結局どうすればいい? 二要素認証の安全神話を打ち砕くヤバイ攻撃を解説(ITmedia エンタープライズ) - Yahoo!ニュース
企業のインシデント報告をチェックしていると、2025年7月に建設大手の熊谷組が公開した事例が目を引きました。個人情報漏えいの可能性について発表したもので、そのきっかけは「スミッシング」とのことでした。 Apple Accountはパスワードを忘れたときの復旧用連絡先や、物理的な復旧キーの設定、2ファクタ認証の設定ができるので、ぜひこの機会にそれぞれの設定の見直しを!(出典:筆者のApple Account)《クリックで拡大》 スミッシングとはSMSを使ったフィッシング手口で、このインシデントは組織が貸与していた「iPhone」にスミッシングが実行され、「Apple Account」が奪われたという内容です。報告では「運送会社を名乗るショートメッセージ」によってリンクを開き、案内の通りに操作した結果、アカウントへの不正アクセスを許したとありました。 Apple Accountを狙うフィッシン
“ネットに未接続”のPCからデータを盗む攻撃 7m先からエアギャップPC内の機密情報を盗む
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 イスラエルのBen-Gurion University of the Negevに所属する研究者が発表した論文「RAMBO: Leaking Secrets from Air-Gap Computers by Spelling Covert Radio Signals from Computer RAM」は、インターネットに接続していないコンピュータ(エアギャップPC)から機密情報を漏えいさせる新たなサイドチャネル攻撃手法を提案した研究報告である。 「RAMBO」と呼ぶこの攻撃は、物理的に隔離したコンピュータのRAM(Random Access Mem
隠ぺいによるセキュリティとは【用語集詳細】
隠ぺいによるセキュリティ(Security Through Obscurity)は、設計開発におけるセキュリティの考え方です。 この考え方の核は、設計や実装を非公開にする・隠すことによってセキュリティを確保するというもので、例としては秘密施設の場所を非公開にする、機器やソフトウェアの内部構造を非公開にするといったものが挙げられます。 サイバーセキュリティの世界では、隠ぺいによるセキュリティは推奨されていません。このコンセプトにのみセキュリティ対策を依存した場合、非公開情報が明らかになった場合の防衛手段が存在しないためです。 暗号学の世界では、アルゴリズムの隠ぺいは逆に脆弱性の残存などを招くとして否定されています(ケルクホフスの原理)。 隠ぺいによるセキュリティと対比される概念として、設計そのものにセキュリティを組み込むオープンセキュリティやセキュリティバイデザインがあります。
サポート詐欺の「偽セキュリティ警告画面の閉じ方体験サイト」を公開 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
サポート詐欺の「偽セキュリティ警告画面の閉じ方体験サイト」を公開 ー 月間相談件数が過去最高、偽のサポートに絶対電話をかけないで! ー IPA情報セキュリティ安心相談窓口における、パソコンのブラウザ画面に表示される「偽セキュリティ警告(別名:サポート詐欺)」の手口に関する月間相談件数が、2023年10月は過去最高の519件となりました(図1)。 本手口の相談は2015年から当相談窓口に継続して寄せられており、これまでも「安心相談窓口だより」(関連リンク参照)で注意喚起を繰り返してまいりました。 最近では表示する警告画面に変化がみられ、010から始まる国際電話に電話をするよう誘導したり(図2)、「ファイルやデータが持ち出されていると思わせるようなアニメーション」や「チャット画面」を表示するなど、本物の警告やサポートであると信じさせるための細工がされています(図3)。 また、これまでのプリペイ
PATH 環境変数
PATH 環境変数は、重要なセキュリティー管理の要素です。 この変数では、コマンドを見つけるために検索するディレクトリーを指定します。 デフォルトのシステム共通 PATH 値は /etc/profile ファイルに指定され、各ユーザーは、通常、そのユーザーの $HOME/.profile ファイルに PATH 値を持っています。.profile ファイルにある PATH 値は、システム共通 PATH 値をオーバーライドするか、あるいは、エクストラ・ディレクトリーを追加します。 PATH 環境変数に無許可変更を行うと、システム上のユーザーが他のユーザー (root ユーザーを含む) を「スプーフ」できるようになります。 スプーフィング・プログラム (トロイの木馬 プログラムとも呼ばれる) は、システム・コマンドを置換してから、そのコマンドで扱われる情報 (ユーザー・パスワードなど) を取り込
もう、「うちの会社では多要素認証出来ない」と言わせたくない!
企業で多要素認証を行う難しさ 認証系の製品のサポートを行うことが多い立場柄、多要素認証が導入できていないお客様には、多要素認証の重要性や必要性を説明する機会も多いのですが、「うちの会社では〜〜〜だから、多要素認証できないんですよ」みたいな事を言われるケースが多くあります。確かに、多要素認証をユーザーの方にセットアップしていただき、使っていいただくという事は様々な観点での課題があると思いますし、それらの課題を解決していくというのは、大きな会社になればなるほどかなり大変だと思います。 会社の IT を管理していたり、アカウント/認証系のシステムに携わっている方には耳タコだと思うので今更、多要素認証の重要性や必要性をつらつらと記事にする必要はないかと思いますが、やりたいとは思っていても様々な要因で多要素認証を適用できていない状況の会社は意外と多いと感じましたので、私が出会った課題やそれぞれについ
プログラミングの原則:構造化テキストを文字列結合で作らない、置換でいじらない - Uzabase for Engineers
こんにちは、ソーシャル経済メディア「NewsPicks」のむとうです。 先日から『Ghost of Tsushima』の開発者が書いた『ルールズ・オブ・プログラミング』という本をちょっとずつ読み進めていて、プログラミング熱が高まっています。この本は大きな指針を示すだけで具体の話をするものではないのですが、読み物として面白いので私も似たようなことをやってみたくなりました。 何年もこういう仕事をしているとバグが入るパターンというのが見えてきます。そしてだいたいどこに行っても何の仕事でも似たようなことをすることになるのですが、今回の話もその一つです。 構造化テキストを文字列結合で作らない、置換でいじらないというのはこれだけみると何のことか分かりづらいかも知れませんがSaaS Product Team セキュアコーディングの啓蒙 第2回 (SQL インジェクション編)の内容とある面では同じ話です。
LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
セキュリティーチェックシートという闇への防衛術 - Qiita
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
Google 認証システムの仕組み
著者:関 勝寿 公開日:2016年3月26日 - 最終更新日:2022年12月31日 キーワード: security Google アカウントの2段階認証プロセスでは、Google 認証システムをモバイル端末にインストールして、QRコード(バーコード)を読み込ませることで、30秒ごとに変化する6桁の確認コードを生成することができる。通常のパスワード認証に加え、確認コードによる認証をすることで、セキュリティを高めている。Amazon, Microsoft, Facebook, Dropbox, GitHub 等多くのサービスで同じシステムが採用されている。この仕組みについて記す。 概要 Google 認証システムで採用されているRFC 6238の時間ベースのワンタイムパスワード (TOTP)は、サーバーとクライアントで共有する秘密鍵と現在時刻から、確認コードを計算するアルゴリズムである。 G
セキュリティ担当者の業務におけるモチベーションと経営層のセキュリティ意識に関する実態調査結果を発表
Trellix(トレリックス)、セキュリティ担当者の業務におけるモチベーションと経営層のセキュリティ意識に関する実態調査結果(2022年10月版)を発表 セキュリティ担当者の61.7%が業務にフラストレーションの経験があり、68.0%が別のキャリアへ進むことを検討 XDR(eXtended Detection and Response)の未来を提供するサイバーセキュリティ企業である、Trellix(トレリックス)は、日本国内の企業・団体の経営層、および情報システム部門など組織のセキュリティに関与するビジネスパーソンを対象に、経営層とセキュリティ担当者の情報セキュリティに関する意識調査を、Webアンケート方式で実施(2022年10月)し、調査結果を発表しました。 ニュースハイライト ・セキュリティ業務への満足度:セキュリティ担当者の59.0%が満足していると回答。セキュリティを担う仕事の価値
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う:この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
今Partytownがヤバい。JavaScript Sandboxの未来はどっちだ?
概要 Partytownというプロジェクトが先月発表された。このプロジェクト自体はWebのパフォーマンス向上(3rd Party Scriptによるブロッキングの低減)を主目的としているが、実質ブラウザにおけるJavaScript Sandboxの方向性に一石を投じるものであるとして自分は理解した。本稿ではこちらについて背景とともに解説を試みる。 WebブラウザにおけるJavaScript Sandbox JavaScriptで記述されたWebアプリケーションにおいて、たとえばプラグイン機構を実現したいなど、他Partyが提供あるいはユーザ自身が記述したスクリプトを、ホストとなるアプリケーションに影響を与えることなく実行することを許可したい、というケースはままある。2000年代に跋扈したブログパーツの類はWebコンテンツに対するプラグインの代表例とも言えるが、埋め込み先ページに対しての全権
chmod -R 777 /usr を実行したCentOS7で、一般ユーザがroot権限を得られることを確認する - Qiita
chmod -R 777 /usr を実行したCentOS7で、一般ユーザがroot権限を得られることを確認するLinuxSecurityrootpermission Teratailで、suコマンドでrootログインできないという質問があり、てっきり/etc/pam.d/suまわりの設定かと思いきや、そうではなく、自己解決で説明された原因に一同驚愕ということがありました。 /usr/share/nginx/html に権限を追加したくて、横着して chmod 777 -R /usr とコマンド実行した記憶があります。 CentOS7、suコマンドでrootにログインできない、パスワードは絶対あっているのになぜ? /usr 以下のパーミッションをすべて777に設定したら、逆に動くべきものが動かなくなる例なのですが、これをやるとセキュリティ上問題であることは言うまでもありません。究極的には、
ReDoS - Wikipedia
A regular expression denial of service (ReDoS)[1] is an algorithmic complexity attack that produces a denial-of-service by providing a regular expression and/or an input that takes a long time to evaluate. The attack exploits the fact that many[2] regular expression implementations have super-linear worst-case complexity; on certain regex-input pairs, the time taken can grow polynomially or expone
USBメモリではAutoRun.infは機能しない - プロプログラマ -Flex,Air,C#,Oracle,HTML5+JS-
プロプログラマ プログラマーを職業としてます。 Flex,Air,C#,Oracle,HTML+JSの言語ノウハウを中心に情報発信していきます あるプログラムをUSBメモリに入れてユーザーに配布しようと思い、プログラム一式をコピーしました。 どうせなら、USBメモリを挿した時にプログラムが起動したら親切だよねと思い、AutoRun.infを作成しました。 USBメモリを抜いて、再度挿したところ自動起動のダイアログは表示されるものの、設定したはずのプログラムは表示されません。 (中に画像ファイルが入っているからか、ピクチャとして処理される) AutoRunの設定が悪いのかとしばらく調べていましたが、どうやらUSBメモリではAutoRunが正しく機能しないようです。 ずいぶん前からその仕様だったようですが、今まで使ったことがないため気づかず、無駄な時間でした。 ある時から、セキュリティ対策のた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
悪意のあるドキュメントは死んだ。悪意のあるドキュメント万歳 - Barracuda バラクーダネットワークス
FBIも警告、空港やホテルのUSB充電ポートを使ってはいけない理由(Forbes JAPAN) - Yahoo!ニュース