日本のIT担当者の69%に「セキュリティ疲れ」~ソフォスが調査結果を発表 
DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(1/6 ページ) ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で
敵対的プロンプト技術まとめ - Qiita
こんにちは@fuyu_quantです。 この記事はLLM Advent Calender 2023 17日目の記事です。 よかったらプライベートで作成したData Science wikiのGPTsも見て下さい! はじめに 今回は敵対的なプロンプト技術についてまとめました.まとめ方は主に,Ignore This Title and HackAPrompt: Exposing Systemic Vulnerabilities of LLMs through a Global Scale Prompt Hacking Competition というLLMに対する敵対的なプロンプト技術に関してまとめた論文を参考にしています.本記事の内容が世の中のLLMを使ったサービスの機能向上の役に立てれば幸いです. ※世の中のLLMサービスが敵対的なプロンプト手法に対応できるように公開をしたものであり,利用を
JAXAにサイバー攻撃か、宇宙開発の「機微」閲覧の恐れ…警察から連絡受けるまで気づかず
【読売新聞】 宇宙航空研究開発機構( JAXA ( ジャクサ ) )が今年夏頃、サイバー攻撃を受けていたことが複数の関係者への取材でわかった。組織内のネットワークを一元管理する中枢サーバーが不正アクセスされ、日本の宇宙開発に関する機
ペンテスターがトイレ裏の「小便通路」経由でデータセンターへの侵入に成功 | Data Center Café
一般公開された建物の設計図から、セキュリティ管理をバイパスする方法が判明あるペンテスター(ペネトレーションテスター:侵入テスト担当者)が、一般に公開されている建物の図面から見つけた隠し通路を経由して、データセンターへの侵入に成功したようです。 CyberGibbonsとして知られるペンテスターのAndrew Tierney氏は今週、一連のツイートで、トイレの裏にある配管技師の廊下を使ってデータセンターに侵入したことがあると明かしました。 「地下1階の低セキュリティな場所から、より高セキュリティな場所へアクセスする必要があった。建物の平面図を見ると、トイレの裏側に “piss corridor(小便通路) “と呼ぶべきものがあることがわかった」 Tierney氏は、貯水槽が隠されている建物では、配管工が簡単にアクセスできるように、部屋を折りたたみ式のパネルか、裏側に小さな通路を設計することが
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(1/2 ページ) 不正アクセスを防ぐ対策の代表である、多要素認証。ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという。 ネット上のアカウントに対する不正アクセスを防ぐため、今や多要素認証は欠かせない対策となった。たとえIDとパスワードが盗まれたとしても、ワンタイムパスワードの入力が必要な状態にしておけば、アカウントは守られるという想定だ。ところがその仕組みを突破しようとする攻撃が増えつつある。 暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。 BleepingComputerによると、2021年3月~5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を
Firefoxは危険なJavaScriptに対応しない - Qiita
Firefox / Safari MozillaはMozilla Specification Positionsというリストを公開しています。 IETFやW3C、TC39などが提唱しているWeb技術に対して、Mozillaはどのように評価しているかという立ち位置を表明したものです。 あくまで現時点での評価であり、もちろん今後の仕様変更などに伴い評価は変わる可能性があります。 Mozilla's Positions Mozillaはどのように評価しているかの分類。 under consideration 評価の検討中。 important 優れた概念であり、Mozillaにとっても重要である。 worth prototyping 優れた概念であるが、プロトタイプを作成し、フィードバックを得て磨きをかける必要がある。 non-harmful 有害ではないが、良いアプローチではなく、取り組む価値
五輪チケット購入者の情報流出(共同通信) - Yahoo!ニュース
東京五輪・パラリンピックのチケット購入者とボランティアのID、パスワードが盗まれ、インターネット上に流出していたことが21日、政府関係者への取材で分かった。大会組織委員会が調査している。
ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント(ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー)の作成、安全な取り扱い、
「sudo」コマンドに特権昇格の脆弱性、各ディストリビューションの対応一覧
ユーザーが別のユーザーの権限を利用してプログラムを実行できるコマンド「sudo」に、パスワードなしで特権の獲得を許す脆弱性が見つかりました。この脆弱性は2011年7月から存在しており、各Linuxディストリビューションは修正対応を発表しています。 CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Blog https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit Buffer overflow in command line unescaping https://www.sudo.ws/a
男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明
Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/ Locked In An Insecure Cage https://internetofdon.gs/qiui-chastity-cage/ Internet-enabled male chastity cage can be remotely locked by hackers - The Ve
Appleの脆弱性報奨金プログラムへ送られた脆弱性が半年間も未修正であると判明、発見者は「失望した」としてゼロデイ脆弱性を公開
自社製品の脆弱性に関する報告に報奨金を支払う脆弱性報奨金制度は、MicrosoftやGoogleなど多くの企業が導入しています。Appleも2019年に同様のプログラムである「Apple Security Bounty」を開始しましたが、同プログラムを利用したソフトウェアエンジニアであるジェフ・ジョンソンが「報告した脆弱性が半年間も修正されていない」と自身のブログ上で明かしました。 Disclosure: Another macOS privacy protections bypass https://lapcatsoftware.com/articles/disclosure2.html ジョンソン氏がAppleに報告した脆弱性は、macOSに搭載されているセキュリティフレームワーク「Transparency Consent and Control(TCC)」に関するもので、発見したのは
HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 ずさんな管理体制明らかに
神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題で、流出元の情報機器リユース業者ブロードリンク(東京都中央区)は12月9日、流出のいきさつと捜査の状況を記者会見で説明した。同社の独自調査によると、同社元従業員の高橋雄一容疑者は、2016年からHDDやUSBフラッシュメモリの他、スマートフォンやタブレットなどの情報機器を7844台転売していたという。 記者会見には、ブロードリンクの榊彰一社長、村上崇副社長、深田洋専務取締役、江川正彦取締役、萩藤和明執行役員が登壇した。 神奈川県庁のHDDが流出したいきさつ 神奈川県庁は6日、同庁が行政文書などを保存していたHDDを処分する過程で個人情報が流出したとして謝罪した。 神奈川県庁では、情報機器レンタルを手掛ける富士通リース(東京都千代田区)からレンタルしていたファイルサーバのHDDを、メンテナンスのため20
「変なホテル」のLance R. Vick氏とコンタクトしてみた - Fox on Security
先週21日に記事を書きました、「変なホテル」のIoT機器への脆弱性に対してTweetsをしていたLance R. Vick氏に対する一部報道の件で、どうしても理解できない部分があったので、直接Twitterでお聞きしてみました。 foxsecurity.hatenablog.com 元ソースは、先週同じく記事に取り上げてらっしゃったpiyokango氏のまとめ(※決してpiyokango氏が悪いと言っている訳ではありません。いつもとりまとる情報が参考になっております)で、気になる「部分」がありました。 変なホテルの客室ロボット タピアの脆弱性についてまとめてみた - piyolog 脆弱性報告を不審メール扱い ・2019年7月6日にH.I.S HDに対して、脆弱性を指摘する情報提供が行われていた。 ・この指摘をH.I.S HDは報奨金目的の不審メールとして扱い、接触を避けていた。 ・取材に
「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人の本をそこまで推すの……?」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン
(その4)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました - ろば電子が詰まつてゐる
breaking news 最初に、ニュースを入れておきます。 既にご存じの方も多いでしょうが、CoinHive事件について、一審で無罪判決だったモロさんに対して横浜地検が判決に不服として控訴しました(コインハイブ事件で検察側が控訴 無罪判決に不服)。これにより高等裁判所で裁判が続くこととなりました。非常に、非常に残念です。 今後の裁判に影響があると多大な迷惑をかけると思いますので、具体的な問題点の指摘等は私からは控えます。ただ、やはり、本当に残念です。 これで日本のIT分野における国際競争力は、確実に遅れることでしょう。既に取り返しの付かないレベルに達しつつあります。 これまでのあらすじ 友人から、最近、以下のような意見を頂きました。 最近のお前の記事は、似たようなタイトルでよく分からん。まず、「そのn」は記事先頭に書かないと後ろが切れてキレる、前に書け。それから毎回、あらすじリンク集を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NICT法が成立 通信機器のサイバー攻撃対策を延長 - 日本経済新聞
「Firefox 79」からtarget=“_blank”なリンクの挙動が変更、より安全な仕様に/「Safari」は実施済み、「Google Chrome」も追随へ
