世界最大級の通信キャリア・T-Mobileは、「SIMカードの交換」を利用して個人情報を盗もうとする「SIMスワップ」に悩まされています。直近で新たに、従業員を買収してSIMスワップを行わせようとする試みが確認されていることがわかりました。 T-Mobile Employees Across The Country Receive Cash Offers To Illegally Swap SIMs https://tmo.report/2024/04/t-mobile-employees-across-the-country-receive-cash-offers-to-illegally-swap-sims/ 「SIMスワップ」は、SIMカードの交換を利用したサイバー攻撃で、特定のユーザーになりすましてSIMカードの交換を申請することにより、偽物のSIMカードに対して通信キャリアから個
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
暗号化において重要になってくるのは「ランダム性の生成」です。Cloudflareでは、基本的にはLinuxで乱数を生成していますが、何か問題があったときのために利用できる乱数生成器として、オフィスに「ラバライト」や「二重振り子」を設置しています。 Cloudflareのオフィスにおけるカオスの活用 https://blog.cloudflare.com/ja-jp/harnessing-office-chaos-ja-jp/ Randomness 101: LavaRand in Production https://blog.cloudflare.com/randomness-101-lavarand-in-production The Hardest Working Office Design In America Encrypts Your Data–With Lava Lamps
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「インターネット定点観測レポート(2023年 10~12月)」において、2023年10月から12月までの期間にインターネット上に発信されたパケットの観測レポートを発表した。同レポートはインターネット上に分散配置された複数の観測用センサーを用いて、一定のIPアドレス帯に向けて発信されるパケットを収集、分析したものであり、JPCERT/CCはこれらデータからサイバー攻撃の準備活動などの捕捉に努めている。 インターネット定点観測レポート(2023年 10~12月) 「インターネット定点観測レポート」の概要 2023年10月から12月までの3か月間で観測された国内の通信サービスの上位5つは次のとおり。 tel
デジタル機器の弱点が突かれました。 米国のミシガン大学(UM)で行われた研究により、スマホのカメラやホームカメラ、車載カメラに至るどんなカメラからでも、リアルタイムな盗撮が可能な技術が発表されました。 新たな盗撮技術は既存の機器では防御不可能であり、カメラの電源をオフにしても、理論的には、完全には防ぐことができません。 研究では実際のカメラが捉えた画像と盗撮された画像の比較が行われており、かなり鮮明な画像として抽出できることが示されています。 新たな技術はいったいどんな方法で、他人のカメラから情報を盗み出しているのでしょうか? 研究内容の詳細は、ネットワークシステムセキュリティに関するシンポジウム『The Network and Distributed System Security Symposium (NDSS) 2024』にて発表されました。
この方法により、推定したビッティング間の距離から鍵のビッティングパターンを推測できる。この手法で、大量の鍵の中から特定の鍵を効率的に絞り込むことが可能となる。実験により、33万以上の鍵の中から最も可能性の高い3つの候補鍵を特定することに成功している。 SpiKeyの最大の利点は、特殊な道具や技術を必要とせず、スマートフォンさえあれば誰でも利用できる点である。また、従来のロックピッキングに比べて疑いをかけられにくく、最新のアンチピッキング機能を備えた錠前に対しても有効である。 Source and Image Credits: Soundarya Ramesh, Harini Ramprasad, and Jun Han. 2020. Listen to Your Key: Towards Acoustics-based Physical Key Inference. In Proceedi
AIの発展に伴って、AIの悪用事例が次々と報告されています。新たにAIを用いて偽の本人確認書類を生成する有償サービスが存在していることが海外メディアの404 Mediaによって報じられました。 Inside the Underground Site Where ‘Neural Networks’ Churn Out Fake IDs https://www.404media.co/inside-the-underground-site-where-ai-neural-networks-churns-out-fake-ids-onlyfake/ 偽造本人確認書類作成サービスは「Onlyfake」という名称で、特別な手段を使わずともアクセスできるオープンなインターネット上でサービスを展開しています。Onlyfakeのトップページが以下。「すべてのデータを生成可能」「1200DPIの高品質なテン
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
Malwarebytesは1月11日(米国時間)、「Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes」において、Googleアカウントのセッション情報が窃取された可能性のある場合に取るべき対策について伝えた。Googleアカウントのセッション情報は、窃取されるとGoogleのゼロデイの脆弱性によりパスワードの変更では解決しない継続的な侵害を受ける可能性がある(参考:「Google認証に不正アクセスの脆弱性、パスワード変更では不十分 | TECH+(テックプラス)」)。 Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes Googleアカウン
The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register
表示するだけでアウト。画像に隠されたマルウェアの脅威とその対処法2024.01.04 09:00133,274 Devid Nield - Gizmodo US [原文] ( Mme.Valentin/Word Connection JAPAN ) 2022年10月6日の記事を編集して再掲載しています。 待って! その画像には脅威が潜んでいるかも。 ウイルス、フィッシング詐欺、安全でないWi-fiの利用、怪しいUSBメモリなど、デバイスとデータの安全を脅かす危険はたくさんあります。今回は、あまり知られていない脅威の1つ、マルウェア埋め込み画像についてご紹介します。 一見、何の変哲もないデジタル写真にもマルウェアが仕込まれている場合があることがあります。この技術はステガノグラフィといい、あるファイルを別のファイルの中に埋め込む技術として知られていますが、 必ずしも悪意を持って使用されているわ
ChatGPTは質問したことについて詳細な回答を生成してくれますが、個人情報に関する情報は漏らさないように訓練されています。しかし、日刊紙のニューヨーク・タイムズに勤務するジェレミー・ホワイト氏は、「ChatGPTに搭載されている大規模言語モデルが、見ず知らずの他人に自分のメールアドレスを教えてしまった」という実体験を報告しました。 Personal Information Exploit With OpenAI’s ChatGPT Model Raises Privacy Concerns - The New York Times https://www.nytimes.com/interactive/2023/12/22/technology/openai-chatgpt-privacy-exploit.html ホワイト氏は2023年11月、インディアナ大学ブルーミントン校の博士課程
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く