Binary Authorization 信頼できるコンテナのみを Kubernetes Engine にデプロイ。 Binary Authorization は、Google Kubernetes Engine(GKE)に信頼できるコンテナ イメージのみがデプロイされることを保証するデプロイ時のセキュリティ管理サービスです。Binary Authorization を使用すると、開発プロセス時に、信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証する過程を導入できます。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに統合されるため、コンテナの環境をより厳密に制御できます。 <機能> ポリシーの作成 ポリシーの検証と適用 Cloud Security Command Center の統合 監査ログ Cloud KMS
![[GCP] GCPサービスを勝手にまとめてみた(セキュリティ編) - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/5f720c3b5b0f0d56f60aa6c407b53deeb251dff5/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZ0eHQ9JTVCR0NQJTVEJTIwR0NQJUUzJTgyJUI1JUUzJTgzJUJDJUUzJTgzJTkzJUUzJTgyJUI5JUUzJTgyJTkyJUU1JThCJTlEJUU2JTg5JThCJUUzJTgxJUFCJUUzJTgxJUJFJUUzJTgxJUE4JUUzJTgyJTgxJUUzJTgxJUE2JUUzJTgxJUJGJUUzJTgxJTlGJTI4JUUzJTgyJUJCJUUzJTgyJUFEJUUzJTgzJUE1JUUzJTgzJUFBJUUzJTgzJTg2JUUzJTgyJUEzJUU3JUI3JUE4JTI5JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1hOWRmZDc3NTY1N2VhM2VlYjY5ZjRmMzM3NjVmZTgzNw%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwcmlzYTAzMjAmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPWZhMjA1YjhiYzdmZDI4ZWQxMTAzOTQxY2FhOTdhOGNm%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D33fd281ebf20cb864cb33b5d20d538af)
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
SlackやZoomは学生や教職員間のコミュニケーションに活用。学生が、一般企業でよく使われるITツールに慣れやすいようにするという。今回導入したシステムは大学の学生・教職員に加え、中学部や高等部の教員も利用する。各ツールの導入は日商エレクトロニクスや三井情報といったシステム開発事業者が支援した。 関連記事 新入生にiPad配布へ 名古屋文理大情報メディア学科 名古屋文理大学は、情報メディア学科に来春入学する新入生全員にiPadを無償配布すると発表した。iPadを学生に無償配布する大学は国内初という。 近畿大、全学生に「Slack」導入へ 絵文字もOK、教職員と気軽にやりとり目指す 近畿大学が、全学生に「Slack」を導入する計画を発表。2020年4月に830人の学生へ導入。対象範囲を順次広げていく。 近畿大、全教員が「Slack」利用へ “お堅い”やりとりなくす 近畿大学が、全教員向けに
Microsoft Authenticator の MFA 疲労攻撃対策 - 数値の一致による MFA が 有効化されます
こんにちは。Azure Identity サポート チームの栗井です。 Microsoft Identity Security のディレクター Alex Weinert によって、昨今脅威が指摘されている MFA 疲労攻撃と、対策としての Microsoft Authenticator の強化機能についての下記ブログ記事が公開されました。 Defend your users from MFA fatigue attacks - Microsoft Tech Community 上記記事に記載の一部内容と、私共日本側のサポート チーム宛にお客様からお問い合わせいただく内容等をふまえ、本記事を執筆しました。 Note 下記でご紹介する機能のうち「プッシュ通知に番号の一致が必要」の機能は、2023 年の 5 月 8 日以降、すべてのユーザーに自動で有効化することを予定しています。(元々 2023
こんなセキュリティの間違いをしていませんか?認証システム開発で得た教訓 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 1日目の記事です。 はじめに こんにちは、イノベーションセンターの平木と申します。 11月1日にNA4Secプロジェクト1のチームにセキュリティエンジニアとしてjoinしまして、急遽、エンジニアブログに投稿させていただくことになりました。 今日ご紹介したいのは、前職(NTT Comの他部門)のセキュリティ機器の導入プロジェクトの話で、その中で私が遭遇した「嘘のような本当の話!?」をご紹介し、そこで得た学びをお伝えしたいと思います。 開発プロジェクトの概要 とある事件をきっかけに全社的にセキュリティ意識が今まで以上に高まって、より適切に権限をコントロールすべく、認可認証の仕組みが導入されることが決まりました。我々のチームでは、サーバネットワーク基盤を用意し、認証アプリを導入し、運用を確立することがミ
請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID
「@spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』」に付け加えたかったこと。仮説(169) - Qiita
「@spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』」に付け加えたかったこと。仮説(169)改善無駄小川メソッドDoCAPCountdownCalendar2022 @spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』 拝見して、いろいろ調べないといけないことを思いつきました。それよりもっと仕事で無駄なこといっぱいあるような気もして書き始めました。 私は通信が専門のはずです。穴(tunnel)を掘る方が専門です。穴を埋める技術(security)については詳しくありません。間違っていたらごめんなさい。 お正月休みにIEEE Ethernet規格(英文:個人利用無料)を読もう。1日1000ページ目標。:英語(48) 『ITの7つの無意味な習慣』は、よく理解していないかもしれません。掘り下げる努力をし始めます。 【7位】 2要素認証でない「2段階認証」 『「二
Googleが開催中の新製品発表会「Made by Google ‘19」の中で、Chrome OS搭載の新型Chromebook「Pixelbook Go」を発表しました。価格は649ドル(約7万円)からです。 An ultra-thin, lightweight laptop that's made to move | Pixelbook Go - YouTube 続いて登場したのは…… 新型ChromebookのPixelbook Go。 ボディカラーは3色。 Pixelbook Goのデザインやカラーがよくわかるムービーも公開されています。 A Thin and Lightweight Laptop with a Distinctive Style | Pixelbook Go - YouTube 握りやすいように、本体底面には溝がついています。金属仕上げのボディはアルミニウムより
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 OktaのCEO兼共同設立者であるトッド・マッキノン氏は、2023年11月29日(現地時間、以下同)に実施された同社の第3四半期の決算説明会で、すぐに要点に入り、以下のように述べた。 「同年9月下旬に発生したサイバー攻撃は、誰にとっても最大の関心事だ。リスクは高いが、現在および将来の顧客を守るために必要なことは何でもする」 一連のサイバー攻撃による情報漏えい 決算説明会でOktaが示した4つの要点 今回のサイバー攻撃は、2023年に発生した一連のセキュリティインシデントの最新の例だ。夏には著名な顧客の環境に対する攻撃が相次ぎ(注1)(注2)、第三者のベンダーに対する攻撃では、Oktaの現従業員および元従業員約5000人分の健
Amplify Flutter の一般提供が開始されました。美しいクロスプラットフォームアプリを構築しましょう | Amazon Web Services
Amazon Web Services ブログ Amplify Flutter の一般提供が開始されました。美しいクロスプラットフォームアプリを構築しましょう AWS Amplify は、セキュアでスケーラブルなモバイルアプリケーションとウェブアプリケーションを構築するためのツールとサービスのセットです。現在 iOS、Android、JavaScript (ウェブおよび React Native) をサポートしている Amplify は、アマゾン ウェブ サービス (AWS) を活用するアプリケーションを構築するための最も高速で簡単な方法です。 Flutter は、ネイティブにコンパイルされたモバイル、ウェブ、およびデスクトップアプリケーションを単一のコードベースから構築するための Google の UI ツールキットで、最も急速に成長しているモバイルフレームワークの 1 つです。 AWS
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
English お知らせ 2021年12月9日 富士通株式会社 プロジェクト情報共有ツールへの不正アクセスについて(第四報) 当社プロジェクト情報共有ツールProjectWEBへの不正アクセス(以下、本事案)および、ProjectWEBを停止したことにより、お客様をはじめ関係者の皆様には多大なるご心配、ご迷惑をお掛けし、また、本事案の調査過程において被害範囲の把握に時間がかかり、それを踏まえた対策の実施に時間を要していることを、深くお詫び申しあげます。 当社では、本事案の調査において判明した「不正アクセス防止対策」、「ログの収集、管理方法」、「情報管理」等の問題を受け、本年10月1日付にて専任のCISOを任命し、新たな情報セキュリティ体制の下で再発防止策を策定しております。今般、当社が検討を進めておりました、ゼロトラストに沿った情報セキュリティ対策が実装される等、本事案の課題も踏まえた新た
パスワードレス認証を採用するコンシューマー向けサービスが増えてきたが、まだパスワードから離れられないのが現状だ。ある調査から、最近の「パスワード破り」の手口が見えてきた。 ネットサービスのログイン時に求められるパスワードの入力。パスワードの設定は適度な長さと推測されにくいものを、というのが定石だ。 サービスごとにいちいちパスワードを変更するのも面倒なため、同じパスワードを使い回している人も少なくないだろう(セキュリティ対策上は避けるよう勧告されている)。ただ、1つのサービスでパスワードが流出すると、一気に他のサービスのアカウントも乗っ取られる恐れがある。 悪意あるハッカーたちは、いつでもユーザーのパスワードを手ぐすね引いて狙っている。あるものを活用することで、ハッシュ値化されたパスワードでも容易に解析されてしまう恐れがあるという。 サイバーセキュリティ企業であるHive Systemは20
Firebase Summit 2022 まとめ
Firebase Summitとは Firebase Summitとは、Googleがモバイル(スマホアプリ、ゲームやWebサービス)開発者向けに提供している「Firebase」と呼ぶサービスの新機能やアップデート内容の発表のために年に一度開催される大きな発表会です。2022年はニューヨークからの生放送です。 当記事では、Summitの内容を翻訳し、関連する情報とともに提供するものです。筆者による雑翻訳ですので正確では無い部分も含まれております点を予めご了承ください。 参照元 この記事の大まかな内容はYoutubeのFirebase公式チャンネルにアップロードされている「Firebase Summit 2022 | Livestream」のアーカイブ、Firebase公式ブログ「What’s new at Firebase Summit 2022」を元にしています。 Firebase Ho
Microsoftのソースコードがハッカー集団「LAPSUS$」に盗まれ37GB分がネット上へ流出、Microsoftもハッキング被害を認める
2022年3月初旬に大手半導体メーカーのNVIDIAと家電メーカーのSamsungをハッキングし、機密情報を盗み出したことで一躍有名になったハッキンググループが「LAPSUS$」です。そのLAPSUS$が新たにMicrosoftをハッキングしたと主張していたのですが、これに続く形でMicrosoftが独自の調査結果を発表し、LAPSUS$によるハッキングの詳細を明かしました。 DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations
米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。 複数の認証要素で安全性を高めたはずが 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。 そこでメールなどのクラウドサービスを利用する企業の一部は、多
ChatGPTのセキュリティへの影響 | Cloud Security Alliance Japan
© Copyright 2023, Cloud Security Alliance.All rights reserved. 1 Acknowledgements Authors: Kurt Seifried Sean Heide Bogdan Filip Vishwa Manral Lars Ruddigkeit Walter Dula Eric E. Cohen Billy Toney Supro Ghose Marina Bregkou Additional Staff: Stephen Lumpe (Cover illustration, with assistance from Midjourney) This is a Release Candidate version and is subject to change. © 2023 Cloud Security Allian
こんにちは、freee CSIRT専属engineerのEiji Sugiuraです。早いものでfreeeにjoinしてから、2年が経ちました。忘年会シーズンを前にしてγGTPが20を切ったので、これは酒を飲めと言う神様の思し召しだと感謝しています。 今回は、Zero Trust Networkを、既存のシステムにどうやって適用していくかを考えてみたいと思います。 この記事は freee Developers Advent Calendar 2019 の 5日目の記事です。 adventar.org Zero Trust Networkは、Forrester Research社が提唱したシステムのセキュリティを考える上での概念です。「境界防御を超えて」といった修飾子が付いてたりしますね。 Forrester 2011−08のreport、Zero Trustという言葉がtitleに初めて入
こんにちは、Azure Identity サポート チームの 五十嵐 です。 本記事は、2023 年 4 月 3 日に米国の Azure Active Directory Identity Blog で公開された Quick Wins to Strengthen Your Azure AD Security を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 どの組織も、インフラの安全性と信頼性を高めるために、攻撃の対象範囲を縮小するべく取り組んでいらっしゃると存じます。 Microsoft Global Compromise Recovery Security Practice (CRSP) のチーム メンバーとして、セキュリティの態勢を改善し、侵入を平均よりも難しくすることで、低スキルの攻撃者がすぐに攻撃を諦めて次のターゲットに移る事例をこれま
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
YouTubeの非公開動画をGoogle従業員が閲覧 任天堂のゲームがリークされた経緯、海外メディアが報じる
YouTubeに非公開でアップした情報がリークされる――2017年に発生した任天堂「ヨッシークラフトワールド」の米Redditへのリーク投稿に関して、YouTubeで働いていたGoogleのTVC従業員(TVC:臨時・出向・契約社員を指す略称)が関与していたことが、Googleの社内文書から判明したという。米404 Mediaが報じた。 このリークは、ゲーム展示会「E3」で、任天堂が2017年に発表予定だった「ヨッシークラフトワールド」(2019年公開)の情報が、E3よりも前にRedditに投稿されたというもの。リーク画像には「Yoshi for Nintendo Switch - Official Game Trailer - Nintendo E3 2017」という動画のサムネイルがMacBookの画面に写っており、アドレスバーにはYouTubeの管理用URLが表示されていたという。
「Azure AD」がオンプレミスのActive Directory(AD)より魅力的な3つの理由
関連キーワード Microsoft Azure | Office 365 | Active Directory 前編「『Active Directory』(AD)と『Azure AD』の違い クラウド版だけの機能とは」に続き、MicrosoftのID・アクセス管理システムである「Active Directory」(AD)と、ADのクラウドサービス版である「Azure Active Directory」(Azure AD)の違いを紹介する。今回は特に、Azure ADのメリットが際立つ3つのポイントを紹介しよう。 ポイント1.シングルサインオン(SSO)の実装 併せて読みたいお薦め記事 「Microsoft 365」のセキュリティ対策 「Microsoft 365」で多要素認証(MFA)を利用するMicrosoft推奨の方法とは? 「Microsoft 365」のパスワード同期に潜む“意外な
ゼロトラスト移⾏のすゝめ
i ゼロトラスト移⾏のすゝめ 2022 年 6 ⽉ 独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター 中核⼈材育成プログラム 5期⽣ ゼロトラストプロジェクト ICSCoE TLP:WHITE i まえがき ゼロトラストは、これまでの「境界内部は信頼できる領域で、境界外部は信⽤できな い領域である」という考え⽅ではなく、 「たとえ境界内部であっても無条件に信⽤せず 全てにおいて確認し認証・認可を⾏う」という考え⽅に基づいて社内の情報資産を守 る概念である。この概念は 2010 年ごろから提唱されていたが、近年の新型コロナウ ィルス感染症(COVID-19)の蔓延によるテレワークの普及や、DX 推進に伴うクラウド サービス利⽤の急増などにより、社内の情報資産が境界の内側に留まらず、境界の外 側の資産も守らなければならない現状から更に注⽬が⾼まっている。 ゼロトラストの概念につい
富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。 日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。 ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、
米マイクロソフトは7月中旬、大規模なフィッシング攻撃が展開されているとして注意を呼びかけた。対象は業務用クラウドソフト「Microsoft 365(旧称Office 365)」を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。この攻撃の特徴は、大規模なことに加えて多要素認証(MFA)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウ
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
公開日 : 2022年10月17日 カテゴリー : ユーザビリティ / アクセシビリティ 各種サービスへのログイン、インターネットバンキングなどの取引実行前の本人確認、といったシチュエーションで、多要素認証としてワンタイムパスワード (†) の入力が求められることが珍しくなくなってきました。従来の認証方法であるユーザー ID とパスワードの組み合わせに加えて、都度、動的に生成される一定の桁数の数字の並びをユーザーに入力させることで、セキュリティをより強固なものにしています。 † ワンタイムパスコード、確認コード、認証コード、などと呼ばれることもあります。 ところで、このワンタイムパスワードの入力欄の実装には、<input type="password"> が用いられているケースを時折見かけます (個人的な感覚としては、インターネットバンキングでこのような実装が比較的多く見られる印象です)。
昨今YouTubeにおいて、Adobe製品などの有償ソフトウェアのクラック版やゲームのチートツールに偽装して、情報窃取型のマルウェアに感染させるキャンペーンが観測されています。この攻撃者グループは、ITリテラシーの低いユーザを主に狙っており、Lumma Stealer等の情報窃取型マルウェアに感染させて認証情報などを窃取しようとします。 また、攻撃者グループは、YouTubeアカウントを大量に侵害していると考えられ、マルウェア感染へ誘導するための動画を日々投稿しています。これまでに日本企業のチャンネルや外国の国営放送のチャンネルが乗っ取り被害を受けており、チャンネルを運用する組織の立場からも、レピュテーションリスクなどの観点で見過ごせない脅威といえます。 本稿では、上記の攻撃内容や被害事例を紹介し、当該脅威に対処するための対策事項を示します。 攻撃の概要 YouTubeの動画から誘導されて
NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外
Cisco Talos Intelligence Groupは8月10日(米国時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber attack on Cisco」において、2022年5月24日に同社がサイバー攻撃を受けたと伝えた。調査の結果、従業員の個人的なGoogleアカウントがサイバー犯罪者に悪用されたことから、攻撃が始まったことがわかったと報告している。 Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber
Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中(PHILE WEB) - Yahoo!ニュース
ネットワーク企業Lumen Technologiesのサイバーセキュリティ部門Black Lotus Labsが、WindowsやLinux、FreeBSDなどのエンタープライズサーバーから、SOHO向けのネットワーク機器まで、広範なデバイスを標的にするマルウェア「Chaos」を発見したと発表した。 画像:マルウェア「Chaos」が広がっている国々 この悪質なソフトウェアはLinuxボットネット「Kaiji」をベースとした機能を含んでおり、その亜種とも見られている。またGo言語で書かれたソースコードには中国語が含まれており、中国のC2(C&C:Command & Control)インフラによって操作されているとのこと。 Chaosは、遅くとも4月16日ごろには出現し、当初はコントロール・サーバーの最初のクラスタが野放し状態で活動していたようだ。その後、6月から7月中旬になると、研究者らはこ
パスワード管理「LastPass」で顧客データの盗難 手口に使われた“2段階攻撃”とは? 弱点はエンジニアの自宅PC
パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。 攻撃者はまず、盗んだ情報や外部から入手した情報を悪用し、エンジニアの自宅PCを侵害して入手したパスワードで多要素認証を突破。これを踏み台としてLastPassに2段階目の攻撃を仕掛けて暗号化されたクラウドストレージに侵入し、顧客データを盗み出していた。 同社のブログによると、最初の攻撃が発覚したのは22年8月だった。社内の開発環境で異常な挙動を検出。調査した結果、開発者のアカウントが侵害されており、開発環境に不正アクセスされ、ソースコードや技術情報が盗まれていたことが分かった。 翌月には、米大手セキュリティ企業Mandiantの協力を得て8月の事案に関する調査を完了したと説明。不正アクセスされた開発環境は、本番環境とは
クラウドソフトウェアの認証やセキュリティに関するさまざまなソフトウェア開発を行うOryは2023年7月13日、同社が開発するオープンソースのユーザ認証、管理システムであるOry Kratosのv1.0.0をリリースした。 Ory Kratos https://github.com/ory/kratos Ory KratosはAPIベースのID/ユーザ管理システム。セルフサービスのログインと登録、多要素認証(MFA/2FA)、アカウント検証、アカウント回復など、ほとんどすべてのアプリケーションが対応する必要のある一般的な機能が実装されている。APIのみのヘッドレスであるため、開発者が自分でUIを構築する必要がある。またデータベース以外の外部依存関係がなく、さまざまなクラウド環境でのデプロイと拡張が簡単に行えるのが特徴。ほとんどのOS上でビルドできるほか、Linux、macOS、Windo
PCやスマートフォンからウェブサービスにログインする時に、個人を証明するための方法としてIDとパスワードを入力するのが一般的です。しかし、ただの文字列を入力するだけである従来のパスワード方式は、流出したり総当たり攻撃で解析されたりとセキュリティリスクが高く、近年は生体認証や物理セキュリティキーを使ったパスワードレスの認証方式が登場しています。それでもパスワードレスへの移行は、遅々として進んでいません。 Why the password isn’t dead quite yet | Ars Technica https://arstechnica.com/information-technology/2021/07/why-the-password-isnt-dead-quite-yet/ パスワード入力は、セキュリティ上で大きな懸念になることは間違いありません。パスワードの作成や管理は非常
[アップデート] AWS Cloud9 がまた少し便利になりました (CloudWatch Logs、S3、インスタンスプロファイル) | DevelopersIO
コンバンハ、千葉(幸)です。 AWS Cloud9 で新たな機能が使用できるようになりました。 3 つ……ないし 2 つの機能が増えています。(どちらなんだ。) 何ができるようになったか 冒頭のブログを確認すると、以下のように説明されています。 AWS Cloud9 introduces 3 new features, including support for CloudWatch Logs, S3 and EC2 instance profiles. Cloud9 users can now list their log groups and view log streams instantly without leaving their IDE. In addition, the S3 integration has improved performance in VPCs and
![[アップデート] AWS Cloud9 がまた少し便利になりました (CloudWatch Logs、S3、インスタンスプロファイル) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/800913af626da87d98d328099e75aa33be2f1ad1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-cloud9.png)
パスワードだけでは危ないとして、2要素認証を導入する企業が次第に増えている。代表的な2要素認証の1つは、パスワードとワンタイムパスワードを使う方法だ。だが、ワンタイムパスワードを高確率で破れるとするサービスが出現している。一体、どんなサービスなのだろうか。 知識情報と所持情報の組み合わせ パスワードだけのユーザー認証では容易に破られてしまうとして、認証時に複数の情報(認証要素)を使う多要素認証が推奨されている。2つの認証要素を使う多要素認証は2要素認証と呼ばれる。 2要素認証としては、パスワードとワンタイムパスワードを使う方法がよく採用されている。あるサービスにログインしたいユーザーは、ユーザーIDとパスワードを入力する。 するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がサービスからSMSなどで送られる。このワンタイムパスワードを入力すると
2022年9月の、これだけは押さえておきたいWeb関連の動き
「Web系の最新情報を知りたいけど、日々業務が忙しくて追いかけられない」という方のために、1ヶ月のWeb系ニュースの中で「これだけは押さえておきたい」というものを1つの記事にまとめています。 デザイン AdobeのFigma買収とAdobe XDのこれから 9月の大きなニュースは、やはりAdobeによるFigma買収だと思います。このブログでも記事にしています。 関連: Adobe、Figmaを約2.9兆円で買収へ デザインコラボツール大手 フォトショップの作業が楽になる、覚えておきたい小技テクニック18選 とても有益ですが、レイヤーの複製はoption+ドラッグではなくcommand+Jの方が速いと思います。 ちょうどいいWebデザインギャラリー そのWebサイトのいいところが言語化されているギャラリーサイトです。 Screen Sizes iPhone・iPadなどのスクリーンサイズま
AWS Amplify が効果を発揮する Next.js の 5 つの機能 | Amazon Web Services
Amazon Web Services ブログ AWS Amplify が効果を発揮する Next.js の 5 つの機能 Next.js は、React アプリのサーバーサイドレンダリングと静的サイト生成を可能にする、人気の React フレームワークです。フロントエンドの Web およびモバイル開発者が AWS 上で迅速かつ容易にフルスタックアプリケーションを構築できるようにする目的で構築されたツールおよび機能のセットである AWS Amplify と組み合わせると、開発者は本当に強力なアプリを構築することができます。 本記事では AWS Amplify が効果を発揮する Next.js の 5 つの機能を紹介します。 1. データフェッチと API Next.js は静的サイト生成(SSG)、サーバーサイドレンダリング(SSR)、クライアントサイドレンダリング(CSR)、インクリメン
2016年のアメリカ大統領選挙では、民主党候補だったヒラリー・クリントン氏の選挙対策責任者を担当したジョン・ポデスタ氏のメールが流出するなどのサイバー攻撃が起きましたが、2020年のアメリカ大統領選ではこれまでのところ大規模なサイバー攻撃の被害は報告されていません。この理由についてアメリカのニュース専門放送局・CNBCは、「物理的なセキュリティキー」の採用が大きかったのではないかと述べています。 Physical security keys protected 2020 election campaigns against leaks https://www.cnbc.com/2020/12/23/physical-security-keys-protected-2016-election-campaigns-against-leaks.html 2016年、ロシアと関連があると推測される
NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの桐下です。 今回のブログでは、Pass-The-Cookieという攻撃手法について紹介します。Pass-The-Cookieは、多要素認証をバイパスすることが可能な強力な攻撃です。Office365(Microsoft365)を対象にデモを交えながら攻撃手法を紹介します。 Pass-The-Cookieとは、WebアプリケーションのセッションCookieを攻撃者が何らかの手段で入手し、セッションCookieを悪用して認証をバイパスする攻撃手法です。有効なセッションCookieをブラウザに投入するだけでWebアプリケーションにログインすることが可能です。セッションCookieは、ログイン成功状態を保持しています。そのため、セッションCookieを入手し、ブラウザに投入することでID/Password認証及び多要素認証要求をバイパ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[GCP] GCPサービスを勝手にまとめてみた(セキュリティ編) - Qiita
Slack、Box、Zoom、Oktaを全学導入 脱PPAPや多要素認証を実現 関西学院大学
請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
Chrome OS搭載の新型Chromebook「Pixelbook Go」が登場
Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
プロジェクト情報共有ツールへの不正アクセスについて(第四報) : 富士通
恐るべし、今どきの「パスワード破り」の手口:780th Lap
「多要素認証」を破る大規模フィッシング、1万社以上のMicrosoft 365利用企業を襲う
Zero Trust Networkでの運用を考える - freee Developers Hub
Azure AD のセキュリティを強化するために今すぐできること (Quick Win)
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
情報流出を招いた富士通「ProjectWEB」は多要素認証なし、難航する原因特定
「多要素認証」破る攻撃 Microsoft 365利用企業襲う - 日本経済新聞
「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
多要素認証におけるワンタイムパスワードの入力欄 | Accessible & Usable
YouTubeで拡散される不正ソフトウェアの罠 - Mal-Eats
NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた
シスコがサイバー攻撃受け不正侵入、きっかけは従業員の個人Googleアカウント悪用
オープンソースのユーザ認証システムOry Kratos v1.0.0がリリース | gihyo.jp
「セキュリティリスクが高い」のにパスワードが認証方法として使われ続ける理由とは?
ワンタイムパスワードを「簡単に破れる」、成功率8割をうたう恐るべきサービス出現
2020年アメリカ大統領選でメール流出がなかったのは「物理的なセキュリティキー」の採用による可能性
多要素認証のバイパスが可能な攻撃「Pass-The-Cookie」について