Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 イスラエルにあるBen-Gurion University of the Negevの研究者が発表した「GAIROSCOPE: Injecting Data from Air-Gapped Computers to Nearby Gyroscopes」は、インターネットに接続されていない「エアギャップ・ネットワーク」内のコンピュータから機密データを盗む攻撃を説明した研究報告だ。 エアギャップされたコンピュータ上で動作するマルウェア（あらかじめマルウェアを仕込んでおく必要がある）が、超音波の周波数を介して数メートル先のスマートフォン（ターゲットのコンピュータを操作する従業員などのスマートフォ

こんにちは @zaru です。今回は昔からある CSRF (クロスサイト・リクエスト・フォージェリ) の今時の対策についてまとめてみました。もし、記事中に間違いがあれば @zaru まで DM もしくはメンションをください (セキュリティの細かい部分についての理解が乏しい…) 。 2022/08/29 : 徳丸さんからフィードバック頂いた内容を反映しました。徳丸さん、ありがとうございます！ 認証あり・なしで対策方法が違う点 トークン確認方式のデメリットのクロスドメインについての言及を削除、代わりに Cookie 改変リスクを追記 Cookie 改ざん可能性について徳丸さんの動画リンクを追記 SameSite 属性で防げない具体的なケースを追記 nginx 説明が関係なかったので削除 そもそも CSRF ってなに？ 昔からインターネットをやっている方であれば「ぼくはまちちゃん」 騒動と言えば

日本の主要企業の社員が設定するパスワードの多くが脆弱であることがわかった。漏洩したパスワード約2万5000件について日本経済新聞が調査したところ、64%が推測されやすい設定だった。「12345」や「password」といった文字列や名前を使ったもの多い。社員個人が複雑なパスワードを多数管理することには限界もあり、企業の対策が求められそうだ。セキュリティー企業のGMOサイバーセキュリティ　byイ

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 シンガポールのNCS Group、A*STAR、シンガポール国立大学による研究チームが開発した「RollBack - A New Time-Agnostic Replay Attack Against the Automotive Remote Keyless Entry Systems」は、車のキーフォブをハッキングすると所有者に気が付かれずに自由にロック解除できるシステムだ。これまでにも同様の技術は公開されていたが、今回は1回ハッキングすると何度でもいつでもロック解除ができるという。 車のロックをリモコン操作できるリモートキーレスエントリー（以下、RKE）は、ボタン操作で周囲から車のロ

","naka5":"<!-- BFF501 PC記事下（中⑤企画）パーツ＝1541 -->","naka6":"<!-- BFF486 PC記事下（中⑥デジ編）パーツ＝8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下（中⑥デジ編）パーツ＝8826 -->","adcreative72":"<!-- BFF920 広告枠）ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag ＰＣ誘導枠５行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

同社は「意図的であれ、偶発的であれ、こうしたプロトコルを通じてサイバー攻撃者によるネットワークへの侵入が容易になり、企業に対する攻撃リスクが増大する」と警告している。 非推奨のTelnetだが、12％の企業が利用 このレポートは、ExtraHop Networksが世界の企業のIT環境を分析して、開いているTCP／IPポートと、インターネットに公開されている通信プロトコルを観点に、企業のサイバーセキュリティ体制を調べたもの。それによると、企業が公開しているプロトコルとセキュリティには幾つかの特徴があるという。 関連記事 「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみた ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック）について解

米Twitterは8月5日（現地時間）、ゼロデイ脆弱性（既に修正済み）が悪用され、540万以上のアカウントと電話番号やメールアドレスの情報が流出したと発表した。 この脆弱性については1月、同社のバグ報奨金プログラムを通じて報告を受けたという。昨年6月のシステム更新の際に発生したバグで、報告を受けて修正した時点では脆弱性が悪用された証拠はなかったとしている。 だが、米Restore Privacyの7月の報道で、この脆弱性が悪用され、アカウントリストが販売されていることを知ったため、影響を受けたことが確認できるユーザーには直接通知した。 この段階で公式ブログで発表するのは、「影響を受けた可能性のあるすべてのアカウントを確認することはできず」、特に匿名アカウントは国家などの標的になる可能性があるためとしている。 米BleepingComputerによると、アカウントと紐付けられたのは、電話番号

セキュリティ研究者のDerek Abdine氏は7月29日(米国時間)、「Arris / Arris-variant DSL/Fiber router critical vulnerability exposure｜Derek Abdine」において、muhttpd Webサーバに複数の脆弱性が存在すると伝えた。muhttpd WebサーバはISPのCPE（Customer Premises Equipment：カスタマ構内設備）で広く利用されており、Arris製の複数のルータモデルに使われるファームウェアに含まれているという。 Arris / Arris-variant DSL/Fiber router critical vulnerability exposure｜Derek Abdine muhttpd(mu HTTP deamon)は、ANSI Cで開発されたシンプルなWebサーバ

ゼロデイ脆弱性にはどのような対抗手段があるのか、Googleはこう考える：その場しのぎの修正で終わらせない Googleの脆弱性調査専門チーム「Project Zero」は、「FIRST」カンファレンスで行った講演の概要をブログで報告した。対処方法がないと考えられがちなゼロデイ脆弱性にも有効な対策があるという。 Googleの脆弱（ぜいじゃく）性調査専門チーム「Project Zero」は2022年6月30日（米国時間）、2022年6月に開催された「FIRST」カンファレンスで行った講演「0-day In-the-Wild Exploitation in 2022...so far」の概要を公開した。 2022年の年初から2022年6月15日までに検出、公開されたゼロデイ脆弱性は18件に達した。これらを分析したところ、少なくとも9件は、過去にパッチが公開された脆弱性の亜種だと分かった。20

サイバー攻撃者が狙う穴を、防御側はふさぐよう努力する。するとサイバー攻撃者も工夫に工夫を重ね、新たな攻撃手法を使い出し、かつての常識はいつの間にか非常識に変化する――そういった“いたちごっこ”が、サイバーセキュリティの世界では繰り返されている。この歴史を読み解くと、見えてくるものもあるかもしれない。 「Webアプリケーションセキュリティのバイブル」ともいえる“徳丸本”こと『体系的に学ぶ 安全なWebアプリケーションの作り方』（SBクリエイティブ）の筆者、徳丸氏が、クレジットカード情報の漏えい対策、そしてマルウェア対策のこれまでの歴史から、この“いたちごっこ”を総括した。私たちが進むべき次の一歩を考えるためのセッションとなった。 セキュリティはいたちごっこの連続 徳丸氏は、「いたちごっこ」の事例として昨今も報道が絶えることのない「クレジットカード情報漏えい」を取り上げる。クレジットカード情報

企業向け研修サービス「サイバックスUniv.」のサーバに保存していた約25万人分の個人情報がGoogleで検索できる状態になっていた件を巡り、提供元のリスクモンスターは7月5日、原因はネットワークの設定ミスだったと発表した。過去にサーバをAWS移行した際、設定変更があったところ、チェック体制に不備がありミスにつながったという。 情報がGoogleで検索可能になっていたサーバは、サイバックスUniv.のサブシステム（システムの一部を構成する小規模なシステム、または予備や代替のシステム）の運用に使っていたもの。リスクモンスターによれば、サブシステムが抱える個人情報の洗い出しが不十分だった他、当時のサーバ移行が同社にとって初めて、独自にシステムをクラウド化する案件で、セキュリティの見直しが徹底できていなかったという。 リスクモンスターは対策として、サーバの設定変更のテスト体制を強化。外部の診断サ

杏林大学医学部付属病院（東京都三鷹市）は6月30日、同院の医師が患者の個人情報入りUSBメモリを紛失したと発表した。紛失したUSBメモリはパスワードロックなどがされておらず、30日時点でUSBメモリは発見できていない。個人情報の漏えいなどの事実は確認していないとしている。 【訂正履歴：2022年7月1日午後2時40分　当初、記事タイトルを「院内持ち出し」としておりましたが、「院外持ち出し」の誤りでした。お詫びして訂正いたします。】 紛失が発覚したのは6月19日。診療上のデータを院外に持ち出すのは禁止されていたが、データの判読に長時間を要することから、該当の医師は院外にUSBメモリを持ち出した。医師の帰宅後、患者27人の氏名やID番号、終夜睡眠ポリグラフ検査データ、睡眠時の状態を記録した動画が入ったUSBメモリを紛失していることに気付いたという。 同院は「この動画は赤外線を通して撮影している

ちょっと待った！　個人向けMicrosoft DefenderアプリはMicrosoft 365製品ファミリー向けではありません、Windows標準のDefenderも置き換えません：その知識、ホントに正しい？ Windowsにまつわる都市伝説（213） 既にIT系メディアのニュースでご存じかもしれませんが、Microsoftは2022年6月中旬に、クロスデバイス対応の個人向けアプリおよびサービスである「Microsoft Defender for individuals（個人向けMicrosoft Defender）」の提供を開始しました。自分も利用できると誤ってインストール、さらには無駄に購入してしまわないように、想定される勘違いをリストアップしてみました。

「もしも〜だったら」を確認するパスワード保護Excelファイル (俗に言う暗号化Excelファイル) のパスワードをcrackする難易度ってどれくらいだろうか？ と、ある事案 (参考リンク1) からの連想で急に確認したくなった。もちろん、事案のプレスリリースで述べられている「暗号化処理」が、Excelの機能を使ってExcelファイルをファイルレベルで保護する手法 (参考リンク2) なのか、それ以外の別の手法なのかは現時点で明らかになっていないので、これは「もしも前者だったら」の一種の私的な実証実験である。 実験の際には自分に条件を課し、手元のUbuntu環境にはもちろん純正のMicrosoft Excelは無いので、一連の内容をコマンドライン (CLI) のみでやってみようと考えた。 1. Secure Spreadsheetでパスワード保護Excelファイルを作成参考リンク3によると、次

大阪府門真市は6月27日、マイナンバーカード申請サポート会場で、市民1人の顔写真が記録されたSDカードを紛失したと報告した。SDカード内のデータは1度撮影するごとに毎回消去しており、他の市民の画像は入っていないという。 紛失したのは18日。マイナンバーカード申請サポート会場では、申請書作成のために来場者の顔写真を撮影し、その場で印刷するが、紛失時は撮影後に来場者への説明を優先。委託先の従事者が印刷のためカメラからSDカードを取り出そうとしたがカメラの中に入っていなかったという。周囲の捜索や従事者の手荷物検査などを行ったが発見はできなかった。 SDカードに保存されていたデータは来場者1人の顔写真のみで、本人には紛失について説明済み。紛失による被害の発生は確認していない。 門真市は再発防止に向け、委託先事業者に運用の見直しや研修の実施など個人情報管理の徹底を求めるとしている。 記憶媒体の紛失は

北海道をこよなく愛するピーターです。 本日2022/6/24㈮のホットニュースは尼崎市が全市民約46万人の個人情報が入ったUSBを紛失するです。 そして見つかりました。 新情報はこれから出てくるとは思いますが、「パスワードに関する情報(ヒント) は漏らしてはいけない」 のいい教材になったと思います。 そこで今回はパスワードを破るにはどれだけの時間がかかるかを、条件別に求めてみました。 ざっと計算しただけなので、抜け漏れはあります。 もしそもそもの計算式が違うよ等あればご指摘いただけると幸いです。 候補となる文字列と計算時間 候補となる文字列 パスワードに使用できる文字列は以下が考えられます。 ・アルファベット ・数字 ・特殊文字 これらをコードで確認しました。 結果は以下の通りです。1文字につき94個の選択肢があります。 したがってパスワードの桁数をnとすると、94^n通りのパターンが想定

委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。 会見では、職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと返答していた。 これを受け、Twitterでは尼崎市のセキュリティ体制への批判が続出。パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなるという指摘が相次いだ。中には明らかになった情報から、同市が使っていたパスワードを推測する人も。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」

兵庫県尼崎市は6月23日、臨時特別給付金の支給事務にあたっていた委託先「BIPROGY関西支社」（大阪市）の関係社員が、全市民46万人分の個人情報が入ったUSBメモリを紛失したとして謝罪した。USBメモリにはパスワードと暗号化をかけており、23日時点で情報の漏えいは確認されていないとしている。 関係社員は21日、臨時特別給付金コールセンターで行われたデータ移管作業の際に、必要なデータをUSBメモリに保存し、カバンに入れて持ち出した。移管作業の完了後、同関係社員はUSBメモリを持ったまま飲食店で食事や飲酒をし、帰宅後にカバンの紛失に気付いた。 同関係社員は22日にカバンを捜索したものの見つからなかったため、警察署に遺失物届を提出。同日午後3時45分ごろにBIPROGYを通して市に報告した。 USBメモリには全市民の住民基本台帳データ46万517件、住民税に関する情報36万573件、生活保護や