぶん銀行アプリのスマホATMによる不正出金の手口を再現します(一部推測) ・中継型フィッシングによるなりすましは、二要素認証を突破できることを紹介します 参考情報 ・銀行アプリ悪用 42万円窃盗疑い 福岡県警、中国籍の男逮捕|【西日本新聞ニュース】 http://web.archive.org/web/2
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。 テレワークの普及により、クライドサービスの利用が拡大しました。 クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。 一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。 サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。 テレワーク下で期待された防御策が「多要素認証」です。 多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の
SIMスワップ詐欺はますます増加している。テック業界のリーダーを含め、様々な人が詐欺師の標的となり、甚大な損害を受けている。この詐欺に遭ってしまうと、携帯電話番号が乗っ取られてしまい、人生に大きな影響を与えることになりかねない。本稿では、SIMスワップ詐欺に対する理解を深めるべき理由について解説する。 SIMスワップ詐欺の仕組み SIMスワップ詐欺は、別名「SIMハイジャック」や「SIM分割」とも呼ばれ、一種のアカウント乗っ取り詐欺として知られている。この攻撃を仕掛けるにあたり、攻撃者は標的についてあらゆる方法で情報収集をする。インターネットを検索したり、そのなかでもユーザーが過剰に公開しているごくわずかな情報を見つけ出すなどし、情報をかき集める。また、被害者の個人情報はすでに漏えいした情報からも収集される。あるいは、詐欺師が標的から直接個人情報を盗むフィッシング詐欺や電話を介して誘導する
パスワードは最も脆弱(ぜいじゃく)なユーザー認証方式の一つだ。パスワード侵害の最初期の例は、紀元前413年までさかのぼる。古代ギリシャ軍は、夜間戦闘で敵味方を識別するのに合言葉を使っていた。この合言葉がシュラクサイ(訳注)軍に知られてしまった。ギリシャ軍は合言葉を使って友軍のふりをしたシュラクサイ軍に大打撃を受けた。 訳注:シチリア島の都市シラクサ(イタリア語)のこと。シュラクサイは古代ギリシャ語。ペロポネソス戦争におけるアテナイ(アテネ)のシケリア(シチリア)遠征(紀元前415~紀元前413年)失敗のエピソードと思われる。 関連記事 2FAバイパスツールがもたらした二要素認証安全神話の終焉 十分に進化した生体認証は“手に埋め込んだチップ”すら不要 Windows 10の次期バージョンでパスワードレスサインインが実現 「人の声がその答えだ」──パスワード認証に代わる音声生体認証 RPAに組
NTTドコモの電子決済サービス「ドコモ口座」で判明した不正利用問題。ドコモ回線の契約がなくても自分の銀行口座と勝手にひも付けられ、お金を抜き取られる(ドコモ口座にチャージされる)ことに多くの消費者が驚いた。2020年9月15日午前0時時点で被害件数は143件、被害総額は2676万円に達した。 銀行側の責任も大きい 今回、狙われたのはドコモ回線の契約がない顧客である。ドコモ回線の契約がある顧客に対してはドコモ口座と銀行口座をひも付けする際に「回線認証」や「ネットワーク暗証番号の入力」を組み合わせていたが、ドコモ回線の契約がない顧客についてはメールを利用した2段階認証だけだった。犯人はフリーメールアドレスを使って簡単に被害者になりすますことができた。ドコモの丸山誠治副社長は「ドコモ口座の作成に当たって、我々の本人確認が不十分だった」と認めた。 責任は銀行側にもある。ドコモ口座は上記手順で簡単に
2019年9月、複数のSSL-VPN製品の脆弱性に関する注意喚起をJPCERT/CCから発行しました。 この脆弱性のうち、Pulse Connect Secureの脆弱性(CVE-2019-11510およびCVE-2019-11539)を悪用した攻撃の被害報告が、国内の組織から複数寄せられました。 2020年に入ってもなお、各所の報道で この脆弱性が攻撃に悪用された事案が伝えられています。 テレワークの実施が拡大するなか、VPN製品を利用する場面が増えつつありますが、国内には、依然として脆弱性の修正パッチが未適用のVPN機器は多く残存しており、JPCERT/CCは管理者へ連絡を続けています。 本ブログでは、あらためてPulse Connect Secureの脆弱性について概要を紹介し、Pulse Connect Secureのログから攻撃の痕跡を調査する方法や国内における脆弱なホスト数の現
コミュニティ初期の熱量を肌で感じるCloudflareUGミートアップ開催報告 #CloudflareUG | DevelopersIO
会場の様子 会場は、クラスメソッドの日比谷オフィスでの開催となりました。2023年4月から本格稼働開始ということで、自分自身もまだ慣れていないところがあり、いろいろてんやわんやでしたね。 今回のミートアップのスタッフの皆さんと。 メイン会場の様子。窓の奥には東京タワーが垣間見えます。よござんす。 いっつも元気なエバンジェリスト亀田さん。今日もその亀田節は健在でした! オープニングは、運営の山口さん(@kinunori)より。本日のミートアップの位置づけやタイムテーブルの説明がありました。 その後、クラメソ社員大栗さんより、会場のファシリティ面の案内があったあと、ミートアップの開始となりました。 「はじめてのCloudflare 高速化とセキュリティの両立を行うために」 (資料は、亀田さんから共有された時点で、ここにあげます) 最初にCloudflareエバンジェリストの亀田治伸さんより、「
モバイルアプリケーション開発 10大チェックポイント 2023(JSSEC Mobile Top 10 2023)は、2016年のリリースを最に更新されていない「OWASP Mobile Top 10プロジェクト」を再解釈し、現在の状況にあった「Mobile Top 10」を選定しました。 OWASP(Open Web Application Security Project)※1 のLabプロジェクトである「OWASP Mobile Top 10 ※2」は、OWASPが数多く公開する啓発文書「Top 10」シリーズの一つで、スマートフォン(モバイル)アプリケーション開発者に対する意識向上を目的とした文書です。この文書は、スマートフォンアプリケーションの開発に気を付けなければならない10項目がわかりやすくまとめられており、開発者が最低限理解しておくべきことを記述した文章で構成されています。
Google Cloud(グーグル・クラウド・ジャパン)は2021年1月28日、先に米国で発表したゼロトラストセキュリティサービス「BeyondCorp Enterprise」の一般公開を日本でも発表した。VPNを利用しないセキュアアクセスサービスとして先にローンチ済みの「BeyondCorp Remote Access」を含む“完全版”後継サービスで、Googleでも全社導入しているゼロトラストベースのセキュリティを利用できる。 BeyondCorp Enterpriseは、ゼロトラストセキュリティの考え方に基づき、あらゆる場所/端末からエージェントレスで、クラウドやオンプレミス(社内)にあるあらゆるアプリケーションに対するセキュアアクセスを可能にするサービス。 ゼロトラストは、その言葉どおり「すべてを信頼しない」前提に基づくセキュリティの考え方だ。従来の考え方では、たとえば社内ネットワ
2020年11月17日、平井卓也デジタル改革担当相は定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使う「パスワード付きzipファイル」を廃止する方針であると明らかにしました。 河野太郎行政・規制改革担当相との対話の場で平井氏は「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘し、河野氏が推進する押印廃止になぞらえ、「全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思う」として全廃することを決めました。 押印同様、日本国外ではほとんど見られないメール添付時の「パスワード付きzipファイル」ですが、官民問わず多くの現場で行われています。最近では「PPAP:Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Prot
まるで核兵器が犯罪者の手に渡るような状態がサイバー空間で起きている――脅威の変化を踏まえ「検知、対応」へのマインドシフトを
まるで核兵器が犯罪者の手に渡るような状態がサイバー空間で起きている――脅威の変化を踏まえ「検知、対応」へのマインドシフトを:期待の「イノベーション」は未来の「ITアスベスト」になるのでは? F-Secureは、2019年10月2~3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「防御」から「検知、対応」へのマインドシフトが必要だと強調した。 サイバー攻撃は変化を続け、より高度で、より複雑で、そしてより持続的なものになっており、もはや「止める」ことはできない――フィンランドに本拠を置くセキュリティ企業、F-Secureは、フィンランド大使館商務部(Business Finland)が2019年10月2~3日(現地時間)に開催した「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいてこのように指摘し、「
セキュリティ研究者でありMicrosoft技術に詳しいJeffrey Appel氏は2022年8月8日(現地時間)、自身のWebサイトのブログ記事において、二要素認証(2FA: Two-Factor Authentication)を含む多要素認証(MFA: Multi-Factor Authentication)を回避するサイバーセキュリティ攻撃「AiTM(Adversary-in-The-Middle)フィッシング攻撃」が今後長期にわたって継続する可能性があると伝えた。 多要素認証や二要素認証はセキュリティを強化する方法として強く推奨されることが多い。今後こうした状況が続けば、多要素認証や二要素認証を使っているからといって、これまでのように安心してはいられないといった状況が当たり前になる可能性がある。
freee の二要素認証(ワンタイムパスワード)を仕組みから解説 - freee Developers Hub
はじめに こんにちは、freee で認証認可基盤の開発をしている okarin です。 freee のプロダクトでは二要素認証を有効にすると、メールアドレスとパスワードを入力した後、ワンタイムパスワードを求められるようになります。この二要素認証を利用することで、より安全に freee をご利用いただけるようになっています。本記事では二要素認証の仕組みを解説していきたいと思います。 ワンタイムパスワード入力画面 そもそも二要素認証とは? 「記憶情報」、「所持情報」、「生体情報」のうち、2つを組み合わせる認証方式を二要素認証と呼んでいます。これらの2つ以上を組み合わせた認証方式を多要素認証と呼ぶこともあります。 freee では、「記憶情報」であるパスワードと、「所持情報」であるワンタイムパスワード(OTP)を利用して二要素認証を実現しています。 OTP の仕組み では、どうやって OTP を
破られた二要素認証 二要素認証(2FA)でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。 だが、「二要素認証が認証するのは個人ではなく端末だ。業界では二要素認証を『本人近似(identity approximation)』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO(最高技術責任者)を務めるダビッド・ハーディング氏だ。 「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」 最近の2FA侵害の例を幾つか紹介しよう。2019年8月、TwitterのCEOジャック・ドーシー氏のTwitterアカウントがハッキングされた。Twitterアカウントには2FAによる保護が施され
Auth0️で実装する|ユーザー体験を向上するEmailのみでのシンプルなパスワードレス認証 - TC3株式会社|GIG INNOVATED.
はじめに 認証によるセキュリティの担保が大事だということは言うまでもないですが、セキュリティを万全にしようとすればするほど認証が終わるまでのハードルは高くなり、必然的にユーザー体験が落ちてしまうという結果に陥りがちです。 安全を優先するかユーザ利便性を重視するかサービス開発者にとっては悩ましいところですね。 安全性が高い認証のやり方としてMFA(Multi-factor Authentication:多要素認証)が広く使われています。ユーザー名とパスワードだけでなく、さらにもう1つ追加の検証要素を要求することで、万が一ユーザー名とパスワードが漏洩したとしても認証を突破される可能性を小さく出来る手軽な方法として普及しているようです。 ただ、このMFAも一部の人にとってはハードルが高いように思います。 と言うのはGoogle Authenticatorアプリなどを使ったMFA認証はスマホなどの
CPaaSってなに? みなさんはCPaaSという用語をご存知でしょうか。 CPaaSはCommunications Platform as a Serviceの略で、「シーパース」もしくは「シーパス」と呼ばれます。CPaaSを簡単に言えば、「電話やSMSなどのコミュニケーション機能をクラウド上で提供するプラットフォームサービス」です。たとえば、プログラムを使ってSMSを送信したり、電話をかけたり、電話に自動応答することができます。 筆者は日本で2016年からCPaaSのエバンジェリストをしていますが、CPaaSの紹介をするときによく目にする反応は「ふーん。それで?」です。たしかに最近、パスワード認証でSMSが届くことが増えてきたり、自宅の固定電話に政治家の自動音声が流れてきたりして、何かシステムでやっているのだろうなと想像できることが増えてきました。もちろんこのような仕組みはCPaaS
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 広島市立大学大学院情報科学研究科に所属する研究者らが発表した論文「学校を対象とした FIDOによるパスワードレス認証の運用可能性の検討」は、小学校で普及している端末のパスワード問題を取り上げ、代替案として学校向けのパスワードを用いない指紋ベースのFIDO認証適用の可能生と課題について調査した研究報告である。 近年、日本の学校ではインターネットとコンピュータ技術の導入が進み、その重要性が高まっている。この背景には、2020年から小学校でのプログラミング教育が必須化したことと、GIGAスクール構想によるタブレットやPCの普及がある。これに基づき
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
HOMECyberNewsFlashFortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について (1) 概要 JPCERT/CC は、2020年11月19日以降、Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。当該情報は、FortiOS の既知の脆弱性 (CVE-2018-13379) の影響を受けるとみられるホストの一覧です。この一覧は、攻撃者が脆弱性を悪用可能であることを確認した上で作成したものとみられ、ホストの IP アドレスに加え、SSL VPN 接続を利用するユーザーアカウント名や平文のパスワードなどの情報が含まれているとのことです。 JPCERT/CC は、当該情報に日本の
2024年版、アカウントの正しい守り方を考える
先日、「X」(旧Twitter)を巡り少々気になる事件が発生していました。米国証券取引委員会(以下、SEC)のXアカウントが不正アクセスに遭い、仮想通貨に関する偽の情報が投稿される事件が起きました。本稿執筆時点で、偽の投稿は削除され、被害に関する情報もポストされています。 後にXのSafetyアカウントで、この侵害はXのシステムを狙った攻撃ではなく、SECのXアカウントにひも付く電話番号を盗んだサイバー攻撃者によるものであり、SECのアカウントには二要素認証が設定されていなかったことも明らかになりました。運営側が利用者の設定をここまで明らかにしていいかどうかはひとまず置いておくとして、いまだにこのような被害が発生するというのはなかなか悩ましいところではあります。 完璧ではなかったとしても、二要素認証は設定しよう まず、皆さんにはしっかりと「二要素認証」をオンに設定していただきたいというのが
なぜWebサービスの選定においてSAML/SSOが重要なのか
この記事は corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #3 の最終日(25日目)です。 今年情シスSlackは3本のアドベントカレンダーが実施されておりますので、是非3本とも覗いていってください! 【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス) Advent Calendar 2020 #2corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #3また、情シスSlackはこちらの参加リンクから参加可能です 目次TL;DRクラウドネイティブな時代のビジネスではWebサービス活用は必須Webサービスをセキュアに利用していくには管理やセキュリティ面での工数・コストが増えるこの工数・コストを下げることこそがWebサービス
破られた二要素認証 二要素認証(2FA)でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。 だが、「二要素認証が認証するのは個人ではなく端末だ。業界では二要素認証を『本人近似(identity approximation)』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO(最高技術責任者)を務めるダビッド・ハーディング氏だ。 「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」 最近の2FA侵害の例を幾つか紹介しよう。2019年8月、TwitterのCEOジャック・ドーシー氏のTwitterアカウントがハッキングされた。Twitterアカウントには2FAによる保護が施され
ESETは2023年4月11日(米国時間)、パスワードマネジャーを選択する上で押さえておきたい10個の機能を解説した。 ESETは、パスワードを置き換える新たな技術の登場により、将来的にはパスワードが不要になるとした一方、現状では、パスワードに代わる新たな手段として普及には至っていないと指摘している。 パスワードは、メッセージやSNS、ストリーミングアプリのアカウントなど、個人情報を保護する手段の一つだが、同時に潜在的なセキュリティリスクでもある。「銀行口座などのオンラインアカウントですら二要素認証を使用している人は少ない」とESETは指摘している。 なぜ強いパスワードが重要なのか? ハッキングによって取得されたパスワードは、個人データや保存されたクレジットカードなど、さまざまなアカウントへの侵入が可能になるため、ブラックマーケットで売買される。 関連記事 パスワードに代わる認証方式「パス
トップ Policy(提言・報告書) 科学技術、情報通信、知財政策 スタートアップ躍進ビジョン Policy(提言・報告書) 科学技術、情報通信、知財政策 スタートアップ躍進ビジョン ~10X10Xを目指して~ Ⅰ. はじめに 本提言は、わが国でスタートアップの裾野が飛躍的に広がり、同時に世界的な成功を収めるスタートアップが数多く生まれ出るためのエコシステムの実現を目指し、企業の規模・歴史、産学官といった立場を超越した視点で取りまとめたものである。 この30年、どの企業がわたしたちの生活を劇的に進歩させたかを振り返るだけで明らかな通り、社会課題の解決やイノベーションを生む仕組みとしてスタートアップは最も優れたスキームのひとつである。ベンチャーキャピタル(VC)による支援を受けた企業は平均よりも1.6倍生産性が高いことや#1、R&Dのイノベーション波及効果が一般企業の9倍である#2など、多く
米Appleは12月7日(現地時間)、3つの新たなデータ保護機能を発表した。いずれも日本では2023年初頭に利用可能になる見込みだ。 iMessageの盗聴検出機能「Contact Key Verification」 iMessageでのメッセージのやり取りは既にE2EE(エンドツーエンドの暗号化)されているが、やり取りに密かに第三者が参加できてしまえばメッセージの内容は危険にさらされる。「iMessage Contact Key Verification」は、会話相手とのみメッセージを送受信していることを検証する機能だ。第三者が会話に侵入すると、自動アラートが表示される。 一般ユーザーがこうしたサイバー攻撃の標的になることはまずないが、Appleは「国家が支援する攻撃者がクラウドサーバに侵入し、独自端末を使ってE2EE通信の盗聴に成功したことがある」と認めた。つまり、この新機能は主にジャ
パスワード付きZIPのない世界でどう過ごすのか?
はじめに 平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにされましたね。とても良いニュースだと思います。 こちらは「デジタル改革アイデアボックス」からの意見を取り入れたものと言われていてこういうサイクルがさっそく回っているのには期待が持てますね! 省庁職員がメールにファイルを添付して送信する際に、暗号化した上でパスワードを別のメールで送る「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。 代替策は決まっておらず、民間企業の動きも参考にしながら望ましいセキュリティー向上策を検討するという。暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。 「パスワードを電話で伝える」と言う点を揶揄するコメントもありますが超面倒だけどセキュリテ
モバイル決済やデジタルウォレットは安全なのだろうか。クレジットカードよりも安心して使えるのだろうか。 主要なリスクは何なのだろうか。本記事では、これらの疑問について解説したい。 この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 現金による決済が今すぐになくなることはないが、ここ数年、電子決済ソリューションは着実に人気を高めてきた。米国連邦準備銀行の調査によると、あらゆる決済手段の中で現金はわずか26%に過ぎない。一方、クレジットカード・デビットカード・電子決済は、全体の65%にも上る。 新型コロナウイルス感染症の拡大は、人々の買い物の仕方にも変化をもたらした。感染の広がりを抑えるため、政府が人同士の接触を制限したり、外出自粛によってオンラインショッピングをする人が増えたため、Eコマースの需要が急激に増加して
Resecurityは9月5日(米国時間)、「Resecurity - EvilProxy Phishing-as-a-Service with MFA Bypass Emerged in Dark Web」において、二要素認証(2FA: Two-Factor Authentication)を回避する新たなフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)が登場したと伝えた。 「EvilProxy」と呼ばれる新たなツールキットが、多くのオンラインサービスで採用されている二要素認証による保護を回避する手段として、サイバー犯罪者のダークWeb市場で宣伝されていることが判明した。Resecurityの調査によって、リバースプロキシとクッキーインジェクションを使用して二要素認証を回避し、被害者のセッションをプロキシングするツールキットであることが明らかとな
こんにちは。NFLabs. 事業推進部の橋本です。 本記事はNFLabs. アドベントカレンダー 2日目です。 はじめに 本日はセキュリティ監査を行う上で重要な情報であるWindowsイベントログ(セキュリティ監査)について記事を書いていこうと思います。 2日目の「2」にちなんで、実際に設定/運用する際のお悩みポイントを2択形式で紹介していきます。 2択その1 ではWindowsイベントログ(セキュリティ監査)のログ出力設定方法に関する2択を紹介します。 2択その2 ではログオンログの分析に関する2択を紹介します。 2択その3 では共有ファイルへのアクセスログ分析に関する2択を紹介します。 はじめに Windowsイベントログ(セキュリティ監査)とは 2択その1: 監査ポリシーの設定 ~ 基本 or 詳細~ 2択その2: ログオンの監査 ~セキュリティ監査4624 or LocalSes
どもどもにゃんたくです(「・ω・)「ガオー さてそろそろ11月も中旬、なんだか寒い時期に突入してきた感じがありますね。 風邪をひいてる方も周りで増えてきましたので、皆さんご注意ください! リアル『ウイルス』に感染しないよーに!(笑) そうそう、セキュリティイベントもこの時期結構多かったですね。 ぼくもCODE BLUEやAVTOKYOに行ったりしましたよよよ! バッジつくったたたた😆😆😆超久々はんだ付けしたーーー😂@TweetsFromPanda @codeblue_jp #codeblue_jp pic.twitter.com/7qvxtFqwPf — にゃん☆たく (@taku888infinity) October 29, 2019 バッジつくったーー🤗🤗🤗これはかわいい❤️ #avtokyo pic.twitter.com/AuyzSyw1Nx — にゃん☆たく (
もうそろそろAppleから新しい「iPhone」が発表されるとのことで、本コラムを読んでいる読者の方々は何となく心躍る時期になっているのではないでしょうか(「Android」派の方は、新しい「Google Pixel」に読み替えてください)。 私はガジェット好きで比較的買い換え間隔が短い方なので、今回も可能な限り早く新しい端末を手に入れたいと思っています。以前、お付き合いのある筆者さんが「新しいスマートフォンが発表されたら、サイズと容量が最も大きいものを選ぶので迷うことはないです」と言っていましたが、買い替える際、ふつうはいろいろと悩むものです。今回は個人的にぜひチェックしてほしい、スマートフォンの機能について取り上げたいと思います。 スマートフォンにもはや“必須”にすべき機能とは? もはやスマートフォンはただの電話というよりも、生活する上で必須のデバイスになりました。今ではほとんど通話機
新しい電化製品を買おうとすると、まず、最先端のスマート家電を勧められるだろう。食器洗い機や冷蔵庫、あるいはトースターなど、どの売り場でもインターネットに接続できる製品がお勧めになっているはずだ。ではなぜ、このようなIoT(Internet of Things)機器が増えているのだろうか? 家庭にあるすべての機器がIoT機器である必要があるのだろうか。あるいは、メーカーが消費者のことを詳しく知るために、意図してスマート化を進めているだけなのだろうか。 今や、毎朝きちんと歯を磨いているかグラフで示してくれる歯ブラシから、食べるのが早過ぎないかを検知してくれるスマート・フォークまである。これらは私の妄想ではなく、実在するものだ。あらゆるものがインターネットに接続された未来に、我々はすでに足を踏み入れているのかもしれない。近年、IoT市場は急成長を遂げており、私も気に入っているガジェットがあるが、
推奨される有効な対策としては、不測の事態が起こる事を前提にした、危機管理でしょう。つまり、ネット銀行としては決済をするための口座としてのみ運用し、最低限の金額しか扱わず、貯蓄用の口座に資産を預け、その口座はネット銀行とせず、ネットからのアクセスを行えないようにすべきです。 出典:悪いこと言わないから、ネット銀行は使いなさんな!? 5年前、ネットバンクの不正利用、不正送金問題が顕在化した際に上記のコラムを執筆し、大きく話題になりました。この内容は改めて今、ドコモ口座不正送金に始まるネット決済に問うことができます。必要のないネット決済は利用すべきでないですし、銀行のサービスも限定すべきです。 ドコモ口座による不正送金問題に端を発した、スマホ決済連携による銀行口座不正引き出し問題が大きく拡大しています。勝手に他人の銀行口座とドコモ側の決済アカウントが紐付けされ、決済アカウントを偽造した第三者が不
二段階認証を実装するにあたり、自分が調べたことをまとめました。 何か間違ったことがあれば、コメントいただけると幸いです! 二段階認証?二要素認証 英語では、二段階認証を「Two-Factor-Auth」と訳しますが、日本語では「二段階認証」と「二要素認証」は明確に異なります。 二段階認証の説明をする前に、認証の3要素について説明する必要があります。 認証の三要素 私たちが普段Webサービスを利用する際に、アカウントが自分のものか、認証を行います。その代表的な手段として「メールアドレス」と「パスワード」が一般的です。ですが、一個人を特定する方法として、他にも種類があります。それらを3つに分類したものを「認証の3要素」と呼んだりします。以下のように分けられます。 ユーザが知っていること(知識情報) ID・パスワード 秘密の質問 ユーザが持っているもの(所持情報) 電話番号 キャッシュカード ワ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「GitHub CodeSpaces」が役立つ活用シーンや便利な機能を紹介、月60時間まで無料
第10回 セキュリティリスクとの付き合い方 | gihyo.jp
「Windows 11」、セットアップ終了後にまずやっておきたい6つのこと
「ハッシュ化」と「暗号化」、その違いと安全性は?
auじぶん銀行アプリに対する中継型フィッシングで二要素認証を突破する - YouTube
ログイン認証の混乱(2) ~多要素認証とFIDO~ - 叡智の三猿
「SIMスワップ詐欺」とはいったい何か
もはや安全ではない二要素認証(2FA)と生体認証
「安心・安全」の誇りを汚したドコモの不正利用問題、地銀からは恨み節
Pulse Connect Secure の脆弱性を狙った攻撃事案 - JPCERT/CC Eyes
JSSEC技術部会 モバイルアプリケーション開発 10大チェックポイント 2023 | JSSEC
GitHubが二要素認証を義務付け。2023年中にすべての開発者アカウントへ通知
Google Cloudがゼロトラスト製品「BeyondCorp Enterprise」国内発表
脱PPAP対策はなぜ必要?「パスワード付きzipファイル」の⽂化から脱却する方法
もう安心できない? 多要素認証や二要素認証を回避する「AiTMフィッシング攻撃」が流行する可能性
もはや安全ではない二要素認証(2FA )と生体認証
知られざるCPaaSの世界へようこそ | gihyo.jp
小学校の「端末パスワード問題」どう考える? 児童が被害/加害者になる可能性も 指紋認証は代替え案になるか
もはや安全ではない二要素認証(2FA )と生体認証
パスワードマネジャーはどれを選ぶべき? 押さえておきたい10の機能とは ESET
経団連:スタートアップ躍進ビジョン (2022-03-11)
Apple、iMessageやiCloudの新たなセキュリティ機能を2023年に提供開始
モバイル決済アプリの危険性、そして安全な利用方法とは?
二要素認証を回避するツールキット「EvilProxy」ダークWebで販売中
Windowsイベントログ(セキュリティ監査)の設定/運用tips - NFLabs. エンジニアブログ
2019年10月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃん☆たくのひとりごと
スマホ買い替えシーズン到来 筆者がオススメする「絶対あった方がいい機能」
命を狙う食洗機の恐怖、”スマート家電”のリスクとは
悪いこと言わないから、ネット決済は使いなさんな!?(森井昌克) - エキスパート - Yahoo!ニュース
二段階認証を実装するまでに調べたこと - Qiita
「常識覆すサイバー犯罪」増加、二要素認証を突破する詐欺手口やサイト改ざんによる情報窃取など トレンドマイクロが2019年のサイバー犯罪動向を解説
