複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう
サイバー攻撃「SIMスワップ」のために従業員を買収する試みが確認されている
世界最大級の通信キャリア・T-Mobileは、「SIMカードの交換」を利用して個人情報を盗もうとする「SIMスワップ」に悩まされています。直近で新たに、従業員を買収してSIMスワップを行わせようとする試みが確認されていることがわかりました。 T-Mobile Employees Across The Country Receive Cash Offers To Illegally Swap SIMs https://tmo.report/2024/04/t-mobile-employees-across-the-country-receive-cash-offers-to-illegally-swap-sims/ 「SIMスワップ」は、SIMカードの交換を利用したサイバー攻撃で、特定のユーザーになりすましてSIMカードの交換を申請することにより、偽物のSIMカードに対して通信キャリアから個
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
Cloudflareは乱数生成のリスクヘッジとしてオフィスにラバライトや二重振り子を置いている
暗号化において重要になってくるのは「ランダム性の生成」です。Cloudflareでは、基本的にはLinuxで乱数を生成していますが、何か問題があったときのために利用できる乱数生成器として、オフィスに「ラバライト」や「二重振り子」を設置しています。 Cloudflareのオフィスにおけるカオスの活用 https://blog.cloudflare.com/ja-jp/harnessing-office-chaos-ja-jp/ Randomness 101: LavaRand in Production https://blog.cloudflare.com/randomness-101-lavarand-in-production The Hardest Working Office Design In America Encrypts Your Data–With Lava Lamps
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
マルウェアに感染したデジタルビデオレコーダーから大量の不審な通信、確認を - JPCERT/CC
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「インターネット定点観測レポート(2023年 10~12月)」において、2023年10月から12月までの期間にインターネット上に発信されたパケットの観測レポートを発表した。同レポートはインターネット上に分散配置された複数の観測用センサーを用いて、一定のIPアドレス帯に向けて発信されるパケットを収集、分析したものであり、JPCERT/CCはこれらデータからサイバー攻撃の準備活動などの捕捉に努めている。 インターネット定点観測レポート(2023年 10~12月) 「インターネット定点観測レポート」の概要 2023年10月から12月までの3か月間で観測された国内の通信サービスの上位5つは次のとおり。 tel
カメラと繋がる回路をアンテナに!事実上防御不可能な盗聴技術が見つかる - ナゾロジー
デジタル機器の弱点が突かれました。 米国のミシガン大学(UM)で行われた研究により、スマホのカメラやホームカメラ、車載カメラに至るどんなカメラからでも、リアルタイムな盗撮が可能な技術が発表されました。 新たな盗撮技術は既存の機器では防御不可能であり、カメラの電源をオフにしても、理論的には、完全には防ぐことができません。 研究では実際のカメラが捉えた画像と盗撮された画像の比較が行われており、かなり鮮明な画像として抽出できることが示されています。 新たな技術はいったいどんな方法で、他人のカメラから情報を盗み出しているのでしょうか? 研究内容の詳細は、ネットワークシステムセキュリティに関するシンポジウム『The Network and Distributed System Security Symposium (NDSS) 2024』にて発表されました。
鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃 シンガポール国立大「SpiKey」発表
この方法により、推定したビッティング間の距離から鍵のビッティングパターンを推測できる。この手法で、大量の鍵の中から特定の鍵を効率的に絞り込むことが可能となる。実験により、33万以上の鍵の中から最も可能性の高い3つの候補鍵を特定することに成功している。 SpiKeyの最大の利点は、特殊な道具や技術を必要とせず、スマートフォンさえあれば誰でも利用できる点である。また、従来のロックピッキングに比べて疑いをかけられにくく、最新のアンチピッキング機能を備えた錠前に対しても有効である。 Source and Image Credits: Soundarya Ramesh, Harini Ramprasad, and Jun Han. 2020. Listen to Your Key: Towards Acoustics-based Physical Key Inference. In Proceedi
”このiPhoneから他のiPhoneに電話番号を転送”電車に乗っていたらiPhoneに次々といろんなデバイスからの接続リクエスト通知が届いた...→近年ではこういう手法が増えているらしい
Rydeen @Rydeen リポストしていただいてるのでもうちょっと詳細書いとくと、2/7の朝7:45頃の横須賀線 新橋ー品川間で急に連続した接続要求が繰り返し表示されるようになりました。 新橋で降りたところ、ホームから登る階段の列の中でも同様に要求が飛んできた為、犯人も同じく品川で降りたものと考えました。 2024-02-07 08:33:45
AIで「架空の運転免許証」を作成して金銭を稼ぐウェブサービスが登場、仮想通貨取引所の審査も通過できる品質の高さで非常に危険
AIの発展に伴って、AIの悪用事例が次々と報告されています。新たにAIを用いて偽の本人確認書類を生成する有償サービスが存在していることが海外メディアの404 Mediaによって報じられました。 Inside the Underground Site Where ‘Neural Networks’ Churn Out Fake IDs https://www.404media.co/inside-the-underground-site-where-ai-neural-networks-churns-out-fake-ids-onlyfake/ 偽造本人確認書類作成サービスは「Onlyfake」という名称で、特別な手段を使わずともアクセスできるオープンなインターネット上でサービスを展開しています。Onlyfakeのトップページが以下。「すべてのデータを生成可能」「1200DPIの高品質なテン
Cloudflareの社内サーバーへの不正アクセスについてまとめてみた - piyolog
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
Googleアカウントが不正アクセスを受けた、パスワード変更以外の対処は?
Malwarebytesは1月11日(米国時間)、「Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes」において、Googleアカウントのセッション情報が窃取された可能性のある場合に取るべき対策について伝えた。Googleアカウントのセッション情報は、窃取されるとGoogleのゼロデイの脆弱性によりパスワードの変更では解決しない継続的な侵害を受ける可能性がある(参考:「Google認証に不正アクセスの脆弱性、パスワード変更では不十分 | TECH+(テックプラス)」)。 Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes Googleアカウン
Google認証に不正アクセスの脆弱性、パスワード変更では不十分
The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register
表示するだけでアウト。画像に隠されたマルウェアの脅威とその対処法
表示するだけでアウト。画像に隠されたマルウェアの脅威とその対処法2024.01.04 09:00133,274 Devid Nield - Gizmodo US [原文] ( Mme.Valentin/Word Connection JAPAN ) 2022年10月6日の記事を編集して再掲載しています。 待って! その画像には脅威が潜んでいるかも。 ウイルス、フィッシング詐欺、安全でないWi-fiの利用、怪しいUSBメモリなど、デバイスとデータの安全を脅かす危険はたくさんあります。今回は、あまり知られていない脅威の1つ、マルウェア埋め込み画像についてご紹介します。 一見、何の変哲もないデジタル写真にもマルウェアが仕込まれている場合があることがあります。この技術はステガノグラフィといい、あるファイルを別のファイルの中に埋め込む技術として知られていますが、 必ずしも悪意を持って使用されているわ
「見ず知らずの他人がChatGPTに搭載されている大規模言語モデルから自分のメールアドレスを入手していた」という報告
ChatGPTは質問したことについて詳細な回答を生成してくれますが、個人情報に関する情報は漏らさないように訓練されています。しかし、日刊紙のニューヨーク・タイムズに勤務するジェレミー・ホワイト氏は、「ChatGPTに搭載されている大規模言語モデルが、見ず知らずの他人に自分のメールアドレスを教えてしまった」という実体験を報告しました。 Personal Information Exploit With OpenAI’s ChatGPT Model Raises Privacy Concerns - The New York Times https://www.nytimes.com/interactive/2023/12/22/technology/openai-chatgpt-privacy-exploit.html ホワイト氏は2023年11月、インディアナ大学ブルーミントン校の博士課程
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
シスコのファイアウォール機器がハッカーの標的に。複数の政府ネットワークが狙われたゼロデイ攻撃の脅威
イラストをAIの学習から守る「Glaze」が強化、アニメや漫画で特に改善/MacでもGPU利用が可能に、処理時間も最大50%短く
老舗の解凍ツール「解凍レンジ」に任意コード実行の脆弱性 ~JVNが利用中止を呼びかけ/開発者とは連絡がとれず
Gmailに届かない…Google「メール送信者ガイドライン」に約3分の2の企業が対応していない現状【デージーネット調べ】 | Web担当者Forum
「情報セキュリティの敗北史」が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は→賢者は歴史に学ぶ
