Mastodonアカウントの作成とフェディバースへの参加方法投稿者: heatwave_p2p 投稿日: 2022/12/112022/12/11 Electronic Frontier Foundation 最近のTwitterの混乱は、特定のソーシャルメディアプラットフォームに依存してしまうと、そのシステムの運営者の手にあなたの声、プライバシー、安全性を委ねることになるということを改めて突きつけている。その結果、多くの人々がMastodonをTwitterのバックアップやオルタナティブとして認識し始めている。そこで、本稿ではMastodonへの移行方法についてのガイドを提供したい。このガイドは2022年12月現在のものであり、説明されているソフトウェアやサービスは急速に変化していることに留意いただきたい。 そもそもフェディバースとは何なのか。以前にその詳細と技術的な解説記事を書いたが、
![Mastodonアカウントの作成とフェディバースへの参加方法 | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/df5d994317fbdc9b311360d501acfe3dfde46f1e/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2022%2F12%2Fnetwork_mustodon-1.jpg)
批判的読書 - RyoAnna
来年春に情報処理安全確保支援士の試験を受けるため、最近はもっぱらセキュリティ関連の本を読み、過去問を繰り返し解いている。 この試験の問題文は本当に良くできている。トラブルの発生状況が丁寧に説明されているため、問題文を読むことで事例を知り、実践に役立てることができる。 先日、10回分の過去問を解き終えたのだが、この問題を解くコツが少し分かってきた。それは、問題文を批判的に読むというものだ。 作問者は、問題文の中で意図的に脆弱なシステムを作っている。それを回答者に気づかせて、正しい対策を施すよう設問で促す。 問題文を読みながら、たとえば「そこは二要素認証が必要では?」「WAFを導入するべきでは?」などと批判していると、設問でズバリ問われたりする。 6年前に『知的複眼思考法』の「批判的読書」について書いたが、当時は上辺だけの理解だったと思う。理屈は分かっていても、実践には至っていなかった。 批判
不正ログイン手法入門(初級編)
他人のIDとパスワードを用いてログインすることを不正ログインと呼びます。この動画では、代表的な不正ログインの手法について解説します。 本日お伝えしたいこと ・代表的な不正ログインの手口について説明します ・手口に加えて、過去の事例を紹介します 以下の手法について説明しています。 ・パスワード推測 ・ブルートフォース攻撃 ・辞書攻撃 ・リバースブルートフォース攻撃 ・パスワードスプレイ攻撃 ・パスワードリスト攻撃 参考情報 ・北川景子、長澤まさみら芸能人のFBのぞき見容疑の男逮捕 誕生日などからパスワード類推(1/2ページ) - 産経ニュース https://www.sankei.com/affairs/news/160518/afr1605180003-n1.html ・ゆうちょ銀行「mijica」で不正送金|日テレNEWS24 https://www.news24.jp/art
週刊Railsウォッチ: Bundler自身のバージョンロック機能、gem署名メカニズムの提案ほか(20220216後編)|TechRacho by BPS株式会社
週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:週刊Railsウォッチタグ) 🔗Ruby 🔗 提案: gemに署名するメカニズム(Ruby Weeklyより) 元記事: rfcs/0000-introduce-a-new-signi
みなさん初めまして!やまだと申します! 本日はDiscord(ディスコード)というゲーマー向けのコミュニケーションツール(LINEの上位互換ソフト)を紹介したいと思います LINEの上位互換ってどういうこと?と思われるかもしれません。例えばディスコードにはこんな機能があります 1.一つのグループ内にトークチャンネルを複数、作ることができます 2.特定の人だけが書き込んだり見ることができるチャンネルを作れます 3.通話中に寝落ちしてしまったら自動的にミュート状態にしてくれますといったLINEでは出来ないことがディスコードでは簡単に実現できます! とはいえ長年ディスコードを使っているユーザーでも設定が難しい。まだまだ使いこなせていないといった声が聞こえてきます・・・ 今回はそんな方のために!私がディスコードサーバーを運営する上で実践している、おすすめの設定を紹介させていただきます! まずは私
Python Package Index(PyPI)は、2023年末から全てのアカウントに対して二要素認証を義務付ける予定だ。近年、オープンソースソフトウェアのリポジトリを標的としたサイバー攻撃が目立っており、今回の対処はアカウントを乗っ取る攻撃を防ぐ意図がある。 プログラミング言語「Python」のサードパーティーソフトウェアリポジトリである「Python Package Index」(以下、PyPI)は2023年5月25日(注1)、同年末からWebサイト上でプロジェクトまたは組織を管理する全てのアカウントに二要素認証を義務付けると発表した。 Pythonは広く使われているプログラミング言語の一つだ。この義務化は、過去にPyPIユーザーを危険にさらしたアカウント乗っ取りを防ぐ目的がある。 2023年末にかけて、PyPIは二要素認証の使用に基づいて特定のWebサイト機能へのアクセスを制限す
2019年もサイバー犯罪が猛威を振るい、インターネット、PC、各種デバイスを利用する一般利用者がさまざまな影響を受けた年となりました。「2019年上半期セキュリティラウンドアップ」でも報告しているとおり、トレンドマイクロ製品のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN) 」では2019年上半期の6か月間だけで、メール、ファイル、URLの脅威を合わせて268億以上をブロックしました。これは一般利用者を狙うサイバー犯罪者がさまざまな手口で攻撃を行っていることを示しています。 デジタルインフォメーションを安全に交換できる世界の実現が望まれる中、当記事では、今後の新たな10年を迎える上で、2020年に注視すべき脅威動向を、2019年に注目された脅威と合わせて、説明します。セキュリティ対策の原則は2020年も変わりません。常に細心の注
パスキーの仕組みを分かりやすく解説 企業にどう役立つか
パスワードの問題を一気に解決できる「パスキー」の採用が広がっている。パスキーを採用すれば社外向けのサービスだけでなく、社内向けのサービスのセキュリティも向上できるという。 パスキーはパスワードを代替する技術の有力候補だ。ユーザーの記憶に頼らず、漏えいの可能性もずっと低い。そのため、Webサービスにログインするユーザー向けのサービスで導入が進んでいる。NTTドコモや任天堂など大量のユーザーを抱える企業がまずパスキーに飛びついた。 では、外部のユーザー向けにWebサービスを提供していない企業はパスキーと無関係なのだろうか。実はそうではない。 従業員の保護に役立つパスキー なぜならパスキーは従業員の保護に役立つからだ。どのようにして従業員を保護できるのかを紹介しよう。 パスキーがハイブリッド環境におけるアイデンティティー(ID)の保護に役立つと指摘するのはパスワード管理ソリューションを提供する1
Appleがセキュリティ向上のために追加した3つの新機能のうち、これまで部分的だったiCloudのエンドツーエンド暗号化対象が拡大して、メモや写真などのバックアップも暗号化されるようになることについて、暗号化を推奨してきた電子フロンティア財団などが称賛の声を寄せています。ただし、元FBI職員からは懸念も聞かれます。 VICTORY! Apple Commits to Encrypting iCloud, Drops Phone-Scanning Plans | Electronic Frontier Foundation https://www.eff.org/deeplinks/2022/12/victory-apple-commits-encrypting-icloud-and-drops-phone-scanning-plans Apple Plans to Beef Up iClo
Apache Guacamoleとは Apache Guacamole https://guacamole.apache.org/ 本家のサイトにも説明がありますが以下が主なポイントです。 無料でオープンソースのソフトウェア 対応しているのはVNC、RDP、SSHなどの標準プロトコル 必要なのはWEBブラウザだけ AWS上に構築して、AWSのEC2インスタンスにアクセスしたり便利です。 更にWEBブラウザベースなのでHTTPS通信にてWAFを通せばかなりセキュアです。 更に更にAWS WAFを使えば、XSSやSQLインジェクションに加えて 国内のみのアクセスを許可というのもできてアタックがぐっと減ります。 尚、1.0.0から二要素認証に対応しており、 Google認証やAuthyを使って更に更に更にセキュリティが強固になります。 どんな感じか(認証) まずはアカウント+パスワードによる認証
ack.ioさんのツイートによれば、Googleで「楽天トラベル」を検索すると、楽天トラベルそのものに見えるといった偽装サイトの広告が増えているそうだ。同氏がリンク先をクリックするとxyzというドメインのサイトに繋がった。しかしリンク先のサイトのデザインは楽天トラベルそのものとなっており、間違って契約してしまう可能性もあると指摘している。同氏によれば、同じデザインでドメイン違いのものが数多く出回っているようだ(Togetter)。 またTogetterのまとめによれば、「楽」と「天」の間に半角スペースを入れることにより、Google広告のチェックをすり抜けているといった指摘も出ている。Google公式の広告リンクであることから、ドメイン関係のチェックをあまりしない傾向のあるスマートフォン世代などが間違って契約してしまう可能性もあるかもしれない。楽天側もこうした偽装サイトに対する警告は出して
Sucuriは2月2日(米国時間)、「Konami Code Backdoor Concealed in Image」において、画像ファイルに隠されたバックドア型マルウェアについて伝えた。このマルウェアは、ペイロードを画像ファイル内に配置し、バックドアへのアクセスに仕掛けを施すことで検知を回避するよう設計されているという。 Konami Code Backdoor Concealed in Image このマルウェアは2019年に侵害されたDrupal環境内で検出されており、新しいものではないとされている。しかしながらこのマルウェアがここ数カ月、攻撃者の間で人気が上がっていることがSucuriの調べでわかった。ここ3カ月ほどで約1万5000件も検出されており、WordPressサイトを侵害するために使用する一般的な攻撃キットにバンドルされた可能性が高いとみられている。 このバックドアは偽の
Security Affairsは1月24日(現地時間)、「5379 GitLab servers vulnerable to zero-click account takeover attacks」において、オンラインに公開されているGitLabサーバのうち5,379台が緊急の脆弱性(CVE-2023-7028)を対策していないとして警告した。 この脆弱性は悪用されるとユーザーの関与なしにパスワードがリセットされ、アカウントが乗っ取られる危険性がある。この脆弱性の影響を受けるGitLabバージョンの一覧および脆弱性の詳細は、「GitLabに緊急の脆弱性、更新を | TECH+(テックプラス)」から確認することができる。 5379 GitLab servers vulnerable to zero-click account takeover attacks 脆弱性の影響を確認する手順 S
oathtoolをインストールする(二要素認証のワンタイムパスワードをsecretから生成する) - やってみる
GitHubなどWebサービスの認証で使う。 手順 インストール バージョン ヘルプ 使ってみる 1. インストール sudo apt install -y oathtool 2. バージョン $ oathtool --version oathtool (OATH Toolkit) 2.6.1 Copyright (C) 2015 Simon Josefsson. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Written by Simon
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ITシステム管理サービスを提供するKaseyaは、ランサムウェア攻撃に悪用されたセキュリティ脆弱性に対するパッチを、かねてから予告していた通りリリースしている。 マネージドサービスプロバイダー(MSP)などを顧客に抱える同社のソフトウェアに潜んでいた脆弱性を悪用するランサムウェア攻撃が、米国時間7月2日以降に爆発的に増加した。 Kaseyaによると、この攻撃を仕掛けたREvilという脅威グループは、リモート監視ソフトウェア「VSA」に潜んでいた脆弱性を悪用し、認証処理をバイパスするとともに悪意あるコードを実行して、顧客のエンドポイントにランサムウェアを送り込もうとした。 今回の攻撃で、800~1500社の企業が影響を受けた可能性がある。
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
AWS事業本部インテグレーション部のいわほりです。 2019年の残りも3ヶ月を切りましたが、今年は「二要素認証」・「二段階認証」という言葉をよく耳にしました。そこで、Auth0でSMSを使った二要素認証を実装してみました。 本記事に記載する設定は、 コーディング不要 無料のアカウントで実施可 ですので、非エンジニアの方もお手元の環境で実際に動きを確認いただければと思います。 事前準備 まずは、こちらの記事を参照いただき、 アカウントの登録 テナントの作成 サンプルアプリケーションの作成・設定・起動 新規ユーザ登録 を行ってください。 この手順で登録したユーザは、メールアドレスとパスワードの入力だけでログイン可能です。 ここにSMSで送信されるコードを用いた認証を追加します。 設定の流れとしては、 SMS認証を使用できるようにする 毎回のログイン時に二要素認証を適用する となります。 設定し
2020年、日本で「漏えいしたパスワード」ランキングに驚いた! 推測されやすい要注意パスワードは…(All About) - Yahoo!ニュース
「日本人のパスワードランキング2020」が発表されました。ここでは、123456やpasswordなどの昔から有名なパスワード、推測されやすいパスワードは使わないほうが良いでしょう、というのがテーマになります。 ソリトンシステムズから「日本人のパスワードランキング2020」が発表されました。2020年に発見された232の情報漏えい事件から分析した、パスワードのランキングです。それによると、日本人が2020年に一番多く使っていたパスワードは「123456」、2位は「password」、3位は「asdfghjk」でした。 ここでは「123456」や「password」などの昔から有名なパスワード、推測されやすいパスワードは使わないほうが良いでしょう、というお話をしていきます。 ◆複雑なパスワードでも被害が起きているひと昔前ですと、推測されやすいパスワードは使わずに、複雑なパスワードを使いましょ
アルゼンチンは激しいインフレに見舞われており、年間インフレ率は2022年10月時点で88%を上回りました。一部の国民は投資ファンド・決済サービスの「Mercado Pago」を利用して自身の資産を守ろうとしていますが、このサービスにはリスクがあると経済系メディアのRest of Worldが指摘しています。 Risky digital wallets help Argentines fight inflation - Rest of World https://restofworld.org/2022/mercado-pago-app-argentina-inflation-scam/ インフレ率は上昇を続けており、数カ月の内に100%を上回るのではないかとも予測されています。アルゼンチンの国民が自分のお金の価値を保つためにとった対策は多岐にわたり、富裕層は闇市でドルを買ったり、仮想通貨に
もう「Gmail」では物足りない? 個人情報保護を重視したメールサーヴィスという選択肢(WIRED.jp) - Yahoo!ニュース
わたしたちのオンライン生活の大部分は、電子メールアドレスを中心に回っている。 メールアドレスは、わたしたちがするほとんどすべてのことのハブとして機能する。旅行関連の書類や日程だけでなく、Amazonで買った商品の領収書もすべてそこに届く。登録したままログイン情報を忘れてしまったサイトやアプリを復旧させるときにも使われるし、当然のことながら過去に送信したすべてのメールがそこにある。 情報流出の危険性がある「放置アカウント」、いますぐ削除する2つのステップ 受信トレイには数多くの個人情報が保管されており、秘密にすべきものも多い。そうした情報をつなげると、個人的な関心事や活動、社会的なつながりに関するプロフィールを得ることができるからだ。 一方で、メールのプライヴァシーは軽視されがちである。その結果として直面しうる脅威は、アカウントの種類によって異なる。企業であれば、メール経由のフィッシング攻撃
builderscon 2019-08-31(2日目)に参加したのでアウトラインメモ スーパーカミオカンデの開発と運用 ニュートリノすごい 入門サービスメッシュ Tetrate | Enterprise ready service mesh サービスメッシュなるまでの変遷 Service Mesh Before Container サービスメッシュはk8sとかより前にもあった 運用する規模が大きくなりすぎて 1000人とか1万人とか そうするともう少し小さく割ったシステムにしたほうが良いのでは ⇒ Microserviceが大きな規模のところでは主流になってきた 素早くサービスを展開する必要がでてきて既存のものだと足りなくなってきた Containerとか使われるようになってきた 規模が大きくなるとネットワークもそれ向けに Observabilityという概念もできて 未知の問題や障害をモ
テクノロジーの発達によって、生活は便利になっている一方で、誰もがサイバー犯罪とは無縁でいられなくなった現代。株式会社網屋主催の「Security BLAZE 2022」では、セキュリティの最前線で活躍するエキスパートが集結し、さまざまなサイバー犯罪の手口や対策方法について講演を行いました。後編では、株式会社網屋 取締役/データセキュリティ事業部 事業部長の佐久間貴氏が、人もノウハウもなくてもログ管理ができる「ALogクラウド」の新機能と強みについて語ります。 ログを一元管理し、自動収集するのは意外と難しい 佐久間貴氏:今までログの話をたくさんしてきたので、「じゃあログを簡単に集めればいいじゃないか」という話になると思うんですけども、ログを集めるのはそう簡単ではないんですね。 例えば、ネットワーク機器のログやファイルサーバのログなど、それぞれに出てはいるんですけど、それらを一元管理して自動で
ゆうちょ銀行、不正出金で謝罪 被害総額1811万円、6社すべて判明(ITmedia ビジネスオンライン) - Yahoo!ニュース
ドコモ口座をはじめとする複数の決済サービスを使った不正出金の被害が相次いでいる件で、ゆうちょ銀行の田中進副社長が9月16日、記者会見で謝罪した。同社によると、被害件数は109件、被害総額は約1811万1000円(16日午後時点)。被害の全額を補償する方針という。不正出金が起きた期間は2020年に入ってからという。 【一覧】ゆうちょ銀行が提携している決済サービス(12社) 既に発表済みのドコモ口座、PayPay、LINE Pay、メルペイ、Kyashに加え、PayPalでも被害が判明した。高市早苗総務大臣が15日、ゆうちょ銀行が提携している12社のうち、NTTドコモを含む6社で不正出金の被害が起きたと説明。15日時点では具体的なサービス名は明かしていなかったが、6社のサービスが全て明らかになった。 ゆうちょ銀行は、本人確認で二要素認証を導入していない10社の決済事業者について、新規の口座連携
平素よりSansan株式会社のサービスをご利用いただき、ありがとうございます。 営業DXサービス「Sansan」をご利用中のお客様のログイン情報を第三者が不正に入手しログインする事象が報告されております。なお、当社および当社サービスよりログイン情報は流出しておりません。 ログイン情報は、第三者に知られることがないよう適切に管理し、推測されやすいパスワードの設定は避けるようお願いします。 Sansanでは、不正ログインを回避するのに有効なワンタイムパスワードを利用した二要素認証機能をユーザーに無償提供しております。そのほか、利用ログによるお客様側でのアクセス状況の監視、IPアドレス制限によるアクセス元の制限といったセキュリティ機能の利用を引き続き促進してまいります。 お客様におかれましては、十分にお気を付けいただくとともに、ログイン情報を開示しないようお願い申し上げます。
2022年2月18日紙版発売 2022年2月18日電子版発売 B5判/192ページ 定価1,342円(本体1,220円+税10%) ただいま弊社在庫はございません。 Amazon 楽天ブックス ヨドバシ.com Fujisan(定期購読のみ) 電子版 Gihyo Digital Publishing Amazon Kindle 本書のサポートページサンプルファイルのダウンロードや正誤表など 第1特集 今さら聞けない暗号技術 セキュア通信を実現する公開鍵暗号のしくみ ネットワーク上の脅威の代表選手として「盗聴」「改ざん」「なりすまし」が挙げられます。これらのリスクを解消するために使われているのはどんな技術でしょうか。そう,暗号技術です。暗号技術は,情報の秘匿を目的とした機密性を実現する技術としてよく知られています。しかし,そのほかにも,データが正確であることを示す完全性や,対象データの証跡を
GitHub の REST API を使用する
GitHub の REST API でできることGitHub は Web API (REST API) を提供しており、コマンドラインや任意のアプリケーションから利用することで、GitHub の操作を自動化することができます。 Linux の curl コマンドや、スクリプト(Python や Ruby など)から簡単に利用できるので、Organization やリポジトリを管理する立場にある人はぜひ使ってみてください。 GitHub - REST API v3GitHub の REST API を使うと、例えば、下記のような処理を自動化できます。 Users指定したユーザの詳細情報を取得する二要素認証が設定できていないユーザのリストを取得するRepositories指定したオーナー(ユーザー or 組織)のリポジトリのリストを取得するOrganizations/Members指定した組織
GitHubは2022年9月21日(現地時間)、同社のブログで「Security alert: new phishing campaign targets GitHub users」を公開し、サイバーセキュリティ犯罪者が「CircleCI」になりすまして、ユーザーの認証情報や二要素認証(2FA: Two-Factor Authentication)コードを窃取するフィッシング詐欺キャンペーンを展開していたと伝えた。GitHubはこのサイバーセキュリティ攻撃の被害を受けていないが、GitHubを利用する多くの組織が影響を受けた。
ここは酷い電車は3往復だけですね
会津若松-喜多方間「非電力化」 磐越西線でJR東日本が計画:福島民友ニュース:福島民友新聞社 みんゆうNet https://www.minyu-net.com/news/news/FM20210804-644218.php なぜJR東は磐越西線で「電車運転」をやめるのか 過疎化する地方路線の未来に向けた試金石に(J-CASTニュース) - Yahoo!ニュース https://news.yahoo.co.jp/articles/db93beeaf576245bc717ffafbe42db2d3b3ef9f4?page=2 逆になんで電化してたんだって感じだけど会津若松に変電所を作ったから トンネルとかのない区間を格安で電化出来た、ということなんだろうな ついでに喜多方からの客を電車急行に取り込もうって発想だったんだろう 不思議なのが塩川以外の小駅で周辺人口に比べても利用者数が虚無だ 通過
スマートホームを実現するIoT機器は、利便性と同時にプライバシーやセキュリティのリスクをもたらしている。自宅に防犯カメラを設置する際に気をつけるべき8つの事柄について解説する。 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 かつては富裕層や有名人のものであった防犯カメラ。技術の進歩とともに、今や誰でも手に入れることができるようになった。IoT(Internet of Things)の出現は、大きな市場を生み出した。インターネットに接続できるインターフォンやベビーモニターなど、家全体を管理できるシステムを手掛けるベンダーが急成長している。自宅のWi-Fiネットワークに接続することで、防犯カメラを通じて、自宅内のライブ映像や録画映像を確認したり、外出時にアラートを受け取ったりすることも可能だ。 しかし、こ
Trustwaveは4月4日(米国時間)、「Rilide: A New Malicious Browser Extension for Stealing Cryptocurrencies|Trustwave」において、Webブラウザを標的とするマルウェアを発見したと伝えた。「Rilide」と名付けられたそのマルウェアは、Google Chrome、Microsoft Edge、Brave、OperaなどのChromiumベースのWebブラウザに影響を与える脅威と報告されている。 Rilide: A New Malicious Browser Extension for Stealing Cryptocurrencies|Trustwave Google Driveの正規の拡張機能を装う新種のマルウェアが配布されていることがわかった。Rilideに感染すると閲覧履歴の監視、スクリーンショット
サイバー攻撃における代表的な12の手法、関連する事例と対策を交えながら解説 | サイバーセキュリティ情報局
AIをはじめとしたテクノロジーの進化に伴い、サイバー攻撃はさらに巧妙化し、あらゆる企業・組織が狙われている。サイバー攻撃を防ぐには、その手法や仕組みを理解することが重要だ。この記事では、多くのサイバー攻撃のうち、代表的な12の手法と関連する事例、そして具体的な対策について解説する。 1. マルウェア攻撃 マルウェアとは「Malicious(悪意ある)」と「Software(ソフトウェア)」を組み合わせた造語で、悪意ある目的を果たすために作成されたプログラムやソフトウェア全般を指す。近年では、感染力の高いマルウェアである「Emotet」が大きな脅威として知られている。 マルウェア攻撃による被害事例 ・従業員のパソコンがEmotetに感染 2023年3月に発生した電池製造企業におけるケースでは、従業員のパソコンがEmotetに感染したことがきっかけとなった。個人情報を含むデータが外部に流出した
米Twitterは12月2日(現地時間)、ログインで設定する二要素認証で、iOSおよびAndroidのスマートフォンでも物理的なセキュリティキーを使えるようにしたと発表した。これまではPCにのみ対応していた。 セキュリティキーを使うには、まずショートメールまたは認証アプリを使った二要素認証の方法をオンにし、[セキュリティキー]→[始める]を選択してからセキュリティキーをポートに挿入する。2回目以降は、セキュリティキーを挿入するだけでログインできるようになる。 スマートフォンのポートは、最近のAndroidはほとんどがUSB Type-C、iPhoneはすべてLightningだ。PCでType-Aなどのセキュリティキーを使っていた場合は、アダプターを追加するか、それぞれのポートに対応するセキュリティキーを購入する必要がある。米Googleの「Titan」シリーズにはType-C対応製品があ
関連記事 Twitter、スマートフォンの二要素認証でも物理キーに対応 Twitterの公式モバイルアプリが、物理的なセキュリティキーによる二要素認証に対応した。AndroidでもiOS(iPhone)でも利用可能だ。 Google、認証端末「Titanセキュリティキー」のUSB-Cモデルを40ドルで発売へ Googleの二段階認証用ハードウェア「Titanセキュリティキー」に、USB Type-Cポートに差せるタイプが追加される。米国では10月15日に40ドルで発売だ。 「キーチェーン」の全パスワード盗まれる恐れ macOS Mojaveの未解決の脆弱性、研究者が報告 コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録された全パスワードを盗む様子を示した動画が公開された。 Facebookのアカウント認証、USB物理鍵が利用可能に 「Security Key」でログ
日々増え続けるセキュリティ対応 もう30年以上、IT業界に身を置いていいて、昔と比べて随分と変わってしまったなと思うのが、ITの開発や保守運用におけるセキュリティ対策、特にその労力の大きさです。 インターネットがまだ珍しかった昔は、そこそこ秘匿性の高いシステムであっても、ログインIDやパスワードの管理さえきちんとしておけば、大きな問題が起きませんでした。そして、そのための機能の実装や保守運用作業は、言ってみれば“おまけ”のようなものでした。 しかし今は違います。二要素認証や生体認証、OAuthなどログインだけでも考えなければいけないことが山のようにありますし、 通信経路や記憶装置の暗号化、クラウドサービスのセキュリティ、そして ソフトウェアの安全性など、昨今のシステム開発や保守運用では セキュリティ対策に要する労力がどんどんと増えています。今や本来の機能を実装するために必要な労力を上回るの
シンジです。クラウドサービスに必要な物は、インターネット・アカウント名・パスワードですが、アカウント名とパスワードが漏れたら確実に死ぬと考えて良いです。AWSも例外ではありませんが、AWSのサービスをうまく活用することで回避出来る部分もあります。今回はその設定方法と、設定することでのデメリットを書きます。 その1 多要素認証を設定せよ MFAとも言います。2要素認証とも言います。これには様々な方法があるのですが、オススメはiPod や iPhoneなどのスマホを使った方法です。認証用の専用アプリをダウンロードする必要があるのですが、シンジのオススメは2つ。 二要素認証(二段階認証)用無料アプリ「IIJ SmartKey」 http://www.iij.ad.jp/smartkey/ Google Authenticatorを App Store で https://itunes.apple
CSRF攻撃の仕組みと対策
脆弱性が蔓延し、絶えず増え続ける今日、ユーザーのセキュリティとプライバシーの保護は、これまで以上に重要視されています。脆弱性を見過ごせば、評価が失墜したり、高額な制裁金を科されたり、顧客や訪問者からの信頼を失ったりする可能性が高まります。 ウェブサイトやウェブアプリケーションは、常にマルウェアやスパムなどの攻撃の危険に晒されています。今回は、そんな攻撃の1つであるCSRF(クロスサイトリクエストフォージェリ)に焦点を当てます。CSRF攻撃は、気づかない間に発生する可能性があり、特に問題視されています。また悪意のある要求は正しい要求と区別が難しく、開発者やサイト運営者が発見しづらいというのも厄介です。 この記事で、CSRF攻撃の概要と仕組み、そして対策について学びましょう。 CSRF攻撃について動画での解説もご用意しています。 CSRF攻撃とは クロスサイトリクエストフォージェリは、略してC
cybozu.comセキュリティチェックシート
経済産業省 ガイドライン版 cybozu.com セキュリティチェックシート 更新日:2024年4月4日 実施有無 備考 1 情報セキュリティのための方針群 1 ○ 経営層に承認されたクラウドサービスに関するセキュリティの基本方針(https://www .cybozu.com/jp/terms/security.html)及び社内セキュリティに関する従業員が遵守す べき社内規程(情報セキュリティ規則等)を定めております。 当方針は、全従業員には、社内規程として周知し、クラウドサービス利用者には、当 社ホームページに公開しております。 ▼ISMS基本方針 https://www.cybozu.com/jp/terms/security.html 2 ○ 情報セキュリティマネジメントシステム(以下、「ISMS」)を構築し、情報セキュリティ保 全活動を効果的に推進するために、クラウドサービスに
令和3年度 勝手に解答速報(SC)会場 - にしのクエスト2
4月25日 一部解答を見直しました。 赤字は訂正箇所です・・・。 問題の意図をしっかりと汲み取れていない。 (解答の前提ができていない)部分が多かったです。 大変レベルが低くて申し訳ありませんでした。 (いつも以上に) by にしの 午後1 問1 設問1 (1)利点を具体的に30字 自社で二要素認証のシステムを運用する必要がない点。 (他社に認証を委ねることができる・・・ってことじゃ) (2)可用性の欠点を30字 既存のS会員が多要素認証を利用できない点。 可用性の問題だから間違い。 「TシステムがダウンしたらSもダメになる」だった。 (3)abc 解答群 アイウ (4)α あ〜こ え 設問2 (1)de 解答群 ウア (2)誰のアカウントか6字 アップロード:利用者 ダウンロード:攻撃者 (3)β γ あ〜こ いか 設問3 (1)記号で選べ エ (2)35字以内 改修後、新規会員登録した
NTT 東日本 - IPA 「シン・テレワークシステム」 - 画面撮影・キャプチャ防止のための電子透かし機能
トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申
攻撃者がクレジットカード情報を詐取しようとする一般的な方法と、それらから身を守る方法について解説する。 サイバー犯罪の闇市場は、年間数兆ドル(数百兆円)を継続して生み出している。警察や消費者の目をかいくぐり、ダークウェブでは大量の個人情報や、それを盗むためのハッキングツールが売買されてきた。これらのWebサイトでは、不正に取得された240億件ものユーザー名とパスワードが出回っていると考えられている。中でも人気が高いのは新規のクレジットカード情報で、なりすまし詐欺を働こうとする詐欺師らによって大量に購入されている。 PINコードとICチップ(EMVとも呼ばれる)を導入した国では、クレジットカード情報からカードを複製することは難しい。そのため、オンラインでのCNP(Card Not Present:非対面取引)が攻撃対象になる。詐欺師はオンラインで高級品を購入したり、場合によっては商品券を大量
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Mastodonアカウントの作成とフェディバースへの参加方法 | p2ptk[.]org
Discordサーバーを運営してみよう!|やまだ@Discord
PyPIが二要素認証を義務付け OSSのリポジトリへの攻撃が相次ぐ
一般利用者を狙う脅威: 2020年に注視すべき動向 | トレンドマイクロ セキュリティブログ
AppleによるiCloudの完全暗号化に電子フロンティア財団などから称賛の声、一方でFBIは懸念か
Dockerで構築するApache Guacamole - Qiita
楽天をターゲットにしたフィッシングサイト広告が乱立。二要素認証未対応も一因? | スラド セキュリティ
画像に隠れ、コナミコマンドのような機能を持つバックドアが急増
GitLabサーバの脆弱性、日本も149台に影響 - アップデートを
ランサムウェア攻撃を受けたKaseya、脆弱性を修正した「VSA」のアップデートをリリース
何かと話題の二段階認証をAuth0で実装してみた(SMS編) | DevelopersIO
インフレが進むアルゼンチンで仮想通貨のデジタルウォレットで自分の持つペソを保護する地元民が増加中
builderscon 2019-08-31(2日目) アウトラインメモ
想定外のパスワード変更やログイン履歴も監視 人の“不自然な振る舞い”を検知する、サイバーセキュリティ対策の最前線
ログイン情報の管理に関する注意喚起 | Sansan株式会社
Software Design 2022年3月号
GitHubユーザーを標的とした新たなフィッシング詐欺 認証情報と2FAコードを窃取する手法とは
防犯カメラを設置する前に気をつけたいこと
Google Drive拡張機能装う新種のマルウェア「Rilide」、危険な典型例
Twitter、スマートフォンの二要素認証でも物理キーに対応
Facebookのアカウント認証、スマートフォンでも物理キー利用可能に
契約にないセキュリティ関連作業は、保守運用事業者の責任か
AWSを使い始めたら絶対にやるべきセキュリティ対策 | iret.media
サイバー犯罪者がクレジットカード情報を詐取する5つの方法 | サイバーセキュリティ情報局