米Appleは12月7日(現地時間)、3つの新たなデータ保護機能を発表した。いずれも日本では2023年初頭に利用可能になる見込みだ。 iMessageの盗聴検出機能「Contact Key Verification」 iMessageでのメッセージのやり取りは既にE2EE(エンドツーエンドの暗号化)されているが、やり取りに密かに第三者が参加できてしまえばメッセージの内容は危険にさらされる。「iMessage Contact Key Verification」は、会話相手とのみメッセージを送受信していることを検証する機能だ。第三者が会話に侵入すると、自動アラートが表示される。 一般ユーザーがこうしたサイバー攻撃の標的になることはまずないが、Appleは「国家が支援する攻撃者がクラウドサーバに侵入し、独自端末を使ってE2EE通信の盗聴に成功したことがある」と認めた。つまり、この新機能は主にジャ
パスワード付きZIPのない世界でどう過ごすのか?
はじめに 平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにされましたね。とても良いニュースだと思います。 こちらは「デジタル改革アイデアボックス」からの意見を取り入れたものと言われていてこういうサイクルがさっそく回っているのには期待が持てますね! 省庁職員がメールにファイルを添付して送信する際に、暗号化した上でパスワードを別のメールで送る「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。 代替策は決まっておらず、民間企業の動きも参考にしながら望ましいセキュリティー向上策を検討するという。暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。 「パスワードを電話で伝える」と言う点を揶揄するコメントもありますが超面倒だけどセキュリテ
モバイル決済やデジタルウォレットは安全なのだろうか。クレジットカードよりも安心して使えるのだろうか。 主要なリスクは何なのだろうか。本記事では、これらの疑問について解説したい。 この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 現金による決済が今すぐになくなることはないが、ここ数年、電子決済ソリューションは着実に人気を高めてきた。米国連邦準備銀行の調査によると、あらゆる決済手段の中で現金はわずか26%に過ぎない。一方、クレジットカード・デビットカード・電子決済は、全体の65%にも上る。 新型コロナウイルス感染症の拡大は、人々の買い物の仕方にも変化をもたらした。感染の広がりを抑えるため、政府が人同士の接触を制限したり、外出自粛によってオンラインショッピングをする人が増えたため、Eコマースの需要が急激に増加して
こんにちは。NFLabs. 事業推進部の橋本です。 本記事はNFLabs. アドベントカレンダー 2日目です。 はじめに 本日はセキュリティ監査を行う上で重要な情報であるWindowsイベントログ(セキュリティ監査)について記事を書いていこうと思います。 2日目の「2」にちなんで、実際に設定/運用する際のお悩みポイントを2択形式で紹介していきます。 2択その1 ではWindowsイベントログ(セキュリティ監査)のログ出力設定方法に関する2択を紹介します。 2択その2 ではログオンログの分析に関する2択を紹介します。 2択その3 では共有ファイルへのアクセスログ分析に関する2択を紹介します。 はじめに Windowsイベントログ(セキュリティ監査)とは 2択その1: 監査ポリシーの設定 ~ 基本 or 詳細~ 2択その2: ログオンの監査 ~セキュリティ監査4624 or LocalSes
どもどもにゃんたくです(「・ω・)「ガオー さてそろそろ11月も中旬、なんだか寒い時期に突入してきた感じがありますね。 風邪をひいてる方も周りで増えてきましたので、皆さんご注意ください! リアル『ウイルス』に感染しないよーに!(笑) そうそう、セキュリティイベントもこの時期結構多かったですね。 ぼくもCODE BLUEやAVTOKYOに行ったりしましたよよよ! バッジつくったたたた😆😆😆超久々はんだ付けしたーーー😂@TweetsFromPanda @codeblue_jp #codeblue_jp pic.twitter.com/7qvxtFqwPf — にゃん☆たく (@taku888infinity) October 29, 2019 バッジつくったーー🤗🤗🤗これはかわいい❤️ #avtokyo pic.twitter.com/AuyzSyw1Nx — にゃん☆たく (
もうそろそろAppleから新しい「iPhone」が発表されるとのことで、本コラムを読んでいる読者の方々は何となく心躍る時期になっているのではないでしょうか(「Android」派の方は、新しい「Google Pixel」に読み替えてください)。 私はガジェット好きで比較的買い換え間隔が短い方なので、今回も可能な限り早く新しい端末を手に入れたいと思っています。以前、お付き合いのある筆者さんが「新しいスマートフォンが発表されたら、サイズと容量が最も大きいものを選ぶので迷うことはないです」と言っていましたが、買い替える際、ふつうはいろいろと悩むものです。今回は個人的にぜひチェックしてほしい、スマートフォンの機能について取り上げたいと思います。 スマートフォンにもはや“必須”にすべき機能とは? もはやスマートフォンはただの電話というよりも、生活する上で必須のデバイスになりました。今ではほとんど通話機
新しい電化製品を買おうとすると、まず、最先端のスマート家電を勧められるだろう。食器洗い機や冷蔵庫、あるいはトースターなど、どの売り場でもインターネットに接続できる製品がお勧めになっているはずだ。ではなぜ、このようなIoT(Internet of Things)機器が増えているのだろうか? 家庭にあるすべての機器がIoT機器である必要があるのだろうか。あるいは、メーカーが消費者のことを詳しく知るために、意図してスマート化を進めているだけなのだろうか。 今や、毎朝きちんと歯を磨いているかグラフで示してくれる歯ブラシから、食べるのが早過ぎないかを検知してくれるスマート・フォークまである。これらは私の妄想ではなく、実在するものだ。あらゆるものがインターネットに接続された未来に、我々はすでに足を踏み入れているのかもしれない。近年、IoT市場は急成長を遂げており、私も気に入っているガジェットがあるが、
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 広島市立大学大学院情報科学研究科に所属する研究者らが発表した論文「学校を対象とした FIDOによるパスワードレス認証の運用可能性の検討」は、小学校で普及している端末のパスワード問題を取り上げ、代替案として学校向けのパスワードを用いない指紋ベースのFIDO認証適用の可能生と課題について調査した研究報告である。 近年、日本の学校ではインターネットとコンピュータ技術の導入が進み、その重要性が高まっている。この背景には、2020年から小学校でのプログラミング教育が必須化したことと、GIGAスクール構想によるタブレットやPCの普及がある。これに基づき
セブン&アイ・ホールディングスは8月1日、9月30日24時をもってバーコード決済サービス「7pay」のサービスを廃止すると発表した。 サービス終了時点で未使用のチャージ残高については、法令上の手続きを経た後に、順次払い戻しする。払戻の詳細については別途案内するとしている。 7月1日よりスタートした、セブン&アイ・ホールディングス傘下のセブン・ペイが運営する7payの一部アカウントで不正利用が発覚。チャージ利用を一時停止していた。 「継続は困難」--3つの理由 不正アクセス事案に対し同社は「セキュリティ対策プロジェクト」を立ち上げ、被害状況の把握と発生原因の調査を進めるとともに、今後の対応等を含めた検討を重ねてきたという。 検討結果を踏まえ、(1)7pay について、チャージを含めてすべてのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定される、(2)その間、サ
推奨される有効な対策としては、不測の事態が起こる事を前提にした、危機管理でしょう。つまり、ネット銀行としては決済をするための口座としてのみ運用し、最低限の金額しか扱わず、貯蓄用の口座に資産を預け、その口座はネット銀行とせず、ネットからのアクセスを行えないようにすべきです。 出典:悪いこと言わないから、ネット銀行は使いなさんな!? 5年前、ネットバンクの不正利用、不正送金問題が顕在化した際に上記のコラムを執筆し、大きく話題になりました。この内容は改めて今、ドコモ口座不正送金に始まるネット決済に問うことができます。必要のないネット決済は利用すべきでないですし、銀行のサービスも限定すべきです。 ドコモ口座による不正送金問題に端を発した、スマホ決済連携による銀行口座不正引き出し問題が大きく拡大しています。勝手に他人の銀行口座とドコモ側の決済アカウントが紐付けされ、決済アカウントを偽造した第三者が不
Resecurityは9月5日(米国時間)、「Resecurity - EvilProxy Phishing-as-a-Service with MFA Bypass Emerged in Dark Web」において、二要素認証(2FA: Two-Factor Authentication)を回避する新たなフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)が登場したと伝えた。 「EvilProxy」と呼ばれる新たなツールキットが、多くのオンラインサービスで採用されている二要素認証による保護を回避する手段として、サイバー犯罪者のダークWeb市場で宣伝されていることが判明した。Resecurityの調査によって、リバースプロキシとクッキーインジェクションを使用して二要素認証を回避し、被害者のセッションをプロキシングするツールキットであることが明らかとな
二段階認証を実装するにあたり、自分が調べたことをまとめました。 何か間違ったことがあれば、コメントいただけると幸いです! 二段階認証?二要素認証 英語では、二段階認証を「Two-Factor-Auth」と訳しますが、日本語では「二段階認証」と「二要素認証」は明確に異なります。 二段階認証の説明をする前に、認証の3要素について説明する必要があります。 認証の三要素 私たちが普段Webサービスを利用する際に、アカウントが自分のものか、認証を行います。その代表的な手段として「メールアドレス」と「パスワード」が一般的です。ですが、一個人を特定する方法として、他にも種類があります。それらを3つに分類したものを「認証の3要素」と呼んだりします。以下のように分けられます。 ユーザが知っていること(知識情報) ID・パスワード 秘密の質問 ユーザが持っているもの(所持情報) 電話番号 キャッシュカード ワ
マイナンバーカードはどうやって認証してる? 意外と知らない「所有物認証」のハナシ:今さら聞けない「認証」のハナシ(4/4 ページ) マイナンバーカードの中には「署名用電子証明書」と「利用者証明電子証明書」の2種類の電子証明書が格納されていますが、サービスへの認証に使用されるのは利用者証明電子証明書の方です。署名電子証明書は、本人確認と提出書類の改ざん防止などに使用します。 マイナンバーカード発行時には、秘密鍵と公開鍵のペアが市町村から発行されます。さらにその公開鍵に対して「地方公共団体 情報システム機構」(J-LIS)という機関が、マイナンバーカードの発行番号や有効期間といった情報とひもづけて、電子証明書として発行します。 これらの秘密鍵と、公開鍵として機能する電子証明書がICの中に格納され、電子証明書を取り出すときに使う暗証番号を設定して、マイナンバーカードは配布するのです。 電子証明書
ドコモ口座をはじめとする複数の決済サービスを使った不正出金の被害が相次いでいる件で、ゆうちょ銀行の田中進副社長が9月16日、記者会見で謝罪した。同社によると、被害件数は109件、被害総額は約1811万1000円(16日午後時点)。被害の全額を補償する方針という。不正出金が起きた期間は2020年に入ってからという。 既に発表済みのドコモ口座、PayPay、LINE Pay、メルペイ、Kyashに加え、PayPalでも被害が判明した。高市早苗総務大臣が15日、ゆうちょ銀行が提携している12社のうち、NTTドコモを含む6社で不正出金の被害が起きたと説明。15日時点では具体的なサービス名は明かしていなかったが、6社のサービスが全て明らかになった。 ゆうちょ銀行は、本人確認で二要素認証を導入していない10社の決済事業者について、新規の口座連携、振替(チャージ)を順次停止している。田中副社長は「二要素
パスワードに絵文字
パスワードが好きな人はあまりいないでしょう。入力には時間がかかる上に、覚えるのも一苦労です。数字、記号、大文字を組み合わせて、一度も使用したことがない文字列を作るのも、容易ではありません。しかし、どこでも同じパスワードを使用したり、単純で短い(読み取りが容易で脆弱な)パスワードだけを使用したりすると、遅かれ早かれ、ハッキングされます。入力のしやすさ、記憶しやすさ、ハッキング耐性をすべて満たす方法はあるのでしょうか?あまり聞いたことがないかも知れませんが、パスワードに絵文字を使用することができるのをご存じですか?そうです。我々がチャットや投稿で愛用している、あのスマイルマーク😁やその他のアイコン🔐です。 現在、パソコンやスマホでは、アルファベットや句読点の記号と同じくらい当たり前に、絵文字が使われています。これは、絵文字が世界共通の文字コードUnicode標準の一部であるためです(絵文字
詐欺対策専門家は詐欺電話を受けたときどう対応したか?
セキュリティやソーシャルエンジニアリングに詳しい人は「自分が詐欺でだまされるわけがない」と考えているはずですが、実際にはそんなことはなくあっさりだまされてしまうものであることを、ソーシャルエンジニアリングに詳しいというナターシャ・Lさんが自らの体験をもとに明らかにしています。 As much as we like to pretend otherwise, infosec professionals are as vulnerable to scammers and social engineering as anyone else. Here's a story about the most sophisticated Wells Fargo/Apple Pay scam I've encountered, which successfully tricked me. https://t
はじめに 株式会社hokanでプロダクトマネージャーやエンジニアをしている宮といいます。 先日Auth0 JapanのTwitterでユーザー移行について解説している動画についてツイートされていました。 ちょうどhokanでも今年の頭にAuth0にDjangoの認証機能から移行したのですが、その時に割と悩んだのでその辺りの知見を整理しようと思います。 結構分量のある記事になってるので、時間がない方は各セクションの概要のみ読んでいただけると良いかと思います! 最後の方にシレッと移行計画立てる為の簡単なフォーマットも付録として用意したので、ご参考にしてください。 この記事の前提 Auth0の概要について Auth0は、サービスごとに分散するアカウント情報の管理を一元化したり、認証方法の強化に関する統合認証基盤の一種です。 Auth0の概要についてはこちらの記事が詳しく解説してくれているので、A
Ubuntu Weekly Recipe 第781回Nextcloud Notesでメモを取る。そして二要素認証でセキュアに保つ 今回は新たに専用クライアントがリリースされるようになったNextcloud Notesと、セキュリティの要である二要素認証の設定方法について説明します。 Nextcloudとメモを取るアプリ 筆者にはいまいちよく理解できないのですが、世の中にはメモを取るアプリ(英語だとnote-taking apps)がたくさんあります。本当にたくさんあります。 「取ったメモは複数の端末から参照できるといいよね」ということで、Nextcloudはメモ置き場としてもぴったりなわけです。Nextcloudにメモが置けるアプリとしては、第530回でQOwnNotesを、第536回でJoplinを紹介しました。今から5年ほど前の記事ですが、いずれも引き続き活発に開発が行われています
Gartnerは2019年7月23日(米国時間)、無線技術について同社が予測した今後注目すべき10大トレンドを発表した。 「無線イノベーションには、5Gやミリ波といった未成熟な技術が多くの分野に含まれている。こうした分野では、企業がまだ備えていないようなスキルが必要になる。イノベーションや技術変革の推進を目指すエンタープライズアーキテクチャ(EA)や技術イノベーションのリーダーは、革新的な新しい無線技術を見つけて試し、可能性について判断し、導入ロードマップを作成すべきだ」と、Gartnerのディスティングイッシュトリサーチバイスプレジデント、ニック・ジョーンズ氏は語る。 Gartnerは10大トレンドについて次のように説明した。 トレンド1:Wi-Fi Wi-Fi(無線LAN)は長年にわたって使われている。今後、2024年まで、オフィスと家庭向けの主要な高パフォーマンス無線ネットワーキング
米Microsoft傘下のスウェーデンMojang Studiosは10月21日(現地時間)、人気ゲーム「Minecraft Java Edition」の利用に、Microsoftアカウントを必須にすると発表した。Java Editionではこれまで、ログインにMojangの独自アカウントを求めていたが、20年秋から順次切り替える。 20年秋以降、新規ユーザーにはMicrosoftアカウントでの登録を必須とする。すでにMojangアカウントでログインしているユーザーには、21年初頭からメールで移行を案内する。移行しないユーザーは、数カ月以内にゲームへログインできなくなる。 Java Editionは、2009年のゲーム公開当時からあるPC向けのバージョン。Windows 10や「Nintendo Switch」など、複数のプラットフォームで動作する「Bedrock Edition」は移行の
他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。ネットバンクからの不正送金や不正決済などを行うSIMIスワップの手口や事例、対策方法を解説する。 他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。乗っ取った後は、SMSを利用した二段階認証を突破してパスワード変更を行い、ネットバンクからの不正送金や不正決済などを行うSIMIスワップの手口や事例、対策方法を解説する。 SIMスワップとは SIMスワップは、攻撃者が相手のSIMを乗っ取った後、そのSIMで受信できるSMSを使った二段階認証を突破し、オンラインバンキングなどに不正ログインを行う攻撃である。 別名「SIMスワップ(詐欺・攻撃)、SIMハイジャック(攻撃)」とも呼ばれる。 SIMスワップの典型的な海外の手口は、以下の流れで実行
パスワードのない世界、実現に一歩近づく
――筆者のクリストファー・ミムズはWSJハイテク担当コラムニスト *** パスワードは長らくオンラインアカウントを保護する仕組みの根幹をなしていた。だがこのところパスワードはむしろ「弱点」と見なされるようになり、完全に排除することを目指す企業も一部に出てきた。 アカウントの安全なログイン方法をめぐる新しい助言に従うことは、最新の使い捨てカミソリに何枚の刃があるかを常にチェックするようなものだ。シンプルで覚えやすいパスワードから、アカウントに合わせて個別に作成し、パスワード管理ソフトに保存する発音不可能な文字列まで、その指針は年月と共に変遷してきた。最新の忠告によると、毎回のログインに二要素認証が必要だとされている。これは大抵の場合、テキストメッセージやメールで送られてくる数字のことだ。 ...
ちょっといつもと毛色の違う記事書きますね。 Twitterアカウントの乗っ取りは昔から問題にはなっているのですが、いまいち纏まった対策法が書いているところが少ないなーと思っていました。最近になってまた増えてきている気がするので、なんとかしたいという気持ちがあります。 私は主にウェブシステムの設計・開発を仕事にしていて、アカウント管理のセキュリティ周りの話もよくします。チェック自体は専門家に任せるのですが、やりとりをスムーズに行うために自身も最低限の知識は学ぶようにしています。 普段から否応なしにセキュリティを意識せざるを得ない立場から、Twitter乗っ取りの考えうる手口や、それらに対して私達ができる対策など、簡単にまとめておきたいと思います。 長い!読みたくねえ!短くまとめろ! 乗っ取りの経路はパスワードと連携アプリの2種類ある パスワードを使い回すな パスワードは大文字/小文字/数字/
マイナンバーカードと電子署名の本
マイナンバーカードとと 電子署名の本の本本 @hamano i 第 2 版 マイナンバーカードと電子署名の本 濱野 司 ii iii はじめに マイナンバーカードというとどんな印象があるでしょうか? 「使いみちが無い」 「なんとなく怖い」 一般的にその様な印象を持っている方が多いようです。マイナンバー(個人番号)に関 して様々な議論がありますが、この本は個人番号制度とは直接関係ありませんし触れない ようにしています。 これは自分のマイナンバーカードに搭載されている IC チップにアクセスして遊ぼう、 という趣旨の本です。具体的には OpenSC というオープンソース・ソフトウェアを使いな がら公的個人認証の仕組みとその将来性について解説します。 公的個人認証は私達のオンライン生活をより安全・便利にする可能性を持っています。 しかし、このサービスが広く活用されるにはまだ多くの課題があります。
Twitter、SMS二要素認証を課金ユーザー限定に変更。Twitter Blue特典へ | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 Twitterが、3月20日以降はSMSを使用する2要素認証の提供を有料ユーザー限定にすることを明らかにしました。 2要素認証とは、サービスへのログインの際にパスワードだけでなく、物理的なキーやSMSを通じて配布されたPINコードなどを使ってアクセスを許可するしくみのこと。 もし悪意あるハッカーなどにパスワードが盗まれてしまった場合でも、ユーザーの携帯電話にアクセスできなければサービスにログインすることができず、セキュリティを維持できるのがその大きなメリットです。 しかし、Twitterは「SMSを利用する2要素認証が悪用されていることを確認している」とし、月額制サービスのTwitter Blue登録者以外へ
ランサムウェアや情報漏えい、改ざんなどさまざまなサイバー攻撃が企業を襲った報道が日々流れてきています。中には事業停止を余儀なくされる事例もあり、サイバー空間の治安が一気に悪化していると感じています。 各種サービスが被害に遭うことは、利用者からは防ぎようがないのが実情ですが、個人でできること、組織が気をつけねばならないことは平時でも有事でも大きな変化はありません。今回は、筆者自身が今できることをやってみたというお話を取り上げたいと思います。 「基本対策だけでは心配」な方におススメしたい、ちょっと発展的な対策 これまでの繰り返しとなりますが、セキュリティの基本であるOSやWebブラウザのアップデート、重要情報のバックアップはしっかりと実施しましょう。OSやWebブラウザは自動アップデートが機能として提供されているので、これを阻害するような設定がないかどうかをチェックしておきます。加えて、最近で
予約確認や本人認証、パスワード設定の通知など、自動的にSMSを送信したい場合には、自社システムとSMS送信をつなぐAPIの導入がおすすめです。 とはいえ、どのAPIを使っても上手くいくというわけではありません。またSMSの用途が限られており、SMS送信サービスで事足りるのであれば、APIを導入しなくても良いでしょう。 そこで今回は、まず前半でAPIの導入が必要かどうかを確認し、続いてAPIを比較する際のポイントを解説します。その上で、おすすめのサービスをチェックしていきましょう。 NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード ※本記事はNTTコム オンライン・マーケティング・ソリューション株式会社提供によるスポンサード・コンテンツです。 SMS送信APIとはSMS送信APIとは、プログラムやアプリケーションから直接SMSを送信するためのインタ
2022年10月から12月を振り返って
2022年10月から12月にかけて確認された影響範囲の広い脆弱性情報や脅威情報などをまとめました。当期間中もランサムウェアを用いた攻撃が国内で観測されており、SSL-VPN製品やファイアウォール製品で深刻な脆弱性に関する情報が公開されています。マルウェア感染に繋がるメールについては年末年始期間中にも注意が必要です。以下を参考に対策をご検討ください。 I. ランサムウェアを用いた攻撃 [1]概要 当期間中も国内組織でランサムウェアを用いた攻撃の被害が多数報告されています。こうした攻撃では、SSL-VPN製品の脆弱性の悪用やリモートデスクトップサービスの認証突破など、主に外部から接続可能なシステムの脆弱性やリモートアクセスの出入口などが侵入経路として悪用されます。また、取引先や海外拠点のネットワークに侵入した攻撃者が、別の組織や国内拠点に侵入するケースも確認されています。 [画像: 侵入型ラン
PayPal、日本でもパスキー対応へ
米PayPalは6月14日、スマートフォンなどから安全・簡単にログインする新技術「パスキー」のPayPalへの導入を、日本を含むアジアの一部の市場に拡大すると発表した。米国で導入済みだが、対象エリアを広げる。 パスキーは、端末上で1度設定するだけで、対象のサービスに生体認証でログインできる。サービスごとに毎回ID・パスワードを入力することなく、生体認証が使えるためより安全だ。 FIDOアライアンスとW3Cが共同開発した規格で、PayPalはFIDOアライアンスの創設メンバー。金融サービス企業として最初にパスキー認証を導入した一社という。 関連記事 Googleアカウント、「パスキー」でのログインをサポート Googleは「世界パスワードの日」に向けてGoogleアカウントへのログインで「パスキー(passkey)」を利用可能にした。パスキーはAppleとMicrosoftとともに昨年5月に
前々から二要素認証に用いられているTOTPについて確認しておきたかったので、この土曜を使ってTOTPによるワンタイムパスワード生成をGoで実装した。このnoteはその過程です。 ちなみにTOTPクライアントについては他にも実装されている方がいて、解説や用いられている語句等はそちらの方が仕様に対して厳密だと思います。 そもそもTOTPによるワンタイムパスワードって?二要素認証のために多くの方がスマホにインストールしている(よね)Google Authenticatorに表示される6桁のアレ。時間が経過すると勝手に更新されていくアレです。アレはTOTPによって生成されていて、その仕組みを知りたいというのがモチベーションになっています。 仕様RFC 6238 がTOTPの仕様です。ただこれ単体じゃなくて、TOTPが前提としているHOTPという仕様があって、これが RFC 4226 になります。T
SIerのNDIソリューションズ(東京都港区)は2月21日、同社の生成AIサービスが稼働するパブリッククラウド環境に不正アクセスがあったと発表した。ユーザーアカウントと暗号通貨のマイニング用と思しきインスタンスが不正に作成されていたという。 何者かがアクセスキーを不正に利用。LLM(大規模言語モデル)に外部データベースの情報を参照させ、機密情報を基にした回答などを可能にする「RAG」サービスの提供に使っていたクラウド環境に侵入し、アカウントなどを作っていたという。 不正アクセスがあったのは1月25日から2月13日。ストレージやデータベース、他サービスにアクセスされた形跡がないことから「データ漏えいの可能性は極めて低いと判断している」(同社)としている。 すでに不正なアクセスキーやアカウントは削除済みで、インスタンスも停止したという。同社は二要素認証を導入する他、アクセスキーの新たな運用ルー
Microsoft 365でSSO(シングルサインオン)を実現する認証方式を徹底比較-エンタープライズIT [COLUMNS]
働き方改革などを目的として「Microsoft 365」を利用する企業が増えています。インターネット接続環境さえあれば、場所や端末に依存せず利用できるため、従業員の生産性向上につながります。しかし、Microsoft 365にサインインするためには、オンプレミスのActive Directoryとは別の認証が必要です。これではユーザの手間が煩雑になり、パスワード忘れなどのトラブルも懸念されます。一回の認証でオンプレミスもMicrosoft 365も利用できる方法を紹介しましょう。 目次 Microsoft 365の認証に欠かせないAzure ADとは オンプレミスADとAzure ADはまったくの別物 SSO(シングルサインオン)を実現する主要3方式とは 投資を抑えてMicrosoft 365のSSO(シングルサインオン)を実現するIDaaS活用が注目 Microsoft 365の認証に欠
![Microsoft 365でSSO(シングルサインオン)を実現する認証方式を徹底比較-エンタープライズIT [COLUMNS]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a8875d174039686c2e8efce10da0e4cd0d7a7650/height=288;version=1;width=512/https%3A%2F%2Fent.iij.ad.jp%2Fwp-content%2Fuploads%2F2019%2F06%2Fe-security-300x141.png)
WordPressのプラグイン経由でマルウェア感染?どのように防ぐのか? | サイバーセキュリティ情報局
世界中で多く利用され、導入率トップを誇るCMSがWordPressだ。その利便性の反面、導入率の高さを要因とするセキュリティリスクも存在する。中でも、プラグインは無償で利用できるものも多く、導入も容易なため見過ごされがちなリスクの1つだ。WordPressのプラグインに潜むリスクとその対策について解説する。 WordPressのプラグインとは WordPressとは、Webサイトを管理するための「CMS(Content Management System:コンテンツ管理システム)」の1つだ。CMSを導入することで、Webページや画像データなどを総合的に管理できる。中でもWordPressは導入がしやすく、Webサイトの構築・アップデートが容易になるため、世界で多くの組織・個人に利用されている。 プラグインはWordPressの機能を拡張するためのソフトウェアの一種だ。WordPress本体
初心者必見!よくわかるWebRTCの仕組み
リモートワークやテレワークが一般化した昨今。社内でのミーティングや社外との打ち合わせで、ビデオ通話をつないで行うWeb会議・テレビ会議を活用している方も多いのではないでしょうか。 そのようなオンライン会議に使用されているツールの多くは、「WebRTC」と呼ばれる技術によって実現しています。 今回はこのWebRTCについて、どのような仕組みで通信を実現しているのか、わかりやすく解説します。 そもそもWebRTCとは? WebRTCは「Web Real-Time Communication」の略称で、Webブラウザ間で音声やビデオ、データなどをリアルタイムにやり取りする際に用いられる技術です。 リモートワークが一般的となってきた近年、Web会議システムやライブストリーミング・動画配信サービスなどで活用される場面が増えてきています。 WebRTCの詳細は、「WebRTCとは?リモートワークに役立
どんなNFT詐欺がある?対処法は? 詐欺に気をつけようと言われても、どんなものが詐欺なのかまず気付けないという場合も多いと思います。 まずはどのような詐欺のケースがあるのか、その例を見てみましょう。 フェイクのミントページに飛ばされる よくあるのは、注目されているNFTのドロップ時に、NFTマーケットプレイスのOpenSea上で、いくつかのページが表示されている中で、どれが正規のNFTであるかの判断が正しくできず、詐欺に遭ってしまうケースだそうです。 人気のNFTプロジェクトの場合、すぐに価格が高騰したり、売り切れてしまうなどするため、絶対に欲しいと思っているコレクターが、この状況下で確認しているNFTのページがどこでミントされたのか(偽物ではなく正式なNFTなのかどうか)を確認するステップを飛ばして、フェイクをつかまされてしまうようです。 コレクターによる購入があった後、不正なNFTコレ
本記事では、電話番号がいかに簡単に乗っ取られてしまうかを解説したい。なかでもSIMスワップ詐欺は後に続く犯罪行為のほんの序章に過ぎない。この攻撃から身を守るには、どうすればよいのだろうか。 SIMスワップ攻撃はどれほど簡単に仕掛けることができるだろうか?また、攻撃者は電話番号を乗っ取った後、何ができるのだろうか?結論から言うと、SIMスワップ攻撃を仕掛けるのは驚くほど容易で、攻撃者はあらゆることが実行可能となるのだ。 SIMスワッピングは、SIMハイジャック、あるいはSIMスワップ詐欺とも呼ばれる。これらの言葉を耳にしたことがあるかもしれない。しかし、多くの人は自分の身には起きないものだと考えてしまうだろう。実際、「自分は絶対にハッキングされない」、「なぜ自分が狙われるのかわからない」という声も聞く。しかし、悪意のある攻撃者は日々、膨大な数の攻撃を仕掛けており、私たち一般消費者もそのターゲ
「サイバー攻撃、うちは大丈夫」と言い切るコワさに迫る――2022年、情報を受け取る側が意識すべき「自分ごと」の意味とは?
2021年11月某日、マンディアントが主催する「Mandiant Cyber Summit 2021」における特別講演「“最前線にいるものたちの視覚”から何が見えるか?―『うちは大丈夫』と言い切るコワさに迫る―」の収録が行われた。「piyolog」オーサーとして知られるセキュリティリサーチャーのpiyokango氏と、常時3000もの攻撃グループを追跡するマンディアントで脅威インテリジェンスアナリストを務める千田展也氏。サイバー攻撃の最前線を知る2人の“視覚”を通じ、現状の脅威に対抗するための考え方を見直すという趣旨だ。 収録当日は、12月9日に配信された内容だけではなく、本レポートのために追加トピックも飛び出し、大変濃い内容のディスカッションが繰り広げられた。 情報を価値に:当事者意識と継続性 サイバー攻撃の情報を収集・分析する2人が最初のトピックに選んだのは、「プロとアマ」の違いについ
by Kat Yukawa アプリ内にユーザーに対して寄付を呼びかけるリンクがあったために、オープンソースのVPNアプリ「WireGuard」がGoogle Playから削除されました。開発者はリンクを取り除くアップデートを行ってGoogle Playでの再公開を果たしていますが、こうした事態はWireGuard以外のアプリでも発生しているとのこと。 WireGuard removed from Google Play Store, rectification in progress https://lists.zx2c4.com/pipermail/wireguard/2019-October/004596.html 「WireGuard」は、シンプルで高速なVPNサービスを提供するオープンソースソフトウェアで、当初はLinux向けにリリースされたソフトでしたが、その後、Windows・
はてなブログ独自の集計による人気記事のランキング。11月20日(日)から11月26日(土)〔2022年11月第4週〕のトップ30です*1。 # タイトル/著者とブックマーク 1 2022年カタールW杯、日本対ドイツのレビュー - pal-9999のサッカーレポート by id:pal-9999 2 2021年に買って今も使い続けている良かったもの5選 - 本しゃぶり by id:honeshabri 3 約束は開発を遅らせる - Mitsuyuki.Shiiba by id:bufferings 4 シティポップの最終防衛ラインが突破されるとき - 森の掟 by id:guatarro 5 ワールドカップで日本がドイツに勝利したことを歓喜しなければ人格を疑われたり非国民扱いされるので人前では仕方なく喜ぶが内心どうでもいいと思ってる - 逆寅次郎のルサンチマンの呼吸 by id:gyakut
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Apple、iMessageやiCloudの新たなセキュリティ機能を2023年に提供開始
モバイル決済アプリの危険性、そして安全な利用方法とは?
Windowsイベントログ(セキュリティ監査)の設定/運用tips - NFLabs. エンジニアブログ
2019年10月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃん☆たくのひとりごと
スマホ買い替えシーズン到来 筆者がオススメする「絶対あった方がいい機能」
命を狙う食洗機の恐怖、”スマート家電”のリスクとは
小学校の「端末パスワード問題」どう考える? 児童が被害/加害者になる可能性も 指紋認証は代替え案になるか
スマホ決済「7pay」は9月30日にサービス廃止--被害金額は補償、順次払い戻しへ
悪いこと言わないから、ネット決済は使いなさんな!?(森井昌克) - エキスパート - Yahoo!ニュース
二要素認証を回避するツールキット「EvilProxy」ダークWebで販売中
二段階認証を実装するまでに調べたこと - Qiita
「常識覆すサイバー犯罪」増加、二要素認証を突破する詐欺手口やサイト改ざんによる情報窃取など トレンドマイクロが2019年のサイバー犯罪動向を解説
マイナンバーカードはどうやって認証してる? 意外と知らない「所有物認証」のハナシ
ゆうちょ銀行、不正出金で謝罪 被害総額1811万円、6社すべて判明
【付録付き】認証機能をAuth0に差し替える時に全ユーザー移行した話 - Qiita
第781回 Nextcloud Notesでメモを取る。そして二要素認証でセキュアに保つ | gihyo.jp
Gartner、2019年以降の「無線技術」の10大トレンドを発表
Java版マイクラ、Microsoftアカウントが必須に 秋から セキュリティなど強化
日本でも発生中の詐欺「SIMスワップ」とは? 手口と対策を解説
Twitterアカウントの乗っ取りの手口と防ぐためにやっておきたいこと
「基本対策だけでは心配」な方に ちょっと発展的な“プラスセキュリティ”のススメ
SMS送信APIのオススメサービス5つを紹介!比較ポイントを解説 | LISKUL
今さらTOTPクライアントを実装する|murakmii
RAGが動作するクラウド環境に侵入、勝手にマイニング用インスタンス作成 SIerが不正アクセス被害に
NFT詐欺被害に合わないために知っておきたい詐欺事例やセキュリティ対策|P.Art.Online
SIMスワップ攻撃を使って友人のWebサイトをハッキングしてみた | サイバーセキュリティ情報局
「アプリ内に寄付を求めるページへのリンクがあった」としてGoogle Playからアプリが消える
今週のはてなブログランキング〔2022年11月第4週〕 - 週刊はてなブログ