Cloudflare | Web Performance & SecurityLog in to Cloudflare to access our scalable and easy-to-use security and performance platform. Enable enterprise class speed and protection to keep your app safe and available around the globe.
世界一わかりやすいSPF/DKIM/DMARCの仕組み【完全図解】 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに メールセキュリティの用語って、アルファベットばかりで難しく感じませんか? 「 SPF 」「 DKIM 」「 DMARC 」...。 どれも重要だと言われますが、具体的に何をしているのかイメージしづらいのが正直なところです。 この記事では、専門用語を極力使わず、 直感的なイラストと例え話 で、これらの仕組みを「世界一わかりやすく」解説します。 1. SPF (Sender Policy Framework) :「招待客リスト」を持ったドアマン SPF は、メールの 「送信元の住所(IPアドレス)」 をチェックする仕組みです。 例
Twitter歴14年の僕でも引っかかった「最新型フィッシング詐欺」の手口|コブラ
【Twitter歴14年のアカウントが乗っ取られた話】何が起きたのか、そしてどうすれば防げたのか。こんばんは。 Twitter歴14年にして、ついにアカウントが乗っ取られてしまったおじさんです。 今回は、 「実際に何が起きたのか」 「なぜ防げなかったのか」 「どうすれば避けられたのか」 をできるだけ具体的にまとめました。 正直、恥ずかしい話ではあるんですが、 いま同じ手口で被害に遭う人が本当に増えています。 誰かの防御力アップにつながれば、という気持ちで書き残します。 ■ 1. すべての始まりは「12月4日のDM」だった発端は、普段から仕事のやり取りをしていた相手から届いたDM。 「報酬を支払うため、Twitter Adsの報酬確認ページからログインしてほしい」 送られてきたURLは、見た目が完全に“本物っぽい”。 Ads系のURLは複雑なので、違和感を覚えにくいのが厄介です。「最近のTw
スクレイピング・自動化対策について
はじめに 昔からサービスの運営者を困らせてきたものはいくつかあると思いますが、 特に代表的なのが “自動化による悪用” です。 スクレイピングによる無断データ収集や、予約システムを狙ったボット、さらには不正ログインを試みる自動化ツールなど、その形は時代とともに多様化してきました。 X (旧Twitter) には、今でも詐欺DMを送るボットが多いです。(自分は毎日来ます。) また、大阪万博の予約を勝ち取るために、サーバーに過度の負荷をかける形で自動化が悪用された事例もあります。 そして、最近はAIを利用した巧妙なものも増えています。 この記事を読んで、そのような事態に対処できるように知識が少しでも増えれば良いな、と思っています。 ぜひ少しでも役に立てば、いいね・他SNSへの共有など、よろしくお願いします!! 実例 2025年現在、大阪万博なる物が開催されており、DX化の一環として予約をウェブ
ソニー株式会社 | FeliCa | 法人のお客様 | お知らせ
2017年以前に出荷された一部のFeliCa ICチップの脆弱性に関する指摘について 2025年8月28日 ソニー株式会社 ソニーの非接触ICカード技術「FeliCa」のICチップのうち、2017年以前に出荷された一部のICチップについて、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき外部から指摘を受け、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。 FeliCaを利用するサービスのセキュリティは、FeliCa ICチップのセキュリティに加え、サービスごとにシステム全体で構築されます。本事案については、上記パートナーシップの枠組みの中で、一部のサービス事業者や公的機関とも連携しています。ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用くださ
PayPayのフィッシングが簡単すぎた話|j416dy
※この記事は以下記事を読んだ前提で書いてます。 ※あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです。 この記事を読んで、QRコードを読み取るだけでお金抜かれるなんてことがあるのか?と思ったら、実際あまりに簡単に抜けるような構成であることがわかったので、検証結果を置いておきます。 WINTICKET連携はQRコード2連続読込方式正規のログイン・連携機能のUIを先に確認します。 PCブラウザでWINTICKETを操作、スマホでPayPayアプリを操作する場合の流れです。 競輪投票のWINTICKETでアカウント作成、ログイン後、 ポイント残高右側の「+」ボタンでチャージ画面に遷移します。 遷移後、入金手段としてPayPayを選択します。 オレンジの+ボタンでポイントをチャージする ※ポイント残高は出金できないが、投票結果の払戻金は出金できる仕様すると
クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに
あらおじ @ojigunma すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は4段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st… 2024-10-04 13:15:14 Niishi Kubo @n11sh1_ クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定されていれば悪意あるドメインに対しての通
KADOKAWAグループへのサイバー攻撃や悪質な情報拡散についてまとめてみた - piyolog
2024年6月9日、KADOKAWAやニコニコ動画などを運営するドワンゴは、同グループの複数のWebサイトが6月8日未明より利用できない事象が発生と公表しました。システム障害の原因はランサムウエアによるもので、ニコニコ動画は復旧まで約2か月を要しました。またリークサイトから盗まれたとみられる情報を取得してSNSへ公開するなど悪質な情報拡散が確認されました。ここでは関連する情報をまとめます。 1.KADOKAWAグループのデータセンターでランサムウエア被害 公式及び報道より、データ暗号化の被害にあったのはKADOKAWAグループ企業 KADOKAWA Connectedのデータセンター(DC6)で運用されていたプライベートクラウドやそのクラウド上で稼働していたドワンゴ専用サーバー。またドワンゴの認証基盤であったActive Direcotryサーバーも攻撃者の制御下に置かれた。 侵害活動の拡
「0.0.0.0」へのアクセスを悪用してローカル環境に侵入できる脆弱性「0.0.0.0 Day」が発見される
Chrome、FireFox、Safariといった主要ブラウザにおけるIPアドレス「0.0.0.0」の扱い方に問題があり、問題を悪用することで攻撃者が攻撃対象のローカル環境にアクセスできることが明らかになりました。問題を発見したセキュリティ企業のOligo Securityは、この脆弱(ぜいじゃく)性を「0.0.0.0 Day」と名付けて注意喚起しています。 0.0.0.0 Day: Exploiting Localhost APIs From the Browser | Oligo Security https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser Oligo Securityによると、主要なブラウザでは「『0.0.0.0』へのアクセスを『localhost (12
IPA、「情報セキュリティ白書2024」発行 PDF版はアンケート回答で無料ダウンロード可
2023年度に観測されたインシデントの状況から国内外の情報セキュリティ政策、対策強化や取り組みの動向などをまとめた。主なトピックは以下の通り。 国家の支援が疑われる攻撃者グループによるゼロデイ脆弱性を悪用した攻撃の観測を発表:2023年5月 ファイル転送ソフトウェアに対するゼロデイ攻撃により情報漏えいやランサムウェア被害が発生:2023年6月 名古屋港のコンテナターミナルで利用しているシステムがランサムウェア攻撃を受けて停止:2023年7月 「政府機関等のサイバーセキュリティ対策のための統一基準群」が全面改訂:2023年7月 福島第一原発処理水放出に関する偽・誤情報拡散:2023年8月 元派遣社員による顧客情報約928万件の不正持ち出しを大手通信会社グループ企業が公表:2023年10月 能登半島地震が発生、SNSで偽・誤情報拡散:2024年1月 NISTが「サイバーセキュリティフレームワー
国連サイバー犯罪条約がもたらす最悪の悪夢 » p2ptk[.]org
Pluralistic 国連の専門機関にNGO代表として参加した長年の経験から学んだことが一つあるとすれば、国連の条約は危険で、権威主義国家と貪欲なグローバル資本家の不道徳な同盟に利用される可能性があるということだ。 私の国連での仕事のほとんどは著作権と「補助的著作権」に関するものであり、戦績は2勝0敗だった。ひどい条約(WIPO放送条約)を阻止し、素晴らしい条約(著作物へのアクセスに関する障害者の権利に関するマラケシュ条約)の成立を手伝った。 https://www.wipo.int/treaties/en/ip/marrakesh ひげを剃ってスーツとネクタイを着てジュネーブに行く必要がなくなってから何年も経つが、それを懐かしく思うことはない。ありがたいことに、私よりもずっと上手にその仕事をこなす同僚たちがいる。昨日、そんなEFFの同僚の一人であるカティッツァ・ロドリゲスから、まもなく
![国連サイバー犯罪条約がもたらす最悪の悪夢 » p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/dc8f449844fd2c9e93fc84bcbc238a12afe529e2/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2024%2F07%2Fcybercrime-2024-2b.png)
Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策(あくまでも緩和) SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がる
ニコニコ、システム全体を再構築へ サイバー攻撃の影響で 復旧の見込みは「今週中に告知」
ドワンゴは6月10日、8日から続く大規模障害を巡り、今後の方針を発表した。10日午後6時時点で「サイバー攻撃の影響を受けずにニコニコのシステム全体を再構築するための対応を進めている」という。復旧予定やサイバー攻撃の詳細については「今週中に、役員の栗田穣崇およびCTO鈴木圭一が、復旧までの見込みおよびその時点までの調査で分かった情報を説明する予定」としている。 会員費の払い戻しなど、個々のサービスへの質問については「影響の調査を行っている段階のため」として回答を控えたが「誠実に対応させていただきますので続報をお待ちください」とした。 今回の攻撃を巡っては、ニコニコ以外にもKADOKAWAが提供する複数のサービスがダウンしており、KADOKAWAの公式サイトも表示できない状態が続いている。 関連記事 「#がんばれニコニコ」拡散 サイバー攻撃でダウン中、ユーザーが復旧を応援 「ニコニコ」でサイバ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アサヒビール「形だけのセキュリティ対策」が招いた大混乱、"基本のキ"でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか
自宅のWi-Fiルーターを手軽に診断、「am I infected?」の使い方と結果の見方 
日米韓、「北朝鮮IT労働者に関する共同声明」を公表。身分を偽って業務を受注しようとする人物に注意を 
クレジットカードを製造する技術
こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】
https://www.youtube.com/playlist?list=PLuiwFtbejFtnzudab1mh8-VH-ykBMc-r1
ダークウェブに自分の情報が漏れているか確認するGoogleの機能が無料に
