Twitterの共同創業者、ジャック・ドーシー氏によるSNS「Bluesky」が、誰でも登録できるようになりました。 Blueskyは、イーロン・マスク氏による買収に伴いTwitter(現X)で混乱が起きる中、移行先として注目されていたSNSの1つ。これまでは招待制でしたが、日本時間2月6日からオープンになりました。 アカウントを作成するには電話番号を登録してSMS認証を行う必要があります。興味のあるトピックなどを選択して登録完了です。ユーザーインタフェースはXと似ています。 SMS認証が必要 Xと似たインタフェース Blueskyは公開SNSで、非公開アカウント(鍵アカ)にはできません。投稿やいいねのほか、ブロックも公開されますが、ミュートは非公開です。 画像をもっと見る advertisement 関連記事 X(Twitter)に音声・ビデオ通話機能 初期設定では「有効」、望まない人は
KFCのアプリやばすぎて笑う
KFCのアプリが最近リニューアルされたんだけど、稀に見るやばい出来になってて笑える。 これまでのアプリは特段大きな不満もなく使えるものだったのに、何故かいきなりアプリが刷新された。 【新アプリの惨状】 ・これまでのアプリでは会員未登録でもマイルが貯まる仕様だったが、新アプリ移行後は会員登録しないとマイルが貯まらない仕様に。 で、会員未登録のままアプリをアップデートしたユーザーのマイルはすべて消滅。 ・アップデートで未登録会員のマイルが消滅する旨について碌な告知もなかった。 ・アプリに合わせて(?)リニューアルした公式サイトが内容すっからかんでやばい。 https://www.kfc.co.jp/ ・会員登録しようとすると入力画面の携帯電話番号と郵便番号を入力出来る桁数が足りず詰む。 ・ログインの為にワンタイムパスワードが必要だが、送られてくるSMSのパスワードが空欄で詰む。 ・そもそもたか
すまほん!! » ニュース » 社会 » ローチケが炎上。機種変更やアプリ再インストール、SIM差替で「チケット消滅」「復元不能」仕様がアップデートで突如実装のため ローチケ(ローソンチケット)がSNSで炎上しています。 これはローチケが突如アップデートにて、機種変更やアプリ再インストール、異なるスマートフォンへのSIMカード/eSIM入替を行うとチケットが消失・復元不可能という仕様を実装したため。 転売防止を意識した仕様とみられますが、かなり過酷な制約であり、端末の故障や紛失、不具合によるOS初期化を想定しておらず、現実的に履行困難と思われ、消費者保護の観点からも重大な問題があるように見えます。 なお最近のモバイルOSは利用頻度の低いアプリの一時ファイル削除やアプリのアンイストールを行う機能があるため、どうしてもローチケを利用せざるを得ない人は、そうした機能が発動されないよう念の為オフに
2003年には「プレーンテキストなんてものは全く存在しない」と言われ、テキストの解読には文字コードの情報が必須となっていました。しかし、2023年になるまでの20年の間に絵文字などのおかげでUnicodeの利用率は98%へと到達し、再び文字コードを気にせずにすむ時代がやってきています。そんな時代において、正しくUnicodeを使うために必要な知識をエンジニアのニキータ・プロコポフさんが解説しています。 The Absolute Minimum Every Software Developer Must Know About Unicode in 2023 (Still No Excuses!) @ tonsky.me https://tonsky.me/blog/unicode/ Unicodeの歴史と利用率の推移をまとめたグラフは下図の通り。2000年代後半から急速に普及が進んでいったこ
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
電子書籍媒体難民
ピッコマ UIが結構好きだったのと「ナビレラ」って漫画が好きだったので利用してたんだけど、最近唐突に無料話の場合にSMS認証を求められるようになって面倒だからもういいかな…と思ってやめた その前はhontoを使ってたけど、そのとき買った本はもう読まなくなってしまった アクセス面倒くさくて… 同じようにピッコマで買ったいくつかの作品も読まなくなってしまうかな ヨコハマ買い出し紀行と推し武道は紙で買い直そうかな 迷ったけど今日紀伊國屋の電子書籍サイトに移行してとりあえず人生にマストという漫画だけ揃えて買ったけど、結構いい感じ このサイトとアプリなら読み返せそうな気がする アマゾン嫌いだからkindleは考えたことなかったけどみんな使ってるよね そこでだけ作品売ってる人もいるしな…犬のかがやきとか(知らないだけで他でも出してる?) 白泉社の漫画に好きなものが多くてアプリのマンガParkは結構よか
パスキーの基本とそれにまつわる誤解を解きほぐす
2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。
デス原子力塩太郎 @pmx003_the_o 「市ヶ谷中央法律事務所」から、「お伝えしたいことがありますのでお電話ください」というSMSがあって、調べたら確かに法律事務所の番号だったので電話。 「『お伝えしたいこと』とあるが、こちらには見に覚えがありません。SMSに宛名がありませんでしたが、誰あてに送信したんですか?」と聞くと(続 2023-12-10 14:34:55 デス原子力塩太郎 @pmx003_the_o 「電話番号とお名前をお教えください」というので 「送信してきた電話番号はともかく、なぜこちらから個人情報を名乗らなければならないのか、そちらが送信しようとした相手と一致するかどうかはこちらが回答するのだから、送信者名を教えろ」 というと、渋々名前を出してきた。もちろん知らん人(続 2023-12-10 14:36:51 デス原子力塩太郎 @pmx003_the_o 「知らない人
個人の方 ロードサービス ロードサービスTOP JAFを呼ぶ JAFを呼ぶ ウェブサイトで呼ぶ 電話で呼ぶ アプリで呼ぶ FAXで呼ぶ ロードサービス内容 ロードサービス内容 料金を調べる 対象車種 バイクのロードサービス タイヤ貸し出しサービス ロードサービスご利用時確認事項 ロードサービスご利用時確認事項 ロードサービス利用約款 よくあるロードサービス出勤理由 自動車保険のロードサービスとの違い 自動車保険のロードサービスとの違い 自動車保険加入者への優遇サービス 各損害保険会社のJAF会員優遇サービス内容 有償運送許可のための研修 クルマの悩みや疑問を解決する クルマの悩みや疑問を解決する クルマのトラブル診断 クルマなんでも質問箱 入会・継続・各種手続き 入会・継続・各種手続きTOP 入会メリット・費用について 入会メリット・費用について 個人会員について 家族会員について 手続き
羽田徹_別荘民泊プロデューサー @hada0505 融通が利かないニトリさん。 大手だからルールあるのは分かる。 でもね、田舎の僻地だし、もう一回来てもらうの申し訳ないでしょ? だから、「キーボックスで鍵開けて中に入れて下さい」って、入れてもらう時はある。 配達の方も「助かります!入れときます」って。 でも今日は、 「それは会社の規定でできません」 って。 ベッドの組み立てサービスも使ったので9台もベッド組み立てる必要あった。 「じゃぁ、あと27分で着きますから、作業しといて下さい。作業している間に着きますから」 「お客様がいないと中に入れません」 「大丈夫です。家の中にはまだ何も無いので、無くなったとか盗まれたとか言いませんから。再配達になる方が面倒なので」 「私では判断できないので、会社に連絡します」 会社から電話が掛かってきた。 「やはり中に入ることはできません」 そのやり取りの間に
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応,全容がわかってきたので記録として残しておきます。 クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい! かなりの部分は上記の方と類似していましたので,こちらもご参照ください。 セゾンポータルアプリへの通知で気付く 最初に気付いたのは,セゾンポータルアプリへの通知でした。 この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。 続いてクレディセゾンモニタリング担当からSMSが セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。 上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物で
FANZAアカウントの削除を決めました
まだサイト名がDMMの頃から、今に至るまで多くの作品を購入してきました。私は抜きどころを見つけて同じシーンで何回もヌくタイプなので高画質ビデオを購入します。最近だと4K作品しか購入しません。とくに乳首のキレイな巨乳が好きで、私のコレクションは乳首のキレイな巨乳で溢れかえっております。途中、VRに出会ったことで臨場感あふれる巨乳を堪能しましたが、やはりVRは頭への負担と、致しているときにヘッドセットが揺れるため映像が乱れること、画質の荒さ、なにより致している姿を家族に見られるリスクが高すぎることから2Dに戻しました。8KVRも試しましたが、やはり2D4Kにはかないません。 時にはオムニバスを購入し、名前の知らないキレイな巨乳をもつ女優に出会うこともありました。一期一会の関係性ですが、他のオムニバス作品でで会った時は、昔共に致した女性に出会うような、なんとも言えないけど甘酸っぱい気持ちになるこ
毎日新聞は20、21の両日、全国世論調査を実施し、次の衆院選で政権交代してほしいか尋ねたところ、「政権交代してほしい」が62%で、「政権交代してほしくない」は24%にとどまった。「わからない」も13%あった。 昨年11月以降、自民党派閥の政治資金パーティーを巡る裏金問題が深刻化。岸田内閣の支持率は2月に14%まで下落した。4月は20%台を回復したものの、10カ月連続で30%を下回っており、厳しい政権運営が続いている。 調査は、携帯電話のショートメッセージサービス(SMS)機能を使う方式と、固定電話で自動音声の質問に答えてもらう方式を組み合わせ、携帯519件、固定513件の有効回答を得た。【野原大輔】
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
新MacBook Pro(M3)でも機密情報が漏えい 2020年以降のApple製品全てに脆弱性 米国チームが発表
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices」は、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告である。 この攻撃は、最近発売されたM3チップを搭載した新型MacBook Proでも成功し、ソフトウェアの更新状況に関わらず、Apple製品にとって依然として脅威であることを示した。 「iLeakage」
Droomから一生退去できなくて困っている【ほぼ解決】
【TL,DR】 ダイワリビング(大和ハウス)の賃貸住宅Droomを解約する際、解約専用サイトから申請できないトラブルが発生過去に別のアパートを借りていたことによって、2件分のIDが発行されており、無効な方でログインしていたのが原因(←これ結構混乱する) 正しいIDでログインし申請していたが、修正箇所を直そうとしたら申請前なのに受付を拒否されてしまう 仕方なく営業所に電話するも、そこは既に賃貸業をしていないので中央オペレーターにつなぐよういわれたオペレーターに電話するも全然繋がらないオペレーターから解約申請が終了していると告げられた。日程の変更は別途営業所から連絡があるらしい。たぶん解決 とりあえず解約までは終わったらしいので、表現がおかしかったり間違っている部分は後で訂正します 【注意】 一部に不適切な表現があります 必ずしもダイワリビングが悪いとは限りません自身の落ち度や勘違いもあります
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
「NTTを騙った特殊詐欺電話がかかってきたが、なかなか巧妙なシナリオだったのでレポートを書いてみました」→自分はここで気付いた、という報告が次々上がる
リンク www.ntt-finance.co.jp NTTファイナンスを装った特殊詐欺にご注意ください! | NTTファイナンス株式会社 「NTTファイナンス」を名乗り、電話(自動音声)やショートメッセージ(SMS)で未納料金が請求されるなどの詐欺が急増しています。決して応じず、最寄りの警察署、国民生活センターへご相談ください。詐欺の手口などをご紹介します。 1 user 648
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 2段階認証を設定したアカウントで不正アクセス被害が報告 2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。 Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て
この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。 とりあえずドラフトですが公開します。識者のみなさまの暖かく、そして鋭いツッコミを期待します。 パスキーについて、非常にわかりやすいブログをえーじさんが書いてくださいました。コレを読んで頂ければほとんどのことが分かると思います。 先日の次世代Webカンファレンスで、私は、「結局、パスキーは秘密鍵と公開鍵のペア」と申し上げた立場からも、この疑問はごもっともだと思いましたので、すこし、私の思うところを述べたいと思います。 パスキーは2要素認証の場合が多いほとんどのユーザは、OS標準のパスキーを使うのではないかと思います。そして、生体認証、もしくは画面ロック用のパスワードやPIN等が設定されていない限り、OS標準のパスキーを使うことができません。そして、OS標準パスキーの利用時には、生体認証もしくは画面ロック解除のため
個人の方 ロードサービス ロードサービスTOP JAFを呼ぶ JAFを呼ぶ ウェブサイトで呼ぶ 電話で呼ぶ アプリで呼ぶ FAXで呼ぶ ロードサービス内容 ロードサービス内容 料金を調べる 対象車種 バイクのロードサービス タイヤ貸し出しサービス ロードサービスご利用時確認事項 ロードサービスご利用時確認事項 ロードサービス利用約款 よくあるロードサービス出勤理由 自動車保険のロードサービスとの違い 自動車保険のロードサービスとの違い 自動車保険加入者への優遇サービス 各損害保険会社のJAF会員優遇サービス内容 有償運送許可のための研修 クルマの悩みや疑問を解決する クルマの悩みや疑問を解決する クルマのトラブル診断 クルマなんでも質問箱 入会・継続・各種手続き 入会・継続・各種手続きTOP 入会メリット・費用について 入会メリット・費用について 個人会員について 家族会員について 手続き
元記事 元記事を読んで恐くなり、災害用公衆無線LANの00000JAPANを含むFree Wi-Fiの使用を躊躇してしまった一般利用者個人のためにこの記事を書きました。 本記事では大雑把に元記事がどのようなリスクを指摘しているのか、そしてなぜそれを考えなくて良いのかを説明した後、情報セキュリティについて持論を述べる前に理解しておくべき点に触れます。 結論 正しくスマホやPCを使う限りFree Wi-Fiは危険ではありません。00000JAPANをぜひ活用してください。 これに同意した方とネタが嫌いな人はセキュリティクラスタは口が悪いまで読み飛ばしてください。 まだ心配な人のために暗号化の重要性を知っている専門家の見解を紹介します。 災害時無料公衆無線LANの利用がNHKで紹介され、Wi-Fi暗号化がされていないことから「クレジットカード情報やパスワードなどの入力は極力、避けるよう」と呼び掛
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米ノースイースタン大学などに所属する研究者らが発表した論文「Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings」は、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告である。攻撃者は、ユーザーのスマートフォンに複数のテキストメッセージを送信する。ユーザーの自動配信の返信のタイミングによって、ユーザーの位置を三角測量で特定できる。 攻撃は、SMSの送信者がネットワークを介し
ネットワークに基づく分散型SNS一覧(damus, nostr, Bluesky, AT Protocol, Mastodon, Misskey, Threads, ActivityPub ...) - Qiita
ネットワークに基づく分散型SNS一覧(damus, nostr, Bluesky, AT Protocol, Mastodon, Misskey, Threads, ActivityPub ...)mastodonmisskeythreadsnostrBluesky はじめに Twitterの動乱に巻き込まれ、移住先に選ばれつつある Threads が5日で1億人を突破した今日このごろ、皆様いかがお過ごしでしょうか。 Alt Twitterとしての各種サービスに注目が集まりつつありますが、それらに関しての解説記事も乱立しており、一方で、その正確性や内容には必ずしも正確ではないものもあります。 プロトコルとアプリとサービスの区別がついていなかったり、相互接続できないものが接続できると宣伝されていたり、その逆もあります。 本記事では、特にネットワークに基づいて、各種SNSを分類して説明します。
米アップルは、携帯電話でのメッセージ送受信に関する標準規格リッチ・コミュニケーション・サービス(RCS)を来年採用することを計画している。アップルとしては大きな方針転換で、RCS採用により「iPhone」とアンドロイド端末との間でのテキストメッセージのやり取りがより円滑になる。 アルファベット傘下のグーグルなどはアップルに対し、RCSの採用を強く要求していたが、アップルはここ1年余り抵抗してきた。RCSはショート・メッセージ・サービス(SMS)やマルチメディア・メッセージング・サ ービス(MMS)よりも上位の規格で携帯電話業界の国際団体GSMアソシエーションが支持している。RCSを採用することで、異なるプラットフォームが使用された電話間におけるテキストメッセージのやり取りにおいて、共有できる機能を増やすことが可能になる。 アップルはこれまで、アップル製品間でメッセージのやり取りが可能な独自
ついに日本で利用可能になったChatGPTの強力ライバル「Claude」使用レビュー、テキストファイルやPDFファイルの認識も可能でランチの相談からコーディング補助までサクサク応答
チャットAI「Claude」は人間の学者に匹敵する能力を持つとされるほどの性能を備えており、ChatGPTのライバルとみなされています。そんなClaudeが日本でも利用可能になったので、実際にClaudeを使う方法や性能をまとめてみました。 Now users in all supported countries can access both our free experience and Claude Pro to boost their productivity and get more done.— Anthropic (@AnthropicAI) ◆Claudeのアカウント作成手順 Claudeを使うには無料のアカウントを作成する必要があるので、まずは以下のリンクをクリックしてアカウント作成画面にアクセスします。 Claude https://claude.ai/login アカ
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
各サービスで電話番号宛のSMS認証が当然となった現代、携帯電話回線は非常に高い価値を持っています。 そんな電話回線をSIMカードごと奪う「SIMハイジャック(SIMスワップ)」という犯罪手法が海外で報告されていますが、最近は日本でも被害報告をチラホラと聞くようになっています。 そんなSIMハイジャックの魔の手が、なんと日本の政治家にまで及んでいたことがわかりました。 東京都議会議員の風間ゆたか氏が報告したところによると、PayPayの不正利用とパスワードリセットで異変に気付いたとのこと。 スマホで二段階認証を行ってもSMSが届かず、Wi-Fiでしか使えず、アンテナマークが解約を示すマークになっていることが判明。ソフトバンクショップに駆け込んだとのこと。 東京都ではなく名古屋のソフトバンクショップで最新機種を購入した形跡があり、ソフトバンクショップはその時の本人確認をマイナンバーカードのIC
技術責任者の@sunaotです。エス・エム・エスのプロダクト組織では、カンファレンス参加や専門書籍による学習などを強く推奨して、金銭的・時間的な支援も広く行なっています。 取組み自体はとくに最近の Web の会社では珍しいものではありません。ただ、位置付けや考え方を表明しているのはやや珍しいらしく、入社してきた人やカジュアル面談の場などで説明すると面白がってもらえることがあります。そこで、今回はその背景や考え方を説明してみます。便宜上ソフトウェアエンジニアを例に説明をしますが、基本的にはプロダクトマネージャーやデザイナーなど他の職種においても同じことが言えると考えています。 学習への投資は責任を果たしてもらうための必要経費 エス・エム・エスのプロダクト組織では、カンファレンス参加や書籍の購入といったものに会社のお金や業務時間が使えることを福利厚生として位置付けていません。では、報酬ではない
Engineering Manager Advent Calendar 2023 15日目の記事です。 KyashでEngineering Managerとして1年半、VP of Enginneringとして2年やってきました。 体系的な話は HIGH OUTPUT MANAGEMENT や エンジニアリング組織論への招待、エンジニアリングマネージャーのしごと といった素晴らしい書籍にまとまっているので、自分はケーススタディとしてVPoEになってからの具体的な意思決定の記録を残しておきます。EMの時の話は過去にまとめています。 KyashでEngineering Managerとしてやってきたこと / やっていくこと - Konifar's WIP Engineering Managerをやめた - Konifar's WIP 先に書いておくと、綺麗にうまくいった / いっているという話は
認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
Amazon の 2段階認証 突破の噂についての仮説 と 2段階認証で意識すること【2FA/2SV/MFA】 - Qiita
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについてもご紹介します。 Identity Platform とは まずはこの記事でメインで扱う Identity P
同製品はGPS端末としてRaspberry Pi 4 Bを採用しており、AWS location service、IoTのクラウドを使用したWebアプリをトータルで提供。リアルタイム追跡や勤務管理、ジオフェンスを利用した配達通知などの用途で利用でき、コスト削減に応用可能だ。システムの構築に要する期間は約1週間程度で、データ流出を防ぐ専用システムを構築できる。 アプリではGPSによるリアルタイムトラッキング機能や、地図上に設定したエリアに対象物が入出力した時点でアラームを通知するジオフェンス機能に加え、出発地から目的地までのルート計算や場所検索、地図表示などの機能を搭載している。 また、メールやSMSなどでの通知機能や、GPS情報を外部ウェブサイトで確認できるリアルタイムモニター機能、勤務管理分析ツールも利用可能だ。さらに、RTK-GNSSによる位置情報の提供や、9軸センサー(加速度、ジャイ
2023/12/12 記事公開 2023/12/14 調査サービスの差し替え & コメント返信 はじめまして。kinmemodokiです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の12日目の記事です。 2023年では様々なウェブサービスがパスキーに対応し様々なログインUXが生まれました。 本記事はそのさまざまなウェブサービスのパスキーによるログインUXの挙動をまとめ、挙動の考察を行いました。 本記事で扱うのは「ウェブサービスのパスキーでのログインUX」についてであり、「パスキー周りの実装や技術」については基本的に扱いません。 なお、本記事では「WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」」の「第2章 パスキー時代の認証UX」を参考にしており、最低限の部分は
楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき
この記事について この記事は、毎週土曜日に配信されているメールマガジン「石川温のスマホ業界新聞」から、一部を転載したものです。今回の記事は2024年4月27日に配信されたものです。メールマガジン購読(税込み月額550円)の申し込みはこちらから。 第三者がフィッシングサイトなどを通じて入手した楽天IDとパスワードによって、My 楽天モバイルでeSIMの再発行を実施。モバイル通信サービスを乗っ取ってしまうという。 SMS認証で本人確認を行う他のサービスなども乗っ取られていくなど、さらなる犯罪に利用されてしまうことも予想される。 そもそも、楽天モバイルの仕組みは楽天IDとパスワードによって、eSIM再発行ができるなど、他社に比べてセキュリティが低いというのが以前から指摘されていた。 他社であれば、切り替えたい回線にSMSを飛ばす、あるいはeSIMを再発行する際、端末の紛失などでSMSを飛ばせない
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
X(旧Twitter)の代替として注目されるSNS「Bluesky」、誰でも登録可能に
ローチケが炎上。機種変更やアプリ再インストール、SIM差替で「チケット消滅」「復元不能」仕様がアップデートで突如実装のため - すまほん!!
全ての開発者が知っておくべきUnicodeについての最低限の知識
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
法律事務所から「お伝えしたいことがあります」とSMSが→調べると本物だったので折り返したら、面倒な展開になった
ヘルメットなしでの運転は極めて危険! 電動キックボードの衝突実験
ニトリの組み立てサービス付でベッドを配達頼んだら時間を読み違えて現着に間に合わず再配達になった人の長文への反応
「認証」を整理する | IIJ Engineers Blog
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
迷惑メールは「meiwaku@dekyo.or.jp」に転送しちゃうといいぞ!/「不在だったので荷物を持ち帰りました」みたいなフィッシングSMSも受け付け中【やじうまの杜】
次期衆院選で「政権交代してほしい」62% 毎日新聞世論調査 | 毎日新聞
多要素認証を私物スマホでやっていいのか問題
パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
【Amazon】2段階認証を設定したアカウントで不正アクセス被害の報告が急増(2023年9月12日)
パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai
ガソリン価格高騰を受け、声明を発表 “自動車ユーザーの暮らしを守るためにも「当分の間税率の廃止」・「Tax on Taxの解消」を!
Free Wi-Fi(00000JAPAN)は安全なのか? - Qiita
SMSを送って相手の位置を特定するサイバー攻撃 スマホ持つ全ユーザーに到達可能 米研究者らが開発
iPhoneとアンドロイド端末のやりとり円滑に、アップルが方針転換へ
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
日本でもSIMハイジャック発生、ついに政治家が携帯電話番号を乗っ取られる事態に - すまほん!!
なぜ学習することへ投資するのか - エス・エム・エス エンジニア テックブログ
マネジメントとしての意思決定振り返り - Konifar's WIP
AWSを使ってリアルタイム追跡や勤務管理システムなどが作れるキットが販売開始|fabcross
いろんなウェブサービスにパスキーでログインしてみる
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog