by Focal Foto スマートフォンアプリやブラウザ拡張機能としてリリースされている「LastPass」は、1つのマスターパスワードを覚えておくだけでさまざまなサイトのIDとパスワードを管理できる人気のパスワードマネージャーですが、過去にはソースコードや個人情報などが流出する事件が起きたことがあります。セキュリティ強化の一環として、LastPassがユーザーに強固なパスワードへの変更を必須にすることをユーザーに告知しました。 LastPass Is Making Account Updates. Here’s Why - The LastPass Blog https://blog.lastpass.com/2024/01/lastpass-is-making-account-updates-heres-why/ Change your LastPass password befor
Appleが2024年6月11日から開催予定の年次開発者向け会議WWDC24では、各種OSの最新バージョンが発表される予定です。iPhone向けの次期メジャーバージョンと目されているiOS 18では、Appleが純正のパスワード管理アプリをリリースするとBloombergが報じています。 Apple (AAPL) to Debut Passwords App in Challenge to 1Password, LastPass - Bloomberg https://www.bloomberg.com/news/articles/2024-06-06/apple-to-debut-passwords-app-in-challenge-to-1password-lastpass iOS 18 to debut Apple Passwords app https://appleinsider
/wp-admin/ にアクセスするとログインページが表示される。これはダメなことなのでしょうか? この記事を書こうと思ったきっかけ Twitterで、2,3ヶ月毎に1回くらいのペースでこんな内容のツイートがTLに流れてきます。 /wp-admin/ にアクセスしてログインページが表示されるサイトはクソ /wp-admin/ はWordPressの管理画面のパスです。ログインしていないと /wp-login.php にリダイレクトされID/パスワードの入力フォーム、いわゆるログインページが表示されます。 /wp-admin/ にアクセスすることでログインページが表示されるのはよくない、という内容です。 結構多いのでぼくの考えをまとめて記事にしようかと思いました。 ※WordPressについて書きますが、WordPressに限ったことじゃないです。 ※WordPressすげー!って記事じゃな
20211210-TLP-WHITE_LOG4J.md Security Advisories / Bulletins / vendors Responses linked to Log4Shell (CVE-2021-44228) Errors, typos, something to say ? If you want to add a link, comment or send it to me Feel free to report any mistake directly below in the comment or in DM on Twitter @SwitHak Other great resources Royce Williams list sorted by vendors responses Royce List Very detailed list NCSC-N
LastPassは12月22日(現地時間)、2022年8月に発生したセキュリティ侵害被害について最新のコメントを発表しました(9to5Mac)。セキュリティ被害は当初の予想よりも深刻で、顧客のパスワード保管庫のコピーや、名前、電子メール、請求先住所、電話番号などが取得されていたとのことです。 LastPassのCEOであるKarim Toubba氏は、同社のブログを更新し、セキュリティ侵害の詳細の全貌を説明しています。ハッカーはまず、名前、住所、電子メール、電話番号などの顧客情報にアクセスできたとのこと。 To date, we have determined that once the cloud storage access key and dual storage container decryption keys were obtained, the threat actor co
Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature since the security you need depends on your company, product, and assets. (e.hasAttribute('/')) ? e.re
あなたのアカウントを守る、2段階認証アプリ5選2020.01.13 12:0043,680 David Nield - Gizmodo US [原文] ( 塚本直樹 ) ベストをつくそう。 オンラインサービスのアカウントで2段階認証(2FA)を有効にしている場合、新しいデバイスからログインするときには、ユーザー名とアカウント、そして認証アプリが必要になります。 多くの人はスマートフォンのSMS(ショートメッセージ)を利用していますが、これだけではハッキングの危険があります。また、Facebook(フェイスブック)などに電話番号を教えるのがためらわれる場合も。しかし認証アプリなら物理的なアクセスが必要なため、セキュリティを向上させることができます。 アカウントによって対応する認証アプリも異なるのですが、この記事では代表的なアプリを5つご紹介しましょう。 Google Authenticato
Spook.js Attacking Google Chrome's Strict Site Isolation via Speculative Execution and Type Confusion Spook.js is a new transient execution side channel attack which targets the Chrome web browser. We show that despite Google's attempts to mitigate Spectre by deploying Strict Site Isolation, information extraction via malicious JavaScript code is still possible in some cases. More specifically, we
はじめての投稿です。 本題の前に軽く自己紹介をしますね。 私、新卒で入社した会社を1年ちょっとで離脱してIT業界に飛び込み、現在SESで化石金融システムの運用オペレータを1年半程やっているというお察しの経歴です。長時間労働3交代勤務に加え、長くオペレータをやる人達を見ていると(具体的にどうとは言いませんが……)出社するたびに、ここに長く居てはいけないという気持ちが強くなる一方なので、何か行動しようと決意しました。 いくつか資格を取得したのですが(CCNA,LinuC Level1等)典型的な「資格だけ持ってる何も分かっていない奴」なため、記事を書いてアウトプットしようと思いQiitaにやってきました。 Qiitaの記事を眺めていると、意外と初心者の体験談的なものが少ないと気付き、勉強内容のまとめのような知識ベースではなく、経験したことの記事を書いていこうと思いました。 何事もはじめては信じ
パスワード管理と言えば 1Password や Lastpass あたりのクラウドサービスが人気だと思うのだが、どうにも第三者の運営するサービスに機密情報を預けるというのが苦手で、長らくオープンソースのファイル保存型パスワードマネージャーである KeePass を使ってきた。これは保存したパスワードなどはファイルに書き出されて暗号化されるという形を取るので、そのファイルを Dropbox に置くことでマルチデバイスでの同期を図っている(Dropbox に預けるのは OK で 1Password は NG というのは理屈に合わないというのはわかっている)。 そこに来て、最近始めた仕事でかなり BYOD というべきか、会社の PC からでも家の PC から(要するにリモートワーク)でも会社で使っているサービスにログインして仕事をする、というスタイルが求められる場合が増えた。従って会社と家の P
パスワードマネージャの1PasswordがPasskey対応をベータ公開。Passkeyの保存と同期、ログインが可能に 代表的なパスワードマネージャの1つである1Passwordが、パスワードレスでログインできる業界標準のPasskeyに対応した新バージョンのベータ版を公開しました。 Windows、macOS、Linuxに対応したChrome、Firefox、Microsoft Edge、Braveの各Webブラウザ、およびmacOSのSafariの拡張機能として利用可能です。 Tired of passwords? Meet passkeys. Available in beta, you can now save and sign in with passkeys using 1Password in the browser. Dive into what’s new, how to
by Focal Foto 2022年8月に発生したパスワード管理サービス「Lastpass」のソースコード流出事件により盗み出されたソースコードを使用し、何者かがLastPassのユーザーデータに不正アクセスしたことが判明しました。 Notice of Recent Security Incident - The LastPass Blog https://blog.lastpass.com/2022/11/notice-of-recent-security-incident/ Lastpass says hackers accessed customer data in new breach https://www.bleepingcomputer.com/news/security/lastpass-says-hackers-accessed-customer-data-in-new
複数の「Android」向けパスワードマネージャーに影響する、認証情報の漏えいにつながる恐れのある脆弱性が明らかになった。 この脆弱性「AutoSpill」は、先週開催された「Black Hat Europe 2023」カンファレンスで、国際情報技術大学ハイデラバード校(IIITH)の研究チームによって報告された。 AutoSpillは、Androidが「WebView」経由でログインページを呼び出す際に問題となる(WebViewは、ウェブブラウザーを開かなくても、アプリにウェブコンテンツを表示できるようにするOSの機能)。その場合、WebViewによって、アプリは呼び出されたウェブページのコンテンツを表示する。 その際にパスワードマネージャーを利用した場合、認証情報がWebViewだけでなく、アプリにも共有される可能性があるという。研究チームは、アプリのログインに外部サービスのアカウント
パスワード管理ツール「LastPass」開発の親会社であるGoToが、顧客データの暗号化済みバックアップを保存したクラウドストレージへの不正アクセスが2022年11月に発生した件について、この不正アクセスでリモートコンピューター管理ソフトのLogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと発表しました。 Our Response to a Recent Security Incident- GoTo https://www.goto.com/blog/our-response-to-a-recent-security-incident GoTo says hackers stole customers' backups and encryption key https://www.bleepingcomputer.com/news/sec
米アップルは来週、ウェブサイトやソフトウエアへのログインの容易化を目的とした新しい自社開発アプリ「パスワード」を導入する。事情に詳しい複数の関係者が明らかにした。 スマートフォン「iPhone」とタブレット「iPad」、パソコン「Mac」用の次期基本ソフト(OS)である「iOS 18」、「iPadOS 18」、「macOS 15」の一部として、新アプリを計画している。パスワードの生成と追跡確認が可能な同ソフトは、6月10日に開幕するアップルの世界開発者会議(WWDC)で発表されるという。関係者は未公表のイニシアチブだとして関係者が匿名を条件に話した。 新アプリは、異なるデバイス間でパスワードやアカウント情報を同期できるサービス「iCloudキーチェーン」を利用。アップルが長年提供してきた同機能は従来、アップルの設定アプリに隠されるか、ユーザーがウェブサイトにログインする際に表示されてきた。
先日、「ITmedia エンタープライズ」の特集企画で、アイティメディアのセミナーでもよく登壇いただいている川口 洋氏にお話をうかがいました(この様子はあらためて記事が公開されるのでお楽しみに)。その中で、本論とは少々外れた内容で「中小企業ができるセキュリティ対策の第一歩は何だろう」というお話になりました。 川口氏が推奨する、有料でも入れるべきソフトウェア 川口氏はこれについて、とあるソフトウェアを全員に買ってあげることが有効ではないかと主張しました。それは「パスワード管理ソフトウェア」です。 これには筆者も完全に同意で、全従業員の端末用に購入するソフトウェアといえば、かつてはウイルス対策ソフトウェアが主流でした。しかし今では「Windows」に標準搭載されている「Microsoft Defender」で既知のマルウェアはブロックできます。そこで代わりに「有料でも使ってもらいたい」ソフトウ
記者たちはパスワードをどう管理しているのか? またはドクターフィッシュの秘密:記者トーーク!(1/4 ページ) テクノロジー関連のあれやこれやについて、ITmedia NEWS編集部のメンバーが、あーでもない、こーでもないとよもやま話を繰り広げる「記者トーーク!」。第1回は、「パスワードを紙で保存するのは危険? Twitter上で賛否 安全な管理方法をIPAに聞いた」についてです。この記事を読んで、あれ、そういえばみんなパスワードってどう管理してるんだろう? と思いませんでしたか。では、編集部の人たちはパスワードにどう向き合っているのでしょうか。 メンバーは6人。ITmedia NEWS編集部の編集長キーチ、Web・雑誌双方での編集経験を持つサイトウ、AI音声合成技術を使った楽曲制作などが趣味のタニイ、ギリギリ“Z世代”の若手記者ヨシカワで話し合ってみました。 サイトウ 今回のお題は、「パ
2022年8月に発生したパスワード管理アプリ「LastPass」のソースコード流出事件では、発生当初は「ユーザーのパスワードが盗まれた証拠は見つかっていない」とされていたものの、11月末になってユーザーデータへの不正アクセスがあったことが判明しました。新たに、LastPassから盗み出されたユーザーパスワードが解読され、仮想通貨の盗難に悪用されている可能性があると、セキュリティブログのKrebs on Securityが報じています。 Experts Fear Crooks are Cracking Keys Stolen in LastPass Breach – Krebs on Security https://krebsonsecurity.com/2023/09/experts-fear-crooks-are-cracking-keys-stolen-in-lastpass-bre
こんにちは。アクセシビリティ・エンジニアのSUGIです。 私は全盲のエンジニアとして、2020年4月からサイボウズのデザイン&リサーチでお仕事をしています。 これから4回にわたって、とある全盲社員の働き方を連載していきます。第1回目はツール編です。次回以降、自己表現編・協働編・テレワーク編を連載していきます。 さて、私は就活および入社前、こんな不安を感じていました。 全盲の私が働くにあたって不安に感じていたこと ・会社ではどのようなツールが使われているのか、それらははたして使えるのか ・自己(の障害)を周囲にどう表現、どう伝えていけば良いか ・(視覚的な情報格差による)周囲との理解や作業の速度差をどう埋めていけば良いか おそらく同じような悩みを持っている方がいるのではないでしょうか。 そこで、この記事ではツール編と題して、「会社ではどのようなツールが使われているのか、それらは使えるのか」に
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。Multi
ブラウザにパスワード管理を任せるのはアリ? 1PasswordやLastPassみたいな専用ツールのメリットは?2020.09.03 21:0024,718 David Nield - Gizmodo US [原文] ( 佐藤信彦/Word Connection JAPAN ) ウェブブラウザのパスワード管理機能が便利なので、最近はパスワードを考えたり覚えたりしなくなっちゃいました。でも、たまたまブラウザが使えない状況になると、ログイン画面で立ち往生することも。ほかの方法を考えた方が良いかな。 そもそもウェブブラウジング目的で開発されたウェブブラザですが、さまざまな機能が追加され、今やありとあらゆることに使われる万能ツールになりました。その機能の1つがパスワード管理です。推測されにくいパスワードを生成してくれたり、パスワード漏えいを警告してくれたりする機能まで追加された今、ブラウザを専用の
コーポレートエンジニアリング部ITサービスチームの高橋です。コーポレートエンジニアリング部ではスタッフや組織の課題をテクノロジーの力で解決するということをビジョンに掲げています。その中でも私が所属するITサービスチームでは、ZOZOグループ全体の生産性を上げるため、部門や組織の課題をテクノロジーの力で解決に導く役割を担っています。クラウドベースのツールを活用し「攻めの戦略」を重視し、社内の活性化を目指しています。 その一環として、パスワード管理ツール1Passwordを全社導入しました。導入に至った背景、製品選定で重視した点、及び実際の運用を紹介します。なお、弊社の環境は社員の大半がエンジニアで、社員数は400人規模です。 いきなり余談ですが、先日政府がPPAP(パスワード付きzipファイルをメール添付し別途パスワードを送信する意)を廃止する方針であると表明しました。2017年にはパスワー
LastPassは2022年8月、パスワード一元管理ツールLastPassの開発環境の一部で異常なアクティビティーが検出されたとして調査を開始し、ソースコードの一部と技術情報がサイバー攻撃者によって窃取されていたと報告した。今回のセキュリティインシデントでは、これを利用してサイバー攻撃者がユーザー情報の一部にアクセスしたことが分かっている。 同社はサイバー攻撃者による侵害の範囲を明らかにするとともに、アクセスされた情報を特定するための取り組みを続けている。LastPassからの報告を待ち、新たな情報が提供されたら迅速に確認してほしい。 同社のカリム・トゥバCEOは「LastPassのZero Knowledgeアーキテクチャによって、顧客のパスワードは暗号化されており安全であることに変わりない。調査の間もLastPassの製品とサービスは完全に機能し続けている」と説明した。ユーザーは、通常
昨年発生した LastPass の不正アクセスで攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事、 The Verge の記事)。 ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。 そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複
The recent (2022) compromise of Lastpass included email addresses, home addresses, names, and encrypted customer vaults. In this post I will demonstrate how attackers may leverage tools like Hashcat to crack an encrypted vault with a weak password. In this post I will go into technical details on what attackers could do with the stolen encrypted vaults, specifically how they could use tools like H
こんにちは、hachi8833です。RubyKaigi 2022のCFPが一昨日締め切られました。 Final Call: CFP for RubyKaigi 2022 closes at midnight today (in JST). Don't forget to submit your proposal(s) within 6.hours.from_now! 🥷💨 https://t.co/mLjIuqCsyM #rubykaigi — RubyKaigi (@rubykaigi) June 19, 2022 週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@h
昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事、 Android Police の記事)。 LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワード
いまさらだけどパスワード管理アプリ「1Password」を使ってみたら、めっちゃ便利だった!2021.03.22 12:0056,402 R.Mitsubori 私のようなうっかりさんには、マストアイテムです。 皆さん、パスワードの管理ってどうしてます? 子どものころからあまり几帳面ではない私は、過去の自分にまつわる数字やアルファベットを組み合わせたパスワードを3つ作り、自分の中で「重要」「ちょっと重要」「どうでもいい」にざっくり分けて使い回していました。もちろん保管場所は、頭の中。つまり、暗記していたのです。 でもこの間iPhoneが故障して機種変更したところ、いったんあらゆるサービスのログイン情報がリセットされてしまい、仕方なくログインしなおしたのですが、パスワードが軒並み弾かれてしまったのです。数字とアルファベットの組み合わせが思っていたのと違ったり、古いサービスのパスワードが全然違
To Our LastPass Customers– I want to share with you an important update about the security incident we disclosed on December 22, 2022. We have now completed an exhaustive investigation and have not seen any threat-actor activity since October 26, 2022. During the course of our investigation, we have learned a great deal more about what happened and are sharing new findings today. Over the same per
「7pay事件」をはじめ、ユーザーのアカウント乗っ取りを目的とした不正ログインの被害が絶えません。この背景の一つには「パスワードリスト攻撃」と呼ばれる、どこかから情報漏えいしたIDとパスワードの組み合わせリストでログインを試行する攻撃手法の横行が挙げられます。 パスワードリスト攻撃を回避する最も単純な答えは「IDやパスワードを使い回さないこと」。つまり、サービスごとにIDとパスワードを異なるものに設定していれば、仮に情報漏えいがあったとしても、そのサービス以外での被害は防げます。特に、7payのような決済サービスや、銀行系のアプリのようなお金に直結するサービスでは必須だといえます。 (関連記事:7pay事件で得られた教訓 「お金」のサービスはどう使うべきか) しかし、言うは易く行うは難し。2~3個のIDとパスワードの組み合わせなら覚えていられるかもしれませんが、これが10以上ともなれば記憶
LINEやTwitterなどのアプリを開こうとすると、「このAppの共有は取り消されました」と表示されて使えない問題が一部ユーザーに発生しています。iOSのバグが原因と見られ、「Appを取り除く」操作をしてから再インストールすると解決できる模様です。 LINEやTwitterが開けない iPhoneで一部のアプリを開こうとすると「このAppの共有は取り消されました」とのメッセージが表示されて、アプリを使うことができない、という指摘がAppleユーザーコミュニティ、日本でもTwitterなどであがっています。 LINE開けないのは困る #このappの共有は取り消されました pic.twitter.com/0vpM7vLhDW — ʚMiyɞ (@927for927) May 22, 2020 更新したら「このappの共有は取り消されました」って出てLINEが開けない…Twitterも同じ状態
With LastPass making a habit of getting pwned and generally sucking, I started to look for a proper™ cloud-based password manager that I could recommend to friends and family. Requirements A non-lame security level, by a entity that won't crash and burn in 3 months, and whose sole interest is keeping their customer's passwords safe: managing passwords can't be a side-hustle. Compromised passwords
先日の「共有アカウント、ダメゼッタイ!」というツイートの反響が大きかったので、もう少し具体的にまとめてみました。 「共有アカウントはダメ絶対!」という認識は、もっと一般常識として広まってほしい気持ちはある。 ・パスワード管理がザル ・監査ログが意味をなさなくなる ・MFA運用できない ・SSO導入の際の足枷 などなど、セキュリティ的に致命的な問題だらけ。ライセンス的にもNGなことが多いし。 — 吉田航 (@_w_yoshida) November 18, 2019 エンジニアや情シスに限らず、システム利用者の方々にも知っておいてほしい内容なので、社内での共有アカウント撲滅に向けての啓蒙材料としてぜひご活用ください。 ■共有アカウントとは各種クラウドサービスやシステムに対話型ログインするアカウントのうち、アカウントと利用者が「"1対1"ではなく"1対多"で利用しているアカウント」のことを、本
ユーザーのプライバシー保護を重視するインターネット検索エンジンのDuckDuckGoが、ウェブブラウザ「DuckDuckGo」のベータ版をmacOS向けにリリースしたことを発表しました。将来的にはWindows版もリリースされる予定とのことです。 Introducing DuckDuckGo for Mac: A Private, Fast, and Secure Browsing App https://spreadprivacy.com/introducing-duckduckgo-for-mac/ DuckDuckGo announces a new privacy-focused Mac web browser | Ars Technica https://arstechnica.com/gadgets/2022/04/duckduckgo-announces-a-new-priv
In the aftermath of the LastPass breach it became increasingly clear that LastPass didn’t protect their users as well as they should have. When people started looking for alternatives, two favorites emerged: 1Password and Bitwarden. But do these do a better job at protecting sensitive data? For 1Password, this question could be answered fairly easily. The secret key functionality decreases usabili
You've probably heard that you should start using a password manager. But while this is good advice, how exactly do you get started with a password manager for better security? We're here to walk you through it. Let's go through the process of setting up an account with a password manager, generating strong passwords, and storing them in your password manager vault. First: Choose a Password Manage
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く