ESETは8月9日(米国時間)、「How to check if your PC has been hacked, and what to do next|WeLiveSecurity」において、ハッキングされた時にパソコンに現れる兆候とその際の対応作業について伝えた。パソコンがハッキングされた時の10の兆候と修復するための便利なヒントが紹介されている。 How to check if your PC has been hacked, and what to do next|WeLiveSecurity サイバー犯罪者は通常、自分たちの攻撃を隠したがる。それは、被害者に気づかれずに攻撃者がネットワークアクセスやオンラインアカウントを窃取する時間を延ばすことができるからだ。そのため、知らず知らずのうちにサイバー犯罪の被害者になっている可能性があり、早期に発見することが重要であるとされている。
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で Open Source Security(OpenSSF)とOpen JS Foundationは、先日発生したXZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起を行っています。 注意喚起の中では、オープンソースプロジェクトの乗っ取りをはかる動きは現在もいくつかのプロジェクトで起きつつある可能性があることが示され、ソーシャルエンジニアリングによる乗っ取りを防ぐためのガイドラインが紹介されています。 XZ Utilsのようなプロジェクトの乗っ取りはいまも起きている XZ Utilsのインシデントでは、正体不明の人物がメンテナとしてプロ
先日、料理研究家でYouTuberのリュウジ氏は、運営しているWebサイトのURLを投稿したところ、そのページが何らかの不正なアクセスでリダイレクトされたと報告しました。ランディングページには著名なCMS「WordPress」を使用していたそうで、これを機に別のCMSへと移行するという対策を講じたようです。 こちら原因がわかりまして、LPに使用していたWordPressに外部からハックされ、違法なサイトに飛ぶようになっていたようです 対策として今後はWordPressは使用せずにセキュリティの高いbaseのページを使用します。 (リュウジ氏のTweetより) 筆者はこのツイートを見て、リュウジ氏の対応を理解できるとともに、WordPressについてある種の誤解が広まっていると感じました。 現在、大企業はもちろん、中堅・中小企業も自社のWebサイトを持っていますし、ECサイトがビジネスの中心
◆ Live配信スケジュール ◆ サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。 ⇒ 詳細スケジュールはこちらから ⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください 【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました 生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!! https://tech-lab.connpass.com/event/315703/ なんかよくわかんないサービスプリンシパルAzureで一番最初につまずくのはサービスプリンシパルかと思います。サービスプリンシパルはAzure上でアプリつくったり、Azure ADで認証を行う際には必須の概念なのですが
週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか|TechRacho by BPS株式会社
2019.08.21 週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか こんにちは、hachi8833です。Macbook Pro 2019のメモリ、やっぱり32GBにしとけばよかったと思い始めてます。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 毎月第一木曜日に「公開つっつき会」を開催しています: お気軽にご応募ください ⚓週刊Railsウォッチ「公開つっつき会」第14回のお知らせ(無料) お申込み: 週刊Railsウォッチ公開つっつき会 第14回|IT勉強会ならTECH PLA
多数のセレブや大企業のTwitterアカウントが7月15日(米国時間)にほぼ同時に乗っ取られ、暗号通貨詐欺に悪用されたと米TechCrunchなど多数の米メディアが報じた。米Twitterは公式アカウントで「Twitterのアカウントに影響を与えるセキュリティ問題を認識している。現在調査中で、修正に向けて対策を講じている」とツイートした。 Twitterは、問題の調査中、ツイートおよびパスワードのリセットができない場合があるとも説明した。 乗っ取られたのは、Apple、Uber、ジェフ・ベゾス氏、イーロン・マスク氏、バラク・オバマ氏、ジョー・バイデン氏、ビル・ゲイツ氏、キム・カーダシアン氏、カニエ・ウェスト氏、ウォーレン・バフェット氏、MrBeast(著名ユーチューバー)、マイケル・ブルームバーグ氏などのTwitterアカウント。 これらのアカウントは「Bitcoinをみんなでサポートしよ
IoTの脆弱性を突いて鉄道運行システムに侵入するミッションも、「IoTサイバーセキュリティ演習」レポート 人々を取り巻く環境は、PCのみならず、携帯電話、ウエアラブルデバイスや家電など、あらゆる機器(デバイス)がインターネットに接続され、これまで企業や工場の内部に閉じられていたシステム環境も、クラウドサービスの接続利用の急激な普及により、様々なデバイスやシステムが脅威に晒されるようになりました。マカフィーは、私たちの家族、社会、そして国家の安全を護るために進化を続けることを使命とし、サイバー脅威から護るための製品やソリューションの技術面の進化と同時に、インターネットやさまざまなデバイスを利用する、ひとりひとりのセキュリティーに関する知識や関心の向上を促進することも、大変重要な役割だと考えています。2019年もそのような啓発活動の一環として、毎年恒例の明星大学情報学部の公開講座に協力させてい
フィッシングに遭っても、パスワードが漏れても、比較的安全な方法があったとしたら気になりませんか? この記事では、Webアプリケーションにおける認証について、特にB to Cに的を絞ってお届けしたいと思います。B to Cサービスを提供する方を読者として想定していますが、利用する側の方も知っておいて損はありません。 セキュリティ認証、突破されていませんか? 突然ですが、あなたが提供しているサービスの認証周りのセキュリティは万全ですか?既にMFA(Multi Factor Authentication:多要素認証)を導入しているから大丈夫と考えている方もいるかもしれません。しかし、それは本当に大丈夫なのでしょうか。 MFAだって突破される MFAを有効にすることで、99.9%のリスクは低減できると言われています。しかし、最近ではMFAを突破する事例も出てきているのです。 事例1 Cloudfl
AWS CLI v2 プレビューのインストーラが公開&AWS SSOに対応しました! | DevelopersIO
AWS CLI v2 プレビューのインストーラが公開されました!そして、AWS SSOに対応しました!AWS Developer Blogで、バーンと2つのニュースが入ってきたので、さっそく試してみます! ひさびさにAWS CLI v2のニュースが入ってきて興奮しています! 昨年のre:InventでAWS CLI v2の話題が出てきましたが、あまり大きな動きがありませんでした。 [レポート] DEV322: What’s New with the AWS CLI #reinvent | Developers.IO Amazon Linux 2でaws cli v2を試してみた #reinvent | Developers.IO そんなときにAWS Developer Blogに、バーンと2つのニュースが入ってきました! AWS CLI v2 Preview Installers Now
コンタクトレンズなどを扱う光学機器大手HOYAのアメリカの子会社がサイバー攻撃を受け、盗まれた機密情報とみられるデータが、闇サイトに公開されたことが、専門家の調査でわかり、会社は攻撃の範囲や内容の特定を急いでいます。 「アストロチーム」と名乗るサイバー犯罪グループは、先週、東京 新宿区に本社のある光学機器大手HOYAのアメリカの子会社のサーバーをねらって、およそ300ギガバイトの財務や顧客情報などの機密データを盗み出したと、ネット上に犯行声明を出していました。 その後、日本時間の24日の午前1時半前に、犯罪グループが、インターネット上の匿名性の高い闇サイト=ダークウェブ上に設けたサイトに複数のファイルを公開したことが専門家の調査で分かりました。ダークウェブは、特殊な方法でしかアクセスできないネットの領域でアクセスしただけでサイバー攻撃を受けるおそれもあります。 専門家によりますと、公開され
多要素認証疲労攻撃に要注意、Uberが被害に遭う
Malwarebytesは9月22日(米国時間)、「Welcome to high tech hacking in 2022: Annoying users until they say yes」において、Uberがソーシャルエンジニアリングの斬新な手法を用いた攻撃者によって被害を受けたと伝えた。Uberに対して、多要素認証(MFA: Multi-Factor Authentication)疲労攻撃が行われたことが判明した。 Welcome to high tech hacking in 2022: Annoying users until they say yes 多要素認証疲労攻撃は、攻撃者がすでに被害者のログイン情報を持っていることが前提とされている。攻撃者が何度も被害者のアカウントへのログインを試み、被害者が使用している多要素認証用に設定したモバイル端末またはアプリに「サインインを
MicrosoftアカウントはWindowsのサインインに利用するだけでなく、「OneDrive」などのWebサービス、「Edge」や「Office」などのアプリでも使用する。アカウントにクレジットカード番号も登録していれば、「Microsoft Store」での買い物も自由だ。「Microsoft 365」を導入した企業では、企業全体のセキュリティに関わる重要なアカウントになる。 Microsoftアカウントは、2段階認証やパスワードレスでの設定に切り替えられる。設定を変更するには、Microsoftアカウントの設定画面で「セキュリティ」を選ぶ(図1)。 図1 マイクロソフトのWebサービスの画面で、アカウントアイコンをクリック。「Microsoftアカウント」を選択すると、アカウントの設定画面が表示される (上)。「セキュリティ」をクリックし、「2段階認証」の「有効にする」をクリック(
連載:迷惑bot事件簿 さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。 不正ログインの被害が日本社会を揺るがしている。今、日本がこのタイプの犯罪の「絶好の狩場」となっていることは想像に難くない。過去1年あまりで報道された大きな被害だけでも10件を超えている。 Webサービスやスマートフォンアプリでの不正ログイン被害の多くが「パスワードリスト型攻撃」に
コロナ禍を経て、SaaSを中心とした企業のクラウドサービス利用は拡大し続けている。ただ、これに比例するようにクラウドサービス利用に起因するセキュリティインシデントが増えている。どうすればこのような事態を防げるのか。 クラウドサービスの利用で起こるセキュリティインシデントの多くは情報漏えいだ。その原因のひとつに、設定や運用の不備がある。テナント構築時に、運用ルールの作成や対策を講じないまま情報の外部共有設定レベルをデフォルトの「全公開」にしていたり、管理者やユーザーに過剰な権限を付与したりするケースが後を絶たない。一度定めた共有設定レベルを長い間見直さずに使い続けることのリスクを、今あらためて把握するタイミングが訪れている。 対策するには、クラウドサービスを現在「どう使っているのか」を探る必要がある。利用者が多いMicrosoft 365(以下、M365)のコミュニケーションツールを例に、外
マイクロソフトの多要素認証を迂回する攻撃が発見される
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバー犯罪者が、Microsoftの休眠アカウントを悪用して多要素認証を迂回(うかい)し、クラウドサービスやネットワークにアクセスしていることが明らかになった。 Mandiantのサイバーセキュリティ研究者によれば、この手口は、ロシアの対外情報庁(SVR)との結びつきが指摘されているAPT29(Cozy Bearとも呼ばれる)の攻撃キャンペーンで使用されているという。他の攻撃的なサイバー脅威グループも、同様の手口を使用していると考えられている。 Mandiantによれば、このサイバー犯罪グループは、「Microsoft Azure Active Directory」などのプラットフォームに、ユーザーが自分で多要素認証を導入するプロセス
内閣サイバーセキュリティセンターは、企業などに対して、年末年始の連休に入る前に社内のソフトウエアが最新の状態に保たれているかや外部から不正なアクセスが可能な状態になっていないかなど、改めて確認してほしいと注意を呼びかけています。 内閣サイバーセキュリティセンターによりますと、12月に入ってから、知り合いや取引先を装った巧妙な偽のメールで届けられ、感染すると連絡先などを盗み取って、さらに感染を広げる「Emotet」(えもてっと)や「IcedID」(あいすどあいでぃー)と呼ばれるコンピューターウイルスの被害の報告が増えています。 攻撃者は、こうしたコンピューターウイルスへの感染をきっかけに、より深刻なサイバー攻撃を仕掛けようとすることがあります。 センターは、テレワークの広がりで、比較的セキュリティーの弱い自宅などからのアクセスも増えていることからリスクが高まっているとしています。 企業などに
シンジです。社内デバイスは全部Windowsですとは言いにくい時代になった昨今、Mac達は野放しにされ、例外とかいう常套句で社内ポリシーから逃げてきましたが、残念ながらmacOSのユーザー配布をADからAzureADを経由することで完全統制する方法が仕上がってきたので現状の話です。 ADとMacの相性は悪い 読者の中にMac利用者が居たとしても、そのMacをActive Directoryの配下に置いて、そこからユーザーを発行して展開したことある人は少ないでしょうし、試しにやってみた人が居たとしても運用したことがある人はもっと少ないのではと思っています。もしそれら全てを経験し、それを売りに仕事をしている方が居たとしたら、このブログによって廃業します。 管理者がMacを直接触ってセットアップする必要があった 今時ゼロタッチデプロイですよ。箱から空けたらユーザーがすぐに使える、管理者が電源を入
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告:攻撃方法の詳細は分析中 Cisco Systemsは2023年8月24日(米国時間)、多要素認証が設定されていないCisco VPNを標的にしたランサムウェア「Akira」の攻撃で、同社顧客のシステムが被害を受けたと発表した。 VPNの実装、利用において多要素認証(MFA)を有効にすることの重要性は明らかだ。MFAを導入することで、組織はランサムウェア感染を含め、不正アクセスのリスクを大幅に低減できる。ブルートフォースアタック(総当たり攻撃)により、攻撃者がユーザーのVPN認証情報を取得した場合でも、MFAなどの追加の保護を設定することで攻撃者がVPNに不正アクセスすることを防げると、Ciscoは述べている。 ランサムウェアのAkiraとは Ciscoによると、Akiraの最初の報告は2023年3月にさかのぼる。A
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは「Microsoft Azure」の信頼性を、同社が現在保証しているという平均稼働率99.995%からさらに改善するための手段を講じている。同社のAzure担当最高技術責任者(CTO)であるMark Russinovich氏が米国時間7月15日のブログ記事で、いくつかの具体的な取り組みを明らかにした。 Russinovich氏はブログ記事で、Azureが過去1年間に起こった「3つの特徴的で重要なインシデント」の影響を受けたと述べている。それらは、2018年9月に米国中南部リージョンで発生したデータセンター障害、2018年11月に起こった「Azure Active Directory(Azure AD)」多要素認証サー
警視庁、サイバー攻撃集団「BlackTech」に注意喚起 日本のIT企業など標的、海外子会社のルータから侵入も
警察庁と内閣サイバーセキュリティセンターは9月27日、日本のIT企業などをターゲットに攻撃を繰り返している、中国を背景にしたサイバー攻撃グループ「BlackTech」の手口と対策について、米連邦捜査局(FBI)などと共同で注意喚起した。 発表によるBlackTechは、2010年ごろから、日本を含む東アジアと米国の政府、産業、技術、エレクトロニクス、メディア、電気通信分野を狙って情報窃取を目的にサイバー攻撃を行っているという。 手口としてはまず、インターネットに接続されたネットワーク機器のソフトウェア脆弱性を狙ったり、不十分な設定、サポートの切れた機器・ソフトなど脆弱な点を攻撃したりして侵入し、最初の足がかりを作る。 さらに、海外子会社の拠点で本社との接続のために使用される小型のルータを、攻撃者の通信を中継するインフラとして利用。信頼された内部のルータを通じて本社や別の拠点のネットワークへ
Microsoft Teams のデスクトップアプリが認証トークンを平文で保存する問題、修正予定なし | スラド セキュリティ
Microsoft Teams のデスクトップアプリが認証トークンを平文で保存していることが Vectra の調べにより判明したのだが、報告を受けた Microsoft では修正の必要な問題ではないと回答しているそうだ (Vectra のブログ記事、 Ars Technica の記事、 Dark Reading の記事、 VentureBeat の記事)。 Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR] WebサービスやSaaS(Software as a Service)の開発において、認証や認可における脆弱性が発覚した場合、その深刻度は大きいことが多く対策は必須です。 言うまでもなく、どんなに素晴らしい機能が提供されていたとしても、脆弱性を突かれて情報漏洩やデータ破壊などを起こしてしまえば、ソフトウェアで提供される価値が地に落ちてしまうからです。 認証と認可の脆弱性は全体の3割以上にも セキュリティスタートアップとして多くのSaaS開発企業などにセキュリティ診断(脆弱性診断)を提供しているFlatt Security社は、同社が2022年の1月から1年強の間にBtoB SaaSを対象として検出した脆弱性を集計すると、ソフトウェアのロジックや仕様に起因するものが非常
![WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a17c829e4653c973c5ecf17b68fb4192034d2926/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fflattsecuritypr0105b.png)
かつて個人が趣味で行っていたハッキングは、犯罪組織や悪意を持った国家が目標を達成する手段に変わった。2021年のランサムウェア攻撃は2020年よりも92.7%増え、侵害の90%が認証の問題によって引き起こされているという調査結果もある。 攻撃者が脆弱(ぜいじゃく)な認証を回避する方法の一つがフィッシングだ。英国政府の調査「Cyber Security Breaches Survey 2021」は、フィッシングが最も使われており、セキュリティ侵害の83%を占めるとしている。 時代遅れのソリューション 企業や消費者の多くは時代遅れのソリューションを使っている。その一つがパスワードだ。 パスワードは最新のセキュリティソリューションではない。強力なパスワードであっても、フィッシングやランサムウェア攻撃には対抗できない。そのため、Microsoftなどは「パスワードレス」を推進している。 モバイルア
コーポレートエンジニアリング部ITサービスチームの高橋です。コーポレートエンジニアリング部ではスタッフや組織の課題をテクノロジーの力で解決するということをビジョンに掲げています。その中でも私が所属するITサービスチームでは、ZOZOグループ全体の生産性を上げるため、部門や組織の課題をテクノロジーの力で解決に導く役割を担っています。クラウドベースのツールを活用し「攻めの戦略」を重視し、社内の活性化を目指しています。 その一環として、パスワード管理ツール1Passwordを全社導入しました。導入に至った背景、製品選定で重視した点、及び実際の運用を紹介します。なお、弊社の環境は社員の大半がエンジニアで、社員数は400人規模です。 いきなり余談ですが、先日政府がPPAP(パスワード付きzipファイルをメール添付し別途パスワードを送信する意)を廃止する方針であると表明しました。2017年にはパスワー
NTTドコモの電子マネー決済サービス「ドコモ口座」などを悪用した預金の不正引き出し問題を受け、金融庁は17日、原則として被害を全額補償するよう銀行と資金移動事業者に求める方針を固めた。来年3月までに銀行監督指針を改正し、明記する。「多要素認証」と呼ばれる厳格な本人確認も義務付ける。 決済サービスを提供する資金移動事業者向けの事務ガイドラインも見直す。新監督指針は月内にも意見公募を実施する。 不正引き出し被害の再発を防ぎ、全額補償の方針を明確化させることで、安心してサービスを利用できる環境を整え、キャッシュレス決済普及の流れが止まらないようにするのが狙い。
サービス開始早々に不正ログインが相次いだモバイル決済サービス「7pay」。7月11日の時点で少なくとも1574人のユーザーが被害に遭い、被害総額は約3240万円に上ったと報じられています。発覚から約3週間がたった今も、運営元のセブンペイは不正利用の原因調査を進めており、7月中をめどに脆弱性への対応策をまとめ、公表する方針です。 情報が錯綜していたり、不足していたりする中ではありますが、既にさまざまな記事で原因が推測されています。パスワードリスト攻撃の可能性に始まり、サービス側の実装の不備、具体的にはパスワードリセット機能の不備や二段階認証の欠如、さらには外部サービスと連携する際のOpenID Connectというプロトコルの実装に関する脆弱性など、多くの問題が指摘されました。 この中で筆者が少し驚いたのは、報道を巡って「金銭取引や決済が関連するサービスならば、『二段階認証』『多要素認証』は
「二段階認証」の誤解を解く。「二要素認証」「多要素認証」と何が違うか – サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】
2019年7月の「7pay事件」は記憶に新しいところですが、この事件がクローズアップされた際によく取り上げられた言葉に「二段階認証」という言葉があります。そもそも二段階認証とは何か。「二要素認証」「多要素認証」とは何が違うのか、見ていきたいと思います。 知っていますか?「二段階認証」の多くは間違いです セキュリティ向上のための「二段階認証」と聞いて、一般的に思い浮かべるのは、以下のような流れではないでしょうか。 最初、IDとパスワードを入力し認証を行う (一段階目の認証) 次に、IDとパスワード以外のものを入力して認証を行う (二段階目の認証) 二段階の認証を通過するとログインできる。 通常は、1段階目の「ID・パスワード認証」のみなので、認証が2段階で2回求められるので「1段階より安全」という理解が持たれています。しかし、これは2つの意味で正しくありません。 (1)二段階であること自体に
コロナ禍の影響で広がるリモートワークを背景に、サーバー経由でリモート接続を可能にするRDPの利用が広がり、サイバー攻撃者によるRDPの脆弱性を狙った攻撃が増えている。この記事では、RDPが抱える脆弱性や利用上の問題点、実際に被害に遭遇した事例と、被害を抑制するために必要な対策を解説していく。 RDPはWindowsのリモートデスクトップ用プロトコル リモートデスクトップをWindows環境で実現するプロトコルとしてRDP(Remote Desktop Protocol)が知られている。マイクロソフト社が開発したもので、WindowsパソコンやWindowsサーバーに標準で搭載されている。 リモートデスクトップを使うと、パソコンやサーバーを遠隔で操作できる。コロナ禍でテレワークの導入が増える中、自宅や遠隔地でもパソコンで業務可能な手段として注目されている。オフィスにあるパソコンへの接続、ある
Googleには「Threat Analysis Group」(脅威分析グループ/TAG)というチームが存在し、政府が支援するハッキング攻撃によってGoogleやGoogle製品のユーザーがターゲットにされることを防いでいます。TAGにより2019年のハッキング攻撃の動向が分析され、ゼロデイ脆弱性に対する攻撃の傾向と共に発表されています。 Identifying vulnerabilities and protecting you from phishing https://blog.google/technology/safety-security/threat-analysis-group/identifying-vulnerabilities-and-protecting-you-phishing/ Googleはユーザーのアカウントがマルウェアや政府主導のフィッシング攻撃のターゲッ
米Okta(オクタ)は2023年11月28日(米国時間)、同社のカスタマーサポート管理システムが9月から10月に受けた不正アクセスについて情報を更新した。当初は全体の1%未満のユーザー企業の情報が漏洩したとしていたが、今回、一部を除くほとんどのユーザー企業の情報が漏洩したことを確認したと発表した。 攻撃者は、オクタのIDaaS(アイデンティティー・アズ・ア・サービス)製品である「Workforce Identity Cloud」と「Customer Identity Solution」においてユーザー企業向けに提供しているカスタマーサポート管理システム「Okta Help Center」に不正アクセスした。Okta Help Centerは、主にユーザー企業のシステム管理者が使用するものだ。 攻撃者はシステムが備えるリポート機能を使って、オクタの顧客データを盗み出した。盗み出されたデータに
週刊Railsウォッチ: VSCodeでRubyコード実行結果を表示、rubygems.orgがgem作者に多要素認証を呼びかけほか(20220621後編)|TechRacho by BPS株式会社
こんにちは、hachi8833です。RubyKaigi 2022のCFPが一昨日締め切られました。 Final Call: CFP for RubyKaigi 2022 closes at midnight today (in JST). Don't forget to submit your proposal(s) within 6.hours.from_now! 🥷💨 https://t.co/mLjIuqCsyM #rubykaigi — RubyKaigi (@rubykaigi) June 19, 2022 週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@h
[アップデート]AWS SSOのMFAでMacbookのTouchID(指紋センサー)が使えるようになりました! | DevelopersIO
AWS SSOのMFAとして、MacbookのTouchID(指紋センサー)を使えるようになりました! 新機能 — AWS SSO 用の WebAuthn を使用した多要素認証 | Amazon Web Services ブログ AWS SSOのMFAがWebAuthNという仕様に対応し、MacbookのTouchIDがこの仕様に準拠していることで利用できるようになっているようですね。ですので、TouchIDに限らず、WebAuthNに対応する認証システムが色々利用できるようになりました。 やってみた(マネジメントコンソール) 今回は内部IDストアを利用したSSOにてやってみます。 MFAの設定 まずAdmin権限を持つユーザーで、Organizationのマネジメントアカウントにログインします。SSOのコンソールの左列メニューの一番下、「設定」をクリック。さらに「多要素認証」欄の設定ボタ
![[アップデート]AWS SSOのMFAでMacbookのTouchID(指紋センサー)が使えるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/dc28c45bef8bd0322aa905f532749cfa289fd3c7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-single-sign-on.png)
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 韓国のChung-Ang Universityによる研究チームが開発した「Your Tapstroke Tells Who You Are: Authenticating Smartphone Users with Tapstroke-driven Vibrations」は、PIN(Personal Identification Number)コードやパスコードなどの個人認証を強化する、スマートフォン向け多要素ユーザー認証システムだ。 指のタップで入力する際に発生する振動を組み合わせることで、番号が分かっていても本人の指でないと認証しないようにした。指の形状や大きさは人によって違うことを利
「2024年9月」にAzure MFA Serverサービスが停止――Active Directory/Azure ADへの影響は?
「2024年9月」にAzure MFA Serverサービスが停止――Active Directory/Azure ADへの影響は?:Microsoft Azure最新機能フォローアップ(182) Microsoftは2022年11月初め、「2024年9月30日」以降、オンプレミスに展開されたAzure Multi-Factor Authentication Serverが多要素認証(MFA)要求を処理しなくなることを発表しました。Active DirectoryやAzure ADにはどのような影響があるのでしょうか。
2020年9月、ドコモ口座と銀行口座の連携において第三者による不正引き出し事件が発生。デジタル時代における本人確認に焦点が当たることになりました。本インタビュー記事ではデジタルによる本人確認、いわゆるeKYC関連サービスだけでなく、デジタル時代の身元証明の第三者機関を目指しているTRUSTDOCK代表の千葉孝浩さんに、現状の課題と今後やってくる本格的デジタル社会での本人確認のあり方について話を伺いました。 「ドコモ口座」問題では本人確認の「緩さ」が問題に ──TRUSTDOCKは「KYC(本人確認)プロバイダー」の看板を掲げて、e-KYC/本人確認APIサービス「TRUSTDOCK」などを提供されています。そこでKYCに関連してお聞きしたいことがあります。先日、「ドコモ口座」などキャッシュレス決済サービスのアカウントを勝手に作り、銀行口座から不正にお金を引き出す事件が発生しました。対策とし
2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。 【7位】 2要素認証でない「2段階認証」 これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービ
安全ではない「多要素認証」 5つの攻撃手法と防御策
多くのサービスや業務システムで多要素認証が広く使われている。キーマンズネットが実施した「ID/パスワードに関するアンケート」では、回答者の半数以上が「多要素認証を採用している」と回答した(2024年2月時点)。パスワードと比較してよりセキュアなログインが可能になるからだ。 だが多要素認証をただ導入しただけでは、安全を保つことができない。実際に2022年以降、多要素認証を突破する攻撃が急増しており、全世界で月間200万件以上の事例が報告されている。 多要素認証を安全に使う方法、攻撃に対応する方法を把握し、従業員がそれを理解して実践することが重要だ。 本ブックレット(全17ページ)では、多要素認証を突破する攻撃手法とそれを防ぐ方法、攻撃事例、多要素認証を導入する際に留意すべきポイントを紹介する。
アメリカやヨーロッパなどの銀行では、口座にログインするためのセキュアなアクセス方法として、電話口での声紋認証が採用されています。ニュースサイト・Motherboardのライターであるジョセフ・コックス氏が、無料で使える音声AIを使って自分の銀行口座にアクセスできたことを報告しました。 How I Broke Into a Bank Account With an AI-Generated Voice https://www.vice.com/en/article/dy7axa/how-i-broke-into-a-bank-account-with-an-ai-generated-voice 以下の動画を再生すると、実際にAIの合成音声で銀行にアクセスしている場面を見ることができます。 Lloyds Bank logged into using AI voice - YouTube コック
クライアント認証まわりのエピソード 川口洋氏(以下、川口):ちょっと質問があったので、ここのタイミングで拾っておきたいです。クライアント認証をやっているベースのシステムは、いろいろあると思います。クライアント側を認証しているケースで、「そういう時に突破できちゃうんだよね」とか、「このあたりの設定さえあればよかったのに」とか、クライアント認証まわりのエピソードはあったりしますか? ルスラン・サイフィエフ氏(以下、ルスラン):最近かなり多いです。クライアント証明書の認証によるアプリやWebアプリであれば、私としてはすごくいいと思います。その質問としては、証明書をどう保存するかが大事になってきて、Windowsの世界であれば、DPNで保存している場合は基本的には現時点では安全です。 どこかにはまだ公開されていない攻撃があるかもしれませんが、少なくとも今のところはDPNからの証明書の奪取ができない
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PCがハッキングされた時に現れる10の兆候、修復するための5つの操作
リュウジ氏の一件から考える 本当にWordPressは脆弱なのか?
もう多分怖くないサービスプリンシパル | SIOS Tech. Lab
AppleやマスクCEOなど多数のセレブTwitterアカウントが乗っ取られ、暗号通貨詐欺に悪用される
「はてなID」が「パスキー」と多要素認証の「TOTP」に対応/従来よりも安全にアカウントを運用できるように
IoTの脆弱性を突いて鉄道運行システムに侵入するミッションも、「IoTサイバーセキュリティ演習」レポート
MFA(多要素認証)でさえ突破されている~WebAuthnがおすすめな理由 #1~ | LAC WATCH
HOYA米子会社にサイバー攻撃 機密情報が闇サイトで公開か | NHKニュース
MS・Google・Amazon・Apple、主要アカウントを万全の認証設定にする方法
急増する不正ログイン、対策のカギは「正しく怖がる」こと
Microsoft 365における情報漏えいをどう防ぐ? 外部共有レベルをマークせよ
「Emotet」「IcedID」の被害増加 年末年始前に対策を | NHKニュース
macOSとAzureADでMacのユーザーアカウントを掌握 | ロードバランスすだちくん
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告
マイクロソフト、「Azure」の信頼性向上に向けた取り組みを明らかに
モバイルアプリによる二要素認証をさっさと捨てるべき理由
パスワード管理ツール1Passwordの全社導入から運用まで - ZOZO TECH BLOG
ドコモ口座不正に全額補償求める 金融庁、銀行監督指針で(共同通信) - Yahoo!ニュース
認証方法は「IDとパスワードのみ」が7割超 ネットサービス事業者の甘さ露呈
Windowsの「RDP(Remote Desktop Protocol)」の脆弱性とその対策とは
Googleは4万件のハッキング攻撃の警告を2019年に送信したことを発表
Oktaで大量の顧客情報漏洩、カスタマーサポート管理システムへの不正アクセス
PINコードをタップする際の“振動”で個人認証を強化 のぞき見などに対策
いよいよ身分証のDXが始まった―、eKYCの最前線をTRUSTDOCK千葉氏に聞いた | Coral Capital
平成のうちにやめたかった『ITの7つの無意味な習慣』 - Qiita
無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
「セキュリティ=ユーザビリティではない」 攻撃される・漏れてしまう前提で考えるセキュリティ運用