Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 なお、この記事では各項目の解説はあまり入れていません。2024年7月10日のClassmethod Odysseyで少し詳しく話そうと思っているので、よかったら聞きにきてください。オンラインなので無料です。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポ
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワードはすぐ変えるの推奨) 会社のシステムはどうなってるかこれはシステムがある会社で働いたことある人はわかるんじゃないかと思うけど 会社のシステムというのはいろんなものがあってそれぞれ全然別 メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるとは限らないというか多分されない さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)でスキルが全然違うのでやっているチームは普通違うし、物理的にサーバーがある場所も違うことが多い そのうえクレジットカードや最近ではシステムにアクセス
チュートリアル: Yjs, valtio, React で実現する共同編集アプリケーション - ROUTE06 Tech Blog
Yjsは、リアルタイム共同編集を実現するためのアルゴリズムとデータ構造を提供するフレームワークです。Notion や Figma のように、1 つのコンテンツを複数人で同時に更新する体験を提供することができます。 Y.Map, Y.Array, Y.Text といった共有データ型を提供し、それらは JavaScript の Map や Array のように利用できます。さらにそのデータに対する変更は他のクライアントに自動的に配布・同期されます。 Yjs は Conflict-free Replicated Data Types (CRDT) と呼ばれるアルゴリズムの実装であり、複数人が同時にデータを操作してもコンフリクトが発生せず、最終的に全てのクライアントが同じ状態に到達するように設計されています。 クイックスタート Y.Map がクライアント間で自動的に同期されるコード例を見てみましょ
TRACERYプロダクトマネージャーのharuです。 「要件定義とは何を目的としたプロセスなのか?なにが出来たら完了なのか?」 はじめて要件定義する人は、ここで詰まってしまうことが多いようです。 要件定義は、設計や実装に比べて、具体的な作業がイメージしにくいプロセスです。 そのような背景もあってか、2023年4月のBPStudy#188〜要件定義を学ぼう。ChatGPTを添えてに私が登壇した時の以下のスライドには、945個のはてなブックマークをいただきました*1。 speakerdeck.com 945というブックマーク数は、要件定義というものを具体的にイメージしにくいと感じている人が世の中に多いことの現れかもしれません。 そこで「要件定義とはそもそも何か」について、何回かの記事に渡って説明します。 この記事では要件定義の目的とゴールについて説明します。 プロジェクトの数だけ存在する開発プ
ムーザルちゃんねるのムーです。今回は zaru さんと、Next.js のセキュリティについて話しました。 セキュリティについては様々あると思いますが、今回は以下の3点をピックアップして話しました。 Client Components の Props から露出する Server Actions の引数に注意 認証チェックをやってはいけない場所、やって良い場所 これらは、Next.js 入門者がうっかりとやってしまうリスクがあるものです。 このような罠は、アプリケーション自体は正常に動くので、知らないうちにはまってしまいますし、自力で気づくのも難しいものです。もしも知らないものがあれば、ぜひご確認ください。 楽しくて、安全な Next.js 生活をお送りください! Client Components の Props から露出する これは、シンプルで当たり前といえば当たり前ですが、Client
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
アメリカ合衆国の名門校であるパデュー大学でコンピューターサイエンスを学んでいる「Ersei」氏が、GoogleドライブからLinuxを起動することに成功したとブログに投稿しました。 Booting Linux off of Google Drive | Ersei 'n Stuff https://ersei.net/en/blog/fuse-root Ersei氏は競争心が強く、友人がNetwork File System(NFS)からLinuxを起動するのに成功したと聞いた時「もっと難しくて、もっと良くて、もっと速くて、もっと強いものを作れると証明しなければ」と考えたとのこと。さまざまなアイデアを検討した結果、「GoogleドライブからLinuxを起動する」というプロジェクトにチャレンジすることに決めました。 Linuxの起動時には次の処理が行われています。 1:UEFIかBIOSが起
OpenSSH の脆弱性について
こんにちは、クラウドエースの SRE チームに所属している妹尾です。 今回は OpenSSH の脆弱性についての記事です。 (この記事は 7/4 に速報版から正式版へ更新しました) 2024/07/02 に、CVE-2024-6387が発表されました。 これは放置しておくと SSH を受け付ける全てのサーバーを乗っ取る事ができてしまう脆弱性です。 厄介なことにデフォルト設定の SSH-Server と、ある程度の時間があればサーバーを乗っ取れてしまうので、緊急度もかなり高めになっております。 そして Compute Engine もこの影響を受ける ので、多くの環境で対策が必要となります。 結局どうすればいいの Google が公表している、 GCP-2024-040 の手順に従いましょう。 (日本語訳ページだとまだ公表されてないようですので、英語版を見てください) 具体的には、以下のよう
徳島県は7月3日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると発表した。徳島県は、イセトーから納税者情報を削除したとの報告書を受け取っていたが、実際には削除されておらず、さらに通常とは異なるネットワークで扱われていたという。 漏えいした可能性がある情報は、氏名、住所、税額、車のナンバーが記載された2023年度自動車税の印刷データ19万5819件。このうち14万9797件が個人(13万2503人分)のもので、4万6022件が法人(7691組織分)のものだった。さらに、氏名、住所、車のナンバーが書かれた22年度減免自動車の現況報告書4260件(同人数分、いずれも個人の情報)と、氏名、住所、還付額の書かれた22年度還付充当通知書1件(同)も漏えいした可能性がある。 徳島県は、イセトーの事務処理には不適切な点があった
エッジは誰のもの? - ゆーすけべー日記
CDNの文脈でいうエッジコンピューティングはフロントエンドのものとされることが多い気がするけど、そうじゃない。フロントエンドの技術を使ったバックエンドである。 フロントエンド? ユーザーに近いところで実行されるという意味ではフロントエンドかもしれない。あと、VercelのNext.jsのように、フロントエンドフレームワークのファンクションがエッジで動くからフロントエンドでしょというのはある。そしてエッジのファンクションはたいていフロントエンドで使われているJavaScriptもしくはTypeScriptで書く。そうするとツールチェーンも、例えば「Vite」と聞いてそれが何であるか?を答えられる人はフロントエンドやってる人の方が多いだろう。 2つのユースケース エッジには2つのユースケースがある。 CDNの機能を拡張する。オリジンありき。 サーバーレスコンピュート。オリジンそのものになる。
メッセージングサービスのTwilioが、同社が所有する2段階認証アプリ「Authy」のユーザーの携帯電話番号がサイバー犯罪者によって盗まれたと発表しました。この発表は、サイバー犯罪者が3300万件の電話番号を盗んだと主張した1週間後に行われました。 Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS Twilio says hackers identified cell phone numbers of two-factor app Authy users | TechCrunch https://techcrunch.co
ライブの持ち物、準備は完璧ですか? アイドルオタクの筆者がコンサートなどの現場に持っていくものをリスト化。必須アイテムから、あったら便利なもの、遠征時の荷物までまるっと紹介! 初めての方も、そうでない方も、自分の荷物を見直してみてくださいね。 ライブやコンサートって、初めてのときは何を持っていけばいいのかわからないですよね。私も以前は「あれを持っていけばよかった……!」と後悔することがよくありました。そんな思いをしないためにも、事前に持ち物リストを確認してきちんと準備しましょう。ライブの持ち物は季節によっても違うし、日帰りか遠征かでも違ってきます。この記事を参考にして、持ち物を準備してくださいね。 【この記事はこんな人におすすめ】 ライブやコンサートに何を持っていけばよいか知りたい。忘れ物をしたくない 持ち物リストを確認してきちんと準備したい 季節やシチュエーションによって持っていった方が
【スパム】迷惑コメントはIPごとブロック!
スパムメールってなに? 迷惑メールと呼んでいいのか、迷惑コメントと呼んでいいのか、 正しい呼び方は分かりませんが、一般的には 「スパムメール」と呼ばれる迷惑なメール。 受信者が望んでいなくても、一方的に送信されてくるメールのことをスパムメールと言い、 簡単に言うと「迷惑メール」と同様の意味なのだそうです。 ブログサイトのコメント欄あてに、 海外からのコメントが多く入ります。 日によっては一日20件以上も…。 最初のうちは、記事のコメント欄に書くと言うことは、 少なくともブログ記事にアクセスしているのだから、 「アクセスありがとー」と言った気持ちで流していたのですが どうにも多く、辟易としてしまいました。 迷惑コメント、いわゆるスパムコメントを受け入れないようにするには、主に、 ・コメント全体を無効にする ・匿名コメントをオフにする ・コメント管理を有効にする ・ログインしているユーザーから
Windows 10のサポートは2025年10月に終了予定ですが、2024年5月時点でもPCユーザーの70%がWindows 10を使用し続けていることが報告されています。そんな中、MicrosoftによるWindows 10のサポートが終了した後も非公式セキュリティパッチの提供を約束する企業が現れました。 0patch Blog: Long Live Windows 10... With 0patch https://blog.0patch.com/2024/06/long-live-windows-10-with-0patch.html 2025年10月にWindows 10のサポートが終了すると、セキュリティ更新プログラムの配信が停止して脆弱(ぜいじゃく)性への対策が困難になります。しかし、「PCのスペックがWindows 11の要件を満たしていない」「必要なアプリがWindows
ロシアの諜報機関がTeamViewerのネットワークに侵入
リモート接続ソフトウェア「TeamViewer」の社内システムにハッカーが侵入し、後に実行犯がロシアの諜報機関だったことが明らかになりました。TeamViewerは「被害は企業のIT環境内にとどまり、顧客への影響はない」と説明しています。 Statement | Trust Center | TeamViewer https://www.teamviewer.com/en/resources/trust-center/statement/ TeamViewer confirms Russia broke into its corp IT network • The Register https://www.theregister.com/2024/06/28/teamviewer_russia/ 現地時間の2024年6月26日、TeamViewerが自社ウェブサイトで「社内IT環境で異常を
sumirenです。 ヘンリーではオブザーバビリティに投資をし、開発生産性と品質を高める取り組みをしています。 この記事では、ヘンリーが考えるオブザーバビリティ成熟度を解説し、最後にヘンリーの現状と今後について解説します。 オブザーバビリティ成熟度 全体像 筆者は、オブザーバビリティの成熟度について、以下のように考えています。 これはあくまで一般的な概念ではなく、筆者が説明のために考えた便宜上のモデルになります。 なにもない インフラメトリック アプリケーションログ 非構造化ログ 構造化ログ リクエストに紐づくログ アプリケーションメトリック(ログベース) トレース トレース単体 システム固有の共通的な計装 ドメイン/機能カットの計装 トレースの分析と集計 トレースの相関分析 オブザーバビリティ成熟度が低い状態〜中程度の状態 1. なにもない〜 2. インフラメトリック なにもない状態は、
システムで扱うステータスの分解と変換
初めに レバテック開発部の今井です。 ソフトウェア開発において、データの状態管理は非常に重要です。注文の状態、ユーザーの認証状態、プロジェクトの進行状態など、多岐にわたる状況で、適切な状態管理が求められます。しかし、ビジネス要件の変化や新機能の追加に伴い、状態管理が複雑化し、保守が難しくなることがあります。 この記事では、データの状態管理を簡単にするためにMECEを初めとした方法で分析を提案します。これによって、柔軟で効率的なシステム設計が可能になることを目指します。 TL;DR MECEの原則を使ってenum型ステータスを分解する方法を解説する MECEによる分解から一次情報と二次情報という区分を提案し、分析の高度化を目指す 一次情報と二次情報の区分とシステム間のデータ連係の関係性について考察する 対象読者 システムの保守性・拡張性に興味関心のあるエンジニア enumをMECEに分解する
BPOサービスを提供しているイセトーが今年5月にランサムウェア攻撃を受けたが、その被害が国内の企業・官公庁に広がっている。同社に業務を委託するため提供していた個人情報が流出の危機にさらされているのだ。 イセトーは5月29日、5月26日に同社の複数のサーバとPCがランサムウェアの被害を受け、データが暗号化されていることを確認したと発表。その後、7月3日、攻撃者グループのリークサイトにおいて公開された情報が、同社のサーバから流出したものであること、流出した情報の中に取引先の顧客の個人情報が含まれていることを確認したが、ダウンロードファイルは消失しており、ダウンロードができない状態となっていることを確認したと発表した。 イセトーがランサムウェア攻撃を受けたことで、同社に業務を委託していた企業のデータも漏出の被害を受けた格好だ。中には、自社が委託していた業者がイセトーにさらに業務を下請けのイセトー
愛知県豊田市は7月4日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、推計で約42万人分の個人情報が漏えいした可能性があると発表した。本来は削除すべきだった情報をイセトーの担当者が削除しておらず、漏えいの可能性につながったという。 漏えいした可能性があるのは、市県民税や軽自動車税、固定資産税などの通知書や、新型コロナ予防接種券、子育て世帯臨時特別給付金申請書など。書類には氏名、住所、税額、生年月日、保険料、固定資産の所在地、マスキングされた口座情報などが含まれていた。電話番号やマイナンバーは含まない。詳細な内訳は以下の通り。漏えいした可能性のある情報の悪用は確認していないという。 豊田市は「イセトーからの報告によると、各通知書などにかかるシステム改修用データなどについて、同社の担当者が本来業務終了後消去するべきところを消去せず、当該データが流出した」とし
OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響
セキュリティ企業・Qualysの脅威調査ユニット(TRU)の研究者たちが、GNU Cライブラリ(glibc)に依存するLinuxにおけるOpenSSHサーバーの重大なセキュリティ脆弱(ぜいじゃく)性を発見しました。この脆弱性は「regreSSHion」と名付けられ、認証なしのリモートからroot権限で任意コード実行が可能となる重大な脅威です。 regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vuln
個人情報流出を「安全に」確かめる方法
現代社会において、ネットサービスをなーんにも利用しない、登録しないなんて不可能です。ネットサービスに限らず、お稽古事など物理的なもので登録したサービスだってその情報管理はサーバー上にあるでしょう。となると、サーバー攻撃で情報が流出してしまうリスクは誰にでもあります。企業側がたとえ適切な情報管理をしても、悪い奴はあの手この手で攻めてきます。 …私の個人情報、流出してない? ふと、不安になったとき、Google(グーグル)のダークウェブスキャンが活用できます。 Googleのダークウェブスキャンの使い方Googleのダークウェブスキャンとは、簡単にいうと、ダークウェブ上にあなたの個人情報が載っていないか、載っちゃってる場合は何が漏れているのかを調べることができるサービスです。 Googleアカウントを持つユーザーなら、ログインしている状態で誰でも無料で使うことができます。 1: 自分のアカウン
GitHub ActionsからGoogle Cloudへの認証にはDirect Workload Identity Federationを使おう - Paper2 Blog
google-github-actions/authとは Direct Workload Identity Federationとは 利用方法 Workload Identity Poolを作成する Workload Identity ProviderをPool内に作成する 検証用のシークレットを作成する Workload Identity Poolに権限を付与する ワークフローを作成する まとめ google-github-actions/authとは Google Cloudの認証を実施するGitHub Actionsとしてgoogle-github-actions/authが提供されています。Actions上でgcloudコマンドなどを利用する前に認証で利用します。 このActionsではGoogle Cloud Service Account Key JSONによる認証とWorkl
Googleが、CA(認証局)として証明書の発行を手がけるセキュリティ企業「Entrust」が、認証局オーナーとしての能力、信頼性、および完全性に対する信頼を損なったとして、2024年10月31日以降に発行されるEntrust証明書をGoogle Chromeはデフォルトで受け入れずブロックする方針であることを明らかにしました。 Google Online Security Blog: Sustaining Digital Certificate Security - Entrust Certificate Distrust https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html Google cuts ties with Entrust in Chrome over trus
小池氏のカイロ大学”入学詐称”を追及する。 結論からいえば、本人証言をベースに、エジプトの大学関連法令から裁判例、カイロ大学の学則から現地報道、留学時代を知る日本人の証言まで照らし合わせた結果、小池氏が合法的に入学した証拠は一切得られなかった。 カイロ大学”卒業詐称”どころか、小池氏の学歴は根底から崩れることになる。 まずは、入学時期から検証する。 小池氏の自叙伝『振り袖、ピラミッドを登る』(1982年)には、 「私がカイロ大学に入学したのは、1972年10月だった」 『振り袖、ピラミッドを登る』1982年 小池百合子著という記述がある。 他の公表されているプロフィールも多く見たが、下記の通り入学年・月には一貫性がある(ただし学部・学科の記載有無はばらつきがある)。 ・1972年10月 カイロ大学入学 ・1972年 カイロ大学文学部入学 ・1972年 カイロ大学社会学科入学 ・1972年1
【6月30日版】アマゾンで24時間以内に値下がりした売れ筋商品ランキング | 激安!特価・タイムセール・クーポン観測所
激安!特価・タイムセール・クーポン観測所 Amazon・楽天・ヤフーショッピング等のタイムセール、限定クーポン、最新のリアルタイム売れ筋ランキングなど、激安&特価で販売中の商品情報を紹介していくブログです。 Amazonで24時間以内に値下げされた商品を売れ筋ランキング順で紹介します。 本記事は、パソコン・周辺機器、家電&カメラカテゴライズされた商品のランキングです。 ⇒その他売れ筋商品情報はブログランキング ランキング第1位 ソニー ワイヤレスノイズキャンセリングイヤホン WF-1000XM5 : MISIA CMモデル/完全ワイヤレス/圧倒的ノイズキャンセリング性能/小型軽量設計/高性能マイク通話品質/Amazon Alexa搭載/Bluetooth/LDAC対応/最大8時間連続再生/IPX4防滴性能/ 2023年 / マイク付き/マルチポイント対応 ブラック WF-1000XM5 B
iOSやmacOS向けのアプリケーション開発で利用されるライブラリ管理ツールの「CocoaPods」に、過去10年間にわたって脆弱(ぜいじゃく)性が存在していたことが明らかになりました。これにより、300万個ものiOSおよびmacOSアプリケーションがサプライチェーン攻撃の危機にさらされていたことが明らかになっています。 3 million iOS and macOS apps were exposed to potent supply-chain attacks | Ars Technica https://arstechnica.com/security/2024/07/3-million-ios-and-macos-apps-were-exposed-to-potent-supply-chain-attacks/ Millions of iOS apps were exposed t
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月25日、「Operation Blotless攻撃キャンペーンに関する注意喚起」において、環境寄生型(LOTL: Living Off The Land)戦術を用いるサイバー攻撃キャンペーン「Operation Blotless」に対し、注意を喚起した。2023年から日本の組織を狙う攻撃活動がみられるという。 JPCERT/CCは中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」による同種の攻撃を例に、短期および中長期の対策を提示している。 Operation Blotless攻撃キャンペーンに関する注意喚起 「Volt Typhoon」の特徴 Volt Typhoonは中国の敵と
セキュリティベンダーの米Qualysは7月1日(現地時間)、SSHソフトウェア「OpenSSH」に重大な脆弱性を発見したと発表した。脆弱性は「regreSSHion」(CVE-2024-6387)と名付けられ、ルート権限で認証なしに任意のコードをリモートで実行できてしまうという。同社によると世界中の1400万台以上のサーバーに影響があるとする。 regreSSHionはOpenSSHサーバで出現するもので、シグナルハンドラーの競合状態で発生。デフォルト構成のsshdが影響を受けるという。脆弱性が悪用された場合、攻撃者はシステムを制御下に置くことができ、マルウェアのインストール、データの改ざん、バックドア作成だけでなく、ネットワーク内にある他システムへの攻撃の足がかりに悪用される恐れがあるとする。 また、攻撃者がルートアクセスを取得すると、ファイアウォール、侵入検知システム、ログ記録システム
Linux Daily Topics OpenSSHにリモートコード実行の脆弱性、約20年ぶりの“回帰バグ”が発生 セキュリティソリューションベンダのQualysは7月1日(米国時間)、OpenSSHサーバ(sshd)に認証されていないリモートコード実行(RCE)につながる重大な脆弱性「regreSSHion」(CVE-2024-6387)を発見したことを明らかにした。 この脆弱性はOpenSSHサーバのシグナルハンドラ競合状態で、glibcベースのLinuxシステムでrootとして認証されていない任意のリモートコードが実行されるおそれがあり、悪用された場合、システムが完全に攻撃者に乗っ取られ、マルウェアのインストールやデータの操作、永続的なアクセスのためのバックドア作成などを実行される可能性がある。OpenSSHはすでに修正バージョン「OpenSSH 9.8」をリリースしており
安全ではない「多要素認証」 5つの攻撃手法と防御策
多くのサービスや業務システムで多要素認証が広く使われている。キーマンズネットが実施した「ID/パスワードに関するアンケート」では、回答者の半数以上が「多要素認証を採用している」と回答した(2024年2月時点)。パスワードと比較してよりセキュアなログインが可能になるからだ。 だが多要素認証をただ導入しただけでは、安全を保つことができない。実際に2022年以降、多要素認証を突破する攻撃が急増しており、全世界で月間200万件以上の事例が報告されている。 多要素認証を安全に使う方法、攻撃に対応する方法を把握し、従業員がそれを理解して実践することが重要だ。 本ブックレット(全17ページ)では、多要素認証を突破する攻撃手法とそれを防ぐ方法、攻撃事例、多要素認証を導入する際に留意すべきポイントを紹介する。
情報セキュリティ体制|株式会社イセトー
イセトーは、“お客さまの外部委託先”としての責任を十分に認識し、管理体制のさらなる整備と強化に努めています。 プライバシーマーク 認定番号 第24000144(12) イセトーは、2000年10月に社内全部門でプライバシーマークを取得しました。プライバシーマークは日本工業規格・JISQ 15001「個人情報保護マネジメントシステム要求事項」に基く個人情報保護策の一環として、1998年より運用が開始された制度です。 認定の有効期限 2022年10月23日から2024年10月22日 ISMS認証 IS 91610/ISO27001 イセトー情報処理センターおよびイセトー関西情報処理センター、東京本社内エンパワードソリューション本部は、情報セキュリティマネジメントシステムの国際規格であるISO IEC 27001:2013/JISQ 27001:2014認証を取得しています。 ISMSクラウドセ
新紙幣ではユニバーサルデザインの観点から、1000円紙幣と1万円紙幣の「1」のデザインが異なっている。1000円札では直線のようなデザインなのに対し、1万円札では頭の部分に飾り(セリフ)があるデザインを採用。いらすとやのイラストでもこの部分をそれぞれ再現している。 関連記事 いらすとやに新作、「インプレゾンビ」追加 認証バッジ付けたゾンビがスマホをいじる イラストレーターのみふねたかしさんは、運営するフリー素材サイト「いらすとや」に「インプレゾンビ」を追加した。説明文には「楽しそうにX(Twitter)を徘徊する認証済みゾンビのイラストです」と記載がある。 いらすとや、「クビになった青い鳥のイラスト」公開 Twitterの“ロゴ変更騒動”受け イラストレーターのみふねたかしさんが運営するフリー素材サイト「いらすとや」に「クビになった青い鳥のイラスト」が追加された。説明文には「急にTwitt
問題があったのは、サービスの稼働状況を監視するシステムの設定。本来は個人情報を保存しない仕様だったものの、2023年6月から24年1月にかけて、一部の顧客情報が保存される設定になっていた。結果として、ファーストリテイリンググループが個人情報の取り扱いを任せていない委託先が、特定の条件下でデータを閲覧できたという。 閲覧できたのは(1)ユニクロ、ジーユー、プラステなどファーストリテイリンググループが運営するECサイトを使った顧客の氏名、住所、電話番号など、(2)グループ店舗に来店した人のうち、他店舗からの商品取り寄せを希望した人の氏名、電話番号、メールアドレス、(3)着こなし確認用スマートフォンアプリ「スタイルヒント」利用者のメールアドレス──で、クレジットカード情報やパスワードは含まないとしている。 データが閲覧可能だった委託先事業者とは、今回の件を受けて個人情報の保存や持ち出しをしていな
こんにちは、うしろのこです。直近1年ではVueから離れて、maja と呼ばれる組織管理基盤の新規プロダクトの開発をしていました。 プロダクトの話はこちら(maja)↓ note.st.inc 今回は、0->1における技術選定や開発中の工夫、結果どうだったかなどを書きます。 技術選定 初めに、前提条件は以下のような感じでした。 メンバーはReactの経験が豊富、フロントを触るのは多くて3,4人くらい 常にユーザー認証された状態で操作されるため、FE用のmiddleware的な層があるとうれしい toBアプリケーション せっかくなので使ったことのないものを使ってみよう、ということで、すでにWAFでの導入が進んでいたCloudflareの技術の採用をFEでも検討しました。少し触った感じではdeploy体験がよく、ローカル開発環境であるwranglerの出来も申し分なかったため、Cloudflar
【7月4日版】アマゾンで24時間以内に値下がりした売れ筋商品ランキング | 激安!特価・タイムセール・クーポン観測所
激安!特価・タイムセール・クーポン観測所 Amazon・楽天・ヤフーショッピング等のタイムセール、限定クーポン、最新のリアルタイム売れ筋ランキングなど、激安&特価で販売中の商品情報を紹介していくブログです。 Amazonで24時間以内に値下げされた商品を売れ筋ランキング順で紹介します。 本記事は、パソコン・周辺機器、家電&カメラカテゴライズされた商品のランキングです。 ⇒その他売れ筋商品情報はブログランキング ランキング第1位 ソニー ゲーミングイヤホン INZONE Buds:WF-G700N Fnatic監修 / 完全ワイヤレス / 低遅延2.4GHzワイヤレス接続 USBType-Cトランシーバー同梱 / LE Audio対応 / アクティブノイズキャンセリング / 立体音響 / 最大約24時間バッテリー / 急速充電 / マイク付き / PS5 スマホ PC Switch ホワイト
おはようございます 100均大好き miyuremamaです 毎日の暮らし のんびり 楽しんでいます 美味しいものも大好きです❤️ 新発売のOurano コードレスクリーナーを 使用させていただきました 軽量・おしゃれなデザイン 本体は500gで軽くて 色はブラックでスリムなデザイン リビングに出しっぱなしでも インテリアに馴染むデザインです 超強力吸引・超静音設計 小型なのに、2つの吸引モード 強力な吸引力なのに 75dBの超静音設計 充電式 Type-C 30分間は持続稼働 バッテリーが重いとか無いよ ワンタッチゴミ捨て ワンタッチでゴミを簡単に 手を汚すことなく捨てられます 親指1本でOKよ 部品は全部取り外しが出来るので お手入れが出来てうれしいです うれしいビックリだよ 付属品 リブ付きフレキシブルホース、ブラシ、 そしてロングノズルなどがあります お掃除する場所に応じて ヘッド
自動車メーカーがエンジン開発の転換点として、特に重要視している排ガス規制は、2つある。欧州委員会(EC)の新環境規制「Euro 7(ユーロ7)」と、米国環境保護庁(EPA)の新規制案だ。いずれも2020年代後半から発効する見通しだ。 ユーロ7は、現行規制の「Euro 6d(ユーロ6d)」と比べ排ガス規制成分や数値に大きな違いはないが、試験条件の難易度が上がる。従来は、室内において路上走行を再現するシャシー・ダイナモ・メーター上で測定するのが一般的だったが、ユーロ7からは路上走行にて排ガスを測定するRDE(Real Driving Emissions)試験を全面的に導入する。 実際の走行条件に近いRDE試験は、室内で測定する従来の試験よりも、温度や路面状況の幅が拡大し、「既存のエンジン車にとって認証を得るのが非常に難しくなる」(日系自動車メーカーのエンジン技術者)と言う。 一方EPAは、20
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAのハッキングの話チョットワカルので書く
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
KADOKAWAのハッキングの話が雑すぎるので書く
要件定義の目的とゴールとは - TRACERY Lab.(トレラボ)
知らないとあぶない、Next.js セキュリティばなし
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
GoogleドライブからLinuxを起動する仕組みを構築したエンジニアが登場
徳島県、個人情報20万件漏えいの可能性 委託先・イセトーのランサムウェア被害で すでに削除済みのはずが……
2段階認証アプリAuthyの3300万ユーザー分の電話番号がサイバー犯罪者に盗まれる
ライブ当日に慌てないための持ち物完全マニュアル:忘れ物ゼロを目指す徹底ガイド&準備のポイント - ソレドコ
サポート切れが迫るWindows 10に非公式セキュリティパッチの配布を約束する企業が登場
ヘンリーのオブザーバビリティ成熟度を考える - 株式会社ヘンリー エンジニアブログ
日本生命に公文、イセトーのランサムウェア攻撃で被害を受けた企業・自治体が増加中
豊田市でも42万人分漏えいか 委託先・イセトーのランサムウェア被害、拡大続く
「OpenSSH」にルート権限で認証なしに任意のコードが実行される致命的な脆弱性/リモートから悪用可能、「OpenSSH 9.8p1」への更新を
Google ChromeがEntrust証明書を2024年11月からデフォルトでブロックすることに
小池百合子のカイロ大学“入学詐称”問題ー非合法入学のこれだけの証拠|浅川 芳裕
300万個ものiOSおよびmacOSアプリが強力なサプライチェーン攻撃にさらされていたことが明らかに
日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ
認証なしでリモートコード実行 OpenSSHに“回帰”した脆弱性「regreSSHion」発覚
OpenSSHにリモートコード実行の脆弱性、約20年ぶりの“回帰バグ”が発生 | gihyo.jp
いらすとや、新紙幣のイラスト公開 1000円札と1万円札の「1」のデザイン違いも再現
ユニクロ、顧客データの扱いに不備 個人情報扱わないはずの委託先が閲覧可能な状態に
Remix x Cloudflare Workersで0->1 - STORES Product Blog
『狭い場所や階段掃除におすすめ【PR】コードレス掃除機軽量スティッククリーナー#誰かに教えたいこと』
世界で排ガス規制が厳格化、トヨタはエンジン開発継続もホンダは完了宣言