「クレカを止めても不正利用が止まらない」のメカニズム【鈴木淳也のPay Attention】
このように、Cookie自体はいきなり誰かの個人情報・プライバシーに触れる仕組みではありません。あくまでアクセスを識別するための技術です。また、ECサイトやSNSのように、利用者を識別して動作しなければならないWebサイトではCookieはかならず必要になります。 サードパーティークッキーって? 今回話題になっているのは、「サードパーティークッキー (3rd Party Cookie)」です。これもCookieの一種なのですが、ここまで出てきたものと少し扱いが異なります。それは、Cookieが複数のWebサイトをまたがって利用されるという点です。 サードパーティーCookieの説明のために、A社のWebサイト、B社のWebサイトという、無関係な二つのWebサイトがある事にしましょう。そして、ここにP社のWebサイトを追加します。P社のWebサイトと書きましたが、ここで想定しているのは、A社
はじめに あえてどことは言いませんが、先日某サイトで「ネット速度を高速化する方法」としてDNSサーバの設定をpublic DNSサービスに変更する記事が出てました。その記事の結論としては「変更しても大差ない」というものでしたが、DNSでネットワークを高速化するというこのような記事は何年も前からときどき見かけます。いい機会なので、このあたりについてもう少し深く掘り下げて考えてみましょう。 ※この記事では、とくに明示しなければDNSサーバとはキャッシュDNSサーバ(フルサービスリゾルバ)を指すものとします。 DNS応答の速さ DNSの設定を変えることによりネットワークの速度が速くなるとすれば、(1)DNSそれ自体の応答が速くなるか、(2)その後のWebアクセスが速くなるか、のどちらか(または両方でしょう)。このそれぞれについて検討してみましょう。 前者が速くなると画像やJavascriptなど
全国の市区町村の名前とコードをデータベーステーブル化したもの、すなわち市区町村マスタはITシステムを作っていれば何かしらの場面で必要になるものです。 ではその市区町村マスタを作るための元データはどこから手に入れたらいいものか。 そして「作る」というのもありますが、市区町村は再編されるものですから最新の変更にどう追従するか、しかもそれを自動化できるかというのも大いに気になるところですね。 エムスリーエンジニアリンググループ三浦(@yuba@reax.work) [記事一覧 ]です。 Unit1(製薬プロモーション)およびUnit9(治験臨床研究支援)のエンジニアです。 今回は私も皆様とまったく同じように市区町村マスタのデータ源に悩んでいろいろ調べましたので、それで得た知見を共有させていただこうと思います。今回は代表的な3つのデータソースをご紹介し比較していきます。 ほしいのはこんな感じのデ
OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた | オタク総研
OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた
徳丸さん、こんにちは。 読売のような大手メディアのサイトでもサポート詐欺の偽警告が表示されるようになってしまいましたし、今の時代は広告ブロッカーが必須と考えたほうが安全なのでしょうか? 徳丸が書いていないことを質問いただくことが時々ありますが、私が書いてないのは書きたくない理由があるから(単にめんどうくさいも含む)です。ですが、せっかく質問いただいたので、思うところを書いてみようと思います。 まず、私自身は広告ブロッカーを使っていないです。その理由は、広告ブロッカーには危険なものがある(原理的にあり得るし、過去にあった)からです。過去には、広告ブロッカーが元の開発者から売却され、マルウェア化した例が複数あります。具体例は示しませんが、検索するとすぐに見つけられると思います。 広告ブロッカーがマルウェア化すると、これらはブラウザアドオンの形で動くため、非常に強い権限があり、すべてのサイトの情
はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか? といった疑問が
読売新聞は、「サポートを装った怪しい警告にご注意を」との記事を7月19日に掲載しました。 これは読売新聞オンラインによく表示されるとSNSで話題となっている「サポート詐欺」と呼ばれる類型の詐欺をめぐる対応。 (速報)読売新聞のサイトを見ていたらこれが出た。サイトを見ていただけでボタン等は押していません。これが出た当初はフルスクリーンでないですが、サイト内をクリック等すると、フルスクリーンになります。 pic.twitter.com/7yL8puRFcN — 徳丸 浩 (@ockeghem) July 18, 2024 具体的には、ファイアウォール更新・スパイウェア感染などの虚偽の警告が表示され、サポートセンターを装った詐欺の窓口に誘導されるという悪質な手口です。クリックを伴わずとも突然、このような警告画面が表示されるそうです。おそらく広告のJavaScriptを悪用して詐欺を行っている業者
今回は、SSH接続を劇的に高速化する方法をご紹介します。たった3行の設定を追加するだけで、接続時間を10分の1に短縮できます。しかも、2回目以降の接続では認証も自動的に行われるので、パスワードやパスフレーズの入力も不要になります。 要点 .ssh/configファイルのHost *セクションに以下の3行を追加するだけです。 詳しい説明 1. ControlMaster auto この設定で、1つのSSH接続で複数のセッションを共有できるようになります。新しくSSH接続を確立するたびに認証情報を入力し直す手間が省けて、接続がぐっと速くなります。具体的には: 初回の接続時のみ認証が必要 2回目以降は既存の接続を再利用するため、認証プロセスをスキップ パスワードやパスフレーズの入力が不要になり、接続がほぼ瞬時に完了 2. ControlPath ~/.ssh/mux-%r@%h:%p Contr
栗田COOは「最初に報告を受けたときはさすがに虚偽だと思ったが、社員が撮影したインターフォンの画像から社名および記者名まで把握している」と説明。続けて、報道機関が報道を目的に個人情報を扱う場合、個人情報保護法の適用除外となり、法的措置を取れないとも言及している。 栗田COOは「あくまで報道のモラルの問題ですので、こうしてお願いしている」と投稿の経緯を明かし、今後も続くようであれば社名を開示するとしている。 関連記事 KADOKAWA、漏えい情報の“悪質な拡散”を特定 計473件 削除要請・情報開示請求へ KADOKAWAが、ランサムウェアを含む大規模なサイバー攻撃を受けて従業員や一部取引先の情報などが漏えいした問題で、SNSなどで漏えい情報を拡散する行為のうち、悪質な例が473件あると発表した。「削除要請および情報開示請求を鋭意進めている」(KADOKAWA)といい、悪質性の高いケースには
Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた - piyolog
2024年6月以降、Google フォームの設定に起因する情報流出が生じたとして複数の組織より公表されました。ここでは関連する情報をまとめます。 回答情報を第三者に参照される恐れのあった共同編集設定 Google フォームの設定次第で外部から回答者の情報を閲覧することが可能な状態が発生し、実際に影響を受けたとして複数の組織が6月以降公表を行っている。 事案公表した組織が行っていた設定とは、Google フォームの「共同編集者の追加」において「リンクを知っている全員」が選択されている場合。 Googleのアカウントにログインした状態で当該設定が行われたGoogle フォームに回答を行った後、自身のGoogleアプリからGoogle フォームの画面を表示した際に、「最近使用したフォーム」の欄にそのGoogle フォームが表示されるようになっていた。そこよりGoogle フォームを通じて入力され
Linux コンテナの歴史を追うとコンテナの仕組みがわかる / Dai Kichijoji pm
2024-07-13「大吉祥寺.pm」の発表資料です。 参考となる情報にはPDF中からリンクをしていますが、資料中のリンクは Speaker Deck 上ではクリックできないので PDF をダウンロードしてご覧ください。
海外旅行の正解は「AirTagとこのケースの組み合わせ」だった。ロスバゲ対策だけじゃないメリットがあったよ | ROOMIE(ルーミー)
リアルタイムでわかるのが便利すぎる… ちょうど仕事で海外に行く予定があったため、実際に使ってみました。 まずは行きの空港。手元にある状態だと「自分が所持中」と表記されています。 その後、荷物を預けると数分後に「手元から離れました」と通知が来ました。 こちらはあらかじめ「手元から離れたときに通知」を設定しておく必要がありますが、例えばお財布に付けておけば、万が一どこかに落としてしまってもすぐに通知が届くのでかなり便利。 AirTagを購入したらすぐに設定をオンにしておくのがおすすめです。 手荷物受取のストレスが解消されました 空港に着いてスマホをチェックすると、約300mの距離にスーツケースがあることがわかりました。 ロストバゲージすることなく、無事に空港に届いていることがわかって一安心です。あとは手荷物受取所でスーツケースが近づいてくるのを待っていればOK。 実際に使ってみて感じたのが、あ
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応,全容がわかってきたので記録として残しておきます。 クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい! かなりの部分は上記の方と類似していましたので,こちらもご参照ください。 セゾンポータルアプリへの通知で気付く 最初に気付いたのは,セゾンポータルアプリへの通知でした。 この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。 続いてクレディセゾンモニタリング担当からSMSが セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。 上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物で
IT技術書を執筆して、FIRE生活を実現するまで。30冊以上の本を書いて見えてきた「自分らしい生き方」 - Findy Engineer Lab
はじめに はじめまして、IPUSIRON(@ipusiron)と申します。現在はIT技術書の執筆を本業としつつ、FIRE生活を過ごしています。 最初の本が出たのが2001年です。途中で学生や会社員だった時期もありますが、20年以上執筆し続けていることになります。その間、30冊を超える本を執筆してきました。 このたび、「IT技術書を執筆して、FIREをどう実現したのか」というテーマのコラムを寄稿する機会をいただきました。これまでのキャリアを振り返りつつ、次に示す内容を紹介します。 IT技術書の執筆活動を続けてきた中で、印象深い出来事 IT技術書を執筆するということ IT技術書を執筆して、FIREを実現した理由や経緯 自らのキャリアを振り返って、他のエンジニアの方々に伝えたいこと Xでは、読書や執筆に関することを日々発信していますので、気軽にフォローしてください。 はじめに IT技術書の執筆活
2024年6月8日(土)に発生したサイバー攻撃による障害により、ニコニコアカウントは現在サービスの再開に向けて作業を行っています。 8月5日(月)以降のニコニコアカウントのご利用について、お知らせいたします。 ニコニコアカウントをご利用の皆様には重要なお知らせとなりますので、下記ご一読をお願いいたします。 パスワードの再設定のお願いセキュリティ対策強化の一環として、ニコニコアカウントのパスワードをリセットしました。 そのため、8月5日(月)のサービス再開以降、はじめてニコニコにログインする際にパスワードの再設定をお願いいたします。 ユーザーの皆様にはお手数をおかけすることとなり申し訳ありません。 なお、ニコニコユーザーのアカウント情報(ログインメールアドレス、ログインパスワード)、およびクレジットカード情報につきましては、当社からの情報漏洩は確認されておりません。 詳しくは、こちらのプレス
なぜそこまで? ヤマト運輸や佐川急便のドライバーが平らな道でもタイヤに「輪留め」をする深い理由|信濃毎日新聞デジタル 信州・長野県のニュースサイト
宅配便のドライバーが集配車を路上にとめ、車両の周りをきびきびと動き回る様子はよく見る光景だ。その際、路面が平たんであってもタイヤの動きを止める“輪留め(輪止め)”を使っているドライバーもいる。三角形の輪止めをタイヤの前後に差し込む姿を見るたびに、記者は「なぜそこまで?」と疑問を抱いてきた。坂道ならば理解できる。ドライバーが離れている間に車両が勝手に動き出す〝自走〟を防ぐために輪止めは有効だ。でも、平たんな道では、AT車ならばPレンジとパーキングブレーキで十分に自走を防げるはず。ヤマト運輸と佐川急便に理由を聞いた。 佐川急便は「車種を問わず、ドライバーが車を離れる際は必ず輪止めを使用する運用になっている」と答えた。同社は「安全は全てに優先する」という安全目標を掲げており、ドライバーの乗降時にさまざまな安全対策を実施。降車時にサイドミラーをたたんだり、乗車時に車両を一周して周囲の状況を確認した
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった | ソフトアンテナ
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった 2024 7/20 Windowsデバイスで広範囲にブルースクリーン・オブ・デス(BSOD)が発生し、航空会社、銀行、医療機関など、さまざまな分野で業務が中断しています。 原因は、クラウドベースの総合セキュリティソリューション「CrowdStrike Falcon」のアップデートによって配信されたドライバーファイルにあり、CrowdStrikeは問題を認め、MacやLinux PCには影響しないと説明しています。 今回の問題は突然発生したかのように思えますが、実は同じような問題が数ヶ月前にも発生し、DebianとRocky Linuxのユーザーが大きな影響を受けていたことがわかりました(Neowin)。 Hacker Newsによると今年の4月、CrowdStrikeのアップデートによ
~ニコニコ動画が8/5に再開、新バージョンに~ ニコニコの復旧状況およびサービス停止に伴う補償について | 株式会社ドワンゴ
{.md_tr}株式会社ドワンゴ 株式会社ドワンゴ(本社:東京都中央区、代表取締役社長:夏野剛)は、6月8日に発覚したKADOKAWAグループのデータセンター内のサーバーへのサイバー攻撃の影響により、「ニコニコ」のサービス全般が利用できない状態が続いております。ユーザーの皆様、関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。 当社は、システムの復旧作業に全力で取り組んでおり、このたび、ニコニコ動画をはじめとする「ニコニコ」の複数サービスが2024年8月5日より再開することが決定しました。再開に関する詳細とともに、サービス停止に伴う補償対応について、以下の通りご報告いたします。 ### 「ニコニコ」のサービス再開について 8月5日より下記のサービスを再開いたします。ニコニコ動画の再開時に「ニコニコ」は新バージョンとなります。ユーザー生放送やニコニコチャン
ビスケット @362514 今日ほど最悪な日はない😮💨 新幹線でトイレ行ってる間にカバン無くなってて、その中に新幹線の切符とか財布とか全部入ってたんだけど、降りないと行けないから名古屋駅で降りて駅員に事情説明しても新幹線の切符が無いから料金払って下さいだって。 とりあえず今から警察署行って遺失物届け書きにいく😢 pic.twitter.com/SQsHEE60iT
「惨殺し死刑にします」巨人の選手の個人情報を載せた“殺害予告”で球団の業務を妨害か 日本生命元社員の27歳女を逮捕 生保会社在籍時に顧客情報撮影し悪用か|日テレNEWS NNN
「惨殺し死刑にします」巨人の選手の個人情報を載せた“殺害予告”で球団の業務を妨害か 日本生命元社員の27歳女を逮捕 生保会社在籍時に顧客情報撮影し悪用か 日本生命の元社員の女が、インターネット掲示板に読売巨人軍の選手の個人情報が記載された写真や「惨殺し死刑にします」などという文章を投稿し、球団従業員の業務を妨害したとして警視庁に逮捕されました。 威力業務妨害の疑いで逮捕されたのは、日本生命の元社員・天野里美容疑者(27)です。 警視庁によりますと天野容疑者は、ことし4月下旬から6月上旬にかけて、インターネットの掲示板に読売巨人軍の特定の選手の個人情報が記載された写真や、「惨殺し死刑にします」などという文章を30回以上投稿し、球団の従業員に警察への通報や警備を強化するなどの対応を余儀なくさせ、業務を妨害した疑いがもたれています。 巨人からの被害相談を受けて警視庁が捜査したところ、IPアドレス
GitHubでは削除されていたりプライベートに設定されていたりするフォークやリポジトリに誰でもアクセスでき、さらにその動作が欠陥ではなく仕様通りであるとオープンソースセキュリティ企業のTruffle Securityがブログに投稿しました。 Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co. https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github GitHubでの一般的なワークフローとして、「新しいフォークを作成する」「コミットする」「フォークを削除する」というものを考えてみます。 この時、削除したはずのフォークの中身を誰でも確認できてしまうとのこと。
日本の画風、日本のゲームジャンル、日本の声優を使って超えたと言えるのだろうか? 中国独自の文化から良い作品を生み出してくれるのなら嬉しいんだけど これじゃ完全に日本の市場に参入してるだけ
徳丸浩氏に聞く、クレカ情報の非保持化に潜む漏洩リスクとEC事業者の対策 ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がク
対象読者 様々なプロダクトへ AWS アカウントや環境を提供する SRE / CCoE チームを想定しています。 マルチAWSアカウント環境 SRE / CCoE は各プロダクトが安全かつ便利に AWS を利用できるよう、AWS アカウントの設定・払い出しや周辺コンポーネントの提供(踏み台・ID管理・ログ収集 etc...)を行います。 個別プロダクトの基盤設計や構築は行いません。 私の担当案件では 100 以上の AWS アカウントを提供しています。これでも多いとは言えず、例えば NTT ドコモでは 2,000 以上の AWS アカウントを管理[1]しているそうです。 セキュリティ対応方針 セキュリティグループの全開放や S3 バケットのパブリック公開など、AWS リソースの不適切な設定についての対応を考えます。 ゲート型 IAM ポリシーやサービスコントロールポリシー (SCP) で
なぜ?クレジットカード”停止したのに”不正利用が止まらない...毎日1万円ずつ被害に「意味分からない」利用者に募る不安 スマホタッチ決済悪用か | 特集 | MBSニュース
なぜ?クレジットカード"停止したのに"不正利用が止まらない...毎日1万円ずつ被害に「意味分からない」利用者に募る不安 スマホタッチ決済悪用か MBSの取材班に届いた1通のメール。そこには、『クレジットカードで身に覚えのない使用履歴を確認しました。カードを止めたのは5月1日なのに、今でも毎日1万円程使用されており、13回使われています。毎日使われるのを我慢する日々…腹立たしいです』と書かれていました。文面からにじみ出る“怒り”。送り主に何があったのでしょうか。 身に覚えのないクレジットカードの利用履歴 メールの送り主は、大阪府内に住むAさん(30代)。夫と2歳の息子との3人で平穏な日々を過ごしていましたが、今年4月に“ある異変”が起きたといいます。 (Aさん)「普段めったに使わないクレジットカードなんですけど、スマホに、9108円をどこどこで使いましたというメールが来た。(Qご自身で使った
サポートを装った怪しい警告にご注意を : 読売新聞
【読売新聞】 パソコンで読売新聞オンライン(YOL)を閲覧している際、「ファイアウォールの更新が必要」「スパイウェアに感染していると報告されました」などの警告が表示され、「画面が変えられなくなった」という報告が、読売新聞に複数寄せら
🍪🍺 @unplannedsleep 国際犯罪の被害に遭いかけたので注意喚起です! 海外サイト(WeWorkRemotely)で良さげな案件を探していて、出会ったクライアントとビデオ通話した後「早速今の実装見てみてほしい」という話になりました。もう遅いし明日にして今日は飲むか〜と思っていたら「すぐチェックしてほしい」という連絡が pic.twitter.com/bRhXJkFEGX 🍪🍺 @unplannedsleep しょうがないにゃあ…と思いつつまずは親の顔より見た setupTest.js を見るとそこには変わり果てた姿が…… 偶然昼までMarkdown書き物をしてたためVSCodeの折り返しを有効にしていたので気づきましたが、普段無効にしてるときだったらこんなふうに見えるので気づくのは難しそう pic.twitter.com/fbk3og3Dml
EDR製品の有効性について質問させてください。 EDR製品を導入していれば、いわゆる標的型攻撃にみられるような不審なネットワーク探索をほぼ確実に検知できると考えて良いものなのでしょうか? それともEDR製品ではどうしても検知できないネットワーク探索手法も存在するのでしょうか? まず、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)という二つの用語について説明します。 EPPは従来のウイルス対策ソフトをEDRとの対比のためにこう呼んでいますが、基本的にはシグネチャにより、パソコン等に入ってきたファイルをチェックして、マルウェアと判定したら隔離や警告をするものです。 EDRは、エンドポイント(パソコンやサーバー)の挙動を見張っていて、マルウェア特有の挙動を検知(Detection)したら、対応(Resp
衛星経由の緊急SOS、本日提供開始
本日より、Appleの画期的な安全サービスである衛星経由の緊急SOSが日本のお客様に提供されます。iPhone 14とiPhone 15のすべてのモデルで利用できるこの革新的なテクノロジーにより、ユーザーは携帯電話通信やWi-Fiの圏外でも緊急通報サービスに情報を共有することができます。さらに、携帯電話通信やWi-Fiの電波が届かない所に出かけている時に、友人や家族に居場所を知らせたい場合は、「探す」アプリを開いて衛星経由で位置情報を共有できます。このサービスは、新しいiPhone 14またはiPhone 15モデルのアクティベーションを行った時から2年間無料で利用できます1。2022年の発表以来、衛星経由の緊急SOSは、提供されている16か国ですでに人命救助に役立ってきました。 iPhone 14とiPhone 15のラインナップに含まれるすべてのモデルが、独自に設計されたハードウェア部
マイナンバーカード裏面のICチップには氏名、住所、生年月日などの情報が記録されている=東京都千代田区で2024年7月26日午後6時34分、和田憲二撮影(画像の一部を加工しています) 携帯電話の契約や銀行口座の開設時に必要な本人確認について、政府はマイナンバーカードに搭載されたICチップ情報の読み取りを原則義務化する。本人を装った犯罪行為を防ぐ狙いだ。開始時期は未定だが、SNS(ネット交流サービス)上では「カード取得の強制だ」などと批判が噴出。強引な進め方に、専門家も疑問を投げかける。 募る不信感 「携帯の機種変更ができないんじゃ、嫌でも作らないといけないのかな」。熊本県に住む70代の女性はため息をつく。マイナンバーカードも運転免許証も持っていない。これまで携帯ショップでの本人確認には、健康保険証と公共料金の領収書を示してきた。 マイナンバーカードは誤登録などの問題が相次ぎ、女性は不信感を募
ウォンテッドリーは7月30日、ビジネスSNS「Wantedly」について、ユーザー約20万人の情報が漏えいしていた可能性があると発表した。同社は4月、アクセス設定の不備による情報漏えいの可能性を発表。その後リスク調査をしたところ、同様の問題がサービス内で10件見つかり、新たな漏えいの可能性が発覚したという。 調査により、2013年10月17日から24年6月10日にかけて、未公開か削除済みの人材募集記事19万4733件、もしくは企業の公式ページ2万4435件が、本来アクセス権限を持たない第三者に閲覧された可能性が発覚。これにより、それぞれのページに載っていたユーザーの氏名や所属企業、職種、プロフィール画像、自己紹介文など20万578人分が漏えいした可能性が明らかになったという。 期間中は人材募集記事や企業の公式ページに対し「公開範囲を超えてブックマークやフォロー、募集に対する応募が可能であり
海外のセキュリティ企業「Phylum」はトロイの木馬化された「jQuery」がnpmやGitHub、jsDelivr のCDNホストで拡散している事を指摘しました。 「jQuery」を悪用したサプライチェーン攻撃の概要 Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視しており、最初に npm でこのjQuery を悪用する亜種を発見しました。 そこでは、1 か月にわたって数十のパッケージで侵害されたバージョンが公開されていました。 調査の結果、GitHubや、jsDelivr の CDN ホスト リソースでも、トロイの木馬化された jQuery のインスタンスを発見しました。 なお、今回解説されている内容は正規の「jQuery」へ今回のトロイの木馬が紛れ込んでいるのではなく、 悪意のあるユーザ
2023年度に観測されたインシデントの状況から国内外の情報セキュリティ政策、対策強化や取り組みの動向などをまとめた。主なトピックは以下の通り。 国家の支援が疑われる攻撃者グループによるゼロデイ脆弱性を悪用した攻撃の観測を発表:2023年5月 ファイル転送ソフトウェアに対するゼロデイ攻撃により情報漏えいやランサムウェア被害が発生:2023年6月 名古屋港のコンテナターミナルで利用しているシステムがランサムウェア攻撃を受けて停止:2023年7月 「政府機関等のサイバーセキュリティ対策のための統一基準群」が全面改訂:2023年7月 福島第一原発処理水放出に関する偽・誤情報拡散:2023年8月 元派遣社員による顧客情報約928万件の不正持ち出しを大手通信会社グループ企業が公表:2023年10月 能登半島地震が発生、SNSで偽・誤情報拡散:2024年1月 NISTが「サイバーセキュリティフレームワー
ウェブ魚拓
URL: https://webcache.googleusercontent.com:443/search?q=cache:https://zenn.dev:443/teradatky/articles/multi-aws-account-security-20240722 取得日時: 2024年7月25日 13:42 削除理由: 著作権削除済み 手続日時: 2024年7月27日 21:46 SHA-256: 997f1396a0ca9975185ba3557eda0e4ba9d3362c03a2be4957734e98a89dc819 *突合には「魚拓のみの表示」のファイルからCHECKSUMタグとその外側を除去してください 裁判所・弁護士様等による要望向け:
【読売新聞】 米マイクロソフトの基本ソフトウェア(OS)「ウィンドウズ」で19日に発生したシステム障害は、社会システムにも影響を与えた。デジタル技術に過度に依存することの危険性を改めて浮き彫りにした。 障害は米クラウドストライクによ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界規模でWindowsデバイスが次々とブルースクリーン(BSoD)に! 大規模障害発生中【17:10追記】/「CrowdStrike Falcon Sensor」に含まれるドライバーが原因か
「サードパーティークッキーの廃止の撤回」ってどういうこと? | IIJ Engineers Blog
DNSを変更するとネットワークは速くなるか | IIJ Engineers Blog
市区町村マスタを手に入れろ、そして更新し続けろ - エムスリーテックブログ
徳丸さん、こんにちは。 読売のような大手メディアのサイトでもサポート詐欺の偽警告が表示されるようになってしまいましたし、今の時代は広告ブロッカーが必須と考えたほうが安全なのでしょうか? | mond
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
読売新聞にアクセスするとガチの詐欺広告が表示されて危険だと話題に。 - すまほん!!
SSH接続を10倍速くするたった3行の設定 - Qiita
グーグル、「サードパーティーCookie廃止」方針を転換へ
「エンジニア宅への突撃取材はやめて」 ドワンゴ栗田COOが注意喚起 ある新聞社が漏えい情報から住所特定
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
【重要】ニコニコアカウントをご利用の皆様に、8/5以降の利用について大事なお知らせ|ニコニコインフォ
新幹線でトイレ行くとき、切符も財布も入ったカバン置いてたら盗まれた……→「切符問題」「貴重品管理問題」が浮かび上がる
GitHubの削除されたリポジトリや非公開のリポジトリに誰でもアクセスできてしまうのは仕様通り
海外「正直、中国ってゲームでは日本を超えてしまったよね」 : 海外の万国反応記@海外の反応
徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策
マルチAWSアカウント環境のセキュリティって無理ゲーじゃね?
【怖い】経緯を読んだらガチの国際クライムサスペンスだった→フリーのエンジニアを狙ったサイバー攻撃が増加中
EDR製品の有効性について質問させてください。 EDR製品を導入していれば、いわゆる標的型攻撃にみられるような不審なネットワーク探索をほぼ確実に検知できると考えて良いものなのでしょうか? それともEDR製品ではどうしても検知できないネットワーク探索手法も存在するのでしょうか? | mond
クラウドストライクが「Windowsブルスク化」システム障害の解析結果を発表
取得は任意なのに… 本人確認にマイナ義務化で「外堀埋められた」 | 毎日新聞
ウォンテッドリー、約20万人の情報が漏えいした可能性 設定不備10年近く リスク調査で発覚
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
IPA、「情報セキュリティ白書2024」発行 PDF版はアンケート回答で無料ダウンロード可
セキュリティーソフト世界シェア1位があだ…ウィンドウズ障害、「過去最大規模」の見方も