米Microsoftは5月2日(現地時間)、コンシューマー向けのMicrosoftアカウントで、パスワードレス認証「パスキー(Passkey)」を用いたサインインのサポートを開始した。2日より、Microsoft 365やCopilotなど、MicrosoftのアプリケーションおよびWebサイト(デスクトップ、モバイル)のサインインにパスキーが使用可能になった。数週間以内に、パスキーを使ったモバイルアプリへのサインインもサポートする予定である。 同社は2015年、Windows 10でWindows Helloを使ったサインインのサポートを開始し、FIDOセキュリティキー、Microsoft Authenticatorアプリなど、パスワードレスへの移行を推進してきた。2021年9月には、Microsoftアカウントからパスワードを削除し、パスワードなしで使うオプションの提供も開始した。 パ
TerraformでAWSアカウント作成すると苦しい
概要 AWSのベスプラ記事に倣って マルチアカウントベースの最小構成Starting FrameworkをTerraformで作成してみることにした (VPC単位ではなくAWSアカウントベースで環境構築することでスケーラブルなシステムが出来上がるらしい ...が、初っ端のOU(Organization Unit)、AWSアカウント作成あたりでだいぶ躓いたのでメモを書いておく Terraformで作ったもの 事前準備 terraform操作する用のIAMメンバー作成 RootのAWSアカウントにAdministratorAccessポリシー付与したグループ作成 そのグループにIAMメンバーを作成する IAMメンバーに用いるメールアドレスはgmailのエイリアスを使ってxxx+admin@gmail.comとか適当な名前使う IAMメンバーのアクセスキーの取得 コンソールから作成したIAMメン
迂回する方法の一つは「SIMスワッピング」といわれる方法です。携帯電話会社のコールセンターなどにソーシャルエンジニアリング(要は、オレオレ詐欺のような、言葉巧みなだましの手口です)を用いてSIMの再発行を依頼し、事実上、被害者の携帯電話を乗っ取ってしまいます。 こうなればSMSなどで送信される認証コードは手に入り放題ですから、いくら多要素認証を実装していても意味がなくなります。ただ、国内ではユーザー確認手続がしっかり行われていることもあって、「この手口による被害はほとんど確認されていない」(新井氏)そうです。 ですが、もう一つの方法による被害は深刻そうです。19年になって海外のセキュリティ研究者が、多要素認証をかいくぐるツール「Modlishka」(モディスカ)を公開しました。Modlishkaはユーザーと正規サイトの間でリバースプロキシとして動作し、いわゆる中間者攻撃を行います。正規サイ
うわっ…私のセキュリティスコア低すぎ…?Security HubのCISベンチマークの俺流チューニングで100%準拠を目指す | DevelopersIO
うわっ…私のセキュリティスコア低すぎ…?Security HubのCISベンチマークの俺流チューニングで100%準拠を目指す Security HubのCISコンプライアンスチェック機能を私流にチューニングする方法を紹介します。CISベンチマークはやや厳し目のチェック項目なため、一般的にはチェックしなくても良い項目があるので、それは無効化してもいいかもしれません。検討するための要点を解説しています。 こんにちは、臼田です。 皆さん、コンプライアンスチェックしてますか?(挨拶 Security Hubがリリースされて久しいですが、活用していますか? Security Hubにはいくつか機能がありますが、その1つがコンプライアンスチェックです。下記を見てください。 こんな真っ赤に出されると流石にまずいなーと思いますよね? でも実際にはそこまで対応しなくてもいいなって項目もぼちぼちあったりします
特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い
特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い:ゼロトラスト時代の特権IDの守り方(2) 古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。 古くて新しい「特権アクセス保護」(PAM:Privilege Access Management)について技術的内容を分かりやすく解説する本連載「ゼロトラスト時代の特権IDの守り方」。連載初回の前回では、そもそも「特権」とは何か、特権の持つ特徴リスク、抱える課題などについて整理しました。 今回は、PAMの歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Ser
転職は非線形な成長のきっかけになる。専門外から飛び込んだセキュリティ業界でギャップを乗り越えて【はせがわようすけさんインタビュー】 - Findy Engineer Lab
ひょうひょうとした自然体。専門家だと偉ぶることもなく若手エンジニアと議論に興じ、子どものように無邪気に技術を楽しむ──Webセキュリティ企業のセキュアスカイ・テクノロジー(SST)でCTOを務めるはせがわようすけ(@hasegawayosuke)さんは、技術力や発想力だけでない不思議な魅力の持ち主です。 そんなはせがわさんですが、エンジニアとしてのスタートは組み込み領域における回路設計。単純に勤続年数としては最も長く経験された企業だとか。同じコンピュータ関連とはいえ、畑違いの世界からいったい何を考えてセキュリティ業界に移り、どんなキャリアを歩むことで現在のはせがわさんになったのか? いくらかの笑いも交えながらお話を伺いました。 目の前の課題をできるだけ抽象化してから解決したい 電子回路の設計を通して学んだ「品質」とハックの原点 コミュニティ黎明期から生じたWebセキュリティへの興味 セキュ
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 弊社では本当にありがたいことに多くのお客様から様々なWebサービスの脆弱性診断をご依頼頂いています。本稿では、特にご依頼いただくことが多いBtoB SaaSという領域において実際にどのような種類の脆弱性が見つかっているのか(我々が発見できているのか)を集計し、上位10種類の脆弱性を紹介します。また、この上位10種類にどのような特徴があるのか、どのようにアクションを行うことでこれらの脆弱性がサービスに埋め込まれないようにできるのかについても解説しています。 データの概要 今回のデータは2022年1月から2023年2月までに診断を行ったBtoB SaaSに属するサービスで発見された脆弱性を元に集計と分類を行っています。集計を行った対象脆弱性の実数については、扱うデータの性質上公開でき
Amazon Web Services(AWS)は、セキュリティの強化の一環として、AWS Organizations管理アカウントのrootユーザーでマネジメントコンソールにサインインする場合、2024年半ばから多要素認証を必須にすることを明らかにしました。 Not using MFA? You should be. Starting in 2024, we're enhancing our MFA requirements to further strengthen our customers' default security posture. Learn more in this blog post. #securebydesign #MFA #security #protect #shieldsuphttps://t.co/2nBtdxFoxj pic.twitter.com/E
by DobaKung WindowsではUIの色やサウンド、マウスカーソル、壁紙などを自由にカスタムした組み合わせ「カスタムテーマ」を作成でき、Windowsユーザーは、OSの外観を変更するために、必要に応じて異なるテーマを切り替えることができます。そんなWindows 10のテーマを使って攻撃を実行することで、何も知らないユーザーからWindowsアカウントの認証情報を盗めるようになる恐れがあると指摘されています。 Windows 10 themes can be abused to steal Windows accounts https://www.bleepingcomputer.com/news/microsoft/windows-10-themes-can-be-abused-to-steal-windows-accounts/ Windowsのテーマ設定は、「hogehog
最初に断っておくと、この記事で取り扱う方法はAlfredというツールの有償ライセンスが必要となるので予めご了承いただきたい。 はじめに Google等で利用可能なMFAの仮想デバイスとしては、MacだとAuthyが筆頭候補になるかと思う。ただ、MFAを多用していると認証の度にツールを起動してGUIを操作するのが段々と面倒になってくる。それが嫌でMFAを使わないのでは本末転倒なので、キーボード操作だけでMFAのトークン入力を完結できる方法を探ってまとめてみた。 必要なツール等のインストール方法 OATH Toolkit こちらはワンタイムパスワード認証に関連したツール・ライブラリー群で、後述するAlfredのWorkflowから間接的に利用する。インストールはHomebrewを使うのが便利だ。 $ brew cask install oath-toolkit Alfred こちらが今回の土台
中国政府と関係のあるハッカーらがアメリカの水道・ガス・電気などを攻撃して停止させた上に公益事業や交通システムも標的にしていると安全保障当局者らが警告
中国の人民解放軍所属のハッキンググループが、アメリカの電力・水道・通信・交通システムなど主要インフラを破壊するための工作を行っているとワシントン・ポストが報じています。 China’s cyber intrusions have hit ports and utilities, officials say - The Washington Post https://www.washingtonpost.com/technology/2023/12/11/china-hacking-hawaii-pacific-taiwan-conflict/ ワシントン・ポストによると、ハワイ州の水道施設やアメリカ西海岸の主要港、石油やガスのパイプラインといった約24もの重要組織のネットワークに、中国人民解放軍に所属するハッカーが侵入した形跡が確認されているとのこと。こうした侵入は、アメリカと中国の間で戦
インターネットが開発されて50年の間に起きた5つの重大事件
by Gerd Altmann 1969年にインターネットの前身となったARPANETが開発されてから、2019年で50周年となります。学術系ニュースサイト・The Conversationが、インターネットが誕生してから半世紀の間に起きた5つの重大事件をまとめました。 5 milestones that created the internet, 50 years after the first network message https://theconversation.com/5-milestones-that-created-the-internet-50-years-after-the-first-network-message-123114 ◆1:暗号化の失敗(1978年) 1973年に、アメリカの国防総省が完全に管理しているはずのARPANETに、高校生が侵入してしまうとい
IAM ユーザーの MFA を有効化した後、アクセスキーを使用する既存処理に影響があるか教えてください | DevelopersIO
困っていた内容 IAM ユーザーのセキュリティを強化する施策を実施したいと考えています。MFA の有効化を全 IAM ユーザー必須にすることを検討しています。 アクセスキーを使用する IAM ユーザーで後から MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ますか? 既存の処理が停止してしまうのは困りますので、影響の有無を確認したいです。 どう対応すればいいの? アクセスキーを使用する IAM ユーザーで MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ません。 ただし、MFA を有効化する際に、合わせて MFA を強制する IAM ポリシーを付与した場合、既存の処理に影響が出ます。 MFA を強制する IAM ポリシーの例は下記の記事を参照してください。 多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | Developers
AWS SSO を用いた Amazon EKS への迅速なシングルサインオン | Amazon Web Services
Amazon Web Services ブログ AWS SSO を用いた Amazon EKS への迅速なシングルサインオン 訳注:2022年7月に、AWS Single Sign-On は AWS IAM Identity Center に変更されました。 この記事は A quick path to Amazon EKS single sign-on using AWS SSO (記事公開日: 2022 年 6 月 14 日) を翻訳したものです。 Software as a Service (SaaS) とクラウドの導入が急速に進む中、アイデンティティは新しいセキュリティの境界になっています。AWS Identity and Access Management (IAM) と Kubernetes role-based access control (RBAC) は、強力な最小権限のセ
・Securing millions of developers through 2FA – The GitHub Blog ・RaaS devs hurt their credibility by cheating affiliates in Q1 2024 ・Advanced Cyber Threats Impact Even the Most Prepared | by Lex Crumpton | MITRE-Engenuity | Apr, 2024 | Medium ・Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies | Google Cloud Blog ・パスワード シンドローム – song and lyrics by Masash
この記事は BASE Advent Calendar 2023 の10日目の記事です。 ちわ BASEから代わりまして、PAY株式会社(BASE株式会社グループ会社)のクリス @x86_64 です。数か月前、絵を買うよう執拗に勧めてくる人に言いくるめられ、額縁入りのライザのアトリエ複製原画だのデジタルアートブック特典付きのアーマード・コア6だのを入手しました。 この記事は私がセキュリティエンジニアとして日頃感じることや昔話、将来のイメージについてろくろを回しまくり、なんか宣誓を立てるものです。少しはPCI DSS v4.0の話もしますがあとは自分の話しかしません。 PAY株式会社とは BASE株式会社グループ会社で、同社をはじめとして国内のスタートアップなど多くの加盟店にクレジットカード決済サービス「PAY.JP」を提供する会社です。クレジットカード情報を加盟店のみなさまに完全に代わって安
Ubuntu 20.04 LTSは"フルスタックセキュリティ"なOSに ―エンタープライズへのアプローチを本格化したCanonicalの戦略 4月23日(英国時間)、Canonicalは「Ubuntu 20.04 LTS(開発コード"Focal Fossa")」の提供を開始しました。Ubuntu 18.04以来、2年ぶりのLTS(Long Term Support: 長期サポート)版となります。 今回のリリースにおいてCanonicalは「フルスタックのセキュリティを、クラウドからエッジまで(Full Stack Security from Cloud to Edge)」というコンセプトを掲げており、セキュリティを中心とするエンタープライズユースに特化したエンハンスをいくつも盛り込んでいます。これまでのLTS以上に、エンタープライズユーザを積極的に"獲りにいく"という姿勢が強く
ご挨拶 新入生の皆さん,ご入学おめでとうございます. 東京大学では教育におけるデジタル技術の活用を進めており,電子的な資料配布や課題提出をはじめ,場合によってはオンライン授業など,さまざまな場面で情報システムを利用することになります.そこで皆さんには,スムーズに授業に参加できるよう,必要な情報システムの準備をしておくようお願いしたいと思います.持ち運びのできるノートパソコンを用意し,アカウントや各種ツールの初期設定をしておいてください. 近年は,社会情勢の悪化もあり,情報セキュリティ環境が非常に厳しくなっています.大学では,先端的な研究に関する情報などの重要な情報をたくさん有しており,セキュリティの確保は大きな課題です.私たち大学側でも必要な取り組みを行っていますが,皆さんがこれから使うことになる大学のアカウントは大学の情報にアクセスする入口の一つになりますので,それを守るために皆さんにも
日本中央競馬会(JRA)の公式スマートフォンアプリ「JRAアプリ」が、認証基盤にOracle Cloudのサービスを採用した。IDaaS「OCI Identity and Access Management」を活用し、100万人規模の利用を想定した大規模認証基盤を構築したという。日本オラクルが1月18日に発表した。 JRAアプリは、出馬表が見られる機能やレースのライブ配信を視聴できる機能などを提供するアプリ。2023年末の時点で約70万人が利用しているという。システム開発に当たっては、日本オラクルやNECグループのNECネッツエスアイが協力した。 認証基盤の選定に当たっては、多要素認証機能の搭載可否やアクセス集中を想定したスケール性能、データ保存の地理的な条件などが要件だった。一連の要件を満たした上で、政府のクラウドサービス登録制度「ISMAP」に登録されていることや、国内のリージョンがあ
NTTドコモの「ドコモ口座」など複数の電子決済サービスで預金の不正引き出しが相次いでいることを受け、金融庁は9月15日、銀行や決済事業者に対し、本人確認が不十分な場合はサービスを停止するよう要請した。 金融庁は、銀行口座と決済事業者のアカウントを連携して口座振替を行う際、多要素認証を実施するなど本人確認のプロセスで脆弱性がないか確認するよう要請。脆弱性を確認した場合はワンタイムパスワードなどを導入し、取引時確認の体制を強化するよう求めた。本人確認に脆弱性がある間は、新規の口座連携や口座への入金機能を停止するよう要請した。 関連記事 総務省「ドコモ口座以外でも不正引き出しあった」 ゆうちょ銀行は「確認中」 ドコモ口座での現金不正引き出し事件を巡り、総務省の高市早苗大臣が、ドコモ口座以外の電子決済サービスでも不正引き出し被害が発生していたと明らかにした。 ゆうちょ、8事業者との口座連携を停止
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Amazon Web Services(AWS)の最高情報セキュリティ責任者(CISO)であり、セキュリティエンジニアリング担当プレジデントであるStephen Schmidt氏に、同氏の考えるセキュリティ部門が重視すべき10のポイントを聞いた。 1.正確なアカウント情報 Schmidt氏によれば、AWSは、例えば顧客のアカウントが外部から攻撃を受けている、設定ミスが見つかったなどのセキュリティ上の問題について、常に顧客に通知しているという。 そのためには、顧客と連絡を取れる状態が整っている必要があると同氏は言う。 「AWSと法人契約を結んでいる顧客の中には、サポートから連絡できる窓口が非常に整っており、しっかりした担当者や、オペレーシ
カメラなどの修理・販売チェーンを運営するカメラのキタムラは6月15日、公式通販サイト「カメラのキタムラネットショップ」が外部から不正アクセスを受けたと発表した。第三者が顧客のメールアドレスとパスワードを不正に取得し、会員になりすましてログインする攻撃が相次ぎ、計約40万件の個人情報が閲覧された可能性があるという。二段階認証や多要素認証などの不正アクセス防止策は採用していなかったとしている。 不正アクセスは4月4日~5月27日に相次いで発生。第三者に閲覧された恐れのある個人情報は、顧客の氏名、住所、生年月日、電話番号、ニックネーム、注文履歴などで、5月28日に判明した。不正アクセスはその後も継続して確認している。 不正アクセスに使われたメールアドレスとパスワードは、カメラのキタムラから漏えいしたものではなく「第三者が何らかの方法で、外部から取得したID・パスワードをリスト化し、それに基づいて
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月26日(米国時間)、「CISA, NCSC-UK, and Partners Release Advisory on Russian SVR Actors Targeting Cloud Infrastructure|CISA」において、英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)およびその他の米国、国際パートナーと協力して共同アドバイザリー「SVR Cyber Actors Adapt Tactics for Initial Cloud Access | CISA」を発表した。 このアドバイザリ
データのセキュリティを守ろうとする安全対策と、それを破ろうとするハッキング手法の発達はいたちごっこで、これまでにPCから発せられる音や電磁波、熱を使ってデータを盗み出す方法が編み出されています。さらに、イギリスの研究者によって、赤外線カメラと機械学習を使ってキーボードで入力した内容を盗み出すことができることが確かめられました。 ThermoSecure: Investigating the Effectiveness of AI-Driven Thermal Attacks on Commonly Used Computer Keyboards | ACM Transactions on Privacy and Security https://doi.org/10.1145/3563693 University of Glasgow - University news - AI-driv
他のWebサービスから流出したIDとパスワードを使って不正にログインする「リスト型攻撃」が後を絶たない。 リスト型攻撃を受ける原因は、Webサービスの多くが、IDとパスワードによるユーザー認証(個人認証)しか実施していないためだ。多要素認証(2要素認証)やリスクベース認証といった別の認証方式を導入すれば、リスト型攻撃を防げる可能性が高い。 だが、IDとパスワードしか使っていないWebサービスはまだまだ多いようだ。フィッシング対策協議会が実施した調査により、危険な実態が浮き彫りになった。 300社以上にアンケート調査 フィッシング対策協議会はフィッシング対策の業界団体。Webサービス(インターネットサービス)事業者やセキュリティーベンダーなどで構成される。 同協議会は、インターネットでサービスを提供している事業者がどのようなユーザー認証方式を採用しているのかを把握するため、ユーザー認証に関す
Google、API管理プラットフォームの「Apigee X」発表。Cloud CDNで性能向上、機械学習でインテリジェントにデータ保護など
Google、API管理プラットフォームの「Apigee X」発表。Cloud CDNで性能向上、機械学習でインテリジェントにデータ保護など Google Cloudは、これまで提供してきたAPI管理プラットフォーム「Apigee」の次期版となる新サービス「Apigee X」を発表しました。 10 capabilities to love for Apigee's 10th birthday: Real-time monitoring Tracking Measuring Analyzing Leader in the MQ for API Management Developer Portal Security $tization Microservices management Apigee X https://t.co/ilT4Ac4auQ — Google Cloud (@goog
ランサムウェアやDDoSといったサイバー攻撃を経験した企業の多くは、その後何度も被害に遭っている──。そんな実態が、イスラエルのサイバーセキュリティ企業Cymulateの調査で浮き彫りになった。「一度攻撃に遭った企業は、再び攻撃される可能性が高くなる」とCymulateは警鐘を鳴らしている。 調査は世界各国でIT、金融、政府機関など幅広い業種を対象として2022年4月に実施し、セキュリティ担当者858人から回答を得た。 過去1年の間にサイバー攻撃に遭ったことがあるという回答は40%を占め、うち3分の2に当たる67%が2回以上の被害に遭っていたことが判明。1年間に10回以上の攻撃を経験したという回答も10%近くに上った。 「被害企業は1度攻撃されても守りを固めようとせず、攻撃側から簡単に食い物にできる餌食と見なされていることが分かった」とCymulateは言う。サイバー攻撃の内容はマルウェア
多くの周波数帯に対応した無線送受信モジュールを搭載し、NFC・Bluetooth・赤外線通信といった規格にも対応。さらにGPIOも搭載し、さまざまなハードウェアを操作できるオープンソースデバイス「Flipper Zero」が登場しています。 Flipper Zero — Multi-tool Device for Hackers. Lite version based on STM32 https://flipperzero.one/ 以下のムービーでは、Flipper Zeroで一体どんなことができるかが紹介されています。 Flipper Zero — ハッキング用たまごっち - YouTube Flipper Zeroはディスプレイ部分にイルカのようなキャラクターが表示されており、まるでたまごっちのような機器に見えます。 しかし、Flipper Zeroは見た目に反してさまざまなことが
セキュリティ英単語帳
2022年6⽉ 独⽴⾏政法⼈ 情報処理推進機構 産業サイバーセキュリティセンター 第5期中核⼈材育成プログラム 「セキュリティエンジニアのための English Reading」プロジェクト 動詞 単語 意味 関連語 使用例 include ~を含む 【名】inclusion: 包含、含まれるもの 【形】inclusive: すべてを含んだ the email including a malicious macro 悪意のあるマクロを含むメール steal ~を盗む steal sensitive information 機微な情報を盗む exploit (脆弱性) を突いて攻撃する 【名】エクスプロイト (コード) 【名】exploitation: (脆弱性を突く) 攻撃 【形】exploitable: 悪用可能な actively exploited vulnerability よく攻
2021年10月29日 この度、本学の教員のメールアカウントが第三者により不正にアクセスされ、個人情報が含まれる電子メールが閲覧された可能性がある事案が2件確認されました。このことについて現在の状況と今後の対応についてお知らせします。 (事案1)令和3年3月18日、本学大学院理学研究科において、海外のIPアドレスから、所属する教員のアカウントへの不審なアクセス及び同アカウントを用いた大量のメール送信が確認されました。その後調査を重ね、不審なアクセスは令和3年3月2日から同3月18日までの間であり、アクセスされた時点で、当該メールサーバには、講義の受講者36名の「氏名」、「学籍番号」、「該当科目の成績」が記載されたファイル(パスワードあり)が添付されたメールが存在していたことが分かりました。 不審なアクセスが確認された日に、当該教員のメールアカウントのパスワードを変更し、現時点では、閲覧され
PayPalアカウントは、十分に注意をしないと簡単に乗っ取られ、金銭的な被害につながる場合がある。こうした攻撃から、シンプルで効果的な防御方法について解説する。 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 筆者は1990年代に、銀行強盗がテーマの映画に魅了されて以来、銀行に侵入するということに一種の憧れのような感情を抱いていたのだが、ついにその方法を発見してしまったかもしれない。一般的な銀行アプリにおけるセキュリティに興味をもっていたが、備わっている強固な防御策をすり抜ける方法については思いついていなかった。これらのアプリは、顧客の預金を守るために堅牢なセキュリティ対策が練られているからだ。しかし、銀行がそれほど堅牢であるならば、預金へアクセスできる最も有名なサードパーティの1つであるPayPalを
情シス300人に聞く、過去に遭遇したクラウド関連トラブル 2位は「利用しているサービスにサイバー攻撃→漏えいリスク」 1位は?
情シス300人に聞く、過去に遭遇したクラウド関連トラブル 2位は「利用しているサービスにサイバー攻撃→漏えいリスク」 1位は? 過去に遭遇したことのあるクラウド関連のトラブルは?──セキュリティ評価サービス「Assured」を提供するアシュアード(東京都渋谷区)は8月16日、企業の情報システム担当者300人を対象に実施した調査の結果を発表した。1位は「アクセス権限の誤設定」(17.7%)だった。 2位は「利用しているサービスがサイバー攻撃を受け、自社の機密情報にも漏えいの可能性があった」(14.3%)。3位は「機密情報を保存しているクラウドサービスにアクセス可能なスマートフォンなどの紛失」(12.3%)だった。 4位は「退職した元社員のアカウントが削除できていなかった」(10.3%)、5位は「シャドーITの発覚」(10%)、6位は「クラウドサービスに意図せず機密情報を保存していた」(8.3
AWS Single Sign-On が東京リージョンで利用できるようになりました | Amazon Web Services
Amazon Web Services ブログ AWS Single Sign-On が東京リージョンで利用できるようになりました みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、 シニアアドボケイトの亀田です。 AWS Single Sign-On (SSO) が東京リージョンでご利用頂けるようになりましたのでお知らせいたします。 AWS SSO AWS SSOは複数の AWS アカウントとビジネスアプリケーションへのアクセスの一元的な管理を実現し、1か所からのシングルサインオンアクセスをユーザーに提供し、AWS Organizations にあるすべてのアカウントに対するアクセスとユーザーアクセス許可を簡単に一元管理することができます。AWS Organizationとの連携により、個々のAWS アカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なア
後払いサービス「Paidy」を悪用した詐欺がフリマアプリなどで相次いでいる件で、提供元のPaidy社は1月14日、悪用の恐れがあると判断した取引では、決済サービスの提供を制限するか停止すると発表した。再発防止策などの検討を進め、対応が完了次第サービスを再開するとしている。 ネットでは1月上旬ごろから、フリマアプリ「メルカリ」などで被害に遭ったという報告が相次いでいた。報告によると、加害者(出品者)は在庫がない状態でメルカリで商品を出品。購入者が決まると、Paidyを利用し家電量販店の通販サイトなどで商品を購入。通販サイトから直接、購入者へ商品を発送していた。 購入者が商品を受け取ると、通常通りメルカリ経由で出品者に代金を支払う。しかし出品者がPaidyからの請求を無視し、商品の送付先である購入者に請求書が届くよう仕向ける。そのため、出品者は仕入れ代金を負担せずに商品の代金を受け取れる一方、
[DevOpsプラットフォームの取り組み #8] Qmonus Value Streamを支えるアーキテクチャの紹介 - NTT Communications Engineers' Blog
DevOpsプラットフォームの取り組みを紹介する8回目の記事です。 Qmonus Value Stream 開発チームの浅井です。 連載第8回では、Qmonus Value Streamのアーキテクチャとその技術スタックについて紹介します。 これまでの連載ではQmonus Value Streamで利用している技術要素として、第4回ではデータ記述言語であるCUE言語を、第5回ではKubernetes NativeなオープンソースフレームワークであるTektonを紹介してきました。 Qmonus Value Streamではこれらの技術要素に加え、複数のGCPプロダクトやSaaSを利用することでシステムを構築しています。 本記事では、Qmonus Value Stream全体のアーキテクチャと、利用している主要なフレームワークやサービスについて紹介します。1つ1つの要素についての説明は少ない
![[DevOpsプラットフォームの取り組み #8] Qmonus Value Streamを支えるアーキテクチャの紹介 - NTT Communications Engineers' Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/8531aa9198d2c16dd56a5704906cc8b67453a466/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2FN%2FNTTCom%2F20221107%2F20221107085951.png)
本文の内容は、2022年3月2日にDavid Gonzalezが投稿したブログ(https://sysdig.com/blog/why-mfa-prevents-attacks/)を元に日本語に翻訳・再構成した内容となっております。 最近、クラウドセキュリティに関連して、認証情報の漏洩や破壊に基づく侵害が繰り返し問題になっています。ユーザーは、ユーザーとパスワードの組み合わせなど、単一要素システムを使用してアカウントにログインする傾向があります。これは、アカウントのセキュリティに単一障害点を導入することになります。 数週間前、AWS Lambda ファンクションをクリプトマイニングに使用するために攻撃者に奪われた鍵のために、AWSの巨額請求に対処している人についてのツイートを読みました。1ヶ月後、彼らは$45,000のAWS請求書に直面しました。彼らのケースは厳密には盗まれたパスワードでは
Microsoft傘下のGitHubは米国時間3月16日、パッケージ管理ツールnpm(Node Package Manager)の開発元であるnpm Inc.を買収すると発表した(両社ともに買収金額は公表していない)。Microsoftは、GitHubとnpmを統合し、JavaScript開発者にとってさらに魅力的なコミュニティーの構築を目指す計画としている。 npmは、パッケージ管理ツールを提供する以外に、npmレジストリとCLIを管理および維持している。 GitHubによると、npmは現在、130万件以上のパッケージをサポートしており、ダウンロード回数は月間750億回にものぼるという。npmレジストリを開発者に対して常にオープンソースかつ無償で提供し続けるつもりだと、GitHubの最高経営責任者(CEO)を務めるNat Friedman氏は述べた。 Microsoftによるnpmの買収
令和4年2月24日 金融庁 昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について 金融庁では、令和4年2月23日、昨今の情勢を踏まえ、下記のサイバーセキュリティ対策の強化について、金融機関への周知を徹底するため、業界団体等を通じて広く金融機関に注意喚起するとともに、仮にサイバー攻撃を受けた場合は速やかに当庁・財務局に報告するよう周知しました。 記 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について (注意喚起) 昨今の情勢を踏まえるとサイバー攻撃事案の潜在的なリスクは高まっていると考えられます。 各金融機関等においては、経営者のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、以下に掲げる対策を講じることにより、対策の強化に努めていただきますようお願いいたします。 また、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりにな
「“拡張子を表示”にしていても表示されない拡張子」を使った攻撃を確認 デジタルアーツがEmotetに関するレポートを公開
これまでEmotetは「Microsoft Word」や「Microsoft Excel」などのファイル(以下、Officeファイル)に仕込んだマクロを使った攻撃が主流だったが、デジタルアーツによると「2022年4月23日あたりからWindowsのショートカットファイルを用いた攻撃を観測している」という。 「標準でマクロの実行を無効化」がきっかけ Windowsはショートカットを「『.lnk』の拡張子を持つファイル」として扱っている。だが、ユーザーがエクスプローラーで確認しようとしても.lnk拡張子は表示されない。これはエクスプローラーの設定で「ファイル名拡張子」にチェックしている状態でも同じだ(なお、レジストリを変更すれば表示は可能)。そのため、Officeファイルなどと誤解して開いてしまう恐れがあるという。 関連記事 総務省が「テレワークセキュリティの手引き(チェックリスト)」の第3版
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoftアカウントがパスキーに対応、パスワードなしで安全にサインイン
「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”
まさかの3ファクタ認証? ラピュタの滅びの呪文「バルス」にまつわる議論が面白い【やじうまWatch】
「BtoB SaaSに多く発見された脆弱性Top10」を集計しました - Flatt Security Blog
AWS、マネジメントコンソールへのrootでのサインインに多要素認証を必須に。2024年半ばから
Windows 10のカスタムテーマが「Windowsのアカウント情報を盗むため」に悪用される可能性
MacでAuthyよりも楽チンなMFA(多要素認証) - 35歳からの中二病エンジニア
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
われはセキュリティの子 - BASEプロダクトチームブログ
Ubuntu 20.04 LTSは"フルスタックセキュリティ"なOSに ―エンタープライズへのアプローチを本格化したCanonicalの戦略 | gihyo.jp
大学生活に必要な情報システムの準備について(新入生向け)
JRA、スマホアプリにOracle Cloud採用 100万人の利用を想定した認証基盤で
金融庁「本人確認が不十分ならサービス停止を」 銀行と決済事業者へ要請 相次ぐ不正引き出し受け
AWSのCISOが考える、セキュリティチームが重視するべき10項目
「カメラのキタムラ」通販サイトに不正アクセス 個人情報40万件が閲覧された可能性 二段階認証を採用せず
ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意
赤外線カメラとAIでパスワードを盗み出すことが可能との論文が発表される
「2要素認証」導入はたったの2割、Webサービスのあまりに無防備な実態
サイバー攻撃、同じ企業が何度も被害に 「被害企業は簡単に食い物にできる餌食と見なされる」
幅広い周波数帯やNFC・Bluetooth・赤外線にも対応した遠隔操作デバイス「Flipper Zero」
名古屋大学への不正アクセスによる個人情報の流出について | 大学からのお知らせ
PayPalアカウントは簡単に乗っ取られる? 友人で実験してみた
詐欺発生の「Paidy」、提供元が対策 「悪用の恐れある」取引を制限・停止
クラウドアカウントでMFAが重要な理由
マイクロソフト傘下GitHub、JavaScriptパッケージ管理のnpmを買収へ
昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について