“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策
スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。 個人情報をだまし取る 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールか
ビル・ゲイツ氏、「NFTは大馬鹿理論に基づいている」
米Microsoftの共同創業者で世界長者番付4位のビル・ゲイツ氏は6月15日(現地時間)、米TechCrunch主催のイベントに登壇し、NFT(代替不能なトークン)についての質問に対し、「私は関与しない。当然だ」と応えた。 NFTは「100%、Greater fool theoryに基づいている」とゲイツ氏。Greater fool theoryとは、金融業界で、過大評価された資産でも、自分より愚かな誰かにさらに高値で転売できると踏んで購入することを指す。現実的な価値との乖離が大きくなりすぎれば、価格は大幅に下落する。 ゲイツ氏は、農場や工場など、形あるものを生産する組織に投資することを好み、暗号通貨やNFTには関心がないと語った。 「サルの高価なデジタル画像は世界を大きく発展させるだろうが」と米Yuga Labsが提供する人気NFT「Bored Ape Yacht Club」(BAYC
“自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「『この訓練をされたら嫌だな、やられたくないな』と思っていたものが来た」──クラウド会計ソフトを提供するfreeeの佐々木大輔CEOは、同社が2021年10月に実施したクラウド障害訓練をこう振り返る。訓練では、社内チームがわざとAWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求。経営層を含め、全社で解決に向け対応した。 結局は数時間で解決できたものの、いくつか反省点もあったと佐々木CEO。全社を巻き込む訓練を通じ、freeeの経営層はどんな教訓を得られたのか。 特集:DXでリスク増大 経営層が知っておきたい情報セキュリティの課題と対策 デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解と
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
追加で1万5000円相当を還元! 「マイナポイント第2弾」で準備すべきこと
追加で1万5000円相当を還元! 「マイナポイント第2弾」で準備すべきこと:スマホ決済のお得な活用術(1/2 ページ) ポイントやお得なことが大好物。そんな筆者が今、注目しているのが「マイナポイント第2弾」だ。「マイナポイント」とは、総務省が実施するマイナンバーカード取得者を対象としたポイント還元事業。 「第1弾」は2020年9月から実施され、対象となる決済サービスで2万円分の買い物やチャージをすると、上限5000円相当のポイントが付与された。 「マイナポイント第2弾」が2022年1月1日にスタート 「第2弾」には3つの施策が用意されている。1つ目は第1弾と同じ内容。マイナンバーカードは取得したものの、第1弾に申し込んでいない人、まだマイナンバーカードを取得していない人、第1弾に申し込んだもののポイントを上限の5000円相当まで受け取っていない人を対象に、買い物やチャージ金額の25%分のポ
何これ便利 「そのデータ、印刷して郵送して」を1通99円から日本郵便が代行するサービス
コロナ禍で一気に進んだデジタル化。そんな昨今でも特に請求書など、送ったデータを「紙でほしい」なんて言われることもあるかもしれない。わざわざ印刷して、封筒と切手を買って、ポストに投函して……と考えると、コスト以上に面倒臭すぎる。プリンタが家にない人にとっては、コンビニに駆け込んでプリントアウトするしかない(封筒と切手も買えるから一石三鳥かもしれないが……)。 そんな悩みを解決するサービスが最近Twitterで話題になった。日本郵便が提供している「Webレター」だ。簡単に説明すると、文面/宛名印刷、封筒詰め、切手貼り、発送を白黒なら1通99円からやってくれるというもの。ページ追加にも対応しており、1ページ当たり5円(最大8ページまで)。コンビニのネットプリントよりも安い。カラーは146円(同52円)。支払いはクレジットカードと料金後納に対応する。 初めにユーザー登録が必要だが、あとはWebレタ
法人ならApple製品が最大35%オフに? 「AFS」の仕組みを詳しい人に聞いてみた
法人ならApple製品が最大35%オフに? 「AFS」の仕組みを詳しい人に聞いてみた:ヤマーとマツの、ねえこれ知ってる?(1/4 ページ) 経歴だけは長いベテラン記者・編集者の松尾(マツ)と、幾つものテック系編集部を渡り歩いてきた山川(ヤマー)が、ネット用語、テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。交代で執筆します。 ヤマー Appleが10月に出した新しいMacBook Pro欲しいんですよね、M1 Pro/M1 Maxを積んだモデル。4K映像をサクサク編集したい。 マツ なかなか良いお値段するよね。 ヤマー ほんとそれなんですよ。欲しいレンズもあるので手が出ず……。 そういえばMacが最大35%引きで買えるという「Apple Financial Service」(AFS)の記事がありましたよね。法人向けのリース販売だとは認識してるんですが
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
Gmail、なりすまし対策で送信元アイコンに企業ロゴ表示を可能に
米Googleは7月12日(現地時間)、Gmailの受信箱に表示する送信者のアイコンとして、企業ロゴを表示できるようにしたと発表した。BIMI(Brand Indicators for Message Identification)を採用した企業の認証済みのロゴのみが表示されるので、なりすまし対策になる。 BIMI採用のロゴは、Gmail内で表示されるアカウントの頭文字やGoogleアカウントのプロフィール画像に代わって表示される。 BIMIは、メールの送信ドメイン認証技術、「DMARC」に基づく業界標準。Googleの他、Verizon MediaやTwilio、Fastmailなどが取り組みに参加している。 DMARCなどのセキュリティプロトコルはデジタル証明書と暗号化によるため、検証済みのロゴは実際の企業のメールドメインにしか表示されず、なりすましメールで真似することはできないことに
「Chrome 90」の安定版公開 HTTPS接続強化や低帯域幅での動画改善など
米Googleは4月14日(現地時間)、Webブラウザ安定版のアップデートとなる「Chrome 90」(バージョン90.0.4430.72)をWindows、Mac、Linux向けに公開した。数日かけてロールアウトしていく。 一般ユーザー向けの新機能としては、アドレスバーにURLを入力するとデフォルトで「https」扱いになることと、動画の高圧縮率が特徴のAV1エンコーダの利用が可能になることだ。 URLを入力するとデフォルトでHTTPS接続に HTTPSは、ネットワークを介して送信されるトラフィックを暗号化することでユーザーを保護するプロトコル。バージョン89までは、アドレスバー(Chromeではオムニバー)に例えば「example.com」のようなURLを入力すると、まず「http://example.com」をpingしてから「https://example.com」にリダイレクトし
テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由
テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由(1/2 ページ) 新型コロナウイルス感染症対策として、国内でも多くの企業がテレワークを採用しています。いずれはオフィス勤務に戻す企業も多いと思いますが、中には日立製作所や富士通のように、今後はテレワーク主体で業務を進めると宣言する企業も出てきています。育児や介護といった家庭の事情を抱える従業員を中心に、部分的にテレワークを継続する企業もあります。 テレワーク中でもオフィスで働く時と同様、IT環境のセキュリティ対策は不可欠です。内閣サイバーセキュリティセンター(NISC)はこのほど公開した文書で、「新しい生活様式」に向けたセキュリティ対策の指針を紹介しています。 具体的には(1)テレワーカーの増加や対象業務の拡大があった場合はセキュリティリスクを再評価すること、(2)支給端末・支給外端末に関わらず、利用
Linuxカーネルでの「master/slave」と「blacklist」禁止、トーバルズ氏が承認
Linuxカーネルの生みの親で最終的な調整役を務めるリーナス・トーバルズ氏は7月10日、Linuxカーネルでの包括的用語として「master/slave」(主人/奴隷)と「blacklist」を禁止する提案を承認した。 この提案は4日にメンテナーのダン・ウィリアムズ氏が投稿した。5月25日のジョージ・フロイド氏死亡をきっかけに続いている人種差別反対運動の中で、米Twitterや米GoogleのChromeとAndroidチーム、米Microsoftとその傘下の米LinkedInと米GitHubなど、多数のIT企業が同様の決定を発表している。 Linuxカーネルで禁止されるのは、シンボル名やドキュメンテーションでのこれらの用語の使用。ABIの維持に必要な場合や、既存のハードウェアやプロトコルに関連するコードの更新の場合は対象外だ。 master/slaveの置き換えとしては、以下を推奨してい
1年半でシステム刷新のクックパッド、怒濤の「5並列プロジェクト」に見る“世界で勝つためのシステム設計”
1年半でシステム刷新のクックパッド、怒濤の「5並列プロジェクト」に見る“世界で勝つためのシステム設計”:CIOへの道(1/4 ページ) 海外展開を視野に入れ、“世界で勝つためのシステム構築“に取り組むことになったクックパッド。海外企業を参考にプロジェクトを進める中、日本企業のシステムとそれを支える組織との間に大きな差があることを認識した同社は、どう動いたのか。また、分散と分断が進み、Excel職人が手作業で情報を連携している状態から、どのようにして統合された一貫性のあるシステムに移行したのか――。怒濤のプロジェクトの全容が対談で明らかに。 この対談は 日本企業のCIO設置率は42.1%、うち、専任者は6.5%――。これは平成27年6月に発表された経済産業省の「情報処理実態調査」によるもので、ITとビジネスが不可分な時代になったにもかかわらず、それらを統合的に見るCIOという存在がいまだ少な
AWSとSlack、戦略的提携を発表 SlackはAmazon Chimeを採用し、AWSは全社でSlackを採用
AWSとSlack、戦略的提携を発表 SlackはAmazon Chimeを採用し、AWSは全社でSlackを採用 クラウドサービスでMicrosoftの「Azure」と競合するAWSと、コラボレーションツールでMicrosoftの「Teams」と競合するSlackが手を組んだ形だ。 主な提携内容は以下のとおり。 Slackの通話用「Slackコール」機能をすべて「Amazon Chime」に移行する Slackに「AWS Chatbot」および「Amazon AppFlow」を統合する Slackは「AWS Key Management Service」で「Slack Enterprise Key Management」を強化する Slackは今後もAWSを主要クラウドプロバイダーとして利用する AWSはチームコミュニケーションツールとしてSlackを採用する Slackのスチュワート・
コロナ後、テレワークは結局「無かったこと」になるのか――第一人者に直撃
コロナ後、テレワークは結局「無かったこと」になるのか――第一人者に直撃:働き方は果たして「後退」するのか(1/3 ページ) 緊急事態宣言が全国で解除された現在。生活や働き方が今後どこまで「コロナ前」に戻るのか、あるいは戻らないのか模索が続いている。特に働く人にとっての関心事と言えば「今回のテレワークはコロナ後、元通りになるのか」だろう。 そこで、テレワーク研究の第一人者で、多くの企業を調査してきた東京工業大学環境・社会理工学院の比嘉邦彦教授に前後編インタビューで聞いた。コロナ禍によるテレワーク転換の度合いを評価した前編に続き、今回のテーマは「テレワークは結局、定着するのか」だ。 定着する企業はわずか「1割弱」か ――コロナ問題の終息後、果たして日本企業にテレワークはどのくらい定着するとみますか。 比嘉: 希望としては定着してほしいと思っているが……。現在、テレワークは3割弱くらいの企業で実
「ヘッドセット」おすすめ3選 Web会議や“オン飲み”に便利【2020年最新版】
ですが、パソコン本体のスピーカーとマイクを同時に使うと、スピーカーの音をマイクが拾ってハウリングを起こす場合があります。またキーを打つタイピング音などが耳障りになることも。 スピーカーから相手の声が流れ、家族や周囲の人に聞こえてしまうのも気になりますよね。こちらはイヤフォンで解消できますが、前述のようにパソコン内蔵のマイクを使うと、操作音が伝わってしまいます。 クリアで高品質な会話をするなら、ぜひヘッドセットの使用を強くおすすめします。さらに、ノイズキャンセラーやエコーキャンセラーといった、音声の品質を上げてくれる機能を備えたヘッドセットを選べば、より快適になるでしょう。 パソコン用ヘッドセット:重装備は必要? パソコン用ヘッドセットにはさまざまなタイプがあります。両耳で音声を聞くことができるステレオタイプ、片耳用のモノラルタイプ、耳の穴にフィットするカナル型、遮音性が高く音漏れに強い密閉
「テレワークに便利なパソコングッズ」おすすめ3選【2020年最新版】
テレワークにあると便利:USB機器をたくさん接続する「USBハブ」 周辺機器が増えるほど、パソコンのUSB端子は足りなくなってきます。特にノートパソコンでは2~3個というのが一般的で、場合によっては1つだけということも。Webカメラとヘッドセット、それにマウスやUSBメモリなどを使用すればすぐに埋まってしまいます。 そんなときに便利なのがUSBハブ。パソコンの1つのUSB端子に接続することで複数のUSB機器を接続できます。 USBハブには電源をパソコンから供給する「バスパワー」タイプと、ACアダプターからUSBハブに直接電源を供給する「セルフパワー」タイプがあります。外付けハードディスク(HDD)やCD/DVDドライブなど、消費電力が大きい機器を使用する場合にはセルフパワータイプがおすすめです。
無印良品のネットストア、メンテ大幅延長 「使用に耐えうる表示速度が満たせなかった」
良品計画は、今回のメンテナンスで会計と商品に関する基幹システムの交換を行うとしていた。ITmedia NEWSが問い合わせたところ、12月30日にサービス停止期間を延長したのは「当初告知していた停止期間内には作業が終わらない見通しが立ったため」(同社)という。その上で、「11日にネットストアの再開を試みたが、時折、使用に耐えうる表示スピードを満たさなくなることが分かったため、再開を1月下旬に再延期した」と説明した。 現在はサービスの再開時期を1月下旬としているが、場合によってはメンテナンスをさらに延長するとしている。 関連記事 「Johnny's web」が6日ぶりに復旧 トラブルの原因は「外部インフラの不具合」 サービスを停止していた「Johnny's web」が、12月18日に復旧した。運営元は「外部インフラサービスの不具合がトラブルの原因だった」と説明している。個人情報の流出などは起
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
国税庁、年末調整控除申告書作成アプリをiPhoneとMac向けに公開
