Windows 10/11の「クイック アシスト」を悪用した攻撃、Microsoftが注意喚起/金銭目的のリモートヘルプ詐欺に注意
電話番号の末尾「0110」に注意、警察装う詐欺相次ぐ…番号表示技術を悪用か
【読売新聞】 実在する警察の電話番号を偽装表示させ、警察官になりすまし、現金をだまし取ろうとする特殊詐欺事件が相次いでいることがわかった。九州・山口の各県警への取材で、昨年7月以降、少なくとも5件起きていたことが判明。うち福岡県内で
「4桁の暗証番号」、世界でよく使われる組み合わせが判明! どの国の人も考えることは同じ? | GetNavi web ゲットナビ
クレジットカードや銀行のキャッシュカードなどに使われる4桁の暗証番号。4つの数字の組み合わせは全部で1万通り存在しますが、過去に流出した340万件の暗証番号を分析した結果、よく使われるものとそうでないものの傾向が見えてきました。 ↑ひょっとして誕生日? 「人気の高い4桁の暗証番号」TOP10 1234 1111 0000 1212 7777 1004 2000 4444 2222 6969 もっとも人気だったのは「1234」。驚くことに、分析された暗証番号のうち約11%がこの「1234」だったそうです。2位の「1111」は6%でした。上位の暗証番号を見てみると、同じ番号の繰り返しなど、どれも覚えやすそうなものばかりです。 また、最初の2桁に「19」を使っているものも多く、自分が生まれた年代を使っている可能性が高い模様。さらに、最初の2桁は「12」以下、最後の2桁は「31」以下の数字が使われ
「ゲートウェイ/エンドポイントセキュリティ」の違いを知っておこう
「どちらを選ぶか?」ではなく「どちらも使う!」のが正解 Q:「ゲートウェイセキュリティ」ってなに? A:社内のネットワークと外部のネットワークとの境界における通信を制御・監視するセキュリティ対策。 ファイアウォール、インターネットゲートウェイ、プロキシ、IDS/IPS(侵入検知/防御システム)などによって外部からの不正なアクセスやマルウェアの侵入を防ぐ。 一方、「エンドポイントセキュリティ」は、社内のネットワークにある個々のデバイス(エンドポイント)を保護するセキュリティ対策。 ウイルス対策ソフトやエンドポイントファイアウォール、デバイス管理などで実現されるほか、それらを統合したEPP(Endpoint Protection Platform)による対策が実行されることも。 またEDR(Endpoint Detection and Response)によって、エンドポイントにおけるセキュリ
「アンダーグラウンドサービス」であなたも明日からサイバー犯罪者になれる!?
悪意ある人たちを「サポート」する職業 Q:「アンダーグラウンドサービス」ってなに? A:非合法のWebサービス、そしてその提供組織を指す。 一般的なネットサービスはもちろん法に則っており「合法」だ。しかしネットにはサイバー犯罪に関連するような「非合法」なサービスも多数存在する。そういった非合法サービス、そしてそれらを提供する組織やグループを指して「アンダーグラウンドサービス」と称する。 ダークウェブのようなネットのアンダーグラウンドな場所では、ランサムウェアやDDoS攻撃、フィッシング詐欺を可能にするツールやテンプレートのような素材が販売されている。 昨今、個人がサイバー犯罪に必要な特殊なスキルを身につけることなくツールや素材を利用するケースが増加しており、アンダーグラウンドサービスはその需要に目を付けたことで成立したビジネスとも言える。自分たちは利益を得ながら直接手を汚すことなくサイバー
VPNを経由するはずだった通信を直接インターネットに送信させる攻撃手法「TunnelVision」が発見される
VPN経由で行われるはずだった通信を直接インターネットに送信させ、暗号化やIPアドレスの隠匿などVPNを経由するメリットを失わせる攻撃手法が発見されました。どういう攻撃なのかについてセキュリティ企業のLeviathan Security Groupが解説しています。 CVE-2024-3661: TunnelVision - How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak — Leviathan Security Group - Penetration Testing, Security Assessment, Risk Advisory https://www.leviathansecurity.com/blog/tunnelvision TunnelVision - CVE-2024-3661 - De
身に覚えのない「24時間テレビ」募金履歴に注意 他人のカードの有効性確認目的か
24時間テレビチャリティー委員会(公益社団法人)は4月16日、不正に入手したとみられる他人のクレジットカードで、24時間テレビのキャッシュレス募金サイトに不正アクセスし、少額募金する事案が発生したとし、注意を呼び掛けている。 大量のセキュリティーコードを入力することで、カード番号が利用可能か確かめるのが目的とみられており、カード利用明細に身に覚えのない 「24時間テレビ(インターネット)募金」などと記載されていないかを確認してほしいという。 17日現在、24時間テレビのカードによるキャッシュレス募金 システムを一時停止し、対策を急いでいる。 不正アクセスは4月7日から13日に行われていたという。カードの不正利用を確認した場合は、返金を行っている。 不正利用されたと思われるカードは他サイトでも悪用される可能性があるとし、注意を呼び掛けている。 また、同サイトのシステムからカード情報が流出した
メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか?
2024年度神奈川県公立高校入試の出願システムにおいて、1月9日よりメール受信障害が発生しています。神奈川県は「主に@gmail.comにおいて出願システムからのメールが受信できないという事象が発生」と説明していますが、送信元のアドレスにおいて適切な設定が行われていないとさまざまなサイトで指摘されています。 県入試 2024 出願システムからのメール、なぜ届かない? | カナガク https://kanagaku.com/archives/69286 ちょっと調べたが超酷い。汎用JPはどうよとか、ドメイン認証ちゃんとできてないとか以前の問題で、基本的なメール設定が間違っている。MXにIPアドレスいきなり書くなよ。しかもIPアドレスとしても正しくないという。 / “高校入試の出願システム、Gmailにメール届かず……神…” https://t.co/4sxyz2wAiw— 上原 哲太郎/Te
多くのベンダーの「メールフィルタリング」に設定ミス サイバー攻撃の原因にも 米研究者らが調査
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 米カリフォルニア大学サンディエゴ校と米シカゴ大学に所属する研究者らが発表した論文「Unfiltered: Measuring Cloud-based Email Filtering Bypasses」は、クラウドベースのメールフィルタリングサービスの脆弱性を指摘した研究報告である。 多くの組織がクラウドベースのメールフィルタリングサービスを導入し、高度化するメールの脅威から身を守っている。これらのサービスは、企業のメールサーバとインターネットの間に位置し、受信メールをフィルタリングして、スパムやマルウェアなどの脅威を取り除く役割を果たす。 しかし、この
Googleアカウントを削除せずに初期化されたスマホをアンロックする方法
2023年9月21日(木)にDroidKitは「ロック解除」機能を更新しました。いくつかバグを修正し、FRPロックをバイパスの機能を最適化しました。 私たちが新しいスマホを購入し、古いスマホを捨てたり、他人をあげたりしようとしたら、きっとスマホを初期化することが忘れないでしょう?これにより、自分のデータを保護するとともに、回収にも便利を与えます。しかし、多くの方がそれと同じように重要なことを見落としています。それはGoogleアカウントを削除することです。なぜGoogleアカウントを削除することは大事なのですか、もしGoogleアカウントを削除せずにスマホを初期化してしまったら、どうすればいいでしょうか。今回の記事はこの問題に対して、原因および対策を詳しく説明します。疑問がある方はぜひ最後までご覧ください。 目次 Part1.なぜGoogleアカウントの削除は大事 Part2..Googl
Wi-Fiは「鍵マーク」付を選んで使いましょう! 安全に通信できます
・無料Wi-Fiサービス(公衆無線LAN)を使う際は、SSIDの横に「鍵のマーク」が付いているものを選びましょう。鍵のマークは通信が暗号化されている証です。 ・鍵マークがないSSIDを使うと、悪意ある人たちに仕事内容や個人情報が筒抜けになる可能性も。 ・大規模災害時にのみ開放される「00000JAPAN」というSSIDは、緊急時の利用を最優先にしているため、暗号化キーが設定されていません。 外出先でのWi-Fi利用頻度は増えましたが…… ここ数年、コロナ禍に伴う外出制限などもあり、「Wi-Fiは自宅での利用が大半」という方も多かったと思いますが、最近は外出先で使う機会が再び増えているようです。そこで今回は、自宅やオフィス以外でWi-Fi接続する際に注意すべき点を挙げてみましょう。 公共機関や商業施設などに設置されている無料Wi-Fiサービスは、たいていの場合、ネットワーク接続時にSSIDを
Linux Crisis Tools
(This is based on Table 4.1 "Linux Crisis Tools" in SysPerf 2.) Some longer notes: [1] bcc and bpftrace have many overlapping tools: the bcc ones are more capable (e.g., CLI options), and the bpftrace ones can be edited on the fly. But that's not to say that one is better or faster than the other: They emit the same BPF bytecode and are equally fast once running. Also note that bcc is evolving and
X (旧Twitter)のURLカードに致命的な脆弱性。うかつに開かないで | ニッチなPCゲーマーの環境構築Z
X (旧Twitter)のURLカードに致命的な脆弱性が見つかりました。海外メディアのBleeping Computerが報じました。 XのURLカード(Webサイトカード、Twitterカードなどとも呼ばれる)を開いた際、カードの左下に表示されているURLとはまったく違うサイトが表示されたことはないだろうか。 例えば以下の例では、『forbes.com』がリンク先として表示されているが、実際にこのURLカードを開くと、仮想通貨詐欺のTelegramアカウントページが開く。 リンク先に『forbes.com』と書いているが 実際には詐欺のTelegramアカウントページが開く いったいなぜこのようなことが起こるのか、仕組みはこうだ。URLカードを開くと、まず、『joinchannelnow[.]net』というサイトにアクセスする。 まず『joinchannelnow[.]net』へとアクセ
カフェやホテルの無料Wi-Fiを使ってはいけない理由
キャリアFree wi-fi station in a public place at international airport. 黒坂岳央です。 昨今、ホテル選びの新基準になったのが「無料Wi-Fi」の有無だ。訪日外国人の中でもWi-Fiがついているかどうかがかなり意識されているという声をよく見る。 誰もが気軽に使うようになった無料Wi-Fiだが、自分は一切使用しないようにしている。理由はシンプルにセキュリティ上の問題が生じるリスクがあるためだ。ホテルに限らず、カフェや空港でも同じである。 検索してもらえばWi-Fiの不正使用の問題は数多く出てくるし、その気になれば簡単にハックできることを検証した人も出てくる。充電器を装ったジュースジャッキングという手口も確認されている。最初から無料Wi-Fiは一切使わない方針を貫くことをおすすめしたい。 無料Wi-Fiは危険 鍵マークなしの無料Wi-
アジアで広がる「iPhoneの危険な設定」にアップルが警告、今すぐ確認を | Forbes JAPAN 公式サイト(フォーブス ジャパン)
自分のiPhoneにこの危険な設定がないかをチェックし、デバイスやデータへの脅威を削除するのには30秒もかからない。新たな警告に従い、今日にでも対処を行ってほしい。 アップルユーザーに対して、iPhone上の不正なVPNやデバイスプロファイルの危険性に関する警告がアジアで出ている。「ユーザーは、偽のウェブサイトやSMSメッセージ、悪質なマルウェアへのリンクを通じて、不審なアプリをインストールするよう騙された可能性があります」。ほとんどのユーザーにとってリスクは低いが、デバイスのチェックにかかる時間は30秒もかからないため、時間をかける価値は十分にある。 この最新のニュースは、ユーザーが騙されてマルウェアをインストールさせられて銀行口座にアクセスされたことから発覚した。当初、悪意のある電源ケーブルが問題だったのではないかと疑われたが、実際は彼らが騙されてインストールした危険なプロファイルが原
Googleドライブで瞬く間に拡散される機密情報、どう管理するか
The Hacker Newsはこのほど、「How to Find and Fix Risky Sharing in Google Drive」において、Googleドライブ上で共有される機密情報管理の困難さを解説し、その解決策としてデータ管理ツールを紹介した。 How to Find and Fix Risky Sharing in Google Drive Googleドライブ上で散在する機密情報 The Hacker Newsによると、Google Workspace管理者の多くはGoogleドライブ上の機密情報が瞬く間に乱雑に散らばってしまうことを理解しているという。この問題の要因は利用者ではなく、そのように意図的に設計されているGoogleドライブにあり、避けることはできないと指摘されている。 しかしながら、セキュリティチームにとってこの状況は許容し難いものと言える。そこで、Th
「キルウェア」の攻撃はPCどころか人命まで左右する
人命に関わるインフラへの攻撃 Q:「キルウェア」ってなに? A:システムやデータを破壊することで標的の組織・団体にダメージを与えるためのマルウェア。昨今はライフラインや医療を司るシステムに対する攻撃もキルウェアと呼ばれる。 マルウェアの一種だが、2つの側面がある。 まず、コンピューターのシステムやデータを「破壊」することを目的で設計されたもの。標的とした目的の企業や組織に対してダメージを与え、事業継続を阻害することが狙いのマルウェア自体を指す。 そして最近では、人命を奪う可能性のある、よりクリティカルなサイバー攻撃を総じて「キルウェア」と呼ぶことがある。 これは、医療機関や電気・水道・ガス・交通機関といった生活に欠かせないインフラに関わる設備を狙ってサイバー攻撃を実行し、それによって設備が止まったりサービス提供が継続できなくなったりすることによって、直接的に人命に関わるような被害を与えよう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
すでに悪用の報告あり、「Microsoft Edge」に4件の脆弱性/v124.0.2478.97への更新を
安全なVPNに繋いだつもりが筒抜け……「TunnelVision」脆弱性をJVNが警告/Windows、macOS、Linux、iOSなどに広く影響
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
