Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
「CEOに身代金を要求したい」 こんにちは、PSIRTマネージャのただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2021 18日目です。 freeeにjoinしてから早くも14ヶ月がすぎました。freeeでは毎年10月に全社障害訓練をしていて、昨年は入社したてで右も左もわからないままAWS上の本番環境(のレプリカ)に侵入してDBをぶっ壊す役目をさせられたのも良い思い出です*1。 で、上の「CEOに身代金を要求したい」という物騒な相談は、今年の訓練計画の話です。話を持ち掛けてきたのはCIOの土佐。昨年は主要サービスが落ちて、開発チームが対応にあたる中、ビジネスサイドも顧客対応などで訓練参加しましたが、今年はさらに、経営サイドまで巻き込もうというゴール設定がされたわけですね。腕が鳴ります。 ゴールは「CEOに4BTCを要求する」 ゴー
COVID-19のパンデミックを受け、教育機関や企業などでリモート会議(イベント)を導入する動きが強まり、Web会議サービスを提供するZoomでは(有料・無料併せた)会議参会者は昨年12月末の1000万人から3月には2億人を超える人数が利用しており、それに合わせて複数の問題も確認されています。ここではその中でZoom爆撃ともいわれるZoomミーティングを狙った荒らし行為についてまとめます。 Zoomを狙った荒らしの発生 Zoomで行われるミーティングで本来参加を想定していない第三者が参加し行う荒らし行為(Zoombombing、Zoom爆撃)が発生している。 荒らし行為を通じてミーティングやイベント進行に支障が生じ、中断につながる恐れがある。 海外でZoomBombingによる被害報告が複数取り上げられている。公序良俗に反する内容(ポルノなど)を画面共有したり、ヘイトスピーチ等でチャットを
3大イラッとくる入力フォーム
ペースト出来ないID/パスワード欄 4つに分割されてるクレジットカード番号入力欄 入力した後で記号は使えませんとか言ってくるパスワード欄 あと一つは?
今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化(暗号化)せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月4日、緊急会見を開いた。被害額は全額補償するという。運営元のセブン・ペイ小林強社長は「詳細については調査中。いろいろな角度から精査しないといけない」と語ったが、全体を通してセブン&アイ側の“認識の甘さ”が垣間見えた会見だった。 残高チャージ、新規登録を停止 決済機能はそのまま 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。 同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だっ
1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した 最近、コミットはされないがローカルのディレクトリに置かれている.envのようなファイルから生のパスワードやAPI Tokenを削除しました。 これは、ローカルでマルウェアを実行した場合に、ローカルに置かれている生のパスワードやAPI Tokenを盗まれる可能性があるためです。 最近は、npm install時のpostinstallでのデータを盗むようなマルウェアを仕込んだりするソフトウェアサプライチェーン攻撃が多様化しています。 Compromised PyTorch-nightly dependency chain between December 25th and December 30th, 2022. | PyTorch What’s Really Goin
近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。 ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。 ガイドラインの内容 ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。 本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施する
1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく
・背景 サムライズムでは創業より一貫して生産性を向上するソリューションを提供しております。またお客様の生産性を向上させるだけでなく、サムライズム自身も生産性を向上してお客様の迅速にお応え出来るよう、最適化された販売管理システムを内製しており、ご依頼より最短で1分ほどで見積の作成や商品の納品を行える体制を整えております。 業務の生産性を向上する上で課題となっているのが注文書などの帳票をzipファイルに圧縮するという日本の習慣です。添付ファイルのzip圧縮は「文字コードやディレクトリ構成の関係で展開に失敗する」、「別送のパスワードが送られてこない・遅延する」、「パスワードがかかっておりウイルススキャンが行えない」など悪影響が多い一方でセキュア化にさほど貢献しません。 また「パスワードは本日の日付です」「パスワードは弊社/貴社の電話番号下4桁です(そして電話番号は署名欄に記載されている)」などと
河上シェフ❄️️ @caravan1979 AppleIDが乗っ取られて14000円×21回購入294000円の被害でした。あっという間の事でパスワードが急に変更されて信頼出来る電話番号変えられてカード会社に電話した時には22回目の購入をしている所だったとの事。Appleは夜21時以降連絡出来ないのでカード会社で止めました。皆さん気をつけて😭 pic.twitter.com/xyRodZjh80 2021-05-14 22:43:53
本当にあった怖い脆弱性の話
PHPerkaigi 2022 Day2 Track B
こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXkRead less
パスワードレスな認証方式である「パスキー」が急速に普及しています。OS、ブラウザ、パスワード管理ツール、サービス提供者のどれもが整いつつあり、ついに本当にパスワードが必要ない世界がやってきたことを感じます。この記事では、本腰を入れてパスキーを使い始めて快適になるまでの様子をまとめます。技術的な厳密さ・網羅性には踏み込まず、いちユーザーとしての入門記事という位置付けです。 パスキーとは パスキー - Wikipedia 認証、セキュリティに関しては門外漢なので、Wikipediaのリンクを置いておきます。私よりはWikipediaのほうが信用に足るでしょう。 そこから辿れるホワイトペーパー:マルチデバイス対応FIDO認証資格情報を読むと、多少ストーリーもわかります。FIDO2というデバイスに格納された秘密鍵に依存したパスワードレス認証の仕様に、暗号鍵(と訳されていますが秘密鍵のことで良い……
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
ジェフリー・ポールのブログより。 ここにあります。それが起こりました。あなたは気付きましたか? リチャード・ストールマンが1997年に予言した世界のことを話しています。コリイ・ドクトロウも警告しました。 macOSの最新バージョンでは、アクティビティのログが送信されたり、保存されたりしない限り、コンピュータの電源を入れ、テキスト・エディタや電子書籍リーダを起動して、文書を書いたり読んだりすることはできません。 macOSの現在のバージョンでは、OSはそれを実行する時に、あなたが実行したすべてのプログラムのハッシュ(一意の識別子)をAppleに送信することが分かりました。多くの人はこれに気づいていませんでした。なぜなら、それは静かで目に見えず、オフラインのときに即座に、そしてうまく失敗するからが、今日はサーバが本当に遅くなり、フェイルファストのコードパスにヒットせず、インターネットに接続して
July Tech Festa 2020 TrackB https://jtf2020.peatix.com/
「残業代なんて出すわけない」物議を醸したDr.ストレッチの求人広告、元社員による改ざんだった 退職後もパスワード変えず【3月13日追記】
「新型コロナは体調管理ができてない証拠」などの文章が物議を醸していた、ストレッチ専門店「Dr.ストレッチ」の求人広告(※)について、フランチャイズ運営元であるフュービックは3月11日、サイトの改ざんを行った人物について「フランチャイズ加盟企業(つながり)の元従業員」だったとの調査結果を公表しました(PDF)。つながり社は今後、元従業員に対し民事および刑事で責任追及を行っていくとしています。 ※広告を直接掲載していたのはフランチャイズに加盟していた「つながり」社で、フュービックは「Dr.ストレッチ」のフランチャイズ運営元 フランチャイズ加盟店が管理する求人サイトの一部内容において不適切な表現が掲載されてしまった件について(PDF) 問題となっていた求人広告は、Dr.ストレッチのフランチャイズ加盟店「つながり」が、転職サイト「engage」に掲載していたもの。一見普通の求人ページに見えましたが
第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
マイナビ、いなば食品の炎上から貰い火(逃げる社員のマイナビ転職情報がいなば食品に筒抜けだった疑惑が浮上)
教員用PC貸与が発端となった中学生による校内不正アクセス事案についてまとめてみた - piyolog
2019年12月4日、新潟県長岡市内の中学校に通う生徒が校内のサーバーに記録された成績表を改ざんを行っていたとして不正アクセス禁止法などの容疑で書類送検されました。19日に中学校の校長が記者会見を行い、管理体制に不備があり保護者や関係者に不安を与えたとして謝罪しました。ここではこの事案に関連する情報をまとめます。 スライドショー作成のために貸与 事案の概要図 教員が委員会活動のためとして教員用PCを生徒に貸していた。 委員会活動とは具体的には給食時間に発表するスライドショーの準備。全校生徒に学校行事の写真を見せるもの。*1 生徒は自分のPCの性能では作業が追い付かない等と訴え借りていた。*2 使用中は教員が横にいたが、3分ほど教室を離れる時もあった。 生徒による不正行為はパスワード窃取と自宅からのリモート操作により行われていた。 事件に関連するタイムラインを整理すると次の通り。 日時 出来
新潟県の中学生が学校の教員用のサーバーに不正にアクセスし、自分の成績表を改ざんしたとして書類送検されました。調べに対し「親によい成績を見せたかった」などと話しているということです。 警察によりますと、男子生徒はことし9月から10月にかけて、学校の教員用のサーバーに不正にアクセスし、自分の成績表を改ざんしたなどとして、不正アクセス禁止法違反などの疑いが持たれています。 捜査関係者によりますと、学校で使っていたタブレット端末の教員用サーバーのパスワードを事前に入手したうえで、スマートフォンから遠隔操作用のアプリを使って、アクセスしていたということです。 調べに対し「親によい成績を見せたかった」などと話しているということです。
7iDのパスワードを再設定すると7payのクーポンや残高が消えたとの報告が相次ぐ→広報「システム上の不具合ではなく、個別対応で解消できる」と説明
リンク INTERNET Watch セブン&アイが「7iD」パスワードを強制リセット、ユーザーに再設定を呼び掛け 7月29日時点で「7pay」被害額は3860万円に 株式会社セブン&アイ・ホールディングスは30日、同社のネットサービスなどで使用する共通ID「7iD」のパスワード一斉リセットを実施した。ユーザーはパスワードの再設定が必要になる。 8 users 30
パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。 これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。 そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げ
フリーWi-Fiを提供しているレストランやカフェなどでは、専用のカードにネットワーク名とパスワードが記入されており、これを入力することでWi-Fiに接続することが可能となります。そんなWi-FiのSSIDとパスワードが書かれたカードを手軽に作成できるサービスが「WiFi Card」です。Wi-Fiのネットワーク名とパスワードを入力すると自動生成されるQRコードをスマートフォンなどのカメラで読み取れば、面倒なパスワード入力作業なしで、簡単にWi-Fiにアクセスできるようになります。 WiFi Card https://wificard.io/ 使い方はとても簡単で、WiFi Cardにアクセスすると2つのテキストボックスがあるので、ここにWi-Fiのネットワーク名とパスワードを入力すればOK。今回は架空のネットワーク名として「GIGAZINE_Net」、架空のパスワードとして「HOGEhog
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。 字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
今回確認された手法は、一般家庭で利用されているルーターを、サイバー攻撃者が外部から不正に操作して搭載機能を有効化するもので、一度設定を変更されると従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態となってしまう手法です。 従来の対策である 初期設定の単純なIDやパスワードは変更する。常に最新のファームウェアを使用する。サポートが終了したルーターは買い替えを検討する。に加え、新たな対策として、 見覚えのない設定変更がなされていないか定期的に確認する。をお願いします。 具体的には、ルーターの管理画面で次の事項を定期的に確認し、問題があった場合には、その都度是正するようお願いします。 見覚えのない「VPN機能設定」や「DDNS機能設定」、「インターネット(外部)からルーターの管理画面への接続設定」の有効化がされていないか確認する。VPN機能設定に見覚えのないVPNアカウントが追
追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu
(2021.1.31 14:27追記:この記事はマイナンバーカードを使った電子申告を前提にしているので、ID・パスワード方式で確定申告したい人にはあんまり役に立ちません) はじめに 2021年からはスマホで電子申告 特別定額給付金のときに技術的には可能であることが示されていた 実際にやってみた 本当に楽だった 2021.1.31 11:00追記:マネーフォワード クラウド確定申告 2021.1.31 14:14追記:普通のe-Taxも改善してきているらしい はじめに 今年も確定申告の時期になりました。 2020年は技術書典8疲れから4月になってから申請したのが記憶に新しいところです。会計を締めるまでには時間がかかりましたが、freeeが国税庁のe-Taxサービスに電子申告用バイナリデータをアップロードしてくれるmacOSアプリを用意してくれていたおかげで、e-Tax自体はとてもすんなり行き
マルチプラットフォームのパスワード管理ツールを提供する米LastPassは2月16日(現地時間)、無料版「LastPass Free」で利用できるデバイスタイプを1つに限定すると発表した。3月16日から、モバイル端末かデスクトップWebブラウザかの選択を迫られる。 モバイル端末にはスマートフォン、スマートウォッチ、タブレットが含まれ、デスクトップWebブラウザは現在サポートされているすべてのPC上のWebブラウザのことだ。 例えばモバイル端末を選ぶと、iPhone、Android端末、iPad、Apple WatchでLastPassが使えるが、WindowsノートやMacでは使えない。デスクトップWebブラウザを選ぶと、その逆になる。 PC(Mac)とモバイル端末の両方でパスワード管理を続けたい場合は、月額3ドルの「LastPass Premium」あるいは月額4ドルの「LastPass
元Googleエンジニア「TikTokはパスワードなど全文字入力を取得できる」 → 公式が反論 → ニューヨーク・タイムズがさらに反論の論争に
プライバシー研究者で元GoogleエンジニアのFelix Krause(フェリックス・クラウス/@KrauseFx)さんが8月19日に公開した、SNSのモバイルアプリに関するセキュリティの懸念事項に関するレポートが話題です。このレポートにTikTok公式がTwitterで反論しましたが、さらにその反論にニューヨーク・タイムズ記者が反論するちょっとした論争に発展しています。 フェリックス・クラウスさんのレポート フェリックスさんのレポートは、アプリでURLをクリックした際などにリンク先をスマートフォンのSafariやChromeなどデフォルトブラウザではなく、アプリ内で開く“内蔵ブラウザ”についてまとめたもの。一部のアプリでは、この内蔵ブラウザがセキュリティリスクを抱えているということです。 このレポートでは、特にTikTokが最も多くのリスクを抱えていると指摘。リンクをタップした際にデフォ
セブンペイ、抱えていた「不発弾」の代償
セブン&アイ・ホールディングスが7月1日に開始したスマホ決済サービス「7pay(セブンペイ)」で不正アクセス被害が発生した。SNS上で「30万円を不正利用された」「19万円を不正にチャージされて使われた」などの被害が相次いで報告され、セブン&アイは7月3日にクレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めた。セブン&アイの発表によると、7月4日の午前6時時点の試算で被害者は約900人、被害額は約5500万円に上る。 4日に会見したセブン&アイ傘下のセブン・ペイの小林強社長は「詳細な原因を調査中」と話した。だが、原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。 セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イ
Sen Ueno @sen_u サイバーセキュリティの株式会社トライコーダ、OWASP Japan Chapter Leader など。飲むとすぐ寝る。 tricorder.jp
2022年6月23日、尼崎市は業務委託先企業の関係社員が個人情報を含むUSBメモリを紛失したことを公表しました。紛失したUSBメモリには同市全市民の住民基本台帳の情報等が含まれていました。ここでは関連する情報をまとめます。 データ更新作業で持ち出したUSBメモリ紛失 紛失したのは尼崎市から業務委託を受けたBIPROGYがデータ移管作業のためとして持ち出していたUSBメモリ2つ(1つはバックアップ用)。 BIPROGYは尼崎市から住民税非課税世帯等に対する臨時給付金支給事務を受託。給付金に関して自身が対象になるのか等の市民からの問合せにBIPROGYのコールセンターで応じるため、データの更新を行う必要があった。BIPROGYのコールセンターでのデータ更新作業はBIPROGY社員2人と協力会社社員1人、別の協力会社(アイフロント)の委託先社員1人が対応していた。 物理的な運搬を行った理由として
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
Zoom爆撃と予防策についてまとめてみた - piyolog
パラノイアのプログラマと第6感 - megamouthの葬列
「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した
ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
Google Chrome EV表示の終焉 - ぼちぼち日記
zipファイルをお送り頂いた場合の手数料について | 株式会社サムライズム
AppleIDが乗っ取られあっという間に30万円の被害に遭った
SPAセキュリティ入門~PHP Conference Japan 2021
パスキーが快適すぎる - yigarashiのブログ
アイコンを見るだけでデータが破壊されるNTFSの脆弱性
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
あなたのコンピュータはあなたのものではない
テストを自動化するのをやめ、自動テストを作ろう
日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
セブン&アイの7pay、7日持たずに大コケ : 市況かぶ全力2階建
中学生 スマホで教員用サーバーに不正アクセス 成績表を改ざん | NHKニュース
「パスワードは複雑さより長さが大切」 FBIが指南
QRコードを読み取るだけでWi-Fiにログインできるカードを簡単に作成できる「WiFi Card」
生徒に「SNSのパスワード」を提出させる…練馬区の中学校でミス、教育委員会が謝罪 - 弁護士ドットコムニュース
twitterアカウント@yanmaが乗っ取られた - yanma
情報セキュリティ10大脅威 2020年版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
家庭用ルーターの不正利用に関する注意喚起について 警視庁
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
確定申告のe-Taxでカードリーダーが不要に!freeeの電子申告アプリが最高だった話
パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須に
「バレバレじゃん」総当たり攻撃時のパスワード最大解読時間を表で示してみた「桁数を増やすことに意味がある」
全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた - piyolog
www.seiko.co.jp
jin115.com
detail.chiebukuro.yahoo.co.jp
jp.news.gree.net
www.seiko.co.jp
urasunday.com