MITMフィッシングによる2要素認証の回避 Nov 9, 2020 国内のオンラインサービスになりすまして正規の2要素認証を回避するフィッシングサイトが確認されている¹。このようなフィッシングサイトは被害者と正規サイトの間に介入し、被害者によって入力された認証情報やワンタイムパスワード（OTP）を即時に正規サイトへ入力することで認証を回避する。MITM（Man-in-the-middle）フィッシングと呼ばれるこの手法を理解するため、フィッシングフレームワーク「Evilginx2」を使用して2要素認証の回避を検証した。 MITMフィッシングの仕組み OTPによる2要素認証はパスワード認証の補強手段として活用されているが、パスワードと同様にOTPも被害者によってフィッシングサイトに入力されてしまえば攻撃者の手に渡る。つまり、攻撃者は被害者と正規サイトの間に介入し、被害者になりすまして正規の認

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国家安全保障局（NSA）とオーストラリア通信電子局（ASD、オーストラリア国防総省の防諜機関）は米国時間4月22日、企業にウェブシェルの埋め込みについて警告するセキュリティアドバイザリを公開した。 今日では、ウェブシェルは最も一般的なマルウェアの1つになっている。「ウェブシェル」とは、ハッキングされたサーバーにインストールされた悪質なプログラムやスクリプトを指す。 ハッカーは、インターネットからアクセス可能なサーバーやウェブアプリケーション（CMS、CMSプラグイン、CMSのテーマ、CRM、イントラネット、その他のエンタープライズアプリケーションなど）の脆弱性を悪用し、それらのサーバーにウェブシェルをインストールする。 Microso

盗聴が原理的に不可能な「究極の暗号」である量子暗号を使い、２４人分のヒトゲノム（全遺伝情報）を伝送することに東芝と東北大が成功したと、１４日発表した。送ったデータ量は映画１０本分に相当する数百ギガバイト。ゲノムのような高い秘匿性が求められるデータをこれほど大容量で伝送できたのは世界初といい、東芝は「量子暗号が実用レベルになった」としている。 現在広く使われている暗号は、整数を素数のかけ算の形にする素因数分解は、整数が非常に大きいと困難になるという性質を利用している。しかし、量子コンピューターが実現すると短時間で解読できるとされ、それまでに量子暗号を実用化しようと各国が開発を急いでいる。量子暗号は盗聴を必ず検知でき、暗号を解く鍵を作り直すことで第三者による解読を避けられるからだ。 特に熱心なのは中国で、人工衛星を介した遠距離の伝送を２０１７年に成功させ、翌年には北京と上海間約２千キロを結ぶ世

個人情報保護委員会は2019年8月30日、企業が個人情報を漏洩した場合などの報告について、次期法改正で義務化する方向で検討を進めると明らかにした。現行法令は法的義務を課してないが、同日の委員会では海外の法令調査や事故報告制度を持つ国の他の法令を参考に議論した。 同委員会によると、英国やカナダ、フランスなどが近年、漏洩報告を義務化している。各国の監督機関へのヒアリングでは、義務化は正直に報告する事業者と消極的な事業者の間にあった不平等の解消につながるといった回答が多かった。経済協力開発機構（OECD）は、各国での漏洩通知をまとめた統計が国際的に比較可能な指標として、政策立案に役立てられると位置付けているという。 同委員会がまとめた次期法改正に向けた中間整理へのパブリックコメント（意見公募）では「義務化は不必要」という意見も多かった。しかし、「本人や事業者、監督機関にとって多くの意義があり、国

SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは，Yに対し，Xの提供する車・バイクの一括査定システム（本件システム）の開発を約320万円で委託し，平成24年9月に納品を受けた。 その後Xは，平成28年12月に，IPA*1から，中国のサイトに本件システムの脆弱性に関する情報が掲載されているという指摘を受けて，Yに対し，その調査と報告を依頼した。 その結果，本件システムには，ＳＱＬインジェクション対策が不十分という脆弱性が判明したことから，XはYに対し，その脆弱性はYの被用者の故意過失によって生じたものであるから，使用者であるYには使用者責任があると主張して，民法７１５条１項所定の損害賠償請求権に基づき，緊急対策費用４７万５２００円，詳細な調査，抜本的な修正費用６４０万円，サーバー移転費用３５万６４００円，セキュリティ対策のための本件システ

この事件はこれまでにもあったように、犯罪グループがソフトウェアプロバイダーに侵入し、その製品を使って顧客のシステムにランサムウェアを仕掛けたものだ。 今回攻撃対象となったソフトウェアプロバイダーは、ウィスコンシン州に拠点を置くDigital Dental RecordとPerCSoftだ。両社が共同開発した「DDS Safe」は、医療記録の保存とバックアップを行うソリューションで、米国の歯科医院向けに提供されている。 ハッカーは24〜25日の週末にかけて、このソフトウェアを支えるインフラに侵入し、米国各地の何百もの歯科医院に「REvil（Sodinokibi）」ランサムウェアを仕掛けた。 セキュリティー侵害は週明けの26日に明らかになった。歯科医師らが仕事に戻った際には、患者情報にアクセスできないようになっていた。 ランサムウェア攻撃にあった情報提供者は米ZDNetに対し、Digital

Welcome to Startups Weekly — Haje‘s weekly recap of everything you can’t miss from the world of startups. Sign up here to get it in your inbox every Friday. Well,…

経済ニュースの記事一覧です。ビジネスに役立つ株価や金融市場、業界の動向など、新聞・通信社が配信する最新記事のほか、動画ニュースや雑誌記事まで、話題の経済ニュースをまとめてお届けします。

YubicoがUSB-CとLightningコネクタを搭載しMacとiPhoneをサポートしたセキュリティキー「YubiKey 5Ci」を発表しています。詳細は以下から。 スウェーデンのYubico社は現地時間2019年08月08日、現在アメリカのラスベガスで開催されている「Black Hat USA 2019」に同社が開発＆販売するU2FやFIDO2/WebAuthn準拠の2段階認証用セキュリティキー「YubiKey」シリーズにUSB-CとLightningポートに対応した「YubiKey 5Ci」を展示、08月末(20日?)にも発売すると発表しています。 YubiKey 5Ci YubiKey 5CiはYubicoが2018年から「The Yubico Lightning Project」として開発を続けていたデバイスで、2019年01月には「YubiKey for Lightning

by Charleston's TheDigitel 車のナンバープレートには一般的に文字や数字の組みあわせが使われていますが、アメリカでは追加料金を支払うことで、他人とかぶらない好きな文字列をナンバープレートに使用することが可能。この仕組みを利用して、プログラミング言語などで何も示さないことを意味する「NULL」という文字列でナンバープレートを登録した男性が、大量の駐車違反による罰金を請求されてしまったそうです。 He tried to prank the DMV. Then his vanity license plate backfired big time. https://mashable.com/article/dmv-vanity-license-plate-def-con-backfire/ アメリカでは車のナンバープレートに自由な文字列を使う人が多く、日本では考えられない

PC利用時に入力するID/パスワードへ、生体情報（顔、指紋、静脈）や物理トークン（ICカード）を組み合わせ、認証を強化します。 パスワードレス環境の構築にも最適です。 エンドポイントセキュリティ 自治体/教育ICT 18年連続国内シェアNo.1（※1） 多要素認証ソリューション 顔やICカードをかざすだけ！ 簡単操作でPC利用者を特定 多様な環境で稼働中、充実の運用・管理機能

By Roman Pohorecki Facebookが5400億円もの制裁金を課された原因である「プライバシー問題」について、各社の対応が急務となっています。AppleはiOS 13でプライバシー規制を強化する見込みで、それによってFacebook Messenger・WhatsAppなどのメッセージアプリが打撃を受ける可能性が指摘されています。 Facebook Hit by Apple’s Crackdown on Messaging Feature — The Information https://www.theinformation.com/articles/facebook-hit-by-apples-crackdown-on-messaging-feature iOS 13 privacy feature will force total overhaul for Face

by Google 2019年6月2日、Googleのネットワークで大規模な障害が発生し、一部地域でGoogle提供のサービスやGoogle Cloudを利用するさまざまなウェブサービスが利用できなくなったり動作が重くなったりする事態に発展しました。このような大規模な障害が発生した原因について、Google Cloudのエンジニアチームが公式ブログで解説しています。 An update on Sunday’s service disruption | Google Cloud Blog https://cloud.google.com/blog/topics/inside-google-cloud/an-update-on-sundays-service-disruption Google Cloud Status Dashboard https://status.cloud.google

Appleは、新しいログインシステム「Sign In with Apple」への対応を、ほかのサードパーティーログインシステムを採用しているすべてのアプリに義務づける計画だ。 App Storeのレビューガイドラインの更新を説明したページによると、サードパーティー（GoogleやFacebook、Twitterなど）のログインシステムを利用しているアプリは、2019年内にSign In with Appleが正式に提供される際、同機能をユーザーが選択できるようにすることが求められる。Sign In with Appleは夏にベータ版が提供される予定だ。 このようにSign In with Appleを開発者に押しつけるやり方は、強引に感じられるかもしれない。ただしAppleは、プライバシーを念頭にこの新しいログインの仕組みを設計した。 Appleによると、Sign In with Appl

これをクリックすると設定ウィンドウが開き、メールの有効期限やパスコードを設定できる。受信側は、メールや添付ファイルを見ることはできるが、それらを転送、コピー、印刷、ダウンロードできない。 大まかな仕組みは、メールが送信されると、受信者側のメールのコピーからメールの本文と添付ファイルが削除され、コンテンツへのリンクに置き換えられる。Gmailのクライアントでは、リンク先のコンテンツが普通のメールのように表示されるというものだ。受信者側がGmail以外のメーラーを使っている場合は、コンテンツではなくリンクが表示される。 関連記事 Gmailに送信予約機能追加　15周年で Gmailに、作成したメールを設定した日時で後で自動送信できる機能が追加された（ローリングアウト中）。最大100件までのメールの送信を予約できる。 Google、「G Suite」の「Basic」と「Business」を4月2

html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開

セキュリティ・キャンプ全国大会2015の講義で使用された資料のまとめ。公開されていない講義が多いので、すべての講義資料があるわけではありません。随時追加。 高レイヤートラック Webプラットフォームのセキュリティ JavaScript難読化読経 HTTP/2, QUIC入門 SSL/TLSの基礎と最新動向 フレームワークに見る Web セキュリティ対策(これからのWebセキュリティ) これからのWebセキュリティ フロントエンド編 クラウドセキュリティ基礎 バグハンティング入門 解析トラック 仮想化技術を用いたマルウェア解析 講義内容 TOMOYO / AKARI / CaitSith ハンズオン（アクセス解析初級・中級） セキュリティ・キャンプ全国大会2015でのマルウエア分析講義(2015-09-10) チューター発表 「脆弱性をみつける」から「脆弱性をなくす」へ カーネル空間からのセ