2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
日々権限設計で頭を抱えてます。この苦悩が終わることは無いと思ってますが、新しい課題にぶつかっていくうちに最初のころの課題を忘れていきそうなので、現時点での自分の中でぐちゃぐちゃになっている情報をまとめようと思い、記事にしました。 所々で「メリット」「デメリット」に関連する情報がありますが、そのときそのときには色々と感じることがあっても、いざ記事にまとめるときに思い出せないものが多々ありました。フィードバックや自分の経験を思い出しながら随時更新する予定です。 TL;DR(長すぎて読みたくない) 想定する読者や前提知識 この記事での権限とは 権限の種類 ACL(Access Control List) RBAC(Role-Based Access Control) ABAC(Attribute-Based Access Control) どの権限モデルを採用するべきか 権限を適用する場面 機能
「セキュリティの基礎は無料で学べる」 ワンクリックで”リテラシー”高める無料教本:ITりてらしぃのすゝめ(1/3 ページ) ほとんどの人にとっては、ITセキュリティは難しいもので、勉強するのは面倒に感じるかもしれません。将来的に素晴らしい技術が登場して、私たちが何も気にしなくてもAIや機械がサイバー空間を守ってくれるようになる未来は必ずやってくると信じているものの、現状は私たち自身がサイバーセキュリティについて学んでいく必要があります。 いきなりセキュリティの達人になることはできなくても、「あ、これ聞いたことがあるな」と気付けるだけで、多くの脅威から身を守ることができます。 ならば、その「聞いたことがある」という状況にまでステップアップしてしまいましょう。これまでなら本屋に行って何か教本を買ってくるか、ネット上で調べるのが定番でした。いまやその第一歩が、無料の電子書籍で済んでしまうのですか
Tweet 昨年の事になりますが、Togetterで以下のようなやり取りをまとめました。 Togetter - 「フィクション作品のハッキング描写は次の演出を考えてもいい時期ではないだろうか」 海外ドラマに限らず古今東西の様々な作品で目につく、「キーボードをでたらめにがちゃがちゃ叩く」以外にPCを使いこなしている表現ってできないものか、というイラストレーター安倍吉俊氏の問題提起です。 またこの話題をまとめる前に、2chでは次のようなスレッドも立って話題になりました。 【2ch】ニュー速クオリティ:映画に出てくるハッカーってやたらウインドウ出しまくるけど、誰かタブブラウザ教えてやれよ… こちらも映画やドラマなどの映像作品でよく出てくるハッキング描写へのツッコミが数多くあります。 その後もTwitterでこういったハッキング描写へのツッコミを見つけてはTogetterでまとめていました。 To
【衝撃事件の核心】生徒に破られた高校サーバー、流出したクラス替え案・980人分の成績…脆すぎる「学校のITセキュリティ」と「生徒のモラル」(1/4ページ) - MSN産経west
教師のパソコンから新年度のクラス編成案や入試成績が抜き取られ、一部がスマホを介して生徒たちに流された。“犯人”の男子生徒は「軽い気持ちでやった」といい、学校での情報管理やモラル指導のあり方が問われる事態に 新年度のクラス表が春休み中に生徒たちの間に出回っていた-。滋賀県内にある県立高校の男子生徒が今年3月、教諭のパソコンのユーザーIDとパスワードを盗み見して学校のサーバーに不正アクセスし、クラス編成案や休み明けのテスト問題、入試や定期試験など生徒980人分の成績を入手。このうち、クラス編成案は無料通信アプリ「LINE(ライン)」で同級生ら35人に送信した結果、情報があっという間に300人以上の手元へ拡散した。学校現場にパソコンが普及する中、個人情報に対する学校の管理体制や生徒たちの「情報モラル」が問われる事態になった。(桑波田仰太)付箋に書かれた教諭のパスワード 卒業式を前日に控えた2月2
本ブログは、2021 AWS Partner Ambassadors で構成するアドベントカレンダー Japan APN Ambassador Advent Calendar 2021 の 24 日目のエントリです。 こんにちは。CX事業本部MAD事業部のYui(@MayForBlue)です。 年の瀬も迫った12/24ですが、みなさん資格勉強してますか?(挨拶 さて、IT系の資格の中でも人気の高いAWSの資格ですが、数も多いし何から取ったらいいのかわからない・・・という方も多いのではないでしょうか。 この記事ではAWSの全資格を紹介するとともに、2021 ALL AWS Certifications Engineers ホルダーとして資格取得やAWSの学習に有用なコンテンツをまとめてみました。 本ブログをご一読いただくことでAWSの資格取得の一歩を踏み出していただければ幸いです。 想定読者
@ITセキュリティセミナーでの発表資料です。動画等の一部スライドを除いています。このため発表時よりモンスト成分薄めです。ご了承ください。講演時の様子は以下です。 http://xflag.com/blog/sp_cheat.htmlRead less
「IT製品、ソースコード開示せよ」…中国が外国企業に要求へ : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞)
中国政府が外国企業に対し、デジタル家電などの中核となる製品情報を中国当局に開示するよう命じる新制度を2009年5月から導入する方針であることが18日わかった。 対象はICカードやデジタル複写機のほか、薄型テレビなども含まれる可能性がある。開示を拒否すれば、その製品の対中輸出や中国での現地生産、販売が一切禁止される。企業の知的財産が中国企業に流出するおそれがあるほか、デジタル機器の暗号技術が中国側に筒抜けとなる安全保障上の懸念もある。経済産業省や米通商代表部(USTR)などは制度の撤回を強く求める構えで、深刻な通商問題に発展する可能性がある。 中国は、新制度を「ITセキュリティー製品の強制認証制度」と呼んでいる。具体的には、対象となる製品について、デジタル家電などを制御するソフトウエアの設計図である「ソースコード」の開示を外国企業に強制する。対象製品は、開示されたソースコードに基づく試験と認
マルチプラットフォームのパスワード管理ツールを提供する米LastPassは2月16日(現地時間)、無料版「LastPass Free」で利用できるデバイスタイプを1つに限定すると発表した。3月16日から、モバイル端末かデスクトップWebブラウザかの選択を迫られる。 モバイル端末にはスマートフォン、スマートウォッチ、タブレットが含まれ、デスクトップWebブラウザは現在サポートされているすべてのPC上のWebブラウザのことだ。 例えばモバイル端末を選ぶと、iPhone、Android端末、iPad、Apple WatchでLastPassが使えるが、WindowsノートやMacでは使えない。デスクトップWebブラウザを選ぶと、その逆になる。 PC(Mac)とモバイル端末の両方でパスワード管理を続けたい場合は、月額3ドルの「LastPass Premium」あるいは月額4ドルの「LastPass
原典:https://www.tumblr.com/numberonecatwinner/701567544684855296/elon-wyd 私は何年か前SpaceXのインターンをしていて、そのころSpaceXは今よりずっと小さい会社だった。イーロンが植毛をしたのよりは後で、イーロンを個人崇拝するカルトが盛り上がるのよりは前のことだ。なので知ってることをいくつか語ってみようと思う。 私がSpaceXにいたころ、イーロンは基本的には子供の王様だった。彼は会社に金と権力とPRをもたらす大切な傀儡だったが、毎日の意思決定をするのに必要な知識や(率直に言えば)成熟した人格を持っていなかったし、そのことをみんな知っていた。彼の周辺の人々の仕事は、本質的には、まともな意思決定をするよう彼をうまく操ることだった。 イーロンを管理することは会社の文化の大きな部分を占めていた。私のような底辺のインターン
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術
コインハイブ事件弁護団 主任弁護人 平野敬 (電羊法律事務所) 裁判の現状 2022年1月20日、最高裁判所において、Coinhive事件は逆転無罪判決となりました。これまでの皆様のご支援に深く感謝申し上げます。2022/1/20 2021年12月9日に最終弁論が開かれることになりました。2021/10/18 報道でご存知の方も多いと思いますが、2020年2月7日、東京高等裁判所において、モロさんを被告人とする不正指令電磁的記録保管事件について罰金10万円の支払いを命じる逆転有罪判決が言い渡されました。これまで、多くの皆様に裁判費用を含むご支援をいただいてきたにもかかわらず、望む結果を出せなかったことを、弁護人として深くお詫びします。 我々は東京高等裁判所の判決を不服として、上告状を提出すべく準備を進めています。今後は最高裁判所において事件が争われることになります。 横浜地方裁判所の判決(
直撃取材! 「たて」の裏側
6月9日に放映されたフジテレビのバラエティ番組「ほこ×たて」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティープログラム」は、視聴者を激しい混乱の渦に巻き込んだ。 その後、“たて”側のネットエージェントは公式ブログで、“ファイル名変更”が実際は“TrueCryptによるディスク暗号化”であることや、対決で用意されたPCはサービスパックも当たっていない脆弱性だらけのWindows OSだったことなど、番組でカットされ誤解を招いた部分について説明。本当はかなりのガチ対決だったことが明かされた。 では、“実際の”攻防戦はどのようなものだったのか。自身も凄腕のハッカーで、昨年度開催された「CTFチャレンジジャパン」の優勝者でもある、luminことネットエージェントの杉浦隆幸氏に直撃した。 編集部 今回の番組出演の経緯は? 杉浦氏 今回の内容は番組制作会社が企画したも
婚活マッチングアプリ「Omiai」で、171万件もの会員情報流出が判明した。流出したデータには運転免許証やパスポート画像などが含まれる。氏名や住所に加えユーザーの顔写真情報まで流出したのは深刻な問題だ。運営するネットマーケティングは再発防止策を講じたものの、流出したデータによる二次被害を防ぐ手立ては見つかっていない。 婚活マッチングアプリ「Omiai」を運営するネットマーケティングは2021年5月21日、不正アクセスによるデータ流出に関するおわびを公表した。Omiaiは2020年10月時点で累計会員数が600万人を超える大手のサービスだ。 この事件はすぐさま新聞各紙やテレビ、インターネットのニュースサイトなどで報じられ、大きな話題になった。その理由の一つは、流出したデータが氏名や住所、生年月日などアカウント数で171万1756件と大規模だったこと、さらには恋人探しや婚活など、利用者にとって
糖類の上@お仕事募集中 @tinouye ITや音楽系の執筆、翻訳等承ります。 IT/セキュリティ周りが専門。日経系で書評書いたり、CDや演奏会の解説書いたり人文系全般も。古楽と現代音楽、現代美術が関心領域。猫成分が多め。 Renaissance, baroque, contemporary music & art. IT/Security pro. 糖類の上 @tinouye 10年以上前からずっと気になっている画題。 赤ん坊をこういう産着でぐるぐる巻にしている絵は山程あるけれど、ネコに同様の着せ方をして餌(たいていおかゆ)を与える絵が何点もあるのは、どういう寓意や比喩があるのかと思うのだけど、どなたか知っている人おしえてほしい。 pic.twitter.com/ZIBKGcQ4RD
ドワンゴは6月10日、8日から続く大規模障害を巡り、今後の方針を発表した。10日午後6時時点で「サイバー攻撃の影響を受けずにニコニコのシステム全体を再構築するための対応を進めている」という。復旧予定やサイバー攻撃の詳細については「今週中に、役員の栗田穣崇およびCTO鈴木圭一が、復旧までの見込みおよびその時点までの調査で分かった情報を説明する予定」としている。 会員費の払い戻しなど、個々のサービスへの質問については「影響の調査を行っている段階のため」として回答を控えたが「誠実に対応させていただきますので続報をお待ちください」とした。 今回の攻撃を巡っては、ニコニコ以外にもKADOKAWAが提供する複数のサービスがダウンしており、KADOKAWAの公式サイトも表示できない状態が続いている。 関連記事 「#がんばれニコニコ」拡散 サイバー攻撃でダウン中、ユーザーが復旧を応援 「ニコニコ」でサイバ
読売新聞が中国、ITソースコード強制開示強行へ…国際問題化の懸念と報じたことから、「IT製品のソースコードの開示が強要される」「日本企業は中国から撤退すべきだ」といった極端な拒否反応があちこちで見られる(はてなブックマーク、痛いニュース)。 しかし、実際読売新聞の記事は少々拡大解釈をしている。スラッシュドットのエントリを参考に、もう少し詳しく見てみよう。元ソースは中国部分情報処理のセキュリティ製品に関する強制認証実施の公告であり、昨年12月に読売新聞により正確な解説記事が掲載されている。これを読むと、多くの人が誤解している点が浮かび上がってくる。 【注】本エントリのスコープは中国の強制認証制度に関する正確な情報を伝え、多くの人が誤解している点を正す点にある。中国が信用できるかできないか、ソースコードの流用がなされないか、という懸念に関する議論はスコープ外である*1。 まず第一に、審査対象と
WannaCryや脆弱性とどう戦う?piyologの中の人に聞く、知っておきたいセキュリティ重大事件 WannaCry、WPA2の脆弱性など、最近セキュリティに関する事件に注目が集まっています。国内外のセキュリティインシデントにまつわる情報をまとめ続けるpiyokangoさんに、エンジニアが学ぶべきセキュリティに対する心がけを聞きました。 大規模な情報漏えい、標的型攻撃、名前の付いた深刻な脆弱性──昨今のITセキュリティに関わる事件、事故は増えるだけでなく、影響範囲も拡大しています。しかも、その攻撃内容は複雑化し、守る側は常に後手に回らざるを得ない状況が続いています。 だからといって、何もしないわけにはいかないのがセキュリティ。企業の、そして個人のリスクを軽減するためにできることは「知る」ことではないでしょうか。 その「知る」をサポートするのがpiyokango(@piyokango)さん
OSSTech濱野氏によるブログエントリが話題になっている。曰く、パスポート真正性確認アプリ開発のため、日本の外務省にCSCA証明書(公開鍵)の情報公開請求を行ったところ不開示の決定を受けたという。 外務省の不開示決定旅券冊子の情報暗号化に関する情報であり,公にすることにより,旅券偽造のリスクが上がる等,犯罪の予防及び公共の安全と秩序の維持に支障を及ぼすおそれ並びに日本国旅券の安全性が損なわれ,法人の円滑な海外渡航に支障を来すことにつながる可能性がある等,旅券事務の適正な遂行に支障を及ぼすおそれがある。 また、当該情報は,国際的に外交手段でのみ交換する慣行があり一般への公開をしない共通認識があるため,公にすることにより,他国,国際機関等との信頼関係が損なわれるおそれがあるため,不開示としました。不開示の理由は「セキュリティ」「国際慣行」の二つに分解することができる。この決定について濱野氏は
パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。 (8/20更新) @games(ジークレスト)へのパスワードリスト攻撃を追加しました。 まずは読んでおきたいBlog、記事 このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。 辻さんによるリスト型攻撃に関する考察 セキュリティ・ダークナイト(12):大切なパスワードをつなぐ ひみつマネージャ - @IT セキュリティ・ダークナイト(13):もしかしたらって距離は平行線 一番大事な不正ログイン対策 - @IT セキュリティのトビラ パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する ブルートフォース攻撃について考えて
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
痛いニュース(ノ∀`) : F-Secure社のマーケティングマネージャー(しばき隊)がネトウヨの個人情報をネットに大量流出 - ライブドアブログ
F-Secure社のマーケティングマネージャー(しばき隊)がネトウヨの個人情報をネットに大量流出 1 名前: エメラルドフロウジョン(香港)@\(^o^)/:2015/11/03(火) 11:44:42.98 ID:/fQg+CWe0●.net (1)しばき隊の@MetalGodTokyoがfacebookではすみとしこの絵にいいね!した人間 400人以上の本名、勤務先、出身校、居住地などの個人情報を大量に収集してネットに晒す。 https://twitter.com/MetalGodTokyo/status/660754563486494721 (2)ネット民が@MetalGodTokyoの素性を調査。外資系ネットセキュリティ企業「F-Secure」でマーケティングマネージャーを務める久保田直己という人間であることが確定。顔写真から過去のすべての勤務先まで割れる。 https:/
ドワンゴが所在する歌舞伎座タワー(「Wikipedia」より/Tak1701d) ハッカー集団からマルウェアを含むサイバー攻撃を受け情報漏洩が起き、一部サイトやサービスが停止していたKADOKAWA。今月5日には「ニコニコ動画」が再開するなど徐々に正常化に向かいつつあるが、同日には「ニコニコ動画」を運営する子会社のドワンゴがプレスリリースを発表し、情報漏洩の原因や範囲を説明。窃取されたアカウント情報によって社内ネットワークに侵入されたことが原因だと推測したが、悪意を持った社員などがアカウントを使ってシステムにアクセスすることによって情報漏洩やサービスダウンを起こせる可能性が改めて認識され、「逆に恐ろしい」「アクセス権限を持つ社員なら誰でも起こせる」といった声もあがり一部で衝撃が走っている。 KADOKAWAのシステムで障害が発生したのは6月上旬のことだった。動画共有サービス「ニコニコ動画」
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。 2019年初め、ファイル共有サイト「宅ふぁいる便」で会員情報の漏えいが発生した事件では、世間に大きな驚きが走った。漏えいの事実自体もさることながら、保存されていたパスワード情報が「暗号化されていなかった」ためであり、特にインターネット上では「今どき、パスワードを暗号化していないなんて」と厳しい批判が相次いだ。 複数の調査や報道によると、パスワードを平文で保存しているサイトは宅ふぁいる便に限らない。その後FacebookやGoogle、Twit
いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。 パスワードの定期的変更の考察・関連記事 まずはここを読みましょう。 Bruce Schneier Schneier on Security: Changing Passwords 徳丸さんの記事 パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記 続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記 「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記 パスワードを定期的に変更する理由は何ですか? - QA@IT パスワードの定期的変更に関する徳丸の意見まとめ パスワードの定期的変更について徳丸さんに聞いてみた(1
USBの根幹に脆弱性発覚、死角はファームウェア
USBの根幹に脆弱性発覚、死角はファームウェア2014.08.01 10:057,991 福田ミホ もう悪用されてる可能性も。 USBメモリはもちろん、パソコンとスマートフォンとかマウスとかいろんなデヴァイスをつなぐとき、USBにはみんなお世話になってます。でも新たな研究で、USBの動き方自体にセキュリティ上の根本的な欠陥が見つかりました。これによって、どんなコンピュータでも気づかないうちに乗っ取られてしまうか、もう乗っ取られているかもしれないんです。 Wiredによれば、セキュリティ研究者のKarsten NohlさんとJakob Lellさんが、USBの基本的な通信機能をコントロールするファームウェアをリヴァース・エンジニアしました。彼らはさらにBadUSBというマルウェアも作り、ファームウェア内部に入れ込みました。それによって「USBデヴァイスにインストールすれば完全にPCを乗っ取る
自堕落な技術者の日記 : jsrsasignの寄付金を募ることにしてみました(やりがいって何だっけ?) - livedoor Blog(ブログ)
私はjsrsasignというJavaScriptのオープンソース暗号、PKIライブラリを個人的な趣味で開発し公開しています。ところが最近、npmパッケージのダウンロードが月間60~70万件と、異常にユーザーも増え、製品でも使われ始め、ちょっと厄介なことになっており、いろいろ悩んだ挙げ句、これが正解なのかもわかりませんが、ライブラリの維持のために寄付金を募ることにした次第です。今日は、心の吐露をつらつら書いていくことにします。 jsrsasignとは 2010年ごろ、スタンフォードの学生さんであるTom Wooさんという人のJavaScriptでRSA暗号化できるコードを見つけ、自分はPKIや電子署名を専門にしていたので「JavaScriptでRSA署名できたら面白いな」と思い、2010年6月に、ほんのRSA署名単機能のライブラリとして公開したのが jsrsasign です。当時のはしゃぎっ
ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」
ランサムウェア「Conti」を開発する犯罪グループが、ロシアとウクライナの情勢についてロシア政府を支持する声明を発表したと、ITセキュリティ系のニュースサイトBleepingComputerが2月25日(米国時間)に報じた。 Contiの犯罪グループは同日「ロシア政府の全面支持を公式に表明する。ロシアに対してサイバー攻撃や戦争活動を仕掛けようとする者がいれば、その敵の重要なインフラに対し、持てるリソースの全てを注ぎ込み報復する」と声明を出した。 BleepingComputerによれば、同グループはその約1時間後にメッセージを変更。「どの政府とも同盟を結ぶことはなく、現在進行している戦争を非難する」としたが「米国のサイバー攻撃によって、ロシアやロシア語圏の重要なインフラ、平和な市民の生活と安全が脅かされる場合、全力で報復する」とした。 同グループはロシアに拠点を持つとされている。Conti
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
(Last Updated On: 2018年8月4日)私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格/ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができたと思われます。 徳丸さんがセキュリティ対策製品であるWAF(Web Application Firewall)を販売/推奨しつつ、アプリケーション側のファイアーウォールと言える「入力バリデーション」を「セキュリティ対策ではない」と主張されるのは、ジョブセキュリティやステスルマーケティングの類ではないのか?と思えるほどでした。アプリケーションがバリデーションしなければしないほどWAFの有効性は上がり、WAFが売れるでしょう。「WAFはセキュリティ対策」「ア
ちょっと変わったSQLインジェクション
@IT編集部のセミナーに出てきました 3月2日に、@IT編集部主催の「@IT セキュリティソリューション Live! in Tokyo」にて、NTTデータ先端技術の辻さんとインターネットイニシアティブの根岸さんとともに、ランチセッションに出演してきました。辻さん&根岸さんのトークに絡ませてもらい、あっという間にランチセッションは楽しく終了しました。 事前の準備中はあれだけいろいろと話そうと思っていたのに、いざ始まると時間が足りないくらい盛り上がりました。ちょっと物足りないと思うくらいがいいのかもしれませんね。その会場で使った、2002年と2012年付近の出来事を示した資料がこちらです。 私はちょうど10年前の2002年にラックに入社しました。振り返ってみればあっという間の10年の社会人生活です。こうしてみると、いろんなインシデントがリアル世界とサイバーの世界で起こっていたんだなと懐かしくな
東北大学教育学部卒。株式会社山形銀行へ入行し、中堅中小企業の法人営業に従事。同行営業支援部にて中小企業を対象とした事業承継・M&A 業務を担当する。2018年にfundbookへ入社。業界初のガス・エネルギー専門チームを立ち上げ、当分野の第一人者としてM&A・事業承継を通じ、多くの経営者を成功に導く。 会社が成長している今、「次の打ち手」にお悩みではありませんか? 本資料では自社をさらに成長させるために必要な資金力をアップする方法や、M&Aの最適なタイミングを解説しています。 ・縮小する日本経済市場を生き抜くために必要な戦略とは? ・まず必要な資金力を増強させる仕組み ・成長企業のM&A事例4選 M&Aをご検討の方はもちろん、自社をもっと成長させたい方やIPOをご検討の方にもお役立ていただける資料ですので、ぜひご一読ください。 IT業界とは?経済産業省が報告した「平成29年特定サービス産業
完全無料!JavaScriptのWeb開発手法を学習できるYouTube動画コースの厳選まとめ! - paiza times
どうも、まさとらん(@0310lan)です! 今回は、JavaScriptをベースにしたWeb開発手法のトレンドを無料で学習できる海外のYouTube動画コースをご紹介します! フロントエンドからバックエンドまでクオリティの高い動画コースを厳選しており、GitやFirebaseなどの予備知識も含めて多彩なコースをまとめました。 英語だから…と言って見ないのは非常にもったいないレベルの動画ばかりなので、ソースコードの動きをよく見ながらぜひ挑戦してみてください。 なお、JavaScriptの基本はpaizaラーニングの「JavaScript入門編」で学ぶことができますので合わせてチェックしてみてください! ■Web開発の基礎を学ぶ まずはWeb開発を始める前に抑えておきたい基本的な知識を学習できる動画コースから見ていきましょう! 主に、HTML / CSS / JavaScriptの3点を重点
Cloudflare Zero Trustを導入してみた - POC環境構築編 - メモのページ - チラシの裏メモ 3枚目
ゼロトラスト ネットワーク(ZTN)の学習用環境として、Cloudflare Zero Trustを自宅に導入してみた。 今回はCloudflare Zero Trust導入手順のメモ。 2023/7/8追記 ポリシーの設定やOktaとの連携等の記事は、当記事内下部の「Cloudflare Zero Trust関連の記事」のリンク先を参照。 Cloudflare Zero Trustとは CDN事業者として知られているClaudflare社が提供するゼロトラスト セキュリティソリューションである。 SWG(Secure Web Gateway)と呼ばれるクラウド型のプロキシサービス、IPアドレスの匿名化、アンチウイルス・アンチマルウェア、URLフィルタリング、アプリケーションフィルター等のサービスを提供する。 Cloudflare Zero Trustと競合する主なゼロトラストネットワーク
人気漫画『トリリオンゲーム』はこうして描かれた!作画・池上遼一先生インタビュー - #FlattSecurityMagazine
原作・稲垣理一郎先生と作画・池上遼一先生のタッグによる人気漫画『トリリオンゲーム』。主人公のハル(天王寺陽)と相棒のガク(平学)の二人が100兆円企業を作ることを目指して奮闘する、スタートアップを舞台にした作品です。 2020年12月に「ビッグコミックスペリオール」で連載がスタートしてから、その破天荒なストーリーとコミカルな作風が話題を呼び、2022年には「マンガ大賞2022」にノミネート。2023年7月14日(金)からは、TBS系金曜ドラマとして、ドラマ版の放送もスタートします。 www.tbs.co.jp 作中にはCTF(ハッキングコンテスト)やプロダクト開発に関するシーンも多数登場。原作漫画の技術監修、ドラマのIT・セキュリティ技術監修を、サイバーセキュリティスタートアップのFlatt Securityが務めており、フィクションながらもリアリティのある表現がなされています。 prti
佐賀県知事選とネット選挙(上) 違和感が人を集めた~ひまじんうんことYahoo!ブリーフケース - 畳之下新聞
佐賀県知事選で、インターネット上で樋渡候補への落選運動が起こり、その候補が落選したため一部で話題になっています。 落選運動は対立候補の支援を受けた、対立候補の当選を目指した活動でした 既得権益団体を母体に、選挙のために編成された、ネット工作員でした ネット対策業者を通じ、高度に組織化された要員が活動していました 公職選挙法で禁止されている行為を行っていました 実は活動していた人に、佐賀県民は一人もいませんでした 落選運動と言うと、このようなイメージを持っているかもしれませんが、私が知る限り、これらはすべて当てはまりません。 ここまでを振り返りながら、何をして、何をやらなかったのかを振り返りたいと思います。 違和感を共有する人々が集まった 落選運動を遡ると、twitterで武雄クラスタとよばれる人たちにたどり着きます。 今回落選した樋渡氏が市長を務めた、佐賀県武雄市は、人口5万人足らずの地方
Tweet 発端っぽいところ M.C.P.C.: 企業サイトで設置していたはてなブックマークボタンのマイクロアド行動ターゲティング解析のオプトアウト説明ができる自信がない はてなブックマークボタンは2011年9月1日より行動情報の取得をしている - ARTIFACT@ハテナ系 はてなブックマークボタンの行動情報取得は表示しただけで行われている - ARTIFACT@ハテナ系 ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会 先週末にこの辺を読んでわー何か大変なことになってるな〜くらいの認識しかなかったのですが、 まとめ等を読んでいるとこれはよろしくないのでは、と思い始めました。 はてなブックマークボタンの行動履歴追跡クッキー問題まとめ【私家版】 - NAVER まとめ はてなブックマークボタンのトラッキン
5分で分かるゼロトラスト
「ゼロトラスト(セキュリティ)」はITのセキュリティに関する概念の一つです。それまでの主流だった「境界型セキュリティ」に代わる考え方として登場してきました。 「ゼロトラスト標準」みたいなものが定義されているわけでもないので、使う人によってゼロトラストの解釈には幅があります。セキュリティ製品を提供している会社なら、情報に濃淡を付けて自社製品にとって都合の良い側面を伝えてくるかもしれません。 また、ゼロトラストの実装方法に正解はなく、ゼロトラストを満たしてくれる単一の製品も存在しません。企業ごとに現状とあるべき姿を鑑みながら実装を考え、ゼロトラストを思考していく必要があります。数年たてば実装方法も幾つかに収束していくのかもしれませんが、今はまだまだ開拓する要素も多く、手を出しにくい時かもしれません。 まずは「境界型セキュリティ」をおさらいします。そして「ゼロトラスト」のさまざまな側面を見て理解
2009年12月22日 2009年12月18日 2009年12月17日 2009年12月16日 2009年12月15日 2009年12月14日 2009年12月11日 2009年12月10日 2009年12月10日 2009年12月04日 2009年12月01日 2009年11月30日 2009年11月27日 2009年11月26日 2009年11月26日 2009年11月26日 2009年11月25日 2009年11月25日 2009年11月19日 2009年11月18日 2009年11月18日 2009年11月17日 2009年11月17日 2009年11月13日 2009年11月13日 2009年11月12日 2009年11月11日 2009年11月10日 2009年11月10日 2009年11月10日 2009年のプレスリリース一覧 ここに掲載されている情報は、発表日時点の内容です
スマホの情報盗む無人機、パスワードも傍受
ニューヨーク(CNNMoney) スマートフォンの位置情報や入力したパスワードやなどのデータを盗み出す機能を持った無人機が開発され、英ロンドンで実験が行われている。来週シンガポールで開かれるサイバーセキュリティ―会議「ブラックハット・アジア」で発表される予定だ。 この無人機は「スヌーピー」(英語でsnoopは<せん索>の意味)と名付けられ、無線LAN機能が有効になっているモバイル端末を探し出す機能を持つ。ITセキュリティー研究機関センスポスト・リサーチの研究者グレン・ウィルキンソン氏らが開発した。 スマートフォンやタブレット端末には過去に使ったことのあるネットワークに接続を試みる機能がある。ウィルキンソン氏は「こうしたスマートフォンは、接続したことのあるネットワークの名を大声で叫んでいるようなもの」「スターバックスはどこだ? マクドナルドの無料Wi-Fiはあるか? と叫んでいる」と解説する
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JTBへの不正アクセスについてまとめてみた - piyolog
アプリケーションにおける権限設計の課題 - kenfdev’s blog
「セキュリティの基礎は無料で学べる」 ワンクリックで”リテラシー”高める無料教本
何故フィクションの中のハッカーは物凄い速さでキーボードを叩くのか - 戯れ言(はてなダイアリー版跡地)
AWS全資格の概要と主な学習コンテンツをまとめてみた | DevelopersIO
スマートフォンゲームのチート事情
パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須に
SpaceX元インターンが語るイーロン・マスク(和訳)
TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ
【寄稿】コインハイブ事件 意見書ご協力のお願い - 一般社団法人日本ハッカー協会
婚活アプリ「Omiai」、運転免許証やパスポートの画像が171万件も流出した経緯
「ぐるぐる巻きのネコにおかゆを与える様子」を描いた絵画はたくさんあるけど、どういう意味があるのか?
ニコニコ、システム全体を再構築へ サイバー攻撃の影響で 復旧の見込みは「今週中に告知」
中国によるソースコード強制開示報道に踊らされるのはまだ早い - A Successful Failure
WannaCryや脆弱性とどう戦う?piyologの中の人に聞く、知っておきたいセキュリティ重大事件
日本外務省がCSCA証明書(公開鍵)の公開に応じない件に関するまとめ|Guest
パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。 - piyolog
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
カドカワ公表の情報漏洩の原因に衝撃走る「権限ある社員なら誰でも起こせる」
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 - piyolog
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
徳丸浩氏との長年の議論に終止符 – 論理的/体系的セキュリティとそれ以外
IT業界のM&A|事例31選 | fundbook(ファンドブック)事業承継・M&A仲介サービス
はてなブックマークボタンを外した - 戯れ言(はてなダイアリー版跡地)
IBM スマートな社会を支えるITインフラストラクチャーを提唱 - Japan