量子コンピューターの論文に玉木雄一郎氏が一言:『少なくとも、ペンタゴンを含む世界中の組織の現在のセキュリティーシステムはすべて無力化する。暗号通貨(仮装通貨)は、当然、暴落だわな』
日本経済新聞 電子版(日経電子版) @nikkei 暗号化して安全に送金する仮想通貨の基幹技術が崩れるのではないか――。Google(グーグル)が量子コンピューターで複雑な計算問題を短時間で解いたとの発表を受け、ビットコインの価格が急落しています。 s.nikkei.com/32NO4qw 2019-10-24 07:46:25 加納裕三 ⚡️(Yuzo Kano) @YuzoKano まずはじめに、量子コンピュータによってビットコインのセキュリティーが破られる日が来たら、インターネットバンキングも同様に破られ、預金者は財産を失うことになるでしょう。そしてhttpsの通信は丸見えになり、全... #NewsPicks npx.me/zhm6/wKv?from=… 2019-10-24 02:50:36 小猫遊りょう(たかにゃし・りょう) @jaguring1 とうとうきた。「従来スパコンで
SMSで送信元を偽装したメッセージを送る
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
Apple、Mozillaに倣い、Safariの厳格なトラッキング防止ポリシー発表
Appleが、WebブラウザSafariのトラッキング防止ポリシー「WebKit Tracking Prevention Policy」を発表した。Mozillaが1月に発表したポリシー同様、非常に厳格なものだ。 米Appleは8月14日(現地時間)、同社のWebブラウザSafariのためのトラッキング防止ポリシー「WebKit Tracking Prevention Policy」を発表した。ユーザーのプライバシーを保護するために、Appleがどのようなトラッキング方法を防止するかの詳細を示すものだ。 Appleは発表文で「Anti tracking policyでわれわれのポリシーにインスピレーションを与えてくれたMozillaに感謝する」とあり、Mozillaが1月に発表した反トラッキングポリシーに倣っていることを示した。 Mozillaのポリシー同様、ユーザーのWeb閲覧行動のプロ
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
『警察「複数の人の死亡を確認」アニメ会社で火事 | NHKニュース』へのコメント
警察によりますと京都市伏見区のアニメーション製作会社「京都アニメーション」のスタジオで起きた火災で、複数の人が死亡したことが確認されたということです。警察は死亡した人の人数や性別などは明らかにして... 409 人がブックマーク・160 件のコメント
「7pay」社長の驚愕発言が、笑いごとでは済まないほんとうの理由(西田 宗千佳)
「一過性のトラブル」ではありません セブン&アイ・ホールディングスの独自決済サービス「7pay」が、セキュリティ問題に揺れている。 クレジットカードなどから不正にチャージが行われ、タバコやプリペイドカードなど、換金しやすい製品を不法に購入される被害が続出したのだ。金銭的被害は、7月4日の段階で5500万円にのぼるという。サービス開始から、たった3日間での出来事だ。 7payは、この記事を執筆している7月8日現在、新規の会員登録と残高のチャージを停止している。原因の究明とシステムの改良が行われている状況だ。 7payに、いったい何が起きたのか? そこには、単に一企業の問題にとどまらない、「技術と経営」に関する普遍的な課題が隠れている。あらゆる企業の経営者にとって、そしてそこに勤めるビジネスマンにとっても、決して一過性のトラブルとしてすませるわけにはいかないこの問題の「深層」に迫ってみよう。
共謀罪に抗して/資料/なぜProtonMailはGmailより安全か - Anti-surveillance
なぜProtonMailはGmailより安全か (アンディ・イェン) ProtonMail vs Gmail ProtonMailは、Eメールセキュリティについて、根本的に異なるアプローチをとっている暗号化されたEメールサービスである。Gmailと比較してProtonMailのセキュリティがどのようなものかを見てみよう。 2014年にProtonMailは、end-to-end暗号化によるデータ保護による世界初のEメールサービスとなった。そして、今日では世界で最も人気のある安全なEメールサービスとして世界中に数百万人のユーザがいる。ProtonMailのテクノロジーはしばしばテクニカルライター(あるいは時には不正確に報道されたりする)によって誤解されている。そこでこの文章では、どのようにProtonMailのテクノロジーがGmailとは異なるのか、何がProtonMailをより安全なものに
よしたに@「ゆるゆる楽しい 40代ぼっち暮らし」発売中 on Twitter: "メルペイに銀行口座登録しようとすると、ブラウザが別プロセスで立ち上がるわけでもなく、メルカリアプリ内でこの画面まで行けちゃう(urlは確認できない)んだけど、めがっさヤバいよね? 知見のある人レスいただければ… https://t.co/CtuqxvPp3V"
メルペイに銀行口座登録しようとすると、ブラウザが別プロセスで立ち上がるわけでもなく、メルカリアプリ内でこの画面まで行けちゃう(urlは確認できない)んだけど、めがっさヤバいよね? 知見のある人レスいただければ… https://t.co/CtuqxvPp3V
iOS 12.2でWebVRとWebARが半ば終わった件について - Qiita
TL;DR iOS 12.2 の Update でジャイロがデフォルト Kill されていて、ユーザーが自ら設定を変えないと WebVR も WebAR も機能しないことへの言及を完全に忘れていた、ありとあらゆるユーザーにこの設定を変えてもらう所作を求めるのはなかなか厳しいから WebVR/AR を用いたマーケ施策ちょっと面倒になりそう pic.twitter.com/XR2YvaTkSa — いっこう / ikkou @4/20はxRTechTokyo (@ikkou) 2019年4月13日 更新履歴 2019/04/17 8th Wallの事例に見る対応方法を追記しました 2019/09/04 パブリックベータを見る限り iOS 13 でどのような状態になるか既にわかっていますが、例によって NDA の絡みがあるのでまだ具体的なことを Qiita に書けません。近々に控えているであろう
勉強会の活動休止のお知らせ – すみだセキュリティ勉強会
主催者のozuma5119です。 既に自分のブログ(兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1))で先に書いてしまったのですが、すみだセキュリティ勉強会の開催はしばらく保留とし、しばらく活動休止することにしました。理由は、昨今の警察の動きがあまりにも不穏で、単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねないためです。 私自身は、勉強会の名前通りに東京都墨田区在住のため、警視庁管轄であり実際のところはほとんど心配は無いと思っています。しかし、発表者の方が近隣の神奈川県・埼玉県・千葉県から来られる場合……その発表を元に、各県警により不正指令電磁的記録に関する罪で発表者が逮捕される可能性があります。それどころか、例えば「勉強会に行って、こんなセキュリティの話を聞いてきた」というブログ記事を書いた参加者の皆さんを、共犯者
自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ - @IT
自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。今回は魔王を防御側の組織の長に、主人公を攻撃者に例えた内容を記したい。 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載「RPGに学ぶセキュリティ」。第1章は「レベルアップ」編として、セキュリティ人材が装備を整える難しさ、そして人材育成の難しさについて、RPGスタート時の主人公の育成に例えてお話しした。 そこで、「RPGにおける主人公と魔王の関係はセキュリティ人材と攻撃者の関係とよく似ている」としたが、第2章は魔王を防御側の組織の長に、主人公を攻撃者に例えた内容を記したい。 RPGの最後は「魔王」などと称しているラスボスを倒すことで
PayPayの不正利用、Paypayが一応「対処法」を掲載。原因はクレジットカードのザル登録・認証システムか
昨日から急増している(いた)電子決済サービス、PayPay経由でのクレッジットカード不正利用の被害。 Twitterなどを中心におびただしい数の被害報告があがっており、金額も数万円から数十万円、ときには100万近く不正使用されていたというケースも報告されています。 この一連の問題、もちろん悪いのは不正利用をした人物なのですが、どうやらPaypay経由で被害集中したのには理由があるようです。 まず、この問題はPaypayへの登録を指定ない人でも被害にあっているという点からして、PayPay自体からクレジットカード情報が流出したという可能性はほぼゼロと良いでしょう。 となると、元々情報流出状態のカード情報が悪用された、可能性も高く、そういった意味ではPaypayに直接的な原因はないというという見方もできます。 しかし、それだとなぜPaypayのみでこのような被害が短時間に一斉発生したのか、とい
「エアドロップ痴漢」悔しい、警察に摘発も : 社会 : 読売新聞(YOMIURI ONLINE)
iPhone(アイフォーン)同士でデータを送受信できる無線通信機能「AirDrop(エアドロップ)」を悪用し、近くの人にわいせつな画像を送りつける迷惑行為が各地で起きている。SNS上で「エアドロップ痴漢」と呼ばれ、被害を訴える書き込みが相次いでおり、警察に摘発されるケースも。個人情報を知られるおそれもあり、専門家は設定を変更して自衛するよう呼びかけている。 大阪市北区の会社員女性(28)は9月上旬、電車で帰宅中にアイフォーンでゲームをしていたところ、突然画面が震え、見知らぬ女性の裸の画像が表示された。画像を受け取るかどうか尋ねるメッセージが表示され、女性は慌てて「辞退」を選択。気持ち悪さを感じながら、自宅に帰った。 その後、インターネットで調べると、「エアドロップ痴漢」と呼ばれる同様の被害に関する書き込みがあふれていた。女性は「画像を送った人間に近くで見られていたと思うと、悔しい」と憤りを
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
JVN#37288228 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性 SoftBank Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン 株式会社NTTドコモ Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン KDDI株式会社 Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
どうして JWT をセッションに使っちゃうわけ? - co3k.org
備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 本文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ
モジラ、「Firefox」でトラッカーをデフォルトでブロックする計画示す
Mozillaは米国時間8月30日、将来のバージョンの「Firefox」でウェブトラッカーをデフォルトでブロックする計画を発表した。この新しい設定は段階的に実装されていく予定で、ページの読み込みを遅くするトラッカーのブロックにまず注力する。次に、Mozillaはクロスサイトトラッキングを排除する。その後、仮想通貨マイニングのような有害な慣習の制限に取り組む予定だ。 MozillaのNick Nguyen氏はブログ記事の中で、「一部のサイトは、コンテンツと引き換えにユーザーデータを要求し続けるだろう。しかし、今後は実際にそれをユーザーに要請しなければならなくなる。これまで自分が求められている価値の交換について何も知らなかった人々にとって、これは好ましい変化だ」と述べている。 Firefoxは、開発者向けの毎晩更新されるプレリリース版である「Firefox Nightly」で既にこれらの機能の
「ネットを制限している企業ほど情報漏洩事故を起こしている」あまりにお粗末なその実態に呆れ&心当たりの声「うちの会社かと」
Miyahan @miyahancom 自分の観測範囲だとネットを制限している企業ほど情報漏洩事故を起こしている。事故の再発防止で厳しくしていったんだろうが、でも報道発表資料読むとパソコン使えないので紙に印刷して持ち出したら風で飛ばされただの、ネット禁止だからUSBメモリに入れて運んだら盗まれただの、そんなのばっか 2018-08-28 23:52:29 Miyahan @miyahancom 何度も新聞に載って幹部がフラッシュ浴びながらお辞儀してもまだ「情報漏洩のリスクがあるからオンラインサービスは禁止だ」とか言ってるの、空き巣に入られてもまだ「銀行よりタンス預金のほうが安全!」とか叫んでるボケた爺さんかよ。 2018-08-29 00:01:22
初めて「AirDrop痴漢」を受けてしまった男性の被害報告に「そんな人いるの...」「オフにすれば大丈夫」対処法も
レンタルなんもしない人 @morimotoshoji こないだ初めて「AirDrop痴漢(iPhoneのエアドロップ機能を使って近くの人に気持ち悪い画像を送り付けてくる行為)」をやられたんですが、あれ思ってたよりめちゃくちゃ嫌ですね。犯人に身バレするから詳細をどこにも書けないのも悔しい。痴漢の最悪さを男にも実感させてくるAirDrop痴漢... 2018-08-23 10:58:47 レンタルなんもしない人 @morimotoshoji AirDrop、使用時以外は設定でこうやって「受け取らない」にしておくのがいいです。今のうちにやっておかないと、いざやられたときは吐き気のする画像を絶え間なく送りつけてこられて画面の操作すらできなくなることもあるので(その絶え間なく送りつけてくる感じがまた気持ち悪い)、今のうちにぜひ。 pic.twitter.com/0ieQoYNy8I 2018-08-
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
誤ったパスワードの入力で他人のIDをロックさせチケットをゲットする技にファン衝撃【やじうまWatch】
