【速報】NIST発行の「SP800-190」の邦訳を公開 IPA
IPAは9月4日、米国国立標準技術研究所(NIST)が2017年9月に発行した「SP800-190」の邦訳「アプリケーションコンテナセキュリティガイド」を公開しました。 同ガイドはシステムおよびセキュリティ管理者やアプリ開発者など向けに、仮想化技術の一つである「コンテナ」に関するセキュリティ上のリスクと対策についてまとめ、要件を提示しています。コンテナの技術および環境を導入する際のセキュリティ確保に向けた指針となります。 コンテナはアプリケーション仮想化環境内で、アプリケーションをパッケージし、セキュアに実行するための方法で、アプリケーションコンテナやサーバーアプリケーションコンテナとも呼ばれています。同ガイドでは、「アプリケーションコンテナの概要」「コンテナ技術のコアコンポーネントの主なリスク」「主なリスクへの対策」「コンテナの脅威シナリオの例」などを含む7つの章とNISTのリソース名・
CIS Benchmarks
CIS(Center for Internet Security)とは、米国国家安全保障局(NSA)、国防情報システム局(DISA)、米国立標準技術研究所(NIST)などの政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む目的で2000年に設立された米国の団体の略称です。 そのCISが策定した「CIS Benchmarks」は、情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドラインで、PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービス等の製品やサービスに対してバージョンごとに詳細なパラメータまでを定めています。2020年10月時点で、180以上の文書が提供されています。 CIS Benchmarksは、海外拠点の理解が得られやすく、CIS Benchmarksをもとに策定したサイバ
LINEヤフーへの不正アクセスについてまとめてみた - piyolog
2023年11月27日、LINEヤフーは同社のシステムが不正アクセスを受け外部にユーザー情報などが流出したと公表しました。その後も調査が継続して進められたところ、2024年2月14日には最終の調査報告として社外のサービス(ファイル共有やSlackなど)に対しても影響が認められたと公表しました。さらに今回の調査を通じて別の委託先2社を通じた不正アクセス事案も確認されたと同日に公表しました。ここでは関連する情報をまとめます。 社内外システムへ不正アクセス LINEヤフーが主体として管理運用するシステム(社内システム)と社内コミュニケーションに利用していた社外サービスシステムに影響が及んでいた。11/27公表を事案A、2/14公表を事案Bとして、具体名称が上がっているシステムは以下の通り。*1 旧ヤフー社側とはシステム基盤が異なることから、ヤフー側の情報への影響はない。また公表時点では流出可能性
当社の利用終了パソコンに関する一部のSNS投稿につきまして
事業共創プログラム OPEN HUB for Smart World 未来をひらく「コンセプトと社会実装」の実験場 OPEN HUB for Smart Worldは、社会課題を解決し、わたしたちが豊かで幸せになる未来を実現するための新たなコンセプトを創り、社会実装を目指す事業共創の場です
『Origin-Bound One-Time Codes』の提案仕様 - ASnoKaze blog
Apple勢から「Origin-Bound One-Time Codes」というSMSで発行するワンタイムコードのフォーマットの提案仕様がIETFに提出されています。 こちらの仕組みの標準化ということで良いかなと思います。 developer.apple.com 背景 Webのログイン時にSMSでワンタイムコードを送信し、入力させることがあります。昨今ではformの 『autocomplete="one-time-code"』属性によりユーザエージェントがSMSのコードを自動入力してくれたりします。 こちらのサイトでも書かれているように、攻撃者がフィッシングの手口で入力させたID/Passを正規サイトにインプットさせるとSMSコードを自動入力させる事ができます。 akaki.io そこで、SMSで発行したワンタイムコードをドメインに紐付けることでこのような攻撃を防ぐのが今回の目的です Or
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
身分証明書と一緒の自撮り写真を考えなしにアップロードしてはいけない理由
オンラインサービスの中には、登録時の本人確認として、登録者自身と身分証明書を一緒に撮影した写真のアップロードを要求するものがあります。手間をかけずにあなたがあなたであることを証明する、便利な方法です。ただ写真を撮ってアップロードし、少し待てば、管理者があなたのアカウントを承認してくれるのです。 残念ながら、あなたの自撮り写真を欲しがるのは、評判の良い正規のWebサイトだけではありません。フィッシング詐欺師も同様です。今回の記事では、そうした詐欺の仕組み、犯罪者が身分証明書入りの自撮り写真を欲しがる理由、犯罪者にだまされないための方法について解説します。 本人確認の名目で この手のフィッシング詐欺は、銀行、決済システム、あるいはSNSから「セキュリティ強化のために(または別の理由で)」本人確認が必要だという内容のメールが来るところから始まります。 メールに記載されたリンクをクリックすると入力
Docker Hubの不正アクセスについてまとめてみた - piyolog
2019年4月27日、Dockerはコンテナ共有サービス「Docker Hub」が不正アクセスを受け約19万件のアカウントに影響が及んだとして情報漏えいの可能性について発表しました。ここでは関連する情報をまとめます。 公式リリース success.docker.com 被害の状況 Docker Hubのデータベースが不正アクセスを受けた。 不正アクセスにより一部のユーザー情報が盗まれた恐れがある。 影響を受けたのは約19万件のアカウント。全ユーザー数の約5%未満。 Dockerは不正アクセスの時間は短時間と説明。 2019年4月25日にDockerがDocker Hubデータベースへの不正アクセスを把握。 この侵害によるDockerの公式イメージへの影響はない。 不正アクセスの手口については明らかにされていない。 メール届いた場合は影響を受けた恐れ Dockerから連絡メールが届いた場合は
パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論
研究者によると、パスワードが簡単に抽出されてしまいかねない問題が各ツールに見つかった。しかしそれでも、パスワード管理ツールを使った方がいいという前提は変わらない。 米セキュリティコンサルタントのIndependent Security Evaluators(ISE)は2月19日、Windows向けの主要パスワード管理ツールに関する調査結果を公表し、調査対象とした全てのツールでパスワードが簡単に抽出されてしまいかねない問題を発見したと伝えた。 ISEによると、調査対象としたのは「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」の各ツール。それぞれについて詳しく調べた結果、各ツールともメモリ管理に問題があり、たとえロック状態にあったとしても、攻撃者によってパスワードが取得されてしまう恐れがあることが分かったという。 「ロック状態」は、ユー
TechCrunch
In 2019, Amazon upgraded its Alexa assistant with a feature that enabled it to detect when a customer was likely frustrated — and respond with proportionately more sympathy. If a customer asked The halls of power are waking up to the potentials and pitfalls of artificial intelligence. The big question will be how much of an impact they will have on the march of progress if (and when) there a
2019 年以降に注目すべきセキュリティのトレンド | Google Cloud 公式ブログ
※この投稿は米国時間 2019 年 1 月 4 日に Google Cloud blog に投稿されたものの抄訳です。 ソフトウェアのセキュリティを確保し、組織とユーザーを既知の脅威から守るためには効果的な予防策と不断の努力が必要ですが、それだけでなく、新たなリスクを見つけて対処する積極的な姿勢も必要です。 私たち Google Cloud は両方を実践しています。目に見えないところでお客様の安全を自動的に守るサービスから、お客様の固有のニーズに合わせてセキュリティ体制を強化するのに役立つツールや推奨事項に至るまで、セキュリティ対策を容易にするプロダクトを提供しています(ベスト プラクティスの一部については “taking charge of your security/data” シリーズの投稿をご覧ください)。また、新しく現れる脅威にいつも目を光らせ、対策方法を探しています。2018
セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ
決済サービス「PayPay」におけるクレジットカードの不正利用問題(関連記事)に関連して、大手家電量販店「ヨドバシカメラ」のオンラインショップ「ヨドバシ・ドット・コム」でクレジット決済をする際、「セキュリティコード」を間違えていても決済できてしまえるという報告がTwitterで注目を集めています。ヨドバシカメラ広報部に、クレジット決済の本人認証について取材しました。 ヨドバシ・ドット・コム オンラインでクレジットカード決済する際は、利用者本人かどうか確認をするために「カード名義」「カード番号」「カード有効期限」に加え、主に裏面に記載されている3~4桁の番号「セキュリティコード」の入力を求められることが一般的です。 セキュリティコード記載例(JCBカード公式サイトより) セキュリティコードはカードの磁気情報には含まれておらず、券面の印字を見ることでのみ確認できる情報。店頭で磁気情報を盗むスキ
指紋認証デバイスで多数の指紋に一致する合成指紋「DeepMasterPrints」 | スラド セキュリティ
ニューヨーク大学とミシガン州立大学の研究グループが機械学習を用い、スマートフォンなどの指紋認証機能で「マスターキー」のように多数の指紋と一致する「DeepMasterPrints」の生成に成功したそうだ(論文: PDF、 The Guardianの記事、 Android Policeの記事、 Motherboardの記事)。 指紋認証デバイスの中でもスマートフォンなどに搭載されるものは操作性の問題で小型に作られており、指紋全体ではなく一部分だけで一致を判定する。指紋の一部分では情報エントロピーが低下するため、別の指の指紋と一致する可能性が高くなる。また認識失敗を防ぐため、エンロール時に複数の指の指紋を登録させるものもあり、さらに誤一致の可能性が高まる。 今回の研究グループ5名のうち3名は昨年、多数のユーザーの指紋に一致する合成指紋「MasterPrints」を生成する研究成果を発表している
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
2017年6月に、米国政府機関であるアメリカ国立標準技術研究所(NIST)が「Electronic Authentication Guideline(電子的認証に関するガイドライン、以下『本ガイドライン』と略)」の最新版である「NIST SP 800-63-3」を発表しました。 本ガイドラインが世界の電子認証にどのような影響を及ぼすのか、特にパスワードと関連が多い部分に特化して解説します。 NIST SP800-63-3の位置づけ NISTは、アメリカ政府(商務省)傘下にある国営の研究所です。本ガイドラインは「現在の技術的動向を踏まえたうえで、アメリカ政府はこのような電子認証を取り入れるべき」というアメリカ政府向けの報告・提言という位置づけになります。この報告書を受けて、アメリカ政府はあらゆる電子認証に関するシステムを徐々に更新することで、不正アクセスや攻撃などの脅威から政府のデータを守り
IntelのCPUで新たな脆弱性「Portsmash」が発見される、ハイパースレッディングに関する2つ目の脆弱性 - GIGAZINE
2018年初めにIntelのCPUで発見された脆弱性の「Spectre」「Meltdown」や、同年8月に見つかった脆弱性「Foreshadow」などを悪意のあるアタッカーが利用すると、PCや一部のスマートフォンのプロセッサにアクセスし、パスワードや秘密鍵といった情報を盗み出すことが可能です。また、この攻撃は従来のセキュリティでは検出または防御することができないということで、大きな問題となりました。「Spectre」や「Meltdown」、「Foreshadow」と同様に、既に流通しているIntel製CPU上に存在する新しい脆弱性「Portsmash(CVE-2018-5407)」の存在をセキュリティ研究者が公表しており、Intel以外のチップメーカーにも影響を及ぼす可能性があるとしています。 GitHub - bbbrumley/portsmash https://github.com/
TechCrunch | Startup and Technology News
Tempus, a genomic testing and data analysis company started by Eric Lefkofsky, who previously founded Groupon, debuted on Nasdaq on Friday, rising about 15% on the opening. The company priced… The tech layoff wave is still going strong in 2024. Following significant workforce reductions in 2022 and 2023, this year has already seen 60,000 job cuts across 254 companies, according to independent lay
Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications この発表で解説されているのは、悪意のある攻撃者が、JavaScript言語固有のプロトタイプチェーンの挙動を利用して、Webサーバを攻撃する方法です。 発表者は、npmからダ
徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口
エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http
不正な拡張機能が相次ぐChrome、Googleが防止対策を強化へ - ITmedia NEWS
不正が相次ぐ事態に対応して、ユーザーによるコントロールの強化や、難読化されたコードのある拡張機能の締め出しを目指す。 米Googleは10月1日、WebブラウザChromeの拡張機能について、不正防止のための新たな対策を講じると発表した。悪質なコードを仕込んだ拡張機能が相次いで見つかっている事態を受け、摘発の強化を図る。 Googleの発表によると、次バージョンの「Chrome 70」からは、拡張機能によるWebサイト上のデータの読み取りや変更を許可する「ホストパーミッション」について、ユーザーがコントロールできるようにする。ユーザーは、拡張機能がホストアクセスできるサイトをカスタム版のリストに記載されたサイトに限定したり、現在閲覧中のページに対してクリックしなければアクセスできない設定を選択したりできるようになる。今後は強力な権限を持つ拡張機能に対する審査を強化する方針だ。 Chrome
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
macOSやiOSなどAppleの全OSに深刻な脆弱性 - PC Watch
