by David Orban アメリカのジョー・バイデン政権が2024年6月20日に、ロシア製アンチウイルスソフトであるKasperskyの国内販売を禁止することを発表し、9月29日までに他社製品に切り替えるよう要請しました。背景には、ロシア政府が自国企業を通じてアメリカの機密情報を収集し、軍事転用することに対する安全保障上の懸念があります。 Commerce Department Prohibits Russian Kaspersky Software for U.S. Customers | Bureau of Industry and Security https://www.bis.gov/press-release/commerce-department-prohibits-russian-kaspersky-software-us-customers Biden bans Ka
2024年4月4日、HOYAは同社グループにおいて3月30日にシステム障害が発生しており、その原因について不正アクセスに起因する可能性が高いと公表しました。HOYAは国内トップのレンズメーカーで、障害により取引先である眼鏡チェーン各社にも一部販売見合わせなどの影響が生じました。ここでは関連する情報をまとめます。 複数事業所でシステム障害 海外の事業所で不審な挙動がシステムで確認され調査した結果、HOYAグループ国内外の事業所においてシステム障害が発生していることが判明。直ちに障害発生が確認されたサーバーの隔離などの対応を実施。 外部専門家を交えた調査の結果、何者かによる同社サーバーに対する不正アクセスに起因し生じた可能性が高いと同社は判断。機密情報、個人情報などの流出の可能性について調査を進めた結果、グループ内の特定のサーバーにアクセスし、ファイルの一部が窃取されたことを確認した。窃取され
デジタル庁は1月26日、令和6年能登半島地震の避難者情報の把握のため、Suicaを利用すると発表した。避難者にSuicaを配布し、名前や住所、連絡先などの情報をひも付けすることで、その居場所や行動を把握する仕組み。 能登半島地震の被災者たちは現在、1次避難所から2次避難所やそれ以外の場所などに移動する機会が増えており、その居場所や各避難所の利用状況の把握が難しくなっている。この課題を解決するためデジタル庁と防災DX官民共創協議会は、JR東日本に協力を要請。JR東日本はSuicaカード約1万8000枚とリーダー約350台の無償提供を決めたという。 実施めどについて、河野太郎デジタル大臣は26日の記者会見で「来週中にカードの配布と利用を始めたい」と説明。約310カ所の1次避難所にいる約1万人の避難者への配布を想定している。 河野大臣は以前「今後は災害の際にもマイナンバーカードを避難所で活用でき
一般社団法人PyCon JP Association(以下「当法人」といいます。)が主催するPyCon APAC 2023(以下「本イベント」といいます。)においてネットワークオペレーションセンター(以下「NOC」といいます。)が提供するコンテンツの一部につきまして、DNSクエリ情報を収集し、その一部の情報をインターネット上に公開したコンテンツがありました。このようなコンテンツを公開したことについて、下記に詳述する通り、本イベントの主催者として不適切な行為であったと考えます。 本イベント参加者、企業スポンサー、Pythonコミュニティおよび運営ボランティアスタッフをはじめとする関係者の皆様にご迷惑とご心配をおかけしたことを心よりお詫び申し上げます。合わせて、本件に関してご指摘をいただいたコミュニティの皆様には御礼申し上げます。 当法人は本件を厳粛かつ真摯に受け止めるとともに、本件の発生事実
偽のセキュリティ警告画面(サポート詐欺)が表示される仕組み - NTT Communications Engineers' Blog
みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析をしています。 最近、広告から偽のセキュリティ警告画面に飛ばされる事例が目立っています。 本記事では、偽のセキュリティ警告画面が表示される仕組みについて、実際に使われているツールを使って紹介していきます。 ぜひ最後まで読んでみてください。 NA4Secについて 「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有
2024年5月28日、生成AIを使用したマルウエアを作成した容疑で警視庁が男を逮捕したことが報じられました。ここでは関連する情報をまとめます。 対話型生成AIを使用しランサムウエアらしきものを作成 男の容疑は不正指令電磁的記録作成。2023年3月31日に自宅PCやスマートフォンを使用して、対話型生成AIを使用し、不正プログラムの設計情報を組み合わせてマルウエアを作成した疑い。2024年3月に警視庁は男を偽造身分証を使用してSIMカードの不正契約を行ったなどとして詐欺容疑(今回の事案とは別件)で逮捕しており、*1 捜査より自宅から押収されたPCを解析したところマルウエアが発見された。*2 生成AIを使用したマルウエア作成の事案摘発は全国で初めてとされる。*3 男が作成したマルウエアは、実行環境のデータを破壊(暗号化とも報道)し、暗号資産の要求をする機能が含まれており、いわゆるランサムウエアに
ニコ動、N高の被害が報告されているKADOKAWAへのサイバー攻撃、KADOKAWA本体と作家へ与えたダメージもえげつなかった
N高等学校・S高等学校【全国69キャンパス】 @nhigh_info 【復旧】N予備校 利用再開のお知らせ 学習アプリ「N予備校」は、N/S高生のみ利用可能となりました。 🔸利用再開日時 6月10日(月)14:15 なお、生徒の学習再開を最優先とした対応のため、利用時に多少の不具合が発生する可能性もございます。何卒ご了承ください。 🔻詳細 nnn.ed.jp/news/blog/arch… リンク N高等学校・S高等学校(通信制高校 広域・単位制) 【復旧】N予備校 利用再開のお知らせ | N高等学校・S高等学校(通信制高校 広域・単位制) N高等学校・S高等学校(通信制高校 広域・単位制)のニュースを紹介。学校法人角川ドワンゴ学園のニュース、プレスリリースなどを紹介します。N高、S高はインターネットと通信制高校の制度を活用したネットの高校です。多様なスキル、さまざまな体験を得られる多
署名とゼロ知識証明の初歩
Kernel/VM探検隊@東京 No17 https://kernelvm.connpass.com/event/321962/
認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
「俺の甲子園」金払って広告を打ちまくってる訳ではなくXに勝手に広告流されてて運営側が止めようにも止められない意味不明な状態にあるらしい
ぽんこつ @ponkotsuauntie これ3~4つぐらいまとめて出てくるしマジでうざいんですけど スクロールしてもしても俺の甲子園 ミュートしたいのに出来なくてイライラ pic.x.com/5kjupiaspx
本日、当社グループである株式会社バーチャルエンターテイメントが運営する、ぶいすぽっ!公式アカウントより「ぶいすぽっ!JP オーディションに関しての情報について」のお知らせを出させていただきました。 調査を進行している最中となりますが、同一日にBrave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報流出の可能性があることが判明いたしました。 この度は、漏えい対象者の皆様はもとより、ファンの皆様、関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。 現在、本事案については慎重に調査を続けている最中ではありますが、現時点(2024/6/25 22:00)で判明している情報についてお知らせ申し上げます。 本来、漏えい対象者の皆様にも速やかに
トレンドマイクロが身売りを検討中 関係者
トレンドマイクロ(市場価値約9500億円)が、身売りを検討していると、事情に詳しい関係者が8月8日に語った。 ここ数週間の円の弱体化と、日本の競合他社と比較して株価が低迷していることから、買収のターゲットになっている。 関係者によると、トレンドマイクロは投資銀行と協力して、プライベートエクイティファームを含む買い手からの関心を引き出しているという。しかし、取引が確実とは限らないと注意を促している。関係者は、議論を機密とするため匿名での情報提供を求めた。 トレンドマイクロの米国預託証券(ADR)は、ニュースを受けて約10%急騰した。同社の広報担当者は、売却プロセスについてのコメントを控えた。 「市場をリードする上場サイバーセキュリティ企業として、当社は業界をリードするAIプラットフォームを通じてビジネス変革と顧客の拡大に注力し続ける」と広報担当者は述べた。 トレンドマイクロは、1988年にス
【読売新聞】 今や日本の生活インフラともいえるLINEヤフー(LY)。だが、昨年発覚したLINEアプリ利用者の情報 漏洩 ( ろうえい ) 事件を通じて見えてきたのは、驚くほどの「韓国依存の体質」(関係者)だった。旧LINE社は親会
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
By Ruian Duan and Daiping Liu October 16, 2023 at 1:38 AM Category: Malware Tags: Advanced URL Filtering, Cobalt Strike, Cortex XDR, Decoy Dog malware, DNS security, dns tunneling, DNSTT, FinCounter, next-generation firewall, VPN This post is also available in: English (英語) 概要 本稿は、DNS (ドメイン ネーム システム) のトンネリング技術が野生で (in the wild) どのような理由と方法で利用されているのかに関する研究をご紹介します。またこの研究結果に基づいて、トンネリング ドメインをツールやキャンペーン
なっつ。 @nattsunyan これはSNSを使用する人全員に伝えたいのですが 『風景の写真にはモザイクをかけましょう』 例として綺麗な夕陽の写真が撮れたので投稿するとします。 地形や生き物、道路標識、店の名前など、夕陽に関係ないものにはモザイクをかけることで撮影場所が特定されるのを防ぐことが出来ます。 #拡散希望 pic.twitter.com/SmMjO7My94
身代金払ったらデータ返してくれる優良攻撃者
いるわけねーだろ アホかよ 「半分程度は返ってきてる」 とか嘘だろ絶対と思って元記事見てみたら https://www.proofpoint.com/jp/blog/threat-insight/Japans-Ransomware-Payment-Result-2023 データは全部「自社調べ」 この会社どこ?って思って調べて見たら数多あるセキュリティ系会社の一つ アクセンチュアとかガートナーとかの有名コンサルですらクソリサーチが多いのに こんなとこの出してるレポートを信用するとかアホすぎる そもそも人を誘拐したときに身代金を要求するのは 犯人側:殺人のようなリスクは犯したくないし逃亡されるリスクから解放されたい被害者側:最終的に人質が戻ってくるなら金銭を失っても構わないというお互いの事情があるから成立するわけで ランサムウェアに関しては攻撃者側はリスクを一切負ってないんだから復号キーを渡
ランサムウェアの侵入経路は今はVPN機器とかRDPの脆弱性だった。「怪しいメールの添付ファイル開かなきゃ大丈夫」は時代遅れなのか?→有識者の声が続々
ういにゃん|フリーランスUnityエンジニアDJ Youtuber @ui_nyan 2008年よりツイッター活動を開始。東京を拠点に活動を続け、秋葉原、渋谷、新宿の多数のパーティーに出没している。その幅広いジャンルを吸収したクロスオーバーなプレイスタイルは、国内海外各地の業界人や多数のクラウドから根強い人気を誇る。今、日本で最も注目される2次元アイコンの一人である。icon:@tougehiro uinyan.com ういにゃん|フリーランスUnityエンジニアDJ Youtuber @ui_nyan ランサムウェアの侵入経路、いまはほとんどがVPN機器とかRDPの脆弱性なのね... 「怪しいメールの添付ファイル開かなきゃ大丈夫」は時代遅れなのか.... pic.twitter.com/ulYojHuWdG
動画配信の「ニコニコ動画」や書籍の出版などにシステム障害が起きている出版大手KADOKAWAについて「BlackSuit」(ブラック・スーツ)と名乗るハッカー集団が、サイバー攻撃によって会社の事業計画やユーザーなどのデータを盗み取ったと主張する犯行声明を出したことがわかりました。 KADOKAWAは今月8日グループ会社のデータセンターのサーバーが身代金型のコンピューターウイルス=ランサムウエアによるサイバー攻撃を受けるなどしてシステム障害が発生し、「ニコニコ動画」や書籍の出版といったグループ全体の事業に影響が出ています。 27日午後、「BlackSuit」を名乗るハッカー集団がネット上の闇サイトでKADOKAWAのネットワークに侵入し、データを盗み取ったと主張する犯行声明を出したことがわかりました。 サイトを確認したセキュリティー関係者によりますと、データは事業計画やユーザーに関わる情報な
コロナ禍の前後から、中国の対外工作や戦狼外交(西側諸国に対して中国外交官が過剰に攻撃的な姿勢を取ること)はいっそう露骨になった。日本国内での公安出先機関の設置工作や、Xで暴言を連発する中国駐大阪総領事の素顔は、すでに過去の記事でも見てきたとおりだ。さらに、彼らはなんと日本の伝統仏教の世界にも浸透工作を仕掛けていた事実が判明した──。12月15日に『戦狼中国の対日工作』(文春新書)を刊行する安田峰俊氏が、実態に迫った。 明代仏教を伝える⽇本の仏教寺院にせまる影 「黄檗宗」という仏教宗派をご存知だろうか。信者数こそ約7.3万人とすくないものの、日本の伝統仏教十三宗の一角を占めており、数百万人以上の信者を抱える大宗派とも対等の権威と社会的信用を持つ。同じ禅宗の大宗派である臨済宗や曹洞宗とは、法統の上でも親類関係にあり関係が良好だ。 黄檗宗の最大の特徴は、宗祖の隠元隆琦(いんげんりゅうき:1592
Google, Yahoo の Sender Guidelines について | IIJ Engineers Blog
2015 年新卒入社。途中、2年ほど IIJ Europe に出向経験もあるが SMX の中の人として長年スパムメールと奮闘中。M3AAWG, JPAAWG にも参加し始め、メッセージングエンジニアとして頑張ってます。最近の趣味はぶらり都バス旅。 メール送信者のガイドライン – Google More Secure, Less Spam: Enforcing Email Standards for a Better Experience – Yahoo! 2023年10月初旬、Google と米国 Yahoo! からとある衝撃的な発表があった。 要約すると、送信ドメイン認証に対応していないメールは受け取らない という内容である。 送信ドメイン認証(SPF, DKIM, DMARC) の普及や活用については世界各国で議論がされており、特に DMARC については RFC 公開されて今年で 8
総務省は、LINEの利用者の情報が漏えいした問題で、運営会社のLINEヤフーに対し漏えいの原因となった韓国のIT企業、ネイバーとの資本関係の見直しの検討を早急に行うよう求めています。 これについてネイバーのトップは、「中長期的な事業戦略に基づいて私たちが決める問題だ」と指摘し、韓国政府とも協議を進めながら対応を検討する考えを示しました。 この問題をめぐり、総務省は4月、運営会社のLINEヤフーに対する2度目の行政指導で、情報漏えいの原因となった韓国のIT企業、ネイバーが、LINEヤフーの親会社に50%出資しているいまの資本関係の見直しについて、親会社を含めたグループ全体での検討を早急に行うよう求めました。 韓国の通信社、連合ニュースなどによりますと、この問題で3日、ネイバーのチェ・スヨン(崔秀妍)CEOは「資本関係の見直しを要求する行政指導自体が異例だ」と指摘した上で、「これに従うかどうか
「ISC2 Japan Chapter勉強会 2024/07」の登壇スライドです。 ※ Speaker Deck上だと太文字が滲んでいるため、手元にダウンロードしてPDFを見ると鮮明に閲覧することができます。 - https://sites.google.com/isc2chapter.jp/mee…
KDDIとKDDI総合研究所は12月26日、次世代暗号(耐量子暗号)として標準化が進められている「Classic McEliece」方式において、これまでは総当たりによる探索での解読には1兆年以上要するとされてきた1409次元の暗号を、わずか29.6時間で解読に成功し、2023年11月13日に世界記録を更新したことを共同で発表した。詳細は、2024年1月23~26日に長崎で開催される「2024年 暗号と情報セキュリティシンポジウム(SCIS2024)」で発表される予定。 量子コンピュータの性能が向上した将来、現在の方式では暗号強度が不足することが指摘されており、アメリカ国立標準技術研究所(NIST)は2030年ごろに向けて、将来の量子コンピュータの性能にも耐えうる耐量子暗号の検討を進めている。NISTは2022年7月に、耐量子暗号の標準として4つの暗号方式を選定しており、さらに現在はCla
NTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」|BUSINESS NETWORK
<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたちNTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」 NTTグループ サイバーセキュリティ戦記 セキュリティ サイバー攻撃を疑似的に仕掛け、ターゲット組織のサイバーセキュリティに関する弱点を見つけ出すレッドチーム。NTTグループでは、2019年からグループ内向けのレッドチーム「Team V」が活動している。NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第18回に登場するのは、Team Vの精鋭メンバーの1人であるNTTセキュリティ・ジャパンの羽田大樹だ。 対象組織の社員が標的型メールに引っ掛かり、一般社員のPCが攻撃者に掌握されてしまった――。これが、NTTグループのレッドチーム「Team V」によるサイバー攻撃演習の前提
100m先からQRコードに“肉眼で見えない”レーザーを当て偽物にする攻撃 読み込むと悪性サイトへ:Innovative Tech 東海大学に所属する研究者らは、最大100m離れた場所からQRコードに不可視光レーザーを照射し、偽装QRコードに変更する手法を提案する研究報告を発表した。ユーザーが攻撃中のQRコードをスキャンすると、悪性サイトへ誘導されるリスクがある。
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
2023年12月5日、警視庁公安部はアルプスアルパインの営業秘密情報を不正に持ち出したとして男を不正競争防止法違反の容疑で逮捕しました。ここでは関連する情報をまとめます。 情報持ち出し直後に転職 不正競争防止法違反(営業秘密領得)の容疑として逮捕されたのはアルプスアルパインの元従業員の男。同社の自動車部品の開発部門がある宮城県の研究開発拠点で2021年11月9日にアルプスアルパイン貸与のPCから社内サーバーに接続し、車載電装部品(自動車の運転制御システム)の設計関連のデータをPC上に保存し、11月11日に私物のハードディスクに複製した疑いがもたれている。*1 *2 容疑に関して警視庁公安部は捜査に支障がおよぶとして男の認否を明らかにしていない。*3 *4 男は持ち出し行為の直後にアルプスアルパインを退職。ホンダに転職をしていた。*5 男の退職後に社内システムのデータの不審な動きをアルプスア
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバー攻撃によって侵入されることを前提とした、企業側の打ち手について解説します。 今のサイバーセキュリティは「侵入されること」が前提 鈴木暢氏:みなさま、こんにちは。このセッションでは「ログの監視分析とSOCサービス、組み合わせの勘どころ」と題して、ログの分析・監視環境をどのように構成すべきかという情報提供と、ALogを活用した弊社のマネジメントセキュ
自由民主党 競争政策調査会で事務局長を務める衆議院議員の小林史明氏は2月29日、iPhoneアプリを純正ストア以外からもダウンロード可能にするなどの内容を盛り込んだ法律案について、党内での議論と手続きを経たうえで、今通常国会中の提出を目指すと明らかにした。可決されれば1〜2年後に施行される見通しだ。 この法律案は、スマートフォンにおける特定企業の寡占を防ぐためもので、公正取引委員会が概要を取りまとめた。 具体的には、ソフトウェア、モバイルOS、アプリストア、ブラウザー、検索エンジンの計5つを「特定ソフトウェア」と定義し、その種類ごとに政令で定めた規模以上の事業者を「特定事業者」に指定。主にAppleやGoogleを念頭に置いており、違反した場合には課徴金の納付命令も出せるようにする。 例えばアプリストアでは、iPhoneアプリについて、Apple以外のアプリストアからダウンロード可能にする
© 士郎正宗・Production I.G/講談社・攻殻機動隊2045製作委員会 © Shirow Masamune, Production I.G/KODANSHA/GITS2045 2024年1月28日(日)午前中から『攻殻機動隊』公式Xアカウント(@thegitsofficial)では、不正アクセスにより「乗っ取り被害」を受けていることが発覚いたしました。 現在『攻殻機動隊』公式Xアカウントについては利用を中止して、X社とアカウントの利用再開について調整しております。 現状、不正アクセスによる被害報告はございませんが、引き続き他の『攻殻機動隊』公式SNSを含めた調査およびセキュリティ強化について対応してまいります。 復旧予定など明確になりましたら、あらためて 『攻殻機動隊』公式サイト(https://theghostintheshell.jp) 『攻殻機動隊』公式instagram(
リンク ガンダムメタバースプロジェクト|バンダイナムコエンターテインメント公式サイト ガンダムメタバースプロジェクト|バンダイナムコエンターテインメント公式サイト 事前登録キャンペーンを実施中!世界中のガンダムファンが集い、様々なコンテンツに触れる場所。ガンダムメタバースをファンと共に運営し、バンダイナムコとファンが「共創」する未来を目指すプロジェクト。 4 users 131
Amazon の 2段階認証 突破の噂についての仮説 と 2段階認証で意識すること【2FA/2SV/MFA】 - Qiita
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
【読売新聞】 陸上自衛隊の装備品で耐用年数(14年)を過ぎた高機動車が、海外に流出したことが読売新聞の調べでわかった。車体を破壊する前提で国内業者に売り払われながら、簡易に解体した状態で輸出され、現地で組み立てて再使用されていた。タ
かっこいいSSH鍵が欲しい - アリ
例えばこのSSH公開鍵、末尾に私の名前(akiym)が入っています。 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFC90x6FIu8iKzJzvGOYOn2WIrCPTbUYOE+eGi/akiym そんなかっこいいssh鍵が欲しいと思いませんか? ed25519のSSH公開鍵の構造 SSH鍵の形式にはRSAやDSA、ed25519などがありますが、最近のssh-keygenではデフォルトでed25519の鍵を生成するということもあり、ed25519を利用していることを前提として進めます。なにより、RSAの公開鍵に比べると短いので末尾部分が目立つはずです。 そもそも、ed25519のSSH公開鍵のフォーマットはどのようなものになっているか確認してみます。まずはssh-keygenコマンドで秘密鍵と公開鍵を生成します。 % ssh-keygen -t ed25
「偽造マイナンバー」による詐欺事件が増加 ある都議会議員が「スマートフォンを乗っ取られた」という注意喚起的なポストをXに投稿した。所持していたスマートフォンの契約キャリアを切り替えられ、身に覚えのない支払いやパスワード変更通知を受け取ったという内容だ。一連のポストによると、家族も同じ被害に遭い、ショップや当局への相談・通報などを行ったという。 本人が関知しないところで通信事業者を変更ができてしまった理由として、一体何が考えられるだろうか。 現在、スマートフォンやSIMの契約は、本人以外が行うことは非常に困難となっている。原則として店頭などで本人確認ができない限り、新規の契約はできないようになっているのだ。 その本人確認にマイナンバーカードを使うことが増えているのだが、今回の事件では「偽造したマイナンバーカードが利用されたのでは?」という推理や主張がソーシャルメディアで話されている。 実際、
ウェブブラウザのバージョン間の違いを無効化するJavaScriptライブラリ「Polyfill.io」が、2024年2月のプロジェクトオーナー変更後、マルウェアが混入されてサプライチェーン攻撃に利用され、10万以上のサイトに影響が出ています。 Polyfill supply chain attack hits 100K+ sites https://sansec.io/research/polyfill-supply-chain-attack 「Polyfill.io(polyfill.js)」はアンドリュー・ベッツ氏が開発したJavaScriptライブラリです。ウェブブラウザのバージョン間で機能の違いがあると開発時に苦労しますが、Polyfill.ioを利用すれば、新しいバージョンにしかない機能を古いバージョンで利用できるようになるため、バージョンの違いを気にすることなく開発を進めること
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ロシアのアンチウイルスソフト「Kaspersky」がアメリカで全面禁止に
HOYAのシステム障害についてまとめてみた - piyolog
能登半島地震の避難所に“Suica”配布 マイナカード活用は断念 河野大臣「リーダー確保できず」
PyCon APAC 2023におけるNOCコンテンツに関するご指摘について
マルウエア作成に対話型生成AIを悪用した事案についてまとめてみた - piyolog
個人情報流出に関するお詫びとご報告 - News | 株式会社Brave group
システム開発・運用「韓国依存」、LINEの情報漏洩…元親会社に委託
海自トップが引責辞任へ 特定秘密、無資格隊員ら10年近く違法運用:朝日新聞デジタル
携帯電話契約の本人確認、マイナカード一本化へ
最近観測されている DNS トンネリングのトラフィック
SNSを使う人へ。場所特定を避けるため、風景写真にはモザイクを掛けよう→たった10分でモザイク突破された
KADOKAWAにサイバー攻撃 ハッカー集団が闇サイトで犯行声明 | NHK
宇治の伝統寺院が中華オブジェに乗っ取られた? 中国共産党「浸透工作」の驚愕の実態 | 文春オンライン
LINE情報漏えい 原因の韓国IT企業 関係見直し“私達が決める” | NHK
クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜
1兆年以上かかるとされていた1409次元の暗号、KDDIなどが29.6時間で解読に成功
100m先からQRコードに“肉眼で見えない”レーザーを当て偽物にする攻撃 読み込むと悪性サイトへ
Cloudflareの社内サーバーへの不正アクセスについてまとめてみた - piyolog
私物HDDを使用して営業秘密を不正に持ち出ししていた事案についてまとめてみた - piyolog
企業がサイバー攻撃を「防げる」という考え方は時代遅れ 攻撃を受けて「侵入される」前提のセキュリティ対策
iPhoneアプリを純正ストア以外からも入手可能にする法律「今通常国会中の成立めざす」と自民党調査会
『攻殻機動隊』公式Xに関する重要なお知らせ | 【公式】攻殻機動隊グローバルサイト
ガンプラの設計データが公式メタバースから流出、実際に組み立てられるフリー素材状態になってしまう……
陸自の「高機動車」タイに流出…業者が転売か、規定に反し破壊せず簡易解体で輸出
「偽造マイナンバー」で増えるSIMハイジャック、個人情報を守るために“やるべきこと”
「KUMON」委託先事業者のランサムウェア被害により、会員と指導者の個人情報が漏えい
JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響