GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
3大イラッとくる入力フォーム
ペースト出来ないID/パスワード欄 4つに分割されてるクレジットカード番号入力欄 入力した後で記号は使えませんとか言ってくるパスワード欄 あと一つは?
セキュリティ相談を受けたときに引用したい記事集(WIP) - Qiita
セキュリティ相談を受けたときに引用したい記事・ニュース集・事例集 これは何? セキュリティ相談受けた際、過去のインシデントや事例などを引用して、「その対策必要なの?」というい疑問への説得力を持たせたりすることがあります。 が、その場で思い出せることは稀です。よく引用できていますが、「どっかにあった気がするんだけどな〜」と思って思い出せないことが7割くらいな気がします。 そんなことがないように、ここにまとめていきます。 いつかまとめたいと思っていたんですが、すぐ思い出せないので永遠に先延ばしにしていたので、未完成のまま公開します。 少しずつ思い出す度に増やします。 BetterThanNothingの精神です。 参考: https://www.youtube.com/watch?v=bnfPUrJQh1I 事例集 各種プロダクトのセキュリティガイドラインなど メルカリさんのgithub ac
なぜ、宅ふぁいる便は「暗号化」していなかったのか
大阪ガスの子会社であるオージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいしたことが明らかになりました。 「外部からの不正アクセスによる情報漏えい」だけならば、そう珍しいことではありません。けれどこの一件では、パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいます。このデータを手に入れた誰かが、わざわざデータを復号しなくても、そのまますぐに悪用できるからです。 既にあちこちで報じられていることから対応済みの方も多いと思いますが、もし宅ふぁいる便で使っていたものと同じパスワードを他のサービスでも使い回していた場合、速やかに変更する必要があります。 「なぜ、暗号化していなかったのか」を考察 さて、この一件では、「今どき、パスワードを暗号化せず、平文のまま保存しているな
必ずしも「ワンタイムパスワード=安全」ではない?
安全なログイン手法の1つとして使われるようになってきたワンタイムパスワード。ユーザー自身が覚えているパスワードと合わせてニ要素認証すれば、なりすまし攻撃も撃退できるし、安心、ですよね? え、違うの? 「必勝法」――ああ、なんて甘美な響きなのでしょう! 株で必ずもうかる方法。必ずギャンブルで勝てる方法。絶対にモテる方法……必勝法なる言葉はいつの時代も世の中にあふれ返っていました。 なぜ人類はそれほどまでに、「必ず勝てる方法」にこだわり続けてきたのでしょうか。よくよく考えてみれば、本当に勝てる方法があったらそもそも勝負自体が成り立たないから、あり得ないんですけどね、必勝法。 でも左脳ではそう理解できていても、右脳では性懲りもなく必勝法を追い求め続ける我ら愚かな人類。セキュリティ対策もそうで、新しい対策技術が出てくると「これぞ決定版!」「これさえ入れれば、もう未来永劫安心!」みたいに思い込みがち
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
