サイトやサービスにログインするためのパスワードを盗まれてしまうフィッシングの被害は、インターネット社会における非常に重要な問題点です。まだまだパスワードを手打ちで入力するログイン方法が使われ続けている一方で、SMSやスマートフォンアプリを使った「2段階認証」や、そもそもパスワードを憶えることが不要になる認証技術「WebAuthn」などが登場してきています。 Google: Security Keys Neutralized Employee Phishing — Krebs on Security https://krebsonsecurity.com/2018/07/google-security-keys-neutered-employee-phishing/ 約8万5000人の従業員を抱え、秘匿性の高い情報を扱うGoogleにとって、スタッフのセキュリティ性を高めることは重要な課題で

2014年に発覚したベネッセコーポレーションの顧客情報流出事件で、被害に遭った顧客ら計約180人が同社と関連会社に計1478万円の損害賠償を求めた訴訟の判決が20日、東京地裁であった。朝倉佳秀裁判長（市原義孝裁判長代読）は「慰謝料が発生するほどの精神的苦痛があるとは認められない」として請求を棄却した。原告側は控訴する方針。原告側は電話番号や住所などの流出によって「営業電話やダイレクトメールを受

４月末から５月初めにかけ、インターネットに接続された監視カメラが不正アクセスを受け、画面に「Ｉ’ｍ　Ｈａｃｋｅｄ．ｂｙｅ２（ハッキングされた。バイバイ）」といった文字が表示される事態が相次いだ。専門家の調査を基に取材したところ、被害を受けたのは北海道から沖縄までの少なくとも約９０台に上った。多くの場合、出荷時の初期パスワードを変更せずに使用していたことが、不正アクセスにつながったとみられる。すべてのモノをネットにつなぐ「ＩｏＴ（モノのインターネット）」化が急速に進む中、情報セキュリティーは後回しになり「穴だらけ」という実態が浮かんだ。 パスワード変更せず 千葉県八千代市と埼玉県上尾市では、水路の状況を監視していたカメラがハッキングされた。パスワードを勝手に変更されたため、カメラを乗っ取られた状態となり、操作ができなくなった。 取材に対し、両市とも初期パスワードのまま使用していたことを明らか

TwitterやInstagramでの広告で、1度タップしてホームボタンに触れるだけで指紋認証で購入完了となり¥5,500で買わされる非常に悪質なアプリ広告があるので注意。自分は分かっててこのツイートをする為にこの画面でスクリーンショットを撮ったら指紋認証され、無事¥5,500で購入 pic.twitter.com/JG43U1eEB4 — えぴたん🍤6/30ライブ (@epitan25) May 31, 2018 これですけども、私は広告業界の人間なんで、どうやって実現したんだろうと考えるわけです。 FacebookやInstagramやTwitterの広告には、アプリのインストールや購入を促すものがあります。しかし、そういったアプリ広告と呼ばれるものは、タップするとアプリストアに遷移して、ストア側でインストールや購入の確認が行われるわけです。 パソコンでは、悪質な広告をクリックすると

テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス（マルウエア）に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。 CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定（デフォルト）でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするな

EUでGDPR（一般データ保護規則）が施行された5月25日から、The Chicago TribuneやThe Los Angeles Timesなどの一部の米メディアがEU地域で閲覧できなくなっている。「後で読む」サービスのInstapaperもサービス停止中だ。 欧州連合（EU）がGDPR（一般データ保護規則）を施行した5月25日（現地時間）、米国の一部オンラインメディアがEU地域からアクセスできなくなった。「The Chicago Tribune」や「The Los Angeles Times」のWebサイトをEUで開こうとすると、以下のようなメッセージが表示されるという。 「残念ながら、われわれのWebサイトは現在、ほとんどの欧州の国々で表示できません。われわれはこの問題に取り組んでおり、すべてのデジタル製品を欧州市場で提供できるようにするオプションを検討しています。すべての読者に

世界最大の交流サイトを運営するフェイスブックは、最大で８７００万人の利用者の個人データが流出した問題を受けて調査したところ、およそ２００のアプリについて個人データを不正に流用した疑いがあるとして利用を一時停止したと発表しました。 ２０１４年には、フェイスブックが扱う友人などの個人データを外部の事業者に開放する仕組みをやめましたが、フェイスブックは、それよりも以前に大量の個人データを入手できた数千の事業者を調査したところ、１４日、およそ２００のアプリについて個人データを不正に流用した疑いがあるとして利用を一時停止したと発表しました。 フェイスブックは、利用を一時停止したのがどういったアプリか明らかにしていませんが、さらに調査をして、実際にデータを不正に利用したことがわかれば、フェイスブック上でアプリの利用を禁止するとしています。

「30分考えてもパスワードを思い出せないので再発行したら…ううっ、これは悔しい！」残念な気持ちになった理由 30分考えてもパスワードが思い出せなかった人が、登録したメールアドレスを使って再発行したそうです。 そして新たにパスワードを考えて入力したところ……。 とても残念な気持ちになったという画像をご覧ください。 When you spend 30 mins guessing your passwords and decide to reset it and this happens ＊New password の欄に、新しいパスワードを決めて入力したところ…… 「新しいパスワードは、古いパスワードと同じものは使えません」 ……。 ぐは……。 30分考えても思い出せなかったパスワードが……新しく決めたパスワードと同じ……。 海外掲示板のコメントをご紹介します。 ●コンピューターの修理店のオー

前例のないサイバー攻撃の手口が明らかになりました。ことし１月、大手交換会社から巨額の仮想通貨が流出した事件で、犯人は半年余り前からこの会社の複数の社員と偽名で交流を重ね、信用させたうえでウイルスを仕込んだメールを送りつけていたことが関係者への取材でわかりました。 コインチェックの通信記録や社員のメールなどを分析した結果、犯人は事件の半年余り前からＳＮＳなどを通じてシステムの管理権限を持つコインチェックの技術者を複数割り出し、それぞれに対してネットを通じて偽名で交流を重ねていたことが関係者への取材でわかりました。 この間、不審な行動は一切行わず時間をかけて信用させたうえでウイルスを仕込んだメールを送った結果、これらの技術者も疑うことなくメールを開いてしまったということです。 ウイルス感染後、海外との不審な通信が急速に増えていることから、犯人は管理権限を奪って外部からシステムの内容を調べ、イン

kawango2525 @nkawa2525 飛行機の中で書いた。こういう内容の記事を校正も法務チェックもなしにそのまま投稿する私の勇気。 / “高木浩光氏の通信の最適化と通信の秘密についての議論 - 続・はてなポイント３万を使い切るまで死なない日記” htn.to/rj2shZ 2018-05-09 09:54:00 リンク 続・はてなポイント３万を使い切るまで死なない日記 高木浩光氏の通信の最適化と通信の秘密についての議論 - 続・はてなポイント３万を使い切るまで死なない日記 ３年前に高木浩光氏が携帯電話会社の「通信の最適化」が「通信の秘密」違反であるという問題提起をして、ネット上で大変な話題を集めた。その際に私も議論に参加をし、通信の最適化の批判に通信の秘密を持ち出すのはスジが悪いということで異論を唱えて、高木氏とやりあった。 その当時の私の主張はいまも変わってなく、当時も間違ったこ

北京大学構内を歩く学生（2004年9月29日撮影、資料写真）。(c)AFP PHOTO / ROBERT SAIGET 【5月3日 AFP】大学教授のセクシュアルハラスメント（性的嫌がらせ）行為について情報公開を求めた女子学生に対し、中国・北京大学（Peking University）が圧力をかけて黙らせようとした問題で、テクノロジーに精通した活動家らがブロックチェーン技術を使い大学側に対抗している──。中国で芽生えたばかりのセクハラ告発運動「#MeToo（私も）」を、ブロックチェーンを用いて検閲回避・存続させているのだ。 一連の出来事は、北京大学の女子学生、岳昕（Yue Xin）さんが、1998年に同大で起きた性的嫌がらせ事件についての情報を公開するよう求め、これに対し大学側から学生に圧力がかかったことをきっかけに始まった。 岳さんは、大学からの対応について書簡を発表。書簡は同国のソーシ

【シリコンバレー=佐藤浩実】米ツイッターは3日、利用者のパスワードが適切に暗号化処理されないまま社内に保管されるバグ（不具合）を見つけたと発表した。自社アカウントによるツイートで、約3億3千万人に上るすべての利用者にパスワードを変更するように呼びかけている。ツイッターによれば、すでにバグの修正を実施しており、内部の関係者がパスワードを盗んだり

Nintendo SwitchにはNVIDIAのTegraプロセッサーが搭載されていますが、このプロセッサーの脆弱性をついてNintendo Switchをハッキング可能であることが明らかになっており、「既存の全てのNintendo Switchがハッキング可能になり、脆弱性はパッチ修正も不可能」ということで大きな話題となっています。 The “unpatchable” exploit that makes every current Nintendo Switch hackable | Ars Technica https://arstechnica.com/gaming/2018/04/the-unpatchable-exploit-that-makes-every-current-nintendo-switch-hackable/ Nintendo SwitchにはNVIDIAのTe

Googleがストアから削除。一見｢広告ブロック｣のChrome拡張機能、裏でユーザデータ抜いていた2018.04.20 12:3072,821 そうこ ぎゃー！ Adブロッカー開発会社AdGuardが発表した調査レポートによると、GoogleのウェブブラウザChromeの拡張機能を取り扱うChrome Web Storeにて、ユーザーに害のある隠しスクリプトを含む｢広告ブロック｣機能が5つ、見つかりました。被害者は、2000万人以上と予想。 ブラウザのデフォルト機能以外で、あれこれ便利なツールをブラウザに追加できる拡張機能。無料で使えるものがたくさんあり、世界は優しいなーなんて思ってたら、そこに漬け込むヤツがいました。 ・AdRemover for Google Chrome ・uBlock Plus ・Adblock Pro ・HD for YouTube™ ・Webutation 上

今年も新卒や新人の派遣が現場に来た。 毎年恒例だが、うちが派遣される客先はセキュリティにうるさく出入りが制限されるレベルであるため入場前に持ち物チェックしたり 禁止事項の冊子を渡して説明する事が毎年の恒例行事となっている。 うちの現場の場合はサーバーなどのネットワーク機器の監視と運用サポートをしているため １．自前のノート持ち込み禁止 ２．スマホ・携帯電話持ち込み禁止 ３．時計以外の機能がある時計（スマートウォッチ）の持ち込み禁止 ４．勤務中は休憩時間以外での出入り禁止、どうしてもの場合は事前に申請 ５．イントラネット内で情報交換のみ許可（外部への通信厳禁） ６．室内での飲食禁止 ７．休憩中であろうと居眠り厳禁（客先であるため） とセキュリティのため客のためと言う号令の元に禁止事項が沢山あり、それを守れないと最悪派遣契約の打ち切りとなる。 こんな事を毎年、新卒や初めてうちの現場に派遣される

IntelはCPUに内在する脆弱性「Spectre」「Meltdown」に対して、被害を緩和するための修正パッチのリリースを進めてきました。新たに公開されたリストには、第1世代CoreプロセッサーのCPUのパッチ提供ステータスが「停止」となっていたことから、「Intelは旧製品への対応を止めたのではないか？」と話題になっていましたが、Intelはそれを事実だと正式に認めました。 Microcode Revision Guidance (Apr 3, 2018) - microcode-update-guidance.pdf (PDFファイル)https://newsroom.intel.com/wp-content/uploads/sites/11/2018/04/microcode-update-guidance.pdf Intel Will No Longer Issue Spectr

2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。 ここでは関連情報をまとめます。 確認されている被害事象 (1) ルーターの設定情報が改ざんされる ルーター内部に設定されたDNS情報が改ざんされる。 DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。 (2) マルウェア配布サイトへ誘導される 改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。 一部サイト（Twitter,Facebookなど）は正規のIPアドレスが返されサイトへ接続できる。 誘導先の配布サイトではマルウェアのインストールを促す

最終報告書を読む 九州商船株式会社のWEB予約サービスに対する不正アクセスについて、最終報告書が公開されました。報告書を読ませていただきましたが、その内容に関して大変勉強となることが多く含まれています。 弊社WEB予約サービスに対する不正アクセスに関する最終報告｜九州商船 ※ITmediaでニュースにもなっていましたので追記しておきます。 japan.zdnet.com 不正アクセスの目的は、linuxに不正侵入し仮想通貨マイニングを行うというものです。データを盗み出すのではなくマイニングというところが2018年っぽいです。ただCPUが100%に張り付くのですぐに見つかってしまっていますが。 この報告書について考察してみます。 原因についての考察 原因はvsftpdで使っているFTPプロトコルをANYで開けていて、ブルートフォースでパスワードが割れてしまったこと。かつ、OS/ミドルウェアの