国際標準化団体のFIDO Allianceは2023年12月8日、パスワードが不要になる認証技術「Passkeys（パスキー）」の記者説明会とセミナーを都内で開催した。 冒頭の発言の背景には、パスキーに対応するWebブラウザーやモバイル端末のアカウント総数が全世界で70億件を超え、ユーザーの認証にかかる時間が短くなり、導入企業もコスト削減につなげられたといった具体的な成果が相次いでいることがある。今回の記者説明会とそれに続くセミナーでも数多くの成果報告があった。 例えば米Googleは2023年10月から個人のGoogleアカウントでパスキーをデフォルトの認証手段として提供を始めた。同社のID＆セキュリティー担当プロダクトマネージャーを務めるクリスチャーン・ブランド氏は「パスワードを使った認証の平均成功率は約14％だが、パスキーの成功率は約64％と4倍近くであり、サインインにかかる時間を半

強力な「Dropbox詐欺」が現れた。これまでのビジネスメール詐欺と比べると検出が難しく、よりだまされやすくなっている。どのように対応すればよいのだろうか。 オンラインストレージサービス「Dropbox」を利用したビジネスメール詐欺（BEC）が急増している。Checkpoint Software Technologies傘下のAvananの報告によれば、2023年9月の最初の2週間だけで、このような攻撃が5440件も発生した。Dropboxをどのように悪用しているのだろうか、どうやって防げばよいのだろうか。 そもそもDropboxが悪いのだろうか 攻撃の手口は3段階に分かれる。まず攻撃者が無料のDropboxアカウントを作成する。 次に危険性のない文書を作成して、関係者のふりをして攻撃対象（ユーザー）と共有する。最後に狙われたユーザーにDropboxから「共有したコンテンツを誰かがクリック

株式会社ラック（本社：東京都千代田区、代表取締役社長：西本 逸郎、以下 ラック）は、生成AI（Generative AI、以下 GAI）がもたらす破壊的な変化に適応するため、ラック社内にGAI CoE（Center of Excellence：社内に散らばる人材・ノウハウや資金などの経営資源を組織横断的に集約し活動する組織）を立ち上げ、社内システムを通じて全社員が安全に業務への活用がおこなえる環境を整備し2023年6月より運用を開始しました。 ラックは、これまでも金融犯罪対策ソリューションであるAIゼロフラウドなど、AIを活用したソリューション開発にいち早く着手、また、社内におけるAI適応力を身に付けさせるためにG検定を推奨し403名（2023年4月時点）の資格合格者を出すなど、従前よりAIへの対応を図ってまいりました。 生成AIの利活用においては、個人や顧客情報など機密情報の漏えいリスク

2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが3月28日に、同件の調査報告書を公開した。調査によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用しており、侵入経路となったVPN機器は脆弱性が放置されているなどずさんな管理体制だったことが分かった。 問題が発生したのは22年10月31日。電子カルテシステムを稼働させていた基幹システムサーバがランサムウェアで暗号化され診療を制限することになった。完全復旧したのは23年1月11日。被害額は調査と復旧で数億円。診療制限で十数億円に及ぶという。 攻撃者は同センターが患者給食業務を委託している業者経由でシステムに侵入したとみられる。給食事業者に設置されていたVPN機器は脆弱性が放置されていたため、侵入経路になったという。 攻撃者は給食事業社のシス

2022年12月15日、日本を訪れたAppleのティム・クックCEOが岸田文雄首相と会談した。この時、首相はiPhoneへのマイナンバーカード機能搭載の協力を要請し、クックCEOは「取り組みたい」と前向きに回答すると同時に、日本政府に利用者のプライバシーやセキュリティ保護が損なわれる規制の再考を頼んだという。 Appleにマイナンバーカード搭載を要求しつつ安全性下げる規制を強要 賛否あるマイナンバーカードではあるが、最近では前橋市で交通ICカードとマイナンバーを連携させて交通費の市民割引を受けられる実証実験が始まるなど、同カードがあるからこそ提供可能な公共性と利便性の高いサービスの実例を少しずつ増やしている。 カード普及に反対する人たちも、不安なのは自分たちの個人情報が悪用されずキッチリと守られるかという部分であって、自治体で受けるサービスの円滑化や、給付金などの支払い期間の短縮に異を唱え

正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認証はもう終わり！時代はパスワードレス認証ですよと言い続けてはや数年経ちましたが、最近こんなプレスリリースが出ていました。 prtimes.jp すべての人にとってウェブをより安全で使いやすいものにするための共同の取り組みとして、Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium（以下、W3C）が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。 何やら大ごと感ありますが、3行でまと

トヨタ自動車は28日、3月1日に国内全工場（14工場28ライン）の稼働を停止すると発表した。トヨタ車の部品をつくるサプライヤーがサイバー攻撃を受け、部品供給を管理するトヨタのシステムが影響を受けたため。2日以降に通常稼働に戻せるかどうかは精査中。日野自動車とダイハツ工業も同日、同じ理由で1日に国内工場を止めると明らかにした。トヨタがサプライヤーのシステム障害で全工場を止めるのは初めて。同社は2

いつものようにヘロヘロと仕事をしていると、突如担当編集の松尾氏からMessengerで「これに対するちゃんとした回答を書けるのは大原さんだなということで、また歴史物をお願いしたく」という依頼が飛び込んできた。 いやちゃんとした回答も何も、上のTreeで出題されたSEライダー氏が正解を出されているわけですが、歴史的経緯というか、ここに至るまでの話というのが長い訳で、その辺りを少し説明してみたいと思う。 ちなみに出題に少しだけ違和感がある（なぜ10bitがキリがいいと思うのか？）のは、筆者もこっち側の人間だからかもしれない。 回答の前に、その根底にある2進数採用の経緯 そもそも非コンピュータ業界の方からすれば、2進数がベースという辺りから違和感を覚えるのではないかと思う。実際、世界最初の計算機（≠電子計算機）とされる「バベッジの階差機関」（写真1）にしても、世界最初の電子計算機（※1）であるE

日本でもサービスを展開している中国のオンライン通販サイト「AliExpress」で小型のピックアンドプレースマシンを購入したところ、最初からマルウェアがインストールされていたあげく、AliExpressから何の対応も得られなかったとの体験談が公開されました。 Zheng Bang ZB3245TSS Pick & Place Machine - Custom Electronics, PWM Circuits, Induction Heating, and DIY Science Projects https://www.rmcybernetics.com/general/zhengbang-zb3245tss-pick-place-machine DIY製品などを手がけるイギリスの電子部品販売サイト・RMCyberneticsは2021年12月に、製品の少数生産や試作品の開発に使うためA

Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f その昔コピペできない文章というものがありました。 実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。 さて、最近になって似たような攻撃に関する論文が公開されました。 人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。 ただ論文は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。 平易に解説している記事があったので紹介してみます。 以下はDotnetsafer( Twitter / GitHub / Web

「CEOに身代金を要求したい」 こんにちは、PSIRTマネージャのただただし（tdtds）です。この記事はfreee Developers Advent Calendar 2021 18日目です。 freeeにjoinしてから早くも14ヶ月がすぎました。freeeでは毎年10月に全社障害訓練をしていて、昨年は入社したてで右も左もわからないままAWS上の本番環境（のレプリカ）に侵入してDBをぶっ壊す役目をさせられたのも良い思い出です*1。 で、上の「CEOに身代金を要求したい」という物騒な相談は、今年の訓練計画の話です。話を持ち掛けてきたのはCIOの土佐。昨年は主要サービスが落ちて、開発チームが対応にあたる中、ビジネスサイドも顧客対応などで訓練参加しましたが、今年はさらに、経営サイドまで巻き込もうというゴール設定がされたわけですね。腕が鳴ります。 ゴールは「CEOに4BTCを要求する」 ゴー

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTは10月21日、東京オリンピック・パラリンピック期間中のサイバー攻撃が約4億5000万件に達したものの、大会運営に影響を及ぼす重大インシデントの発生は皆無だったと報告した。 期間中にNTTは、放送用回線（1万1900km）や大会用データ回線（5100km）、Wi-Fiアクセスポイント（1万1000カ所）、電話機（携帯／固定2万台強）などの通信インフラを提供。のべ1万人あまりのグループ社員が運用などを担当したという。 サイバー攻撃では、マルウェアによるシステム稼働の影響など、大会運営を妨害する脅威が事前に想定され、セキュリティ対策を講じたとする。大会組織委員会は、2019年3月からセキュリティ監視センター（SOC）を運用し、期間中は

便利で安価なIoTデバイスが身の回りに増えた昨今、ホテルなど不特定多数が共用する施設においても、そうしたIoTデバイスを使ったサービスが増えつつある。しかし、設計段階でセキュリティ要件を十分検討しないまま製造されてしまったIoTデバイスも数多く、導入する側がセキュリティ対策を見落としたまま脆弱な状態で運用されているケースも少なくない。 今年8月に開催されたセキュリティカンファレンス「Black Hat USA 2021」では、そんな“IoT問題”の一例を紹介した講演セッションがあった。今回の前編記事ではその内容を紹介する。また後編記事では、その講演内容を筆者が現地で検証した結果をご報告し、この問題について考察してみたい。 快適なカプセルホテルに宿泊、のはずが……？ 今をさかのぼること2年前。仏セキュリティ企業LEXFOのセキュリティコンサルタントであるキャスパー氏（ハンドルネーム）は長期休

dragoner@2日目東サ46a @dragoner_JP コンビニ弁当生活がバズってますが、昔「可能な限りの食事をサブウェイのサンドイッチに置き換える」サブウェイダイエットを試したところ、1日に1食、多くても2食変えたのを2ヶ月くらい続けたら、健康診断の結果が劇的に良くなって医者に驚かれました。問題は流石に飽きちゃったんだけど… 2020-11-29 23:32:54 dragoner@2日目東サ46a @dragoner_JP サブウェイダイエット紹介するサイトとかだと、増量するなと書いてるけど、私はトマトやオニオン増やしてホットペッパー入れたりしても問題ありませんでした。1食300円くらいで手軽だし（ただ東京通ってた頃じゃないと店舗的にきつかった twitter.com/dragoner_JP/st… 2020-11-29 23:37:29

フェイスシールドやバルブ付きマスク、感染予防にはザルだったという研究2020.09.04 20:0077,738 Ed Cara - Gizmodo US ［原文］ （ 福田ミホ ） Image: Florida Atlantic University’s College of Engineering and Computer Science｜フェイスシールド（左）と、バルブ付きマスク（右）から漏れ出る飛沫。 やっぱり普通のマスクが一番と。 新型コロナウイルス対策でマスクが欠かせない日々ですが、マスクは息苦しいって人も多くいます（とくに欧米では）。それで代替としてプラスチックのフェイスシールドを着けたり、通気用バルブのあるN95マスクを使ったりする人もいるんですが、新たな研究によると、こういう代替手段では装着した人からの飛沫が相当漏れ出ているようです。上の画像の左がフェイスシールド、右が通

政府は今秋にも米国や欧州、東南アジア諸国連合（ASEAN）と共同のサイバー演習を主催する。電力や水道など重要インフラを狙うサイバー攻撃を想定し、手口や対処策を迅速に共有する。平素から連携し、脅威を増す中国やロシアのサイバー攻撃に備える。演習は米国や英国、フランス、ASEAN10カ国など20カ国以上の参加を見込む。この規模のサイバー演習を日本が主催するのは初。新型コロナウイルスの拡大で往来が難し

メディア関係者向けお問い合わせ先 メールでのお問い合わせ: pr-jp@google.com メディア関係者以外からのお問い合わせにはお答えいたしかねます。 その他すべてのお問い合わせにつきましては、ヘルプセンターをご覧ください。