ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン(東証一部上場)は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4~6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
高木浩光@自宅の日記 - 緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか
■ 緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか まえがき 個人番号(マイナンバー)を、法定された目的(税とか社会保障とか)以外で他人に対して提供を求めることが禁止されていることは、わりと広く知られており、みんな遵守してきたところだろう。だが、今、どう見ても目的外で提供を求めている(自社サービスの利用者登録の目的とされている)スマホアプリがあるということで、個人情報保護委員会の出方が問われているところ、宇賀説(宇賀克也『番号法の逐条解説』有斐閣)によれば合法ということになるのではないか?(おそらく弁護士らもそれを参考にしていたのでは?)という話が出ているのだが、これについて、番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律、平成25年法律第27号)の立案過程で、内閣法制局で二転三転していたことが判明したので、至急、速報的に、こ
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
本日の一部報道において、LINE株式会社(以下、LINE)が提供するコミュニケーションアプリ「LINE」の国内ユーザーの日本国外での個人情報の取り扱いに関する報道がありました。 「LINE」に対して外部からの不正アクセスや情報漏えいが発生したということはございません。また、ユーザーの皆さまの「LINE」でのトークテキストやプライバシー性の高い個人情報(名前・電話番号・メールアドレス・LINE ID・トークテキストなど、それひとつでユーザー個人を特定できるもの、または金銭的被害が発生する可能性があるもの)は、原則として日本国内のサーバーで安全に管理しております。 しかしながら、「LINE」の日本国内ユーザーの一部の個人情報に関して、LINEのグローバル拠点から日々の開発・運営業務上の必要性からアクセスを行っていることについて、ユーザーの皆さまへのご説明が十分でなかった点について、ご不安やご心
TL;DR 基本的には二重での暗号は不要 ただし、転送後も暗号化したまま使うなら、転送前から暗号化するのは良い ルールXを無邪気に追加して不整合のあるセキュリティルールを作ってはいけない はじめに 社内のセキュリティルールやスタンダードを決めるときに、HTTPSなのにVPN必須になってたりファイル暗号も必須になってたりするケースたまに見ます。今回は、それは実際に必要なことなのか? セキュリティ的に有効なのか? という点で考察をしていきたいと思います。 背景 二重三重に暗号化しても性能ペナルティが無いなら「なんとなく安全そうだから」でOKにしてしまいがちなのですが、これはよく考える必要があります。 というのも 「ルールXを追加することで既存のルールAと不整合が出る」 ってことは割とよくあるからです。具体的には「SCPのファイル転送は(SCPのセキュリティに不備があった時の)安全性のためにファ
概要 本稿は、突然ムシャクシャした筆者が自分の考えるブロックチェーンの定義と、世間で言われているブロックチェーンの特性および応用例を批判するものである。 本稿は筆者の見解であり、所属組織の公式見解ではない。 ブロックチェーンの定義 そもそもブロックチェーンとはなんなのか。狭義には、「ブロック」の「チェーン」であることから、以下の定義をしたい。 データが、当該データ直前のデータの暗号学的ハッシュ値を持つリスト型のデータ構造 ここでは、そのデータの中に何を保持するかは一切考慮しない。 データがハッシュ値で連鎖することによって、リスト中の任意のデータのみを書き換えると、ハッシュチェーンの整合性が失われ、書き換えが行われたことを検知可能なデータ構造であると定義する。 しかし、世間で「ブロックチェーン」に興味を持つ諸氏はこの定義だけではいささか狭すぎると感じるだろう。 そこで、狭義のブロックチェーン
この本の概要 テレビ会議やリモートワークが普及する中,情報を守る暗号や本人確認のための認証技術の重要性が増しています。本書は公開鍵暗号や署名などの理論を基礎から詳しく解説し,TLS1.3やHTTP/3,FIDOなどの新しい技術も紹介します。更にブロックチェーンで注目されている秘密計算,ゼロ知識証明,量子コンピュータなど最先端の話題も扱います。 こんな方におすすめ 暗号と認証の基礎を学習したい人 Web担当者やセキュリティ担当者など 1章 暗号の基礎知識 01 情報セキュリティ 情報セキュリティの三要素 情報セキュリティと暗号技術 利便性とコスト 追加された要件 02 暗号 暗号とは よい暗号と使い方 暗号の動向を知る 03 認証 パスワードによる認証 パスワード攻撃者の能力 パスワードの攻撃手法 認証の分類 認可 OAuth 04 古典暗号 シフト暗号 換字式暗号 符号化 2章 アルゴリズ
私とOSSの25年
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24Shin Ohno
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米国の研究機関であるAperture Internet Laboratoryは、Linuxで動作する中国のインターネット検閲システム「グレートファイアウォール」(Great Firewall、GFW、金盾)をオープンソースで実装したシステム「OpenGFW」を発表した。このシステムは家庭用ルーターで使用可能なほど柔軟で使いやすく、GFWを個人レベルで実現することを目指している。 OpenGFWは、IPとTCPのデータを完全に再構築する能力を持ち、HTTP、TLS、DNS、SSHなどのネットワークプロトコルを解析できる。特に、Shadowso
Appleの製品セキュリティ解説が面白い
Appleは自社の製品セキュリティについて割と詳細に解説したホワイトペーパーを公開している。何故か日本語版もある。 (PDF版) https://manuals.info.apple.com/MANUALS/1000/MA1902/ja_JP/apple-platform-security-guide-j.pdf EDIT: 日本語版は無くなったようだ (PDF版) https://help.apple.com/pdf/security/ja_JP/apple-platform-security-guide-j.pdf EDIT: 新しいURLで公開された (PDF版) https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf このドキュメントは言わば ユーザのプライバシで商売をすることの決意表明
西日本高速道路(NEXCO西日本)は3月15日、個人情報191人分を保存していた可能性があるUSBメモリを紛失したと発表した。データは暗号化していたものの、メモリ本体にパスワードを貼り付けていたという。 保存していた可能性のある情報は、191人分の氏名、住所など。いずれも、道路を損傷させた人に復旧費用の負担を求める「原因者負担金」に関する情報という。 紛失は2月13日に判明。社員が気づき、捜索したが見つからなかったという。個人情報保護委員会への報告は3月11日に済ませた。情報を保存していた可能性がある人には個別に連絡するという。 関連記事 元日限定「JR西日本乗り放題きっぷ」発売 新幹線も利用可能 2017年の元日限定で、JR西日本と智頭急行の全線が乗り放題になる「元日・JR西日本乗り放題きっぷ2017」が登場。 USBメモリ、メモ、ノートPC……紛失事案が目立った10月セキュリティまとめ
英政府は10月11日(現地時間)、IT企業に対し、エンドツーエンドで暗号化(E2EE)されたコンテンツに法執行機関がアクセスできるようにするよう要請する国際声明を発表した。声明に署名したのは、ファイブアイズと呼ばれる英、米、カナダ、オーストラリア、ニュージーランドの5カ国と、インド、日本。 英政府は「テロや児童の性的搾取、虐待などの深刻な犯罪を捜査する場合、E2EEは公共の安全に深刻な影響を及ぼす。ユーザーのプライバシーとセキュリティを損なうことなく、市民の安全を確保するための解決策を見出すために政府と協力するようIT企業に呼び掛ける」としている。 米国では2016年、米Appleが米連邦捜査局(FBI)からの犯人所有のiPhoneのロック解除を拒否したことをきっかけに、国家安全と個人のプライバシーをめぐる議論が高まった。米上院議員は昨年12月、AppleやE2EEのメッセージングアプリ「
GPUでZIPパスワードを解析する - Qiita
企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していません。 Windows版のJohn
神奈川県庁が富士通リースから借りていたサーバのハードディスクが不正に転売された結果、膨大な個人情報などが漏洩した事件が起きました。これをきっかけに、ハードディスクなどのストレージをいかに安全に破棄すべきか、という点に世間の関心が高まっています。 オンプレミスで使われていたストレージであれば、ハードディスクやSSDなどの媒体を取り出して物理的に破壊することで、データを第三者が読み出し不可能な状態になったと確認できます。 クラウドではどうでしょうか? クラウドのストレージに保存したデータを削除した後、これが第三者によって完全に読み出しできない状態にしようと、クラウドに対して「ストレージを物理的に破壊してほしい」といったリクエストは、(特殊な契約でも結ばない限り)できません。 クラウドでは基本的に、自分が使わなくなったストレージはリソースプールに戻り、別のユーザーに割り当てられ、再び使われること
これまで Macbook Pro を開発環境としていたんだけど、価格は高いし Docker for Mac は重いしでいいことないなということで Linux の開発環境に移ることにした。前職の最初の数年はすべて VM(当初は jail)にログインして開発していたのでその頃に戻った感じ。ただ GUI は macOS が何かと楽なので Intel NUC を購入して自宅に置いてリモートでログインして使っている。Core i7、メモリ 64GB で10万ちょいと安いのにめちゃくちゃ快適でさいこう。 ここからは備忘録としてリモートを開発環境とするうえで実施した作業を残す。あと作ったものもあるので宣伝。 外部からログインしたい自宅以外からも使うだろうということで(最近京都からリモートで働くこともあり)、VPN サービスとして Tailscale を導入した。 Best VPN Service for
鍵生成には暗号論的に安全な乱数を使おう
SSHの鍵生成には暗号論的に安全な疑似乱数を使おうという話。 暗号論的に安全ではない疑似乱数がどれだけ危険かというのを、簡単なCTFを解くことで検証してみました。 背景 SSH公開鍵に自分の好きな文字列を入れる、という記事を読みました。 かっこいいSSH鍵が欲しい 例えばこのSSH公開鍵、末尾に私の名前(akiym)が入っています。 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFC90x6FIu8iKzJzvGOYOn2WIrCPTbUYOE+eGi/akiym そんなかっこいいssh鍵が欲しいと思いませんか? かっこいい!真似してみたい! そこまではいいんですが、問題は実装です。 秘密鍵を生成する際の乱数生成には高速化のために Goのmath/randを使っていますが、乱数が用いられるのは公開しない秘密鍵自体であり、このアルゴリズム自体はLagged Fib
はじめに つい先日、GitHubのRSA SSHホスト鍵が突如差し替えられるという一件がありました。 We updated our RSA SSH host key 詳細に関しては識者による解説に委ねますが、ちょうどタイムリーな話題だったので、SSHをより安全に利用するという観点でおすすめ設定についていくつか紹介します。 なお、クリアコードではSSH以外にもおすすめzsh設定やおすすめEmacs設定という記事も公開しているので参考にしてみてください。 2023年5月11日更新:StrictHostKeyCheckingをyesにする場合の安全なknown_hostsの更新方法について追記しました。 おすすめ設定について クリアコードでは、.ssh/configのおすすめ設定を https://gitlab.com/clear-code/ssh.d にて公開しています。 これは、社内で.ss
Private Relay と IP Blindness による Fingerprint 対策 | blog.jxck.io
Intro iOS15 がリリースされたため、 Private Relay のベータを試すことができた。 このようなサービスが提供されるようになった背景を踏まえ、挙動を簡単に確認しつつ、解説する。 背景 そもそも、なぜこのようなサービスが出てきたのかを理解するには、現在のインターネットが抱える問題の背景を理解する必要がある。 特に Web において問題になっている「トラッキング」を防ぐために、法的な規制や業界団体の自主規制による対策は長いこと行われてきたが、それでも看過できないインシデントなどが目立ったために、 Apple の ITP を皮切りに 3rd Party Cookie の制限が始まった。 ここで重要なのは、「本来防ぎたいのは 3rd party Cookie という技術ではなく Tracking というユースケースだ」という点だ。 この前提が伝わっていない場合、トラッキングのユ
機密情報を共有する5カ国協定、いわゆる「ファイブアイズ」の参加国(米国、英国、カナダ、オーストラリア、ニュージーランド)が、日本およびインドの政府代表と連名で声明を発表した。テクノロジー企業に向けて、エンドツーエンドの暗号化された通信に法執行機関がアクセスすることを可能にする解決策の開発を要請している。 この声明は、暗号にバックドアを設けることをテクノロジー企業に同意させようとする、ファイブアイズの最新の取り組みだ。 各国の政府関係者はこれまでと同様、テクノロジー企業が製品にエンドツーエンド暗号化(E2EE)を組み込むことで犯罪捜査が困難になったと主張している。 7カ国の政府代表は、現在の主要なテクノロジープラットフォームでサポートされているE2EEの仕組みのために、法執行機関が犯罪組織を捜査できないばかりか、テクノロジープラットフォーム各社も、一般市民を守るためのサービス利用規約を守らせ
FacebookからOAuthを停止されてわかった今時のセキュリティ - Uzabase for Engineers
NewsPicksの高山です。 この記事はUzabase Advent Calendar 2021の23日目の記事です。昨日は我らが赤澤剛さんによるAWS Organizationの記事でした。 去る2021年10月12日に突然NewsPicksのサービスでFacebookログインやFacebookへの投稿ができなくなりました。この状態は12月13日まで2ヶ月もの間継続していて、ユーザーさんには不便を強いてしまいました。 米Facebook本社とメールでやりとりしていましたが、メール返信に何週間も待たされ、Facebook日本法人に助けてもらってようやく解決に至ることができました。 この苦労話はいくらでもできるのですが、今回はセキュリティの切り口で書いていきます。 Facebookの「データ保護評価」 データセキュリティ項目 「すべてのプラットフォームデータストレージ(すべてのデータベース
あなたの「公開鍵暗号」はPKE? それともPKC? - Cybozu Inside Out | サイボウズエンジニアのブログ
初めに サイボウズ・ラボの光成です。 いきなりですがクイズです。次のうち正しい説明はどれでしょう。 SSHやFIDO2などの公開鍵認証はチャレンジを秘密鍵で暗号化し、公開鍵で復号して認証する。 ビットコインでは相手の公開鍵を用いてハッシュ値を暗号化して相手に送る。 TLS1.3ではサーバ公開鍵を用いてAESの秘密鍵を暗号化する。 答えはどれも間違いです。 公開鍵認証は、(デジタル)署名を使って相手先の正しさを検証するものであり、暗号化は行われません。 同様にビットコインもデータや相手の正当性を確認するために署名が用いられ、暗号化は行われません。 TLS 1.3ではRSA暗号の公開鍵を用いて暗号化する方式(static RSA)は廃止され、ECDH鍵共有された値を元に秘密鍵を生成し、AES-GCMなどの認証つき暗号で暗号化します。 公開鍵暗号とは いわゆる公開鍵暗号には大きく2種類の意味があ
E2EE を開発していて思うこと
ここ数ヶ月は自社製品向けの End to End (Media) Encryption の設計と実装をしています。年内での提供を目標として開発を進めてい見ていますが、色々感じることがあったので雑に書いていこうと思います。 前提自分は暗号やセキュリティの専門家ではない自社製品向けの E2EE は Signal や Google Duo が利用している実績のある仕組みを採用しているE2EE や暗号の専門家を招聘し、相談しながら開発している自分の E2EE に対する考え悪意あるサービス管理者からユーザを守るために存在する機能と考えています。 Signal プロトコルはよく考えられすぎているSignal が考えた Curve25519 (x25519/ed25519) を利用した X3DH / Double Ratchet の仕組みは安全すぎると感じるくらいです。 相手からメッセージを受信するたび
東京大学と九州大学マス・フォア・インダストリ研究所、日本電信電話(NTT)の研究チームは11月24日、量子コンピュータでも解読できない新たなデジタル署名「QR-UOV署名」を開発したと発表した。 この署名は、既存の技術よりも署名と公開鍵のデータサイズが小さいのが特徴。多項式の割り算の余りを使って新しい足し算や掛け算ができる代数系「剰余環」を公開鍵に使うことで、安全性とデータの軽減を両立しているという。 現在普及している暗号技術には、 Webブラウザに使われる「RSA暗号」や、画像の著作権保護や暗号資産に使われる「楕円曲線暗号」がある。これらは、大規模な量子コンピュータが実現した場合、解読されるリスクがあるという。そのため、量子コンピュータが大規模化した時代でも安全に利用できる技術の開発が進んでいた。 中でも、1999年に提案され、20年以上にわたり本質的な解読法が報告されていない「UOV署
Chinese flags hang from a lamp post in front of an Apple Inc. store in Shanghai, China, on Thursday, July 1, 2021. Photographer: Qilai Shen/Bloomberg アップルのスマートフォン、iPhoneに標準装備されている人気のファイル共有ツール「エアドロップ」について、中国政府は送信者を特定する方法を確立したと主張した。望ましくないコンテンツ掃滅を目指す政府取り組みの一環。 北京の政府系研究所はエアドロップの暗号を解読し、送信者の電話番号と電子メールを特定できるようになったと、現地の司法当局がオンラインに投稿した。警察はすでに複数の容疑者をこの方法によって特定しているという。逮捕者の有無には触れていない。 中国政府の発表であらためて注目を集めることになっ
プログラマのための公開鍵による暗号化と署名の話
初めに 公開鍵による暗号化と署名をプログラマ向け(?)に書いてみました。ちまたによくある暗号化と署名の話はインタフェースと実装がごちゃまぜになっていることが分かり、暗号化と署名の理解が進めば幸いです(と思って書いたけど、余計分からんといわれたらすんません)。登場する言語は架空ですが、多分容易に理解できると思います。 公開鍵による暗号化PKE 早速、公開鍵による暗号化(PKE : Public Key Encryption)を紹介します。登場するのは暗号化したいデータのクラスPlainText, 暗号文クラスCipherText, 秘密鍵クラスPrivateKeyと公開鍵クラスPublicKeyです。PKEは次の3個のインタフェースを提供しています。 abstract class PKE { abstract keyGenerator(): [PrivateKey, PublicKey];
朝日新聞編集委員(サイバーセキュリティ担当専門記者)須藤龍也 四国山地をつらぬく吉野川沿いにひらけた人口8千人ほどの徳島県つるぎ町。手延べそうめんの里で知られる静かな中山間地域の病院がいま、サイバー攻撃を受け、困難と立ち向かっている。 県西部で唯一お産を引き受けるなど、基幹病院である町立半田病院だ。10月31日未明、ランサムウェア(身代金ウイルス)によって、患者の診察記録を預かる電子カルテが失われるなど甚大な被害を被った。 救急や新規患者の受け入れを中止し、手術も可能な限り延期するなど、この日から病院としての機能は事実上、停止した。 日本におけるランサムウェアの被害で、住民生活を脅かす深刻な事態に発展した初のケースとみられる。復旧作業は今も続いており、来年1月の通常診療再開を目指している。 この未曽有の脅威から、私たちが学ぶことは何か、考えてみたい。 プリンターが吐き出した「犯行声明」 L
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
【翻訳版】Web3についての私の第一印象
こんにちは、石ころです。 メッセージングアプリSignalの創業者であるMoxie Marlinspikesさんが書かれたMy first impressions of web3という記事(2022年1月に書かれたもの)が示唆に富む内容だったので翻訳版を紹介します。 Moxieさんの記事書いたよという元ツイートは3万いいねがつき、イーサリアム創設者のヴィタリック・ブテリンや、イーロン・マスクもリプをし、良い意味で物議をかもしたようです。 個人的にも今年読んだWeb3関連の記事で一番面白いと感じました。 翻訳はDeepLをベースに各種改変しています。 私は自分を暗号学者だと思っているにもかかわらず、"Crypto "には特に惹かれていない自分がいます。実際に「私の芝生から出て行け」と言ったことはないと思いますが、新しいNFTの情報よりも、「crypto」が「暗号学」を意味していたというPep
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 今回はアドベントカレンダーの11日目として、前回投稿した「macOSの暗号化zipファイルはパスワードなしで解凍できる」という記事に寄せられたコメントのうち、特筆すべきものをピックアップして回答していきます。 前回の記事を読んでいない方や、もう覚えてないという方は是非前回の記事を見てから続きを読んでいただければと思います。 Q. 正解するまでbkcrackを回さなくてもzip内のCRC32値と比較すれば良いのでは? はい、その通りです。 筆者が前回の記事を書いている時には完全に失念していましたが、zip内にはファイル破損を検出するためにCRC32形式のハッシュ値が含まれています。そのため、bkcrackを正解パターンを引くまで都度回さなくても簡単に正解の.DS_Storeを見つけ出すことができます。 実際に
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。 1.最大1500組織にランサムウエアの影響か Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。 Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~
イラストで正しく理解するTLS 1.3の暗号技術
イラストで正しく理解するTLS 1.3の暗号技術 初めに ここではTLS 1.3(以下TLSと略記)で使われている暗号技術を解説します。 主眼はTLSのプロトコルではなく、「暗号技術」の用語の挙動(何を入力して何を出力するのか)と目的の理解です。 実際にどのような方式なのかといった、より詳しい説明は拙著『図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』(暗認本)や『暗認本』の内容を紹介したスライドや動画などの資料集をごらんください。 なお表題の「イラストで」は数式を使わないという程度の意味です。 TLSで守りたいもの TLSはコンピュータ同士が安全に通信するための規格です。 主に人がブラウザを介して「https://」で始まるWebサイトにアクセスするときに利用されます。 安全に通信するためには、通信内容が盗聴されても情報が漏れない機密性が必要です。 それから通信が改
なぜ Zig の採用を検討しているのか
かなり雑に書いてるので、雑に読んでください。 Bun が Zig で開発されていることを知り、そこから Zig を調べてみています。 調べていくと自分が求めていた言語っぽいというのがあり、社外では学生に QUIC や TLS 1.3 を Zig で OSS を開発してもらうお仕事を出したり、社内では実際に採用に向けて調査を進めています。 そもそもの目的自分の会社では Erlang VM を利用した製品をメインに利用しています。ただ Erlang VM 遅いんです。少なくとも暗号処理であれば Rust の方が 2 倍ほど速いです。Erlang VM 自体 JIT を採用したり、いろいろ頑張ってくれているのですが劇的な高速化というのは今すぐには難しいのが現実です。 そこで NIFs (Native Implemented Functions) を使って頑張るという戦略があります。早い話が Er
Amazon Web Services ブログ クラウドにおける安全なデータの廃棄 クラウドにおける統制をお客様が考慮する場合、基本的な考え方は大きく異なるものではありません。ただし、クラウドならではの統制を考慮すべきケースがあることも事実です。その際には、従来のオンプレミスのやり方を無理にクラウドに当てはめようとしてもうまくは行きません。大事なことはその統制が何を目的としていたのかに立ち返り、その上で、New normal(新しい常識)にあった考え方や実装をすすめる必要性を理解し、実践することです。この投稿では、メディアやデータの廃棄を例として、セキュリティのNew normalを考えていきます。 メディア廃棄における環境の変化 データのライフサイクルに応じた情報資産の管理は多くのお客様の関心事項です。 オンプレミスの統制との変更という観点では、メディア廃棄時の統制は従来のオンプレミス環
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
![国連サイバー犯罪条約がもたらす最悪の悪夢 | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/ed3979ff8a1955824c32055f1c05b89157c7e5f3/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2024%2F07%2Fcybercrime-2024-2b.png)
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
図解 X.509 証明書 - Qiita
macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
ユーザーの個人情報に関する一部報道について | ニュース | LINE株式会社
【特集】 Windows 11で必須になった「TPM 2.0」って何?TPMの役割や確認方法を紹介
え、HTTPSの転送なのにファイルも暗号化するんですか???
ブロックチェーンでそんなことはできない - chike0905の日記
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
中国のネット監視・検閲「グレートファイアウォール」を個人で再現 オープンソース「OpenGFW」公開中
NEXCO西日本がUSBメモリ紛失 データは暗号化済……ただしパスワードは本体に貼り付け
日本を含む7カ国、エンドツーエンド暗号化コンテンツへの公的接続を可能にするよう要請する国際声明
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
クラウドは、データを完全削除したくてもハードディスクを物理破壊してくれない。どうする? AWSが説明
リモートの Linux サーバを開発環境にする
おすすめ.ssh/config設定 - 2023-04-03 - ククログ
「KB5012170」に再び問題、「BitLocker」の回復キーを入力しなければならなくなる/「Windows 11バージョン 21H2」で発生、最悪の場合データを失う
日本など7カ国、暗号化された通信へのバックドアをIT企業に要請
量子コンピュータでも解読できない暗号技術、東大らが開発
アップルの「エアドロップ」、中国が暗号解読と送信者特定に成功と発表
ランサムウェア、徳島県の病院から学ぶこと – SoftwareISAC
CIAに中国スパイ、消された協力者 米国諜報網に異変:朝日新聞デジタル
macOSの暗号化zipの話の続き - NFLabs. エンジニアブログ
多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた - piyolog
クラウドにおける安全なデータの廃棄 | Amazon Web Services
hapitas.jp
x.com
www.youtube.com
www.tyoshiki.com
www.cinematoday.jp
diamond.jp