はじめに 近年、サイバーセキュリティに対する意識の高まりを感じている。 国会では「セキュリティ・クリアランス制度」なるものの検討が進んでおり、誰もが知っているような上場企業であれば当たり前のようにサイバーセキュリティ対策を専門で行う部門が設置されるようになってきた。 筆者が実際にクライアントと会話していても、以前のように「サイバーセキュリティ対策の必要性がわからない」というケースは減ってきており、「サイバーセキュリティ対策をとりあえずやりたい」という経営層が増えているようにも感じる。 そして、需要が高まれば供給側の企業も増えるのが資本主義の性(さが)である。 大手SIerやコンサルティング会社はこぞってサイバーセキュリティ分野への増員に力を入れている。 サイバーセキュリティ分野を得意としたベンチャー企業の上場事例も多数見受けられる。 そんな中、近年急速に拡大しているビジネスが24時間365
近年注目を集めている「終活」。遺産相続や遺品整理、葬儀や墓の手配などを、生前のうちにまとめておくことを指しますが、意外と見落とされがちなのがPCやスマホなど、デジタルデータの管理。 故人の写真や連絡先にアクセスしたくても、パスコードを解除できない……そんな事態を避けるために、iPhoneやiPad、Macには「故人アカウント管理連絡先」を設定できる機能があることをご存じでしょうか。 ■ 死後にデータを引き継ぐための設定 これは自身の死後に、Appleアカウントにアクセスできる権限を、自身が信頼できる人を指名して付与しておくことが出来る、というもの。「iOS 15.2、iPadOS 15.2、macOS 12.1 以降」で設定できます。 「故人アカウント管理連絡先」に指定された方は、「故人の死亡証明書」をAppleへ提出し、故人が「故人アカウント管理連絡先」を設定した際に生成した「アクセスキ
マイナカード750枚含む約1万枚のカード偽造か 中国から指示受け…中国籍の女逮捕 警視庁 | TBS NEWS DIG
マイナンバーカードなどを偽造したとして中国籍の女が逮捕されました。警視庁は、女が国際的な犯罪組織から指示を受け、およそ1万枚のカードを偽造した可能性があるとみています。中国籍の無職・周桜テイ容疑者(2…
ITmediaでも取り上げられていますが、NTTドコモが自社サービスのドコモ口座のドメインをうっかり世に流してしまい、騒動になっています。 ただでさえ、フィッシング詐欺や著名人なりすまし広告が横行しているこの状況で、そのまんまのが放流されたら大変なことになるんですが、大丈夫なのでしょうか。 で、そもそもこういうものが.jpドメインオークションで普通に売られていていいのかという問題は付きまといます。かねて「その辺のフィッシング詐欺で使われそうなドメインは、デジタル上の無形物とはいえ実質的に排他的に使える線引きをどこかで引かないといけないのではないか」という議論はありました。オリジネータープロファイル(OP)なんかもその延長線上で出てくる議論のはずが、今回はそのド足元の「かつて使っていたサービスのドメインがサービス終了後にうっかり放流されてしまう」ネタになるのですから、真面目に界隈で検討してい
Appleの複合現実(MR)ヘッドセットVision Proが2日米国で発売に至りましたが、同機では新たな認証システム「Optic ID」が導入されています。Optic IDはAppleの3番目の生体認証となります。 ■3行で分かる、この記事のポイント 1. AppleのMRヘッドセットVision Proで新たな認証システム「Optic ID」が導入された。 2. 安全な近赤外光で眼球を照らし、眼球カメラで虹彩の画像を撮影する。 3. 認証の際、登録された生体データとユーザーの虹彩が一致するかが判断される。 データはSecure Enclave内で処理 2013年に導入されたTouch IDは指紋により生体認証を行うものですが、2017年にiPhone Xで顔認証Face IDが新たに導入されました。 Face IDは最新のiPhoneでもデフォルトの認証システムとなっていますが、Vis
NTT西日本の子会社が、コールセンターシステムの運用保守を担当していた元派遣社員が、10年近くにわたっておよそ900万件の顧客情報を不正に流出させていたことを明らかにしました。顧客情報には氏名や住所、電話番号などが含まれているということで、会社は「深くおわび申し上げます」と謝罪しました。 元派遣社員 10年近く不正流出 一部は名簿業者に流出か NTT西日本の子会社が17日、大阪市で開いた会見によりますと、コールセンターシステムの運用保守の業務を行う「NTTビジネスソリューションズ」の元派遣社員が2013年7月ごろからことし1月にかけて、10年近く、顧客情報を不正に流出させていたことが確認されたということです。 これまでに流出が確認されているのは、システムに保管されていた59の組織の顧客情報、合わせておよそ900万件で、氏名、住所、電話番号などのほか、81件分のクレジットカードの情報も含まれ
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表
JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表 npmに代わる新しいJavaScriptのパッケージシステム「vlt」(vōlt:ボールト)を開発しているvlt technologyは、同社にnpmの作者であるIsaac Z. Schlueter氏、npmのスタッフエンジニアリングマネージャであったDarcy Clarke氏、npmのCLIチームであったRuy Adornoらが参加すると発表しました。 Node.jsとnpmが作ったJavaScriptのエコシステム サーバサイドでJavaScriptを実行可能にしたNode.jsの登場と、そのNode.jsを基盤にJavaScriptのアプリケーションやモジュールなどをパッケージングして登録し、自由にダウンロード可能にしたレジストリで
2023年10月5日、兵庫県警は日本山村硝子から営業秘密情報を持ち出したとして不正競争防止法違反の容疑で男女二人を逮捕しました。男は同社の元社員で不正に持ち出された情報は中国企業に流出した疑いがあるとも報じられています。ここでは関連する情報をまとめます。 妻の会社を通じて不正取得した情報を提供か 不正競争防止法違反(営業秘密侵害)の容疑で逮捕されたのは日本山村硝子の元社員であった男とその妻の二人で両者とも日本に帰化した元中国籍。2016年6月28日19時5分頃に会社の営業秘密に当たる情報(日本山村硝子が独自に開発した超軽量ガラス瓶の成形技術(二酸化炭素削減につながる)に関連するプログラム)を妻と共謀し外部に持ち出しした疑い。 男は前の話は覚えていない、妻は犯罪に関わることはしていないと二人とも容疑を否認している。*1 男は中国語に堪能であったことから2016年在職当時中国担当のチームに係長
ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
AWS Configのコストを95%削減しつつ記録を残すことを諦めない - Nealle Developer's Blog
はじめに SREチームの大木( @2357gi )です。 ECS Serviceのオートスケーリングやバッチなど、ECS Taskの起動停止が頻繁に行われる環境でAWS Configを有効にしていると、AWS Configのコストが無邪気に跳ね上がってしまうことがあります。 インターネット上では特定のリソースを対象外にすることによりコストを抑える手法が多くの記事として見かけますが、対象外にするとAWS Config側で「リソースタイムラインの表示」ができなくなったり、Security hubで使用する情報の記録を行うことができなくなってしまいます。 そこで、特定のリソースを「記録から除外」するのではなく、「日時記録に設定」することにより前述した懸念点を解消しつつ、コスト削減をすることができたので紹介します。 経緯 我々のプロダクトでもサービスのスケールや機能拡大に伴い AWS Config
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能 Tailscale社は、統合的なアイデンティティ管理による鍵管理を不要にした便利なSSHを実現する「Tailscale SSH」が正式版になったことを発表しました。 Tailscale SSH is now out of beta and into general availability! Still juggling SSH keys and managing identities across remote machines? There's a better way: https://t.co/sdvnCckSYg — Tailscale (@Tailscale) March 26, 2024 TailscaleはWireGuardをベースにしたVPN Tai
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
実務で使える メール技術の教科書 基本のしくみからプロトコル・サーバー構築・送信ドメイン認証・添付ファイル・暗号化・セキュリティ対策まで | 翔泳社
システム管理者・開発者が知っておきたいメール技術のすべて 【本書の特徴】 ・豊富な図解で、わかりづらい仕組みもよくわかる ・メール技術を軸に学ぶことで、「サーバー構築」「DNS」「セキュリティ」の仕組みが腑に落ちる ・システム開発・運用の実務で「使える」知識を網羅。1冊あれば安心! 【本書の内容】 SNSやメッセージアプリに押されている印象のメール。 しかし、ほとんどのSNSやWebサービスのアカウント作成にはメールが必要です。ビジネスシーンでは、メールで連絡をする人がまだまだたくさんいます。 つまり、システムやサービスの開発・運営において、メールはいまでも不可欠なインフラなのです。 ところが、メール技術全般について体系立てて説明された情報源は、いつの間にかほとんどなくなってしまいました。結果として実務の現場は、必要な知識だけをインターネットで調べたり、先輩に聞いたりして、「その場をしのぐ
ID管理サービスや認証サービスなどを提供しているOktaが、個人向けのパスワードマネージャ「Okta Personal」を公開しました。 Okta PersonalはWebブラウザのプラグインなどと組み合わせて利用することで、Webサイトごとのパスワードの自動生成、パスワードの保存、ログイン時のIDとパスワードの自動入力などを行ってくれます。 現在ではソーシャルメディアから業務アプリケーションまで、多数のWebサイトにログインして利用することが一般的になっています。 このとき、推測されにくい十分な長さを持つ複雑なパスワードをWebサイトごとに重複しないように使い分けようとすると、現実的には記憶に頼るだけでは難しく、メモを取っておくなどパスワードを確実に記録しておく手段が必要となります。 一般にパスワードマネージャは、こうした推測されにくいパスワードの自動生成と安全な保存、そしてログイン画面
バンダイナムコエンターテインメントは10月19日、期間限定でオープンした「ガンダムメタバース」へのアクセスに必要なクライアントファイルのダウンロードを一時的に停止した。一方、X(旧Twitter)ではガンプラの3D-CADデータがガンダムメタバースから漏えいしたと話題になっている。 ガンダムメタバースは6日に日米のファンを対象とした期間限定公開をスタートし、12日から人数制限なしの一般アクセスに移行したばかりだった。11日までの先行アクセスとは別のクライアントファイルをダウンロードする必要があるが、19日にその公開を一時停止。告知にはとくに理由は書かれていない。 これと前後して、海外のXユーザーを中心にガンダムメタバースのクライアントファイルからガンプラの3D-CADデータを吸い出し、3Dプリンターで複製したとする投稿が複数確認された。既に削除された海外の投稿には、データが暗号化していない
小泉悠氏が准教授に昇格
2023年12月1日付けで、ROLESの共同代表である小泉悠氏が、東京大学先端科学技術研究センターの専任の准教授に昇格しました。 小泉悠氏は2019年3月1日に東京大学先端科学技術研究センター特任助教(グローバルセキュリティ・宗教分野)に就任し、2020年からROLESを池内恵教授と共同で立ち上げ、運営の飛躍的拡大に貢献するなど、特異な業績を数多く挙げ、2022年1月1日には専任講師(グローバルセキュリティ・宗教分野)に着任しました。 小泉氏はこのたび、独立准教授(*理系分野におけるいわゆるPI資格を持つ)として独立し、先端研の専任教員の共通ルールを適用し、改めて10年の任期が付されました(2022年1月1日の専任講師着任時点から起算して10年となる2031年12月31日までの任期)。 独立准教授としての小泉悠氏の新たな活躍が期待されます。 小泉准教授は当分の間、先端研内の「先端学領域」に
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、セキュリティ対策に注力する企業の事例をもとに、予算も人材も限られた中堅・中小企業がITに投資する際のポイントをご紹介します。 日経新聞記者がサイバーセキュリティの要点を語る 寺岡篤志氏:日本経済新聞の記者の寺岡と申します。私からは「セキュリティはコストではなく戦略投資 年1億以上の予算をかける部品メーカーのグッドプラクティス」というタイトルで、お話をさせ
Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示
0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature Author: mala Introduction This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium. This is done as my personal activity and is not related to my organization.
ネコをペットとして飼った経験がある人なら、PCでの作業中にネコがすり寄ってきた、という経験をしたことがあるはず。アメリカ・ミズーリ州カンザスシティの退役軍人医療センターでは、ネコがエンジニアのキーボードに飛び乗ったことで、サーバー情報が削除されてしまい、4時間にわたってシステムが停止したことが報告されています。 VA hospital's IT snafu blamed on cat's keyboard surfing • The Register https://www.theregister.com/2023/10/05/hospital_cat_incident/ 2023年9月中旬、カンザスシティ退役軍人医療センターでは、4時間にわたってシステムが停止する事例が発生。その後の約100人規模で行われた会議にて、エンジニアの一人が「サーバーのクラスタの構成を確認している際に、ペットの
BL特化SNS「pictBLand」・Web即売会サービス「pictSQUARE」で情報流出の可能性 運営元が不正アクセス報告
イラスト・小説投稿SNS「pictBLand(pictMalFem、pictGLand)」と、オンライン即売会サービス「pictSQUARE」を運営するGMWは8月15日、データベースに不正アクセスがあり、情報が第三者によって流出した可能性があると報告しました。 流出の可能性があるのはpictBLand(pictMalFem、pictGLand)のログインメールアドレス、ログインパスワード、pictSQUAREのログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報。 現在両サイトのサーバをダウンさせ、pictSQUAREの振込先口座情報、配送先住所情報を削除したと同社は説明しており、復旧時期は追って連絡するとしています。 いずれのサイトのサーバダウンした状態 問題の原因の究明と再発防止策を最優先で進めており、警察など公的機関とも連携し、事態の早期収束に向けて全力で取り
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
Everything I Know About the XZ Backdoor stateevergreeninblogdate3/29/2024Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries regarding this backdoor. last updated: 5:30 EST, on April 2nd Update: The GitHub page for xz has been suspended. 2021JiaT75 (Jia Tan) creates their GitHub account. The first commits they make are not to xz, but the
松野官房長官は熊本県を訪れて蒲島知事と会談し、いわゆる「台湾有事」を念頭に、九州各県は沖縄の離島から避難する住民の受け入れ先になることが想定されるとして、必要な態勢の整備に協力を求めました。 政府は、有事の際に沖縄県の石垣島や宮古島、与那国島などの先島諸島から避難する住民を九州各県に受け入れてもらうことも想定し、具体的な対応の検討を進めています。 これに関して、松野官房長官は17日「九州地方知事会」の会長を務める蒲島知事と会談し「住民避難にあたっては、食料や医療の提供といったさまざまな面の救援をはじめとする受け入れ態勢も重要だ。万一の際の避難先としての九州各県の役割は非常に大きいものと考えており、避難住民の受け入れの検討、シミュレーションを前に進めていただく必要がある」と述べました。 そのうえで「ご負担をおかけすることになるが、政府としても関係省庁が積極的に支援していくので、さまざまなレベ
再生可能エネルギー導入に向けた規制の見直しを目指す内閣府のタスクフォースで提出された資料の一部に、中国企業の透かしが入っていたことが分かった。内閣府規制改革推進室が23日、X(旧ツイッター)の公式アカウントで認めた。 資料は22日と昨年12月25日などに開かれた「再生可能エネルギー等に関する規制等の総点検タスクフォース」で出されたもので、タスクフォースの民間構成員が提出した。中国の電力会社「国家電網公司」の企業名やロゴが確認できるという。 推進室が確認したところ、この民間構成員が事業局長を務める財団法人「自然エネルギー財団」(東京都港区)が過去に行ったシンポジウムで、財団の関係者が登壇した際の資料をタスクフォースで使ったところ、ロゴが残っていたという。 推進室はXで「自然エネルギー財団と中国政府・企業とは人的・資本的な関係はないとのこと。内閣府でも確認を行う」と説明した。 これを受け、河野
GMOインターネットグループ CISOの牧田誠氏が、才能があるエンジニアやクリエイターが評価される世界を作るための取り組みを発表しました。全2回。前回はこちら。 入社当日から有給休暇を15日付与・10連休は年間で3回以上 2つ目ですが、休みをだいぶ増やしました。我々の会社は中途入社が多くて、中途入社はだいたい入社後半年で有給10日が日本の一般的なルールかと思いますが、中途入社だって休む必要があるよねと。子どもが病気になるかもしれないし、いろいろあるから入社当日から有給休暇を15日付与する。これは2011年の話ですが、そういう制度を作りました。 10連休は年間で3回以上ですね。年末年始はその有休を組み合わせることによってだいたい17連休とか。去年1番(連休が)多かった人は、24連休を取っていました。残業に関しては、ゼロが理想ですよね。マイナスでも良いと僕は思っています。 フルフレックスなので
社会制度のバグ? 本人確認の穴を突いたマイナンバー過信の新手口とは:小寺信良のIT大作戦(1/3 ページ) いわゆる振り込め詐欺の手口は、いつの時代にも手を替え品を替え新しい手法が開発され続けてきているが、今年3月にはこれまで聞いたことがない手口の詐欺事件が発覚した。読売新聞オンラインが報じたところによると、女性のマイナンバーカードの情報を元にネットバンキング口座を無断で作り、そこに本人に現金1400万円を振り込ませたという。 これだけでは何がどうなっているのかわかりにくいが、これはマイナンバーを使った本人確認の穴を突いた犯行と見ていいだろう。今後の課題も含め、この事件から読み取れる情報を整理してみたい。 口座とは無関係なアクション 2024年1月、70歳代の女性宅に「総合通信局」の職員や警察官を名乗る人物から「口座の情報が流出している」などと電話があったという。 警察はまあわかるが、総合
なぜLINEヤフーは個人情報流出を繰り返すのか…総務省が問題視する「日本×韓国企業」のガバナンス危機 日本を代表するIT企業の致命的な弱点
不正アクセスは韓国から始まった LINEヤフーは、SNS最大手のLINEとIT最大手のヤフーが親会社のZホールディングス(ZHD)と合併して10月1日に発足したばかり。ソフトバンクと韓国のIT大手ネイバーが大株主で、傘下にはスマホ決済最大手のPayPay、電子商取引(EC)サービス大手でファッションのZOZO、オフィス用品のアスクル、旅行の一休などを抱える。 「事件」が起きたのは、その直後だった。 同社によると、ネイバーの傘下企業の委託先の従業員のパソコンがサイバー攻撃を受けてマルウエア(悪意のあるソフトウエア)に感染、旧LINEとネイバー傘下企業の社内システムの一部を共通化していたため、LINEヤフーのサーバーも不正アクセスを受けたという。
NTTドコモが7月21日、個人向けインターネット接続サービス「ぷらら」と映像サービス「ひかりTV」契約者の情報が流出したことを案内した。 2023年3月31日、ぷららとぷららTVの業務を委託している企業が使用しているPCから、個人情報が流出した可能性があることを、ネットワーク監視によって確認した。その後の内部調査により、業務委託先であるNTTネクシアの元派遣社員が、業務用PCから個人で契約する外部ストレージにアクセスし、2023年3月30日に個人情報を含む業務情報を不正に持ち出したことが判明した。 不正に持ち出された個人情報の件数は約596万件。内訳は、ぷららが165万件、ひかりTVが431万件。3月31日時点では最大約529万件としていたが、その後の調査で約596万件だと分かった。不正に持ち出された情報の内容は、ぷららが氏名、住所、電話番号、フレッツ回線ID、お客さま番号の一部、ひかりT
セキュリティの不十分なサーバーを見つけるためにウェブサイトには日々多数の不審なアクセスが行われています。そうしたアクセスをしてくる相手に対して解凍すると容量が膨れ上がる「ZIP爆弾」を送りつけて撃退する方法がブログにまとめられています。 How to defend your website with ZIP bombs https://blog.haschek.at/2017/how-to-defend-your-website-with-zip-bombs.html ZIP爆弾とは、ZIPの圧縮アルゴリズムを最大限に活用することで巨大なファイルを小さなZIPファイルに収めたものです。例えば下記の記事ではたった10MBのZIPファイルを解凍すると281TBになってしまうZIP爆弾が登場しています。 「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ - GIGAZINE サーバ
この記事は法的見解を示すものではありませんのでご了承ください。 総務省や業界団体のガイドラインに基づいて記載していますが、間違いがありましたらコメント等で優しくご指摘お願いします。 憲法における「通信の秘密」 「通信の秘密」は、日本国憲法により保障されています。 日本国憲法 第21条2項 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。 憲法における通信の秘密の保護は、国民のプライバシー保護にとどまらず、公権力や通信業務従事者によって通信の秘密が侵害されないことを保障しています。 電気通信分野において、憲法における「通信の秘密」が適用されるケースはまずありませんし、適用しても議論が大づかみになりすぎるので、憲法で保障されていることだけを理解しておきましょう。 電気通信における「通信の秘密」 憲法の規定を受け、電気通信の分野では、電気通信事業法や電波法、有線電気通信法等に
Bleeping Computerは10月30日(米国時間)、「Google Chrome now auto-upgrades to secure connections for all users」において、GoogleがすべてのChromeユーザーに対し、HTTPリクエストを自動的にHTTPSリクエストに変更する「HTTPSアップグレード」を開始したと報じた。Googleはこれまでにも同機能を限定的に展開していたが、2023年10月16日に安定版のすべてのユーザーが対象になったという。 Google Chrome now auto-upgrades to secure connections for all users 歴史的に、ブラウザはHTTPSをサポートするサイトにおいて安全ではないHTTPリクエストを行うことがある。Google Chromeでは、次のような条件でHTTPリソー
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについてもご紹介します。 Identity Platform とは まずはこの記事でメインで扱う Identity P
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【サイバーセキュリティ】SOCによる24時間365日監視は本当に必要なのか再考してみる - Qiita
「もしも」の時のために iPhoneの「故人アカウント管理連絡先」設定のススメ | おたくま経済新聞
「ドコモ口座」騒動が割と重めのネタである件で|山本一郎(やまもといちろう)
Touch ID、Face IDに次ぐ第三の革命「Optic ID」 - iPhone Mania
NTT西日本子会社 約900万件の顧客情報 元派遣社員が不正流出 | NHK
独自の製造技術情報を中国企業へ提供したとみられる事案についてまとめてみた - piyolog
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に/0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに
JAXAに複数回サイバー攻撃、機密流出か NASA、トヨタ情報も:朝日新聞デジタル
「恒心教」掲示板に個人情報113万件流出 ハッキングで脅迫被害も:朝日新聞デジタル
Oktaが無料のパスワードマネージャ「Okta Personal」を公開
「ガンダムメタバース」でガンプラのCADデータ漏えいか バンダイ「事実確認中」
「Apache」「Node.js」も ~多くの実装が影響を受ける脆弱性「HTTP/2 CONTINUATION Flood」/「Rapid Reset」脆弱性と比べても深刻
自社のセキュリティの甘さに対し、情シス部が起こした“反乱” 年1億円超の予算をITにかける、ある企業の改革の裏側
ネコがキーボードの上に飛び乗ったことで4時間にわたってサーバーのシステムが停止する事例が発生
鉄骨の重さ、計算ミス 大林組が警視庁に伝達 東京駅前5人死傷事故:朝日新聞デジタル
Everything I know about the XZ backdoor
デジタル庁「認証アプリ」が目指す「オンライン本人確認の基盤」
官房長官 有事に避難する住民受け入れで熊本県知事に協力要請 | NHK
内閣府の再エネタスクフォース資料に中国企業の透かし 河野太郎氏「チェック体制の不備」
天才ホワイトハッカーが集まる「エンジニアの楽園」はどう作られた? “世界レベル”が続々集まる組織の仕組みづくり
社会制度のバグ? 本人確認の穴を突いたマイナンバー過信の新手口とは
ドコモの「ぷらら」「ひかりTV」で約596万件の個人情報流出 委託先の元派遣社員が不正に持ち出し
ウェブサイトに侵入してくる相手にZIP爆弾を送りつけて撃退する方法
「Aterm WG2600HP2」などNECプラットフォームズのWi-Fiルーター17製品に複数の脆弱性、製品のサポートは終了 後継製品への乗り換えなどを推奨
電気通信における「通信の秘密」について解説します(追記あり) - 畳之下新聞
Google Chrome、全ユーザーに対しHTTPからHTTPSへ自動変更
管理放棄状態のルーターが多いのは個人? 法人? 「NOTICE」で浮かび上がってきた他人まかせの惨状【イニシャルB】
