2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 ２段階認証を設定したアカウントで不正アクセス被害が報告 2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証（2SV）を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。 Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て

Leaner Technologies の @corocn です。 最近フォームを作っていて、意図しないタイミングで 1Password のオートコンプリートが表示されてしまい困っていたので解決法を残しておきます。 画像はshadcn/ui - dialogから拝借 結論 input に data-1p-ignore 属性を付与する autocomplete="off" しても空気読んで無効化してくれないので注意。

米X（旧Twitter）が8月30日（現地時間）、プライバシーポリシーのページを改定し、収集する個人情報の範囲を拡大していたと、米Bloombergが31日に報じた。 改訂版では、収集する個人情報として、生体情報と学歴や職歴が追加される。新プライバシーポリシーは9月29日に発効するとされている。 生体情報に関する条項には「ユーザーの同意に基づき、当社は安全およびセキュリティの確保や、身元確認を目的にユーザーの生体情報の収集や使用を行うことがあります」とあるが、どのような方法で収集するのかは不明だ。 XはBloombergに対し、生体認証はプレミアムユーザー向けであり、認証レイヤーを追加するために政府のIDと画像を送信するオプションを提供する計画だと語った。 職歴などの収集については、「ユーザーに有望な仕事を紹介したり、ユーザーが求人に応募した場合に、その求人元の潜在的な雇用主と当該ユーザー

Sansan株式会社が提供するキャリアプロフィール「Eight」、朝日インタラクティブ株式会社が運営する中小企業向けウェブメディア「ツギノジダイ」の共催イベント「日本を変える 中小企業リーダーズサミット2023」より、日本ハッカー協会の代表理事・杉浦隆幸氏の講演の模様をお届けします。本記事では、中小企業が取るべきセキュリティ戦略の基本や、中小企業で大企業並みの「ゼロトラスト」を実現する方法などが語られました。 中小企業のセキュリティ年間予算は「100万円以下」 司会者：「ハッカーが教える、妥協しない高コスパなセキュリティ対策」と題し、一般社団法人日本ハッカー協会代表理事・杉浦隆幸さんよりご講演いただきます。それでは杉浦さん、よろしくお願いいたします。みなさん盛大な拍手でお迎えください。 （会場拍手） 杉浦隆幸氏：今日は「ハッカーが教える、妥協しない高コスパなセキュリティ対策」ということで、

どーも、デジタルペンテスト部のbubobuboです。 はじめに スケジュールの都合上、夏季休暇を挟んでこのエントリを書かざるを得なかったため、（筆者にとっては）手頃なネタを書き記そうと思います。 ゲーム会社におけるセキュリティ上の敵といえば「昔コピー（今も続いていますが）、今チート」だと思います。 筆者は趣味でコピープロテクトに足を踏み外したことを切っ掛けに、関連があるとも言えなくもない情報セキュリティの道に合流しましたが、プロテクトを外すほうと掛けるほうの両方を商業で実施していました。とはいえ、集中して行っていた期間からはだいぶ年月が経ってしまったので（お前一体年いくつなんだよと言われそうですが）、この場を借りて記憶を整理したいと思います。 昔のコピープロテクト コピープロテクトというと、ソフトウェアのコピーがされやすいプラットフォーム、つまりパソコンが主戦場であって、今も昔も様々なコピ

不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク：便利だが攻撃者による悪用の可能性も Pythonのimportステートメントには、開発者や企業が注意する必要があるセキュリティリスクが伴う。これがどのように機能するのか、そしてなぜ簡単な解決策がないのかを解説する。 Pythonを使用する場合に対応が必要な、あまり注目されていないリスクが存在している。 最新のソフトウェア開発言語は全てモジュール式であるため、開発者はコードの大きなセクションを、より管理しやすい小さな部分に分割できる。これにより、通常はライブラリにグループ化されたコード単位を再利用できる。これらのライブラリは社内で作成されていないことが多く、グラフ作成、データベース接続、配列計算などの一般的なタスクを実行するために作成されたオープンソースコレクションだ。 コード

この記事の概要 ユーザーから嫌われている広告の1つに「スワイプ広告」というものがある。 誤タップをしやすいことが理由だが、あまりにもこの広告だけ誤タップするため調べたところ 実は誤タップしたように見せかけて意図的に広告先に遷移させる広告であるということがわかった。 スワイプ広告とは、左右にスワイプすると画像がついてくるタイプの広告である。 スワイプ広告とは スワイプ広告とは、主にアフィリエイトサイトで見られる広告形式の一つである。 ユーザーは指で画面上の広告を左右にスワイプすることで、広告画像を切り替えることができる。 スワイプによるインタラクティブ性を活かし、複数のメッセージやメディアを使い、魅力的な広告体験を提供することが特徴である。 なぜ悪名高いのか しかし、スワイプ広告はユーザーから嫌われている。その理由は、誤タップを誘発しやすいからである。 誤って広告をタップして画面が遷移してし

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: ＠shiropen2 米ノースイースタン大学などに所属する研究者らが発表した論文「Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings」は、SMS（Short Message Service）を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告である。攻撃者は、ユーザーのスマートフォンに複数のテキストメッセージを送信する。ユーザーの自動配信の返信のタイミングによって、ユーザーの位置を三角測量で特定できる。 攻撃は、SMSの送信者がネットワークを介し

Check Point Software Technologiesはこのほど、「Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog」において、Dockerイメージの危険性について伝えた。Dockerイメージには構築と使用に特有の脆弱性があることから、攻撃者の格好の標的となってしまっている。同社は既知の脆弱性を含む基礎コンポーネントの使用、クラウド環境の動的な性質、簡単な配布方法によって、セキュリティインシデントが引き起こされていると指摘している。 Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog Dockerイメージは攻撃者にとって好ましいターゲットの一つとなっている。一般的にさ

デジタルバンク「みんなの銀行」アプリの“秘密の質問”のUIがTwitter上で話題になっている。3文字以上でしか回答を設定できず、「両親の旧姓は何ですか？」という質問に2文字の名字では答えられない。なぜこのような仕様になっているのか、運営会社のみんなの銀行（福岡市）に話を聞いた。 みんなの銀行は、スマートフォンアプリから口座開設ができるサービス。アプリのダウンロード後、初期設定を進めていくと本人認証の手段の一つとして、秘密の質問の設定を求められる。質問は「母親または父親の旧姓は何ですか？」「小学校の修学旅行先はどこですか？」「初恋の人の名前は何ですか？」など6種類から選べる他、自分で質問の作成することもできる。 しかし、いずれの質問に対しても設定できる回答の文字数は3文字からとなっている。そのため、両親の旧姓を求める質問の場合、漢字2文字で「松浦」などは設定できず、「まつうら」のように平仮

名古屋港で、貨物や設備の管理に使う基盤システムがランサムウェアに感染した。コンテナの積み下ろし作業ができなくなり、数日にわたり物流がストップしたことで、ランサムウェア被害の深刻さを見せつけた。 報道によると、名古屋港のシステムに対する脅迫文には「LockBit」の名が書かれていたとされ、感染を通告する英語の文書がプリンタから100枚以上印刷されたという。このLockBitこそ、名古屋港のシステムを止めたランサムウェアの正体だ。一体どのような特徴があるか。その対策方法などを解説する。 LockBit被害は世界中で増加　ターゲットは企業や政府機関などさまざま LockBitは世界中で被害が多発しているランサムウェア。被害組織のデータを暗号化して身代金を要求する手口で悪名高い。各国の政府機関やセキュリティ企業が繰り返し注意喚起しているにもかかわらず、猛威を振るい続けている。 米セキュリティ機関の

情報セキュリティ事業者のリチェルカセキュリティ（東京都文京区）は7月14日、TBS金曜ドラマ「トリリオンゲーム」に登場するハッキングシーン作成の舞台裏を公開した。このシーンは現実的に可能なハッキングシナリオをベースに作ってあるという。 トリリオンゲームは主人公の2人が1兆ドル獲得を目指して起業するストーリー。第1話では主人公が防犯カメラをハッキングする他、資金集めのために世界トップレベルのハッカーが集まる大会「セキュリティチャンピオンシップ」に参加する。 技術監修はFlatt Security（東京都文京区）が担当し、リチェルカセキュリティは技術協力で参加。設定や脚本、演出の監修はFlatt Security、ハッキングの詳細な手口やセキュリティチャンピオンシップの問題、撮影で使うソフトウェアなどはリチェルカセキュリティが実際に考案・開発した。 主人公が防犯カメラをハッキングするシーンの撮

ニュースサイト「電ファミニコゲーマー」を運営するマレ（東京都千代田区）は7月11日、同サイト閲覧中に悪質な広告が表示されることがあるとして注意喚起した。 強制的に広告を表示する「リダイレクト広告」を悪用したものとみられる。スマートフォンなどのプレゼントキャンペーンに当選したなどとして個人情報などを入力させるもの。同社は、広告が表示されても情報を入力せずにページを閉じるよう呼び掛けている。 マレは一時的にネットワーク広告を全面停止。今後は広告事業者側と協議して対応していくとしている。同様の問題は角川アスキー総合研究所のメディア「ASCII.jp」でも発生している。 関連記事 ASCII閲覧中、偽サイトに飛ばされる問題　情報入力しないよう注意喚起 角川アスキー総合研究所・ASCII編集部は、同社メディア「ASCII.jp」で、閲覧中に外部の偽サイトに遷移してしまう現象が発生しているとして注意喚

角川アスキー総合研究所・ASCII編集部は7月10日、同社メディア「ASCII.jp」で、閲覧中に外部の偽サイトに遷移してしまう現象が発生しているとして注意喚起した。 問題が発生したのは7月初頭。閲覧中に「○○名様当選のロイヤリティプログラムに選ばれました」とする偽サイトが表示され、アンケートへの回答や個人情報の入力を求められるという。同社は「絶対に個人情報などの入力をせず、サイトを閉じていただくようお願いします」と案内している。 広告配信システムを悪用されたのが原因。問題の広告は遮断済みで、今後は再発防止に向けて調査と回収を進めるとしている。 関連記事 日本最大級のビーズ・アクセサリーパーツ通販サイトで個人情報漏えい　クレカ不正利用の可能性も 「Beads&Parts通販サイト」を運営するビーピークラフトは16日、第三者による不正アクセスを受け、個人情報2821件が漏えいした可能性がある

The Hacker Newsは7月6日(現地時間)、「Researchers Uncover New Linux Kernel 'StackRot' Privilege Escalation Vulnerability」において、Linuxカーネルに深刻な脆弱性が発見されたと伝えた。新たに見つかった脆弱性は「StackRot」と名付けられており、現時点ではこの欠陥が悪用された形跡はないと報告している。 StackRotは「 CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。Linuxのバージョン6.1から6.4に影響を与える可能性があり、Red Hat Customer Portalによる共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値では7.8と分類され、深刻度は重要(High)と評価さ

AWSを使うなら見ておきたいチェック項目20選 AWSを実務で触られている方で「セキュリティ対策はばっちしだ💪」と言い切れる人はどれくらいいるでしょうか。特に創業間もないベンチャー企業や内製化直後のエンジニア組織の場合、サービスローンチや追加機能開発がビジネス上の最優先事項になってしまい、セキュリティ対策などの非機能要件のレビュー、設定などは後回しにされがちです。 そこで今回は、"時間がない人"でも注意したいセキュリティ脆弱性を生みやすい設定や設計の凡ミス集をまとめてみました。また、参考になりそうな記事も併せて紹介しています。 ご注意ください 筆者はAWSリソースに関するセキュリティの専門家ではありません。また本記事では、最低限の内容にとどめているためより詳細な内容は、公式ドキュメントや以下の資料をご覧ください。 1. IAM ポリシーの広すぎる権限 IAMポリシーに適切でない広い範囲の

多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあげてセキュリティアナリストのダニエル・マツモトさんがブログで解説しています。 Hunting for Nginx Alias Traversals in the wild https://labs.hakaioffsec.com/nginx-alias-traversal/ Nginxの設定には、特定のURLへのアクセスをどう処理するべきかを記述できる「location」というディレクティブが存在しており、URLをサーバー内のファイルに対応させるのによく利用されています。例