クラウドは、データを完全削除したくてもハードディスクを物理破壊してくれない。どうする? AWSが説明
神奈川県庁が富士通リースから借りていたサーバのハードディスクが不正に転売された結果、膨大な個人情報などが漏洩した事件が起きました。これをきっかけに、ハードディスクなどのストレージをいかに安全に破棄すべきか、という点に世間の関心が高まっています。 オンプレミスで使われていたストレージであれば、ハードディスクやSSDなどの媒体を取り出して物理的に破壊することで、データを第三者が読み出し不可能な状態になったと確認できます。 クラウドではどうでしょうか? クラウドのストレージに保存したデータを削除した後、これが第三者によって完全に読み出しできない状態にしようと、クラウドに対して「ストレージを物理的に破壊してほしい」といったリクエストは、(特殊な契約でも結ばない限り)できません。 クラウドでは基本的に、自分が使わなくなったストレージはリソースプールに戻り、別のユーザーに割り当てられ、再び使われること
Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess
ポスト量子暗号 TLS が AWS KMS でサポートされました | Amazon Web Services
Amazon Web Services ブログ ポスト量子暗号 TLS が AWS KMS でサポートされました AWS Key Management Service (AWS KMS) が KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) ネットワーク暗号化プロトコルにおけるポスト量子暗号ハイブリッド鍵交換をサポートしました。この投稿では、ポスト量子暗号 TLS とは何か、 ハイブリッド鍵交換とは何か、 なぜこれらの技術が重要か 、この機能でどのようなメリットを得られるのか、そしてフィードバックの方法について説明します。 ポスト量子暗号 TLS とは? ポスト量子暗号 TLS は、ポスト量子暗号の暗号プロトコルを追加する機能です。 AWS はオープンソースの TLS 実装である s2n を使用しています。2019年6月に
東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。
【2019/11/09 20:00】コメント・一部記述を追加。 【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。 【2019/11/10 17:50】大澤氏のコメントを追加。 【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。 【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。
HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
これはだまされる!受信して分かった「不在通知SMS」の巧妙さ
次々と編み出されるネット詐欺の新手口。詐欺師は手を替え品を替えてユーザーをだまそうとする。その中で、筆者が特に“巧み”だと感じたのが、不在通知などを装う偽SMS(ショートメッセージサービス)である。最近、筆者にも送られてきた。改めて「これはだまされる」と痛感した。 SMSだから効果的 不在通知SMSを使う手口として広く知られているのは、佐川急便を名乗る手口だ。 「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。」といった1文とリンクがSMSで送られてくる。メールではなくSMSなのがポイントだ。 SMSなら電話番号が分かれば送れる。宅配便を送る際には、送り先の電話番号を伝票に書くので、宅配業者からSMSが送られても不思議はない。疑うことなくリンクをクリックしてしまいそうだ。 もし通常のメールで送られてきたら、「知らせた覚えはないのに、なぜメールアドレスを知っているんだ?」と疑
7pay不正アクセスの原因は「リスト型攻撃の可能性が高い」 7iDパスワードを一斉リセット
セブン&アイ・ホールディングスは、7月30日に7iDのパスワードを一斉にリセットした。不正アクセスを受けた「7pay」のセキュリティ対策のため。同社によると、不正アクセスの原因は、リストが攻撃の可能性が高いという。 セブン&アイ・ホールディングスは、不正アクセスを受けたコード決済「7pay」のセキュリティ対策の一環で、7月30日に7iDパスワードの一斉リセットを行った。 同社によると、7payの不正アクセスの原因は、あらかじめ入手したIDとパスワードを用いて不正アクセスをする「リスト型攻撃」の可能性が高いという。そのため、パスワードとIDの情報が第三者に取得されていたとしても、パスワードをリセットすることで、リスクを最小化できると考えたとのこと。 7iDを利用するサービスは、7pay、セブン-イレブンやイトーヨーカドーなどのネットショッピングに利用するオムニ7、セブン-イレブンやイトーヨー
ngrokよりserveoがすごい。0秒で localhostを固定URLで公開 - Qiita
注意 serveoがサービス停止中です。 みんな大好きcloud functionには欠点があります。 それは、実際にコードをデプロイしないと、httpsで公開できないこと。 そのため、slackのコマンドを作ったり、ラズベリーパイとかを開発するのに不便だったりします。 以前私はngrokというcliアプリを使っていました。 とても使いやすく、ユーザー登録+ngrokのインストール+セットアップだけで使い始めることができます。 お金を払えば固定URLもゲットできます。 しかし、今回もっと良いものを見つけたので紹介します。 serveoです。 なんとこのserveoインストールもセットアップも不要です。 ターミナルで、以下のように ssh -R 80:localhost:3000 serveo.net と打つだけで自分のPCのlocalhost:3000を、固定URLでhttpsとして公開し
セキュリティ診断で防げない事故 | クロスイデアblog
ITコーディネータの吉田聖書(よしだみふみ)です。 前回、前々回と、 7payのセキュリティ事故を取り上げましたが、 今回はもう一つの側面を取り上げたいと思います。 特に前々回の記事について タイムリーな話題ということもあってか 予想以上に反響があり少々驚いています。 それだけ皆さんの関心が高い ということなのかもしれません。 実は前々回の記事を掲載してから、 一つ書き忘れたことに気が付きました。 それはセキュリティ診断(審査)のことです。 7payの記者会見では、 「セキュリティ審査を行ったが 脆弱性の指摘は無かった」 という内容の言葉を述べたことで 少々騒ぎになったようです。 システム構築に関わったことのない方は あまりご存じないかもしれませんが、 ITサービスを開始する前に システムにセキュリティ上の問題がないか 外部の専門会社に調べてもらう セキュリティ診断を実施することがあります
崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない
個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。 だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。 米国の政府組織であるインターネット犯罪苦情センター(IC3)は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。
セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか?
by stevepb 「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」と解説しています。 Your Pa$$word doesn't matter - Microsoft Tech Community - 731984 https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984 Microsoftでセキュリティに関する仕事に従事しているヴァイネルト氏
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点
セキュリティ専門家の徳丸浩さんに、7payが取るべきセキュリティ対策を聞いた。二段階認証の導入決定は「結論を出すのが早すぎる」という。 不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。 しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん) ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
7payで外部IDからのログインを遮断へ、不正利用巡り
セブン&アイ・ホールディングス傘下のセブン・ペイはQRコード決済サービス「7pay(セブンペイ)」について、外部IDからのログインを遮断する方針であることが2019年7月11日、分かった。7payを巡ってはサービス開始直後に不正利用が発覚し、全てのチャージと新規会員登録を一時停止している。 2019年7月12日午後から、フェイスブック(Facebook)やツイッター(Twitter)、LINEなど5つの外部IDからログインできなくする。そのままではチャージ済みの残金を支払いに使えなくなるが、外部IDの情報を引き継ぐ形でセブン&アイのグループ共通ID「7iD」を取得すれば利用できる。 現時点でセブン&アイは外部IDからのログインを遮断する理由を明らかにしていない。一部の専門家は、セキュリティーが脆弱なサイトから漏れたIDとパスワードを使って、利用者のアカウントを乗っ取る「パスワードリスト型攻
7pay 問題におけるデマ - どさにっき
■ 7pay 問題におけるデマ _ えーと、7-11 が盛大にやらかした件について、いろいろデマが飛びかってたようで。 社長が SMS と SNS の区別がついてなかったとか、 7/11 に再開できるようベンダーのケツを叩いてるとか。まあ、後者はもし万が一デマじゃなかったとしてもハイそうですなんて答えるわけないんだが。 _ で、デマなのにいまだ否定されていないものがもうひとつある。つーか大手メディアもがんがん流布してる。いちおう 日経ビジネスがそれを示唆する記事を上げてるけど、それ以上に踏みこんだ記事がいつまで待っても出てこない。 _ 具体的には、「パスワードリマインダの脆弱性が悪用されてアカウントを乗っ取られた」というデマ。まず断わっておくと、リマインダの作りが雑で、乗っ取られる危険性が高かったことは否定しない。が、その危険があったからといって、今回の事件で実際にそれが利用されたとはかぎ
「7pay」社長の驚愕発言が、笑いごとでは済まないほんとうの理由(西田 宗千佳)
「一過性のトラブル」ではありません セブン&アイ・ホールディングスの独自決済サービス「7pay」が、セキュリティ問題に揺れている。 クレジットカードなどから不正にチャージが行われ、タバコやプリペイドカードなど、換金しやすい製品を不法に購入される被害が続出したのだ。金銭的被害は、7月4日の段階で5500万円にのぼるという。サービス開始から、たった3日間での出来事だ。 7payは、この記事を執筆している7月8日現在、新規の会員登録と残高のチャージを停止している。原因の究明とシステムの改良が行われている状況だ。 7payに、いったい何が起きたのか? そこには、単に一企業の問題にとどまらない、「技術と経営」に関する普遍的な課題が隠れている。あらゆる企業の経営者にとって、そしてそこに勤めるビジネスマンにとっても、決して一過性のトラブルとしてすませるわけにはいかないこの問題の「深層」に迫ってみよう。
二段階認証は「基本中の基本」 経産相、7payに苦言:朝日新聞デジタル
コンビニ最大手セブン―イレブンのスマートフォン決済「7pay(セブンペイ)」の不正アクセス問題で、世耕弘成経済産業相は9日午前の閣議後会見で、セブンペイが採用していなかった本人確認方式の「2段階認証」の安全対策は「基本中の基本」だと指摘。「対策が十分に行われていなかったのは大変残念だ」と述べた。 セブンペイでは、他のスマホ決済事業者が多く採り入れている「2段階認証」と呼ばれる安全対策を採用していなかったことが、不正アクセスを招いたと指摘されている。世耕氏は今回の問題は「基本的な対策を怠っていたことが原点にある」と述べ、セブン側の安全対策への姿勢を批判した。 キャッシュレス決済の普及を進めたい経産省は、10月の消費増税に合わせ、中小店舗でキャッシュレス決済をした消費者に、5%(大手チェーンは2%)分のポイントを還元する施策を始める。世耕氏はセブンペイの問題を受け、消費増税対策のポイント還元策
重大事故の時にどうするか?|miyasaka
ヤフー時代の部下から突然メッセンジャーが。 「以前宮坂さんが緊急対応時に残して頂いた言葉を今度セミナーで使っていいですか?」 と。 リーダーの仕事はいっぱいあるけどなかでも大きな仕事の一つは重大事故の発生の時の陣頭指揮。平時は部下で回せるようにするのがマネジメントだけど、危機の時まで部下にまかせるわけにはいかない。 お恥ずかしながらヤフー在職中の22年で何度か重大事故を起こし関係者の人に多大な迷惑をかけてしまった。その度にその陣頭指揮をとった。 結果的にヤフーのなかでもっとも深刻な事故対策をやった人の一人じゃなかろうか。そのなかからノウハウ的なものがたまってきたものを部下にメモしておくってあげたものを彼は覚えていてくれたらしい。 彼いわく危機対応の時にすっごく役にたって指針になったといってくれて送ってくれた。 ひょっとしたら他の人にも参考になるかとおもって(若干訂正してますが)ここに残して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WebAuthN 実際導入してどうだったか
各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について
