並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 427件

新着順 人気順

二要素認証の検索結果1 - 40 件 / 427件

  • Webサービス公開前のチェックリスト

    個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお

      Webサービス公開前のチェックリスト
    • NTT 東日本 - IPA 「シン・テレワークシステム」 - HTML5 版 Web クライアントの公開について

      NTT 東日本 - IPA 「シン・テレワークシステム」 Beta 7 および HTML5 版 Web クライアントの公開について トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ

        NTT 東日本 - IPA 「シン・テレワークシステム」 - HTML5 版 Web クライアントの公開について
      • 平成のうちにやめたかった『ITの7つの無意味な習慣』 - Qiita

        2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。 【7位】 2要素認証でない「2段階認証」 これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービ

          平成のうちにやめたかった『ITの7つの無意味な習慣』 - Qiita
        • NTT 東日本 - IPA 「シン・テレワークシステム」 - セキュリティ機能の大規模アップデートと実証実験の現状報告

          「シン・テレワークシステム」 セキュリティ機能の大規模アップデートと実証実験の現状報告について 2020 年 5 月 14 日 「シン・テレワークシステム」 開発チーム 昨日、2020 年 5 月 13 日をもちまして、「シン・テレワークシステム」のユーザー数が 2 万人を超えました。テレワークの効果等により、新型コロナウイルスの感染者数は減少していますが、まだ油断をすることはできません。この機会に、「シン・テレワークシステム」公開後 3 週間経過時の現況と、この大規模な実証実験のコスト効率と社会的効果について、お知らせをしたいと思います。 また、本日、「シン・テレワークシステム」を大規模な企業 LAN などのセキュリティ・ポリシーが制定されている環境向けや、行政情報システムなどの高いセキュリティ・レベルが必要とされているネットワーク向けで利用できる、多数のセキュリティ機能を実装した新バー

            NTT 東日本 - IPA 「シン・テレワークシステム」 - セキュリティ機能の大規模アップデートと実証実験の現状報告
          • 【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub

            「CEOに身代金を要求したい」 こんにちは、PSIRTマネージャのただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2021 18日目です。 freeeにjoinしてから早くも14ヶ月がすぎました。freeeでは毎年10月に全社障害訓練をしていて、昨年は入社したてで右も左もわからないままAWS上の本番環境(のレプリカ)に侵入してDBをぶっ壊す役目をさせられたのも良い思い出です*1。 で、上の「CEOに身代金を要求したい」という物騒な相談は、今年の訓練計画の話です。話を持ち掛けてきたのはCIOの土佐。昨年は主要サービスが落ちて、開発チームが対応にあたる中、ビジネスサイドも顧客対応などで訓練参加しましたが、今年はさらに、経営サイドまで巻き込もうというゴール設定がされたわけですね。腕が鳴ります。 ゴールは「CEOに4BTCを要求する」 ゴー

              【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
            • ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

              近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。 ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。 ガイドラインの内容 ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。 本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施する

                ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
              • Google、2年放置のアカウントを削除へ 悪用される危険があるため

                米Googleは5月16日(現地時間)、Googleアカウントが少なくとも2年間使用またはログインされていない場合、そのアカウントとそのコンテンツ(フォト、Gmail、ドキュメント、ドライブ、Meet、カレンダー、YouTube)を削除するようポリシーを改定したと発表した。ポリシーは同日発効だが、実際の削除はこの12月から開始する。まずは、作られたが全く使われたことのないアカウントから開始する計画だ。 9日にはイーロン・マスク氏がTwitterの休眠アカウントをパージ中だとツイートし、その目的はアカウント名の解放だとしていた。一方Googleは、放置アカウント削除の理由を、そうしたアカウントの多くには2要素認証などのセキュリティ対策が設定されておらず、その脆弱性がスパムなどに悪用される危険があるためと説明する。 削除の対象になるのは、個人のGoogleアカウントのみ。教育機関や企業などのア

                  Google、2年放置のアカウントを削除へ 悪用される危険があるため
                • 何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog

                  不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認

                    何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
                  • IPA情報セキュリティ10大脅威 知っておきたい用語や仕組み2023年5月.pdf

                    情報セキュリティ 10 大脅威 知っておきたい用語や仕組み 2023 年 5 月 目次 はじめに......................................................................................................................................................... 3 1 章. 理解は必須! ...................................................................................................................................... 5 1.1. 脆弱性(ぜいじゃくせい) .............................

                    • (ネット)署名という仕組みに否を突き付けている人が多くて困惑している - 発声練習

                      以下のツイートのブックマークコメントの多くに困惑している。少なくともネット署名、広ければ署名という仕組みに否をつきつけている人がこんなに多いとは。ネット署名や署名の仕組みや目的からして本人確認は無理でしょ。 本オープンレターへの賛同において他人の氏名を勝手に使用する悪戯があったと判断したため、該当の氏名を削除しました。このような悪戯に対して強く抗議します。賛同した覚えがないのにお名前が掲載されている方はレターに追記したメールアドレスまでご連絡ください。https://t.co/waQ53XObZK— KOMIYA Tomone (@frroots) 2022年1月19日 b.hatena.ne.jp 批判が多い「女性差別的な文化を脱するために」の賛同者に賛同した覚えがないのに名前が載っているので困っている人や不快感がある人がいるのはわかる。そして、その人は賛同者から名前を削除してほしいと希

                        (ネット)署名という仕組みに否を突き付けている人が多くて困惑している - 発声練習
                      • パスキーの基本とそれにまつわる誤解を解きほぐす

                        2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。

                          パスキーの基本とそれにまつわる誤解を解きほぐす
                        • KDDIの通話・通信障害メモ - show log @yuyarin

                          この記事は7/3午前中に記載したもので、まだKDDI社長の会見内容を反映していません。 今回のKDDIの障害が具体的にどういうサービスに影響が出るのものか、モバイルネットワーク初心者としてLTE/EPC/IMS周りの挙動の勉強のためにまとめてみた。 はじめにまとめ モバイルの通信には音声通話とデータ通信があり、今回主に長時間の障害を受けたのは音声通話(IMS)の方だった。 7/2(土)の日中帯はデータ通信はできるが音声通話やそれに付属するサービスが利用できない状態が継続していた。データ通信も不安定な状態になっていた。 端末の実装(主にAndroid端末)によっては音声通話ができないとデータ通信も止めてしまう挙動があった。これによりLTEを回線として使用しAndroidベースで構築された決済システムなどが利用不可能な状態が継続した。 音声通話(IMS)が利用できないと、通常の電話はもちろん、

                            KDDIの通話・通信障害メモ - show log @yuyarin
                          • 「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練

                            「アイティメディアの高橋と申します。今、Twitter上で、御社から顧客情報が漏えいしているのではないかという書き込みが複数流れているのですが、どういうことでしょうか?」──もし広報の窓口にこんな問い合わせが来たら、皆さんの会社ではどう対応するだろうか。クラウド型会計・人事サービスを提供するfreeeではこんな風に、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。 顧客・マスコミなど社外とのやりとりにもフォーカス freeeには2018年10月、会計処理の集中する月末に2時間半にわたってサービスが停止するという大障害を発生させてしまった苦い経験がある。その反省を踏まえ、記憶を風化させず、いざというときに適切な対処を迅速に取れるよう、全社にまたがる障害対応訓練を毎年10月に実施している。 21年の障害対応訓練は、今まさに猛威を振るうランサムウェアを題材にしたものだった。サプライチ

                              「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
                            • パスワード管理/MFA管理の戦略

                              自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用

                                パスワード管理/MFA管理の戦略
                              • なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog

                                SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万

                                  なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
                                • Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog

                                  2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの? 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ

                                    Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
                                  • 川島ofレジェンド(はんにゃ川島)さんがいじめのターゲットにされている、LoL日本鯖のあまりにもひどすぎる現状|バーチャル弁護士IMA

                                    ライアット・ゲームズが開発した、世界で最もプレイヤー数の多いPCゲーム、リーグ・オブ・レジェンド(League of Legends)で先日起こった事件に関する記事です。 世界で最も愛されているといっても過言ではないこのゲームですが、反面、このゲームはあまりにも深刻な問題を抱えています。 オートエイムやウォールハック等のチートに悩まされているFPSとは違って、このゲームはチートに関する問題はほとんどありません。せいぜいマクロくらいですがそれも極めて稀です。 LoLが抱えている大きな問題はプレイヤーのマナーです。 FPSでも、もちろんプレイヤーのマナーは問題になります。私はニンテンドー64のゴールデンアイ007からFPSをプレイするようになり、カウンターストライク、リターン・トゥ・キャッスル・ウルフェンシュタイン、バトルフィールド2など様々なFPSをプレイしてきました。 FPSでも暴言やTK

                                      川島ofレジェンド(はんにゃ川島)さんがいじめのターゲットにされている、LoL日本鯖のあまりにもひどすぎる現状|バーチャル弁護士IMA
                                    • Yahoo! JAPAN はパスワードレス認証で問い合わせを 25% 削減、ログイン時間も 2.6 倍速に

                                      Yahoo! JAPAN は日本にて検索やニュースといったメディアサービス、e コマース、メールサービスなど、100を超えるサービスを提供している企業です。これらのサービスで利用するためのユーザーアカウントも長年提供し続け、月間のログインユーザーは 5,000 万を超える規模となっています。しかし、このユーザーアカウントを提供する中で、ユーザーアカウントに対しての攻撃を継続的に受けており、また、アカウントを継続利用する上での課題についてユーザーから問い合わせも多く頂いていました。これらの課題の多くはパスワードという認証手段に依存するものでした。また、当時、技術的にもパスワード以外の認証手段を提供するための機能やデバイスの普及が始まりつつありました。こういった背景のもと、Yahoo! JAPAN はパスワードによる認証からパスワードレスな認証へ移行すると判断しました。 なぜパスワードレスか

                                        Yahoo! JAPAN はパスワードレス認証で問い合わせを 25% 削減、ログイン時間も 2.6 倍速に
                                      • 【レポート】楽天の大規模決済システムを支えるAWSアーキテクチャ #AWSSummit | DevelopersIO

                                        DA事業本部の春田です。 AWS Summit Online絶賛開催中!ということで、本記事では「CUS-65: ペイメントプラットフォームにおける AWS の活用」の内容についてまとめていきます。 セッション情報 楽天株式会社 グローバルテクノロジー統括部 國谷 彩 氏 AWS上でのPayment Platformシステムの歴史についてお伝えします。AWSへ移行してからこれまでの課題と解決方法について説明します。 ※セッション動画は以下リンク アジェンダ 楽天グループについて ペイメントプラットフォームについて ペイメントプラットフォームにおけるアマゾンウェブサービス(AWS)の歴史 楽天グループについて Eコマースのサービス「楽天市場」をはじめ、Fintech事業やエンターテイメント事業まで、さまざまなビジネスを展開 各サービスが楽天共通IDで繋がることで、サービスを跨いだグループシナ

                                          【レポート】楽天の大規模決済システムを支えるAWSアーキテクチャ #AWSSummit | DevelopersIO
                                        • スマホを壊してGoogle製二要素認証アプリのバックアップコードが生成不能になったという体験談、バックアップ方法はこれ

                                          ワンタイムパスワードを用いた二要素認証は、ウェブサービス利用時のセキュリティ向上に役立ちます。しかし、Google製ワンタイムパスワード発行アプリ「Google認証システム(Google Authenticator)」の利用者からは「スマートフォンを壊した結果、Google Authenticatorのバックアップコード再発行が不可能になった」という報告が寄せられています。 Tell HN: It is impossible to disable Google 2FA using backup codes | Hacker News https://news.ycombinator.com/item?id=34441697 Google Authenticatorは、各種ウェブサービスにログインするためのワンタイムパスワードを発行するアプリです。例えば、以下はDiscordにログインする際

                                            スマホを壊してGoogle製二要素認証アプリのバックアップコードが生成不能になったという体験談、バックアップ方法はこれ
                                          • 当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ

                                            株式会社ドワンゴ サイバー攻撃についてQ1.どこからどうやってどのようなウィルス・マルウェア・ランサムウェアの攻撃を受けたのかは判明しているのでしょうか。専門の調査機関にもご協力いただいての調査が必要になります。より正確な調査結果など、お知らせすべき新たな事実が判明いたしましたら随時ご報告いたします。 Q2.ランサムウェアというのは何でしょうか。警察庁の説明では、ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。 Q3.なぜランサムウェアだという発表を遅らせていたのでしょうか。ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差し控えておりました。 Q4.被害について確認中とのこと

                                              当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ
                                            • 「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”

                                              この数週間、複数の公的機関やセキュリティベンダーが2019年のサイバーセキュリティ動向のまとめを公表しました。その中でも驚かされたのが、ネットバンキングでの不正送金による被害の急増ぶりです。警察庁の発表によると、それ以前は横ばいだった不正送金被害が19年9月から急増して過去最悪の水準になっており、その多くはフィッシングメールによる偽サイトへの誘導によるものとみられています。 実はこの数年、ネットバンキングを狙ったサイバー犯罪による被害は横ばいか、やや減少傾向にありました。 確かに14~15年にかけては、金融機関の名前をかたったフィッシングメールを送り付け、ネットバンキングのパスワードを盗み取って不正送金を行う手口が横行し、年間で30億円を超える被害が発生したことがあります。 しかし、金融機関側が業界を挙げて対策に取り組み、二要素認証・二段階認証を取り入れたり、利用者への注意喚起に努めたりし

                                                「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”
                                              • ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か

                                                  ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か
                                                • 突撃!隣のリモート・オフィス環境 2022 - freee Developers Hub

                                                  freee 会計でエンジニアをやっている jaxx です。アドベントカレンダーも終盤ですね。freee Developers Advent Calendar 2022 の 20 日目の記事となります。 今回の記事では freee 会計に関わる人達のこだわりのリモート環境や、オフィス環境について共有していきたいと思います。 ガジェットは資産!な環境(jaxx) このエントリーを企画した jaxx です。デスクはスタンディングデスクに IKEA で買ってきた天板をつけています。子どもがいて比較的賑やかな環境で仕事しているのでダイナミックマイクを使っています。 気に入っているところ、こだわりポイント 自作 PC、自作キーボードが趣味です。自作キーボードは季節が変わると作りたくなってしまうので、去年いくつか整理して棚に飾ってます。 個人的にマウスは大きくて軽いやつが好きなので長いこと有線マウスを手

                                                    突撃!隣のリモート・オフィス環境 2022 - freee Developers Hub
                                                  • Gmailを捨ててProtonMailを選ぶ5つの理由

                                                    Gmailを捨ててProtonMailを選ぶ5つの理由2021.03.16 20:00211,745 David Nield - Gizmodo US [原文] ( たもり ) 動作が早くて無料なメールを使うならGoogle(グーグル)、Apple(アップル)もしくはMicrosoft(マイクロソフト)に頼らざるを得ないと思うかもしれませんが、そうとは限りません。大手テック企業から脱却したいと思っているなら、他の選択肢もあるんです。そのひとつがProtonMailです。 米Gizmodo編集部の多くはGmail派ですがProtonMailを使っている人もいて、あまり知られていないこのサービスに注目してみる価値はありそうだと考えました。ProtonMailは競合サービスのような完成度が欠けているかもしれませんが、メリットもいくつか存在します。 1. 高速で無料 Screenshot: Pro

                                                      Gmailを捨ててProtonMailを選ぶ5つの理由
                                                    • LINEヤフーへの不正アクセスについてまとめてみた - piyolog

                                                      2023年11月27日、LINEヤフーは同社のシステムが不正アクセスを受け外部にユーザー情報などが流出したと公表しました。その後も調査が継続して進められたところ、2024年2月14日には最終の調査報告として社外のサービス(ファイル共有やSlackなど)に対しても影響が認められたと公表しました。さらに今回の調査を通じて別の委託先2社を通じた不正アクセス事案も確認されたと同日に公表しました。ここでは関連する情報をまとめます。 社内外システムへ不正アクセス LINEヤフーが主体として管理運用するシステム(社内システム)と社内コミュニケーションに利用していた社外サービスシステムに影響が及んでいた。11/27公表を事案A、2/14公表を事案Bとして、具体名称が上がっているシステムは以下の通り。*1 旧ヤフー社側とはシステム基盤が異なることから、ヤフー側の情報への影響はない。また公表時点では流出可能性

                                                        LINEヤフーへの不正アクセスについてまとめてみた - piyolog
                                                      • Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した

                                                        症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント

                                                          Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
                                                        • 入金機能のサービス仕様および決済時ポイント還元率の一部変更について - Kyash お知らせ

                                                          いつもKyashをご利用いただき、ありがとうございます。 ‍ 2021年2月4日(木)以降、以下のサービスの提供・改定を実施いたします。 ・(2/4〜)銀行口座からの指定日自動入金をスタート ・(2/4〜)登録カードを使った指定金額入金機能の廃止 ・(2/4〜)ゆうちょ銀行との接続再開および住信SBIネット銀行との接続開始 ・(2/10〜)決済時のポイント還元率の一部変更 (2/4〜)銀行口座からの指定日自動入金をスタート2021年2月4日(木)より、毎月指定日に指定金額を銀行口座から自動入金することができるようになります。手数料は無料です。 毎月の給料日などに、その月に使う金額をまとめて入金することで、カテゴリーでお買い物の傾向をリアルタイムに確認しながら、使いすぎることなく、残高の範囲で計画的な支出を行うことができます。 Kyashが現在対応している銀行は以下の通りですが、いずれも銀行

                                                            入金機能のサービス仕様および決済時ポイント還元率の一部変更について - Kyash お知らせ
                                                          • SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン

                                                            セキュリティの甘かったSMSサービスLucky225さんはMediumで次のように説明しています。 2021年3月11日(木)のある時点まで、NetNumberは、あらゆる携帯電話番号のNNIDの再割り当てや乗っ取りを、認証も検証を行なわずに許可していました。 おそらく、この筆者やほかのジャーナリストから説明を求められたNetNumberは、内部調査を行ない、それが事実であることがわかると、一時的に携帯電話番号の乗っ取りをできなくして、最初から何の問題もなかったかのように偽装しようとしたのだと思われます。 (中略) 携帯電話番号の代わりにVoIP番号を使ってさまざまなサービスを利用している人たちが、今回の攻撃では脅威にさらされることになりました。 一方で、プライバシーを気にせずに本当の携帯電話番号でサービスを利用している人たちのほうがむしろ安全だったのです。 SMSを別の電話番号に転送する

                                                              SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
                                                            • credentialをSlackに書くな高校校歌 - freee Developers Hub

                                                              youtu.be こんにちは。freee 基盤チーム Advent Calendar 2023 12/6の記事は、PSIRTのWaTTsonがお届けします。セキュリティの仕事をやっている新卒2年目です。 freeeでは会計や人事労務といった領域のプロダクトを提供していて、顧客となる企業の財務情報や給与情報のような、非常に機微な情報を扱うことがあります。このため、情報セキュリティには特に気をつけて対策をとる必要があります。 freeeのセキュリティに関する施策方針については、セキュリティホワイトペーパーにまとめて公開しています。この中で、データの取り扱いについては「セキュリティレベル」を定めてそれに応じた保護策をとる旨が記載されています。 データの取り扱いとセキュリティレベル プロダクトを作る際、機微な情報は適当に定めた信頼境界から外に出さないように運用して、情報漏洩などの被害が起きないよう

                                                                credentialをSlackに書くな高校校歌 - freee Developers Hub
                                                              • サーバーセキュリティ構成の話 - Chienomi

                                                                序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ

                                                                • 社内のソースコードをGitHub Enterprise にとりまとめてる話 - NTT Communications Engineers' Blog

                                                                  みなさんこんにちは、社内のエンジニアが働きやすくすることを目標にする Engineer Empowerment プロジェクトの @Mahito です。 この記事は、NTT Communications Advent Calendar 2021 2日目の記事です。 今回は社内のソースコードを GitHub Enterprise にとりまとめる活動とそこで遭遇した課題と解決方法についてお話します。 背景 きっかけは「NeWork のソースコードが見たい」という私の思いつきでした。 これを私が言い出した 2020 年当時、NTT Com ではソースコード管理の方法に決まりはなく、各プロジェクトの判断でバラバラにソースコードリポジトリが導入されていました。ちなみに、私が社内で見かけただけでもソースコードのホスティング先には以下のようなものがありました。 GitHub (Team plan) Git

                                                                    社内のソースコードをGitHub Enterprise にとりまとめてる話 - NTT Communications Engineers' Blog
                                                                  • Auth0にPassKeyが搭載されたぞ!!!

                                                                    はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい

                                                                      Auth0にPassKeyが搭載されたぞ!!!
                                                                    • Blueskyの開発者に「鍵アカウントの実装予定は?」「日本支社の設立予定は?」など何でも聞けるイベントが開催されたので行ってみたら開発者の「やることリスト」に追加されるアイデアが続々飛び出す充実のイベントでした

                                                                      Bluesky開発チームに直接質問できるイベント「Bluesky Meetup in Osaka Vol.2」が2024年4月14日(日)に大阪で開催されました。イベントにはBluesky開発チームのテクニカルアドバイザーを務めるWhy氏が登壇し、ユーザーからの「こんな機能の実装予定はある?」「日本支社の設立予定は?」といった多様な質問に答えてくれました。 Bluesky meetup in Osaka Vol.2 - connpass https://428lab.connpass.com/event/313710/ ・目次 ◆1:会場はこんな感じ ◆2:Bluesky Meetup in Tokyo Vol.2のおさらい ◆3:Why氏との質疑応答 ◆4:Why氏への直撃インタビューもあり ◆1:会場はこんな感じ Bluesky MeetupはBluesky開発チームにリアルタイムで質

                                                                        Blueskyの開発者に「鍵アカウントの実装予定は?」「日本支社の設立予定は?」など何でも聞けるイベントが開催されたので行ってみたら開発者の「やることリスト」に追加されるアイデアが続々飛び出す充実のイベントでした
                                                                      • パスワードのない世界に向けて ~TechFeed Conference 2022講演より | gihyo.jp

                                                                        本記事は、2022年5月に開催されたTechFeed Conference 2022のセッション書き起こし記事「パスワードのない世界に向けて(えーじ⁠)⁠ — TechFeed Conference 2022講演より」を転載したものです。オリジナルはTechFeedをご覧ください。 皆さんこんにちは。えーじです。今日は「パスワードのない世界に向けて」というお話をしたいと思います。 パスワードだけでは守りきれない世の中に 皆さんご存知のように、今多くのWebサイトはパスワードを使ったログインが主流です。 しかし、どんなに堅牢なシステムでも、ユーザーさんが弱いパスワードを作ってしまったり、同じパスワードを複数サイトで使い回してしまったり、フィッシングに引っかかってしまえばアカウントは乗っ取られてしまいます。 近年フィッシングが急増していることからもわかるように、パスワードだけのシステムでは守り

                                                                          パスワードのない世界に向けて ~TechFeed Conference 2022講演より | gihyo.jp
                                                                        • NTT 東日本 - IPA 「シン・テレワークシステム」 新型コロナウイルス対策用 テレワークシステム 緊急構築・無償開放・配布ページ

                                                                          NTT 東日本 - IPA 「シン・テレワークシステム」   Web サイトへようこそ トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ | 掲示板 (ユーザーサポートフォーラム)

                                                                          • 二要素認証(TOTP)のトークンをどこに保存するか問題 - @kyanny's blog

                                                                            2 要素認証に 1Password を使うのはよく考えてから | はったりエンジニアの備忘録 AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita TOTP のトークンを 1Password に保存するのはセキュリティ強度を弱めるので良くない、という話は知ってたので避けてたのだけど、ちょっとよくわからなくなってきた。 Windows(具体的には社有のSurface Pro)上の1passwordとiPhone上の1passwordの両方でMFAの二段階目をクリアできたということは、もうこの2段階目は特定のデバイスを持っていることに依存しないということだ。僕のIDで他のデバイスに1passwordをインストールすることができれば、さらにそのデバイスでも2段階目をクリアできる。「AWSのパスワード」と「特定のスマホ(デバイス)」ではなく、「AWSのパスワー

                                                                              二要素認証(TOTP)のトークンをどこに保存するか問題 - @kyanny's blog
                                                                            • パスキーとは何か、そしてその課題

                                                                              パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ

                                                                                パスキーとは何か、そしてその課題
                                                                              • GitHub、すべての開発者に二要素認証の要求開始、来週月曜日から1年かけて展開

                                                                                ただし、いきなりすべての開発者に対して要求するのではなく、来週月曜日(3月13日)から一部の開発者に対して開始し、1年をかけてすべての開発者へ展開していく予定とのことです。 二要素認証の要求は、オープンソースに対して厳密なセキュリティの要求が高まっていることが背景にあります。二要素認証によって、コードを投稿する開発者のなりすましなどを防ぎ、オープンソースに不正なコードが入り込むまないようにする効果が期待されます。 参考:オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに 二要素認証の要求は昨年12月に予告されており、今回それが実行されることになります。 SMS、TOTP、セキュリティキーなどが利用可能に 二要素認証の方式として、SMS、TOTP(認証アプリによるTimebase One Time Pas

                                                                                  GitHub、すべての開発者に二要素認証の要求開始、来週月曜日から1年かけて展開
                                                                                • 中国発の越境オンライン通販「Temu」の安全な使い方

                                                                                  ESETは2024年1月17日(現地時間)、「Is Temu safe? What to know before you ‘shop like a billionaire’」において、オンラインマーケットプレイス「Temu」を取り巻く問題点を取り上げ、Temuを利用する際の注意点を伝えた。Temuは中国の拼多多(Pinduoduo Inc.)を親会社とする越境オンライン通販サイトおよびアプリで、主に中国企業の製品を低価格で直接購入することができる。 Is Temu safe? What to know before you ‘shop like a billionaire’ Temuの問題点 ESETによると、Temuの顧客レビューは評価が低く、星による評価では2.5以下だという。批判的なレビューでは、スパムメッセージ、返金の難しさ、商品の質の低さ、商品が届かないといった問題点が指摘されて

                                                                                    中国発の越境オンライン通販「Temu」の安全な使い方