河野太郎デジタル相は10日、自身のX（旧ツイッター）を更新し、マイナンバーカードの偽造によるトラブルが相次いでいることを念頭に、見分け方などの注意を呼びかけた。 「マイナンバーカードにはさまざまな偽造防止対策が施されており、しっかりそれらを確認いただければ券面の偽造は判別できます。例えば右上のマイナちゃんはパールインキで印刷されており、角度によって色が変化します」と投稿。偽造かどうかの見分け方について、言及した。 偽造したマイナカードが身分証として使われた上で、地方議員のスマートフォンがだまし取られるなどの事件が全国で相次いでいる。河野氏は10日の記者会見でも「目視であっても、丁寧にカードをチェックすれば偽造は見破れる」などと主張。偽造かどうかを見分けるポイントを記した文書を、事業者向けに配布する考えも示した。 ただ、「目視」に言及した河野氏の会見での発言やX投稿には、SNS上で疑問の声が

デル・テクノロジーズは5月9日、顧客情報が漏えいした可能性があるとユーザーに告知した。同社がユーザーに送ったメールで分かった。氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。デルがユーザーに送ったメールは以下の通り。 海外メディアは、今回の漏えいが大規模なものである可能性も報じている。セキュリティ情報を発信するWebサイト米Daily Dark Webによれば4月28日、何者かがハッキングフォーラムで「2017年から24年にかけてデルから製品を購入した顧客の情報4900万件を盗んだ」旨を主張していたという。 Daily Dark Webは、データのうち約700万行が個人、約1100万行がコンシューマー事業者、残りはパートナー企業や学校、詳細が不明な団体なものだったとしている。データには米国、中国、インドなどの情報が含まれ、顧客の氏名や住所、郵便番号、製品・サー

こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。（実装ミスは問題外として） カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは？ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA（通常は画面に出ない） リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード

Microsoft Edge (及び Chromium 系 Browser 全般) v124 から Office 系ファイルの DL に制限がかかる件についてChromeEdgeChromium これは何？ Microsoft Edge v124 に更新後、下記画像のように "XXX を安全にダウンロードすることはできません" と表示され、 Office 系のファイル等にてダウンロードに失敗する事象の理由と解決策です。 なお、先立ちますがこの動作は Chromium の仕様変更による想定の挙動です。 理由 Chromiumの "HTTPS by default"イニシアチブの一環として v124 から "Insecure Download Warnings" 機能が有効になったことが起因です。 HTTP での一部ファイル ダウンロードにて制限が発生するというものです。 解決策 クライアント

みなさんこんにちは！記事を読んでくださりありがとうございます。 Qiitaには初投稿なので、簡単に自己紹介をさせてください。 自己紹介 ・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています ・2024年7月に日本に帰国し、プロダクトオーナーに転身します ・大阪出身です 何が起こったかの概要 タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。 時系列での解説と違和感ポイント みなさん、Facebookには「マーケットプレイス」という機能があるのをご存知でしょうか？日本で言うジモティーのような機能です。カナダでは不用品の売買でFBのマーケットプレイスが非常によく利用されます。私は2ヶ月後に日本へ引

2024年4月25日紙版発売 2024年4月25日電子版発売 市原創，板倉広明　著 A5判／456ページ 定価3,740円（本体3,400円＋税10%） ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは，通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており，今日のWebでは利用が一般的になっています。本書では，その最新バージョンであるTLS 1.3のしくみと，その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが，それを応用していくには技術に関する理論の理解が必須になります。しかしSSL

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X： ＠shiropen2 米カリフォルニア大学サンディエゴ校と米シカゴ大学に所属する研究者らが発表した論文「Unfiltered: Measuring Cloud-based Email Filtering Bypasses」は、クラウドベースのメールフィルタリングサービスの脆弱性を指摘した研究報告である。 多くの組織がクラウドベースのメールフィルタリングサービスを導入し、高度化するメールの脅威から身を守っている。これらのサービスは、企業のメールサーバとインターネットの間に位置し、受信メールをフィルタリングして、スパムやマルウェアなどの脅威を取り除く役割を果たす。 しかし、この

webサイトで管理画面へのアクセスはIP制限を行いたい場合の方法メモ 経緯 料金等を考えずにALB + EC2で特定URLへのアクセス制限をしたい場合はAWS WAFを利用すれば良いのですが、コストの都合上などで使用しない方針になったのでEC2のapacheのconfigで制限を実施しました。 Apacheでのアクセス元IP制限について ALBを挟まずにEC2のみでサイトを運用している場合はhttpd設定ファイルに の記載で対象サイトにアクセス元のIP制限をかけることができるのですが、ALBを挟んでいる場合はEC2と通信するのは常にALBとなるのでこの書式ではIP制限を行うことができません。 設定した内容 なので今回はX-Forwarded-Forヘッダの値を見て以下のような記述でアクセス制限をします。apacheの設定ファイルに記載します。

Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。 Urgent security alert for Fedora 41 and Fedora Rawhide users xzが抱える脆弱性の概要 発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。 xz バージョン5.6.0または5.6.1 脆弱性(CVE)の情報は次のとおり。 CVE-2024-3094 - XZ Ut

本記事は4月3日21:30（JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。 事実は～です。～であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。 概要 問題の

個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導　「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】 個人情報保護委員会は3月25日、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム（大阪市）に対し、個人情報保護法に基づく指導を行ったと発表した。 同社は2023年6月、ランサムウェア攻撃を受け、サービスが約1カ月停止するなどの被害に遭っていた。サービスを導入する社労士法人や民間企業からは、エムケイシステムから報告を受けての発表も相次いでいた。 【訂正：2024年3月28日午後3時48分　記事掲出当初、漏えいの事実があると受け取れるような記載をしていましたが、エムケイシステムから個人情報保護委員会への報告は「漏えいのおそれ」に基づくものであり、漏えいの事実は確認されておりませんでした。お詫びして訂正いたします。】 個人情報保護委

社会制度のバグ？　本人確認の穴を突いたマイナンバー過信の新手口とは：小寺信良のIT大作戦（1/3 ページ） いわゆる振り込め詐欺の手口は、いつの時代にも手を替え品を替え新しい手法が開発され続けてきているが、今年3月にはこれまで聞いたことがない手口の詐欺事件が発覚した。読売新聞オンラインが報じたところによると、女性のマイナンバーカードの情報を元にネットバンキング口座を無断で作り、そこに本人に現金1400万円を振り込ませたという。 これだけでは何がどうなっているのかわかりにくいが、これはマイナンバーを使った本人確認の穴を突いた犯行と見ていいだろう。今後の課題も含め、この事件から読み取れる情報を整理してみたい。 口座とは無関係なアクション 2024年1月、70歳代の女性宅に「総合通信局」の職員や警察官を名乗る人物から「口座の情報が流出している」などと電話があったという。 警察はまあわかるが、総合

2024年3月10日、北海道警は札幌市内で約1400万円の特殊詐欺による被害が発生したと3月8日に発表しました。また3月18日には千葉県警が同様の事案の発生について発表しました。ここでは関連する情報をまとめます。 勝手に開設した本人名義の口座へ送金指示か 2024年3月8日に札幌市内で約1,400万円の詐欺被害が発生したと発表したのは北海道警察 札幌厚別署。*1 今回確認された新たな特殊詐欺の手口として、被害者名義の口座を詐欺実行犯が勝手に開設し、これを送金先に指定するもの。被害者は詐欺実行犯から連絡を受けた際に、スマートフォンのビデオ通話を通じて自身の顔とマイナンバーカードを映しており、ここで取得した情報などを用いて勝手に口座を開設していたとみられている。 被害者は自身の口座が勝手に作成されていた事実を把握しておらず、また被害者が利用していた金融機関の窓口でも職員は被害者が特殊詐欺にあっ

理論上、解読が不可能とされる「量子暗号通信」の開発が世界的に加速しています。金融や医療など秘匿性が高い情報通信での活用が期待され、国内の企業も実用化を急いでいます。 インターネットなどで使われる今の暗号は、高い計算能力を持った量子コンピューターの登場で解読されるリスクが指摘されています。 量子暗号通信は、暗号鍵の情報を光の粒子＝光子に載せて伝送し、相手と共有します。 観察すると状態が変化するという量子力学の特性を生かして盗聴を検知でき、理論上、解読が不可能とされています。 実用化に向けて日本の企業も開発に力を入れ、東芝は、去年7月からイギリスの金融機関などとともにロンドンで実証実験を行っています。 すでにアメリカやシンガポールなどでも実証実験を行っていて、事業の海外展開を目指しています。 東芝の情報通信プラットフォーム研究所の斉藤健所長は「これからますます発展するインターネット社会で安全に

IETFに『Secure shell over HTTP/3 connections』という提案仕様が提出されています。 これは、HTTP/3コネクション上でSSHを実行するプロトコルを定義しています。なお、"SSH3"という名称を仕様中で使用していますが、あくまで提案段階ですので今後変わる可能性もあります。 SSH3ではHTTP/3を使うことにより以下の特徴を持ちます QUICのメリットが享受できる（例えばIPアドレスが変わってもコネクションを維持できる） HTTPの認証方式をサポートする（Basic認証、OAuth 2.0、Signature HTTP Authentication Scheme） SSH通信の秘匿 (第三者からするとただのHTTP通信にみえる) エンドポイントの秘匿 (Signature HTTP Authentication Schemeを使うことで、そこでサービス