IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現
IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現 2020 年 11 月 3 日 (火) 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室 登 大遊 独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室は、このたび、できるだけ多くの日本全国の地方自治体 (市町村・県等) の方々が、LGWAN を通じて、迅速に画面転送型テレワークを利用できるようにすることを目的に、J-LIS (地方公共団体情報システム機構) と共同で、新たに「自治体テレワークシステム for LGWAN」を開発・構築いたしました。 本システムは、すでに 8 万ユーザー以上の実績と極めて高い安定性 を有する NTT 東日本 - IPA 「シン・テレワークシステム」をもとに、LGWAN
本当に支援が必要な人に支援が届かないので助けてください!|Dai
こんにちは、DAIです。 近況について話すと、今、ボランティアで臨床心理士の方の支援をしております。 僕自身、最近若干鬱っぽくなってしまったところ、心理カウンセラーの方の認知行動療法に助けられたところから、心理、福祉の分野に興味を持ちました。 ・精神疾患 ・発達障害などの問題を抱えている方へのカウンセリングをしよう!ということで、今やっているんですが、 「マジで、カウンセリングどうこうでなんとかなる問題ではない!」 という問題にぶち当たっています。 今回はそれについて話していきたいと思います。 ①命の電話つながらない問題 ②環境が変わらないと、どうしようもない問題 ③本当に助けが必要な人が、お金を持っていない問題①命の電話つながらない問題 まず、いのちの電話につながらない問題。 いろいろとカウンセリングの支援をしていて、気づいたことがあります。 一般的に、心理カウンセリングや心療内科って、
Nano Defenderがマルウェアになっちゃいました | 280blocker
前回記事(nano系の広告ブロックは速やかに削除しましょう | 280blocker)の続報です。 前回記事では、Chrome機能拡張のNano DefenderとNano Adblockerがトルコの謎の組織に売却された事を書きました。 その後、2020/10/15にChrome機能拡張のNano Defenderが更新され、githubで公開されているソースコードには存在しない、非公開のコードが挿入されました。 gorhill(uBlock Originの作者)が検証を行った結果、その挙動はマルウエアであるとの結論になりました。 Chrome機能拡張のNano Defenderは、まず外部サイトから検索条件を取得してその条件に合ったブラウザのデータを、外部サイトへ送信するようです。 ユーザーのデータを外部に送信するマルウエア(スパイウエア)と考えられます。 もしも、いまだに使用している
E2EE を開発していて思うこと
ここ数ヶ月は自社製品向けの End to End (Media) Encryption の設計と実装をしています。年内での提供を目標として開発を進めてい見ていますが、色々感じることがあったので雑に書いていこうと思います。 前提自分は暗号やセキュリティの専門家ではない自社製品向けの E2EE は Signal や Google Duo が利用している実績のある仕組みを採用しているE2EE や暗号の専門家を招聘し、相談しながら開発している自分の E2EE に対する考え悪意あるサービス管理者からユーザを守るために存在する機能と考えています。 Signal プロトコルはよく考えられすぎているSignal が考えた Curve25519 (x25519/ed25519) を利用した X3DH / Double Ratchet の仕組みは安全すぎると感じるくらいです。 相手からメッセージを受信するたび
日本を含む7カ国、エンドツーエンド暗号化コンテンツへの公的接続を可能にするよう要請する国際声明
英政府は10月11日(現地時間)、IT企業に対し、エンドツーエンドで暗号化(E2EE)されたコンテンツに法執行機関がアクセスできるようにするよう要請する国際声明を発表した。声明に署名したのは、ファイブアイズと呼ばれる英、米、カナダ、オーストラリア、ニュージーランドの5カ国と、インド、日本。 英政府は「テロや児童の性的搾取、虐待などの深刻な犯罪を捜査する場合、E2EEは公共の安全に深刻な影響を及ぼす。ユーザーのプライバシーとセキュリティを損なうことなく、市民の安全を確保するための解決策を見出すために政府と協力するようIT企業に呼び掛ける」としている。 米国では2016年、米Appleが米連邦捜査局(FBI)からの犯人所有のiPhoneのロック解除を拒否したことをきっかけに、国家安全と個人のプライバシーをめぐる議論が高まった。米上院議員は昨年12月、AppleやE2EEのメッセージングアプリ「
nano系の広告ブロックは速やかに削除しましょう | 280blocker
有名な広告ブロック機能拡張であるNanoAdblockerとNanoDefenderが正体不明の開発者に買収され、安全な機能拡張とは言えなくなりました。 これらを使用している方は速やかに削除して、uBlock Originへ乗り換えましょう。安心できる開発者であることが明らかになるまでnanoのインストールは控えましょう。 これまでの流れ NanoAdblockerとNanoDefenderは広告ブロックの有名な機能拡張でublockから派生したものです。 以前は独自機能で魅力的でしたが、最近はアップデートも遅れがちで、ublockのアップデートに追い付いていない状態が続いていました。 2020年10月3日にnanoの開発者よりアナウンスがあり、機能拡張をトルコの開発者へ売却する事が明らかになりました。売却先の詳細や買収した意図は不明です。その数日後ににnano機能拡張の開発元表示が売却先
カード業界の厳しいセキュリティと開発スピードをどう両立? Kyashに学ぶAWS活用
急成長中のスタートアップ企業は、多様なAWSサービスをどう選択・活用し、ビジネス課題を解決しているのでしょうか。本連載では、スタートアップ企業の中でエンジニアリングをリードしている担当者がそのアーキテクチャをひも解き、AWS活用術を紹介していきます。第5回はKyashでSREを担当する上原佑介氏が担当、テーマは「セキュリティ」です。記事の最後には、SAによるポイント解説もあります。(編集部) はじめに 株式会社KyashでSREを担当する上原佑介と申します。新卒でインフラエンジニアとしてサーバー構築・運用を経験したのち、Webサービスの運営企業を数社経て、Kyashへ入社しました。現在はサービス全体の信頼性向上を目指して、システム基盤や運用面の改善に取り組んでいます。 Kyashについて Kyashはスマートフォンアプリと連動するVisaカードです。 コンビニなどから現金をチャージして使え
鍵開けるときの「ガチャッ」の音だけで、合鍵作れます
鍵開けるときの「ガチャッ」の音だけで、合鍵作れます2020.10.06 17:0039,381 Andrew Liszewski - Gizmodo US [原文] ( そうこ ) え、なにそれ怖い。 どう考えてもフィクション世界のスパイとしか思えないことが、現実になろうとしています。なんかね、鍵を開ける「音」をスマホで録音すれば、合鍵が作れちゃうらしいの。 シンガポール国立大学のサイバーフィジカルシステム研究チームが、鍵の脆弱性(というか、昔からあるものが最先端技術で危うくなる状況)を新たに発見しました。「SpiKey」と名付けられたこのセキュリティエラーは、昔からある一般的なピンシリンダータイプの鍵に関するもの。ピンシリンダーの構造は内部に複数のピンがあり、錠それぞれこのピンのパターンが異なります。鍵を差し込み、鍵に施されたギザギザ(凹凸)とピンのパターンが一致すると、クルリと回って鍵
「みずほ銀行」でも判明 電子決済 不正引き出し問題 | 電子決済 不正引き出し問題 | NHKニュース
電子決済サービスを通じて、預貯金が不正に引き出される問題が相次ぐ中、大手銀行の「みずほ銀行」でも、過去に複数の電子決済サービスで預金が不正に引き出されていたことが新たに分かりました。みずほ銀行は、該当するサービスの事業者名や被害の件数などは明らかにしていません。 ただ、該当する決済サービスの事業者名や件数、それに被害額などの詳細は明らかにしていません。 みずほ銀行によりますと、被害があったのは1年以上前で、不正な引き出しを認識後、速やかに顧客に補償したため当時は不正な引き出しがあったこと自体を公表しなかったとしています。 一方、みずほ銀行は、運営しているスマートフォン決済サービスの「Jコインペイ」について、16日の時点で合わせて27の地方銀行が預金口座と連携するための新規登録の受け付けを見合わせていることを明らかにしました。 Jコインペイを通じた預金の不正な引き出しは確認されていないという
「ドコモ口座」以外の5つの電子決済サービス 不正引き出し確認 | 電子決済 不正引き出し問題 | NHKニュース
「ドコモ口座」を通じた預貯金の不正な引き出し問題に関連して、高市総務大臣はゆうちょ銀行が提携する電子決済サービスのうち、「ドコモ口座」以外にも5つのサービスですでに被害が確認されているとして、不審な出金がないか口座を確認するよう呼びかけました。 これに関連して高市総務大臣は閣議のあとの記者会見で「ゆうちょ銀行が提携している即時振り替えサービス12社のうち、すでに6社で被害が生じている」と述べ、ゆうちょ銀行ではドコモ口座以外にも5つのサービスで、不正な引き出しの被害が確認されていることを明らかにしました。 このうち、ドコモ口座を含む2つのサービスは新規登録やチャージを停止したものの、残る4つはサービスを継続しているということです。 そのうえで高市総務大臣は、ドコモ口座だけでなくほかのサービスを通じた不審な出金がないか口座を確認するよう呼びかけました。 これについて、ゆうちょ銀行は「提携してい
ドコモ口座 信頼回復へ向け業界が取り組むべきこと(楠正憲) - エキスパート - Yahoo!ニュース
ドコモ口座を悪用した不正出金の被害額が約2000万円まで拡大しています。会見で「1日に約1万3000件の取引がある。既存顧客のサービスを止めると影響が大きい」としたドコモの丸山誠治副社長に対し「サービスを全面停止しなかったのは驚きだ」(ドコモの競合の通信大手幹部)「ドコモは(問題のサービスを)すべて停止すべきだ」(S&Jの三輪信雄社長)といった声も挙がっています。不正出金を防ぎ、人々からの信頼を取り戻すために、ドコモと金融業界、政府が取り組むべきことは何でしょうか。 推定される不正出金の要因ドコモ口座を悪用した不正出金が起こった原因は、ドコモと金融機関の双方に問題が指摘されています。まず当初ドコモとの加入者契約を前提としていたドコモ口座が、途中から電子メールアドレスの到達確認だけで開設できるようになり、そのことが提携行に伝えられていなかったようです。このため攻撃者が捨てアドレスを取得して、
【独自】「ドコモ口座の存在すら知らなかったのに」…不正送金、わずか1分間で計30万円
【読売新聞】 「私はNTTドコモの携帯電話を使っておらず、ドコモ口座の存在すら知らなかった」。七十七銀行(仙台市)の預金口座から、無断で開設されたドコモ口座に30万円を不正送金された宮城県の30歳代の女性は落胆した様子で語った。 被
やはりお前らの多要素認証は間違っている | DevelopersIO
よく訓練されたアップル信者、都元です。 いきなりガン煽りのタイトルで申し訳ないんですが、これしか頭に浮かびませんでした。 ちなみに原作は見たことがありません。 弊社は本日を最終営業日として、これから冬季休業となります。 今年も一年、どうもありがとうございました。というわけで書き納めの一本、その2。 さて、「認証」という言葉がありますが、要するに 相手が誰(何)であるかを確認すること を表します。 正確には「ひとつのデジタルアイデンティティがある実体に対応することの確証を得ること」です。 が、まぁそれはまた別のお話。 この「認証」はなにもコンピュータに限定した話ではなく、人間同士のコミュニケーションでも 随時行っている話です。目の前で自分と会話している人物が、本当に自分が望んでいる相手かどうか、 というのは確信できていると思います。 結論 さていきなりの結論ですが。実は単要素なのに、二要素認
続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。 地銀ばかりで被害 なぜ? 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。 ユーザーが
Latest topics > なぜMozillaはXULアドオンを廃止したのか?(翻訳) - outsider reflex
Latest topics > なぜMozillaはXULアドオンを廃止したのか?(翻訳) 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « 「同調圧力は忌むべきものだ」と思考停止していたことに気付いた話 Main 「なぜMozillaはXULアドオンを廃止したのか?」に寄せられていた反応を見て、「甘い……甘すぎる……」と思って、W3C信者時代からの価値観に行き着いた話 » なぜMozillaはXULアドオンを廃止したのか?(翻訳) - Aug 22, 2020 (原著:David Teller, 2020年8月20日、CC BY-NC 4.0で公開されている内容の全訳。Qiitaにもクロスポストしています。) 要約:Firefoxはかつて、XUL
Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため
【レポート】Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ | DevelopersIO
本記事は、2019年8月21日に行われたmerpay社の主催するイベント、「Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~」の参加レポートです。 Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ レポート セッションの概要 メルペイ社の認証基盤チームの担当している 外部向けに提供しているOIDCなどの認可の仕組み 内部のマイクロサービス間通信の認証の仕組み のうち、後者についてのお話を聞いてきました。セッションのスライドはこちらで公開されています。 チームがやっていること 認証基盤チームではユーザーアカウント管理とかログインはやってない 従業員の管理とかはやってない セキュリティについてはセキュリティチームと相談しながらやっている それ以外の認証認可を認証基盤チームがやっている 現状のアーキテクチャ
マイクロサービスにおける内部通信の認証について
"Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~"の発表資料です。 https://connpass.com/event/142624/
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Understanding DNS with ActionDispatch::HostAuthorization
