グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ
サイバーセキュリティ企業のThreatFabricは2月、「Google Authenticator」アプリで生成された2要素認証(2FA)コードを盗み出す機能を備える「Android」マルウェアを初めて発見した。 このマルウェアは以前に発見されていた「Cerberus」の亜種。これまで2FAのワンタイムパスワード(OTP)を窃取する機能は備えていなかった。 Cerberusはバンキング型トロイの木馬とリモートアクセス型トロイの木馬(RAT)のハイブリッドだ。Androidデバイスが感染すると、ハッカーはマルウェアのバンキング型トロイの木馬機能を利用して、モバイルバンキングアプリの認証情報を盗み出す。 Cerberusは、アカウントが2FA(つまりGoogle Authenticatorアプリ)で保護されている場合に、攻撃者がRAT機能を通じてユーザーのデバイスに手動で接続できるよう設計さ
閲覧履歴たまるクッキー、個人特定防げ 新ルール適用へ:朝日新聞デジタル
政府の個人情報保護委員会は29日、ウェブの閲覧履歴がたまる「Cookie(クッキー)」と呼ばれるデータについて、第三者に提供すると利用者個人が特定される場合には、利用者の同意を取ることを提供者に義務づける方針を明らかにした。就活情報サイト「リクナビ」が就活生の閲覧履歴をもとに内定辞退率を分析し、企業に販売していた問題などを受け、個人情報が知らないうちに利用されることを防ぐねらいだ。 保護委はこの新ルールを、来年の通常国会に提出する予定の個人情報保護法の改正案に盛り込むことなどを検討している。 現行法では、クッキー情報単体であれば個人情報とはみなされない。このため、本人の同意がなくても、個人を特定しない形であればネット広告業者などが共有し、利用できる。広告業者は閲覧履歴から年齢層や興味などを推定し、趣味や嗜好(しこう)にあいそうな広告の配信に利用している。 一方、リクナビの問題では、リクナビ
セブン、全会員のパスワードを強制リセット 1650万人 - 日本経済新聞
セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しないと使えないようにする。【関連記事】セブン&アイ、セブンペイ不正利用で失ったもの7iDは不正利用された決済サービス「セブンペイ」や「セブン―イレブンアプリ」など傘下企業のスマホアプリだけでなく
休止中の「宅ふぁいる便」、パスワード確認・退会できる特設サイトオープン
「宅ふぁいる便」で、ユーザーのパスワードなど481万件が流出する問題が起き、サービスを休止している問題で、運営元のオージス総研は4月8日、既存ユーザーがパスワードを確認したり、サービスを退会できる特設サイトをオープンした。 大容量ファイル送信サービス「宅ふぁいる便」で、ユーザーのパスワードなど481万件が流出する問題が起き、サービスを休止している問題で、運営元のオージス総研(大阪ガス子会社)は4月8日、既存ユーザーがパスワードを確認したり、サービスを退会できる特設サイトをオープンした。データ暗号化などを行ってセキュリティを確保した上で、毎日午前9時~午後5時45分の時間限定で提供する。 特設サイトでは、(1)宅ふぁいる便に登録されているパスワードの確認、(2)退会の申し込み、(3)宅ふぁいる便ポイントの交換――が可能。宅ふぁいる便に登録したID・メールアドレスを入力すると届く認証コードを使
ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは?
by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB
新たなブラウザ攻撃手法が見つかる--ユーザーがウェブページを離れた後も有効
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ユーザーが感染したウェブページを閉じたり、そこから離れたりした後でも、ユーザーのブラウザ内で悪意あるコードを実行できる新しいブラウザベースの攻撃がギリシャの学者らによって考え出された。 「MarioNet」と呼ばれるこの新しい攻撃は、ユーザーのブラウザから巨大なボットネットを構築するための扉を開く。研究者によると、これらのボットネットは、ブラウザ内での不正な仮想通貨マイニング(クリプトジャッキング)、DDoS攻撃、悪意あるファイルのホスティング/共有、分散型のパスワードクラッキング、プロキシネットワークでの不正リレー、クリック詐欺の宣伝、トラフィック統計のかさ増しに使用できる。 MarioNet攻撃は、ブラウザベースのボットネットを作成
約27億レコードの巨大漏えいファイル「Collection#1」、解析で分かった日本の被害状況とは
ソリトンシステムズは2019年2月21日、企業や官公庁、自治体、各種団体の「漏えいアカウント被害調査」サービスを提供するために同社が実施していたサイバー空間の調査で、「Collection#1」と呼ばれる巨大な漏えいデータ群から、これまで漏えいが確認されていなかった日本人のアカウントを新たに発見したと発表した。 Collection#1は、2018年末ころにダークWeb上に出現した漏えいアカウント情報のデータベース名。2019年1月7日ころに、あるハッカーフォーラムにその存在が投稿された。ファイル形式が多様な1万2400以上のファイルから成り、26億9281万8238レコードの漏えいしたメールアドレスとパスワードのセットが格納されている。データ容量は87GB。 ソリトンシステムズによると、Collection#1には末尾が「.jp」のメールアドレスやファイル名が多く含まれており、同社はこれ
圧縮・解凍ソフト「WinRAR」にコード実行の脆弱性 19年前から存在
Check Point Softwareによると、この脆弱性を悪用すれば、被害者のコンピュータを完全に制御することも可能だったといい、5億人以上のユーザーが危険にさらされた状態だった。 セキュリティ企業のCheck Point Software Technologiesは2月20日、Windows向け圧縮・解凍ソフト「WinRAR」に19年前から存在していた脆弱性を見つけたと発表した。報告を受けてWinRARは2019年1月に公開した更新版でこの問題に対処している。 WinRARはRARやZIP形式のファイルの圧縮と解凍ができるソフトで、職場でもホームコンピュータでも広く利用されている。Check Pointによると、今回の脆弱性を悪用すれば被害者のコンピュータを完全に制御することも可能だったといい、5億人以上のユーザーが危険にさらされた状態だったとしている。 脆弱性は、WinRARでAC
Windowsファイアウォールを肥大化させている犯人は誰だ!
Windows 10 October 2018 Update(バージョン1809)を実行しているPCで、Windowsファイアウォールの「受信の規則」に「DNS Server Forward Rule……」から始まる似たような規則が大量に存在するのを発見しました。他のPCにはありません。何だか気持ちが悪いので調査開始! 山市良のうぃんどうず日記 膨大な数の「DNS Server Forward Rule -TCP」と「DNS Server Forward Rule - UDP」のペア Windows 10 バージョン1809のWindowsファイアウォール、正確には「セキュリティが強化されたWindows Defenderファイアウォール」(バージョン1803から“Defender”が付きました)の「受信の規則」で発見した大量の規則とは、次のような名称のものです。 DNS Server F
史上最大規模!8億近いメールアドレスが流出、あなたのアドレスは大丈夫? - iPhone Mania
8億近くのメールアドレスと2,100万件以上のパスワードをハッカーが流出させたと、セキュリティの専門家が発表しました。史上最大規模の個人情報流出事件とみられます。 【追記 2019/1/19 0:00】情報を補足し、一部の記述を修正しました。 過去最大規模の流出 セキュリティの専門家であるトロイ・ハント氏は、ハッカーたちのオンラインコミュニティで、数千ものWebサービスなどから盗み出された、約27億組のメールアドレスとパスワードが公開されているのを発見しました。 情報を掲載したハッカーは、自分たちの業績を誇るかのように「Collection #1(コレクション・ナンバーワン)」の名前をつけていました。 ハント氏が、データの重複や無効データを排除したところ、流出しているメールアドレスは7.7億件、パスワードは2,122万件にのぼることがわかりました。 ハント氏によると、個々の情報流出は小規模
TechCrunch
Two of the biggest groups to oppose robotaxi expansion in California are now formally working together. Teamsters 856, which is tied to one of the longest-standing labor unions in the U.S., and Ridesh With a massive $2 billion reported investment from Google, Anthropic joins OpenAI in reaping the benefits of leadership in the artificial intelligence space, receiving immense sums from the tech gian
buffalo.jpサーバーダウンによる通信障害に関するお知らせ
平素は弊社製品をご愛用いただき誠にありがとうございます。 2018年12月29日から2019年1月3日まで発生しておりましたbuffalo.jpサーバーの障害により、一部無線LAN親機をご利用の場合、インターネット接続ができない現象が発生しております。 インターネット接続ができない場合は、下記復旧方法をご確認頂きますようお願い申し上げます。 この度はご不便をおかけしましたことを深くお詫び申し上げます。
「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響 - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 広く普及している「SQLite」データベースエンジンにセキュリティ上の脆弱性が発見された。この脆弱性により、膨大な数のデスクトップアプリやモバイルアプリがリスクにさらされているという。 TencentのBladeセキュリティチームによって発見されたこの脆弱性が悪用された場合、被害者のコンピュータ上において悪意のあるコードの実行が可能になるとともに、それほど深刻ではないケースでもプログラムメモリのリークやプログラムのクラッシュが引き起こされる可能性がある。 SQLiteは膨大な数のアプリに組み込まれているため、この脆弱性はIoTデバイスからデスクトップソフトウェア、ウェブブラウザ、「Android」アプリ、「iOS」アプリに至るまでの広範
朝日新聞のTwitterアカウント、乗っ取られて詐欺の宣伝に使われる | スラド IT
11月5日に朝日新聞・新潟総局のTwitterアカウントが乗っ取られていたそうだ。このアカウントは、ビットコイン詐欺の宣伝に利用されたとみられる。朝日新聞は6日、日経xTECHの取材に対して乗っ取り被害を認めている(日経新聞)。 問題となっているビットコイン詐欺は、「送金した金額よりも多い額のビットコインを送り返す」などとうたってビットコインの送金を求めるもの。乗っ取られた朝日新聞のアカウントからは「I sent 1 BTC and got back 10 BTC!」「THANK YOU」「+10BTC」といった書き込みが行われていたようだ。 最近Twitterではアカウントを乗っ取ってビットコイン詐欺関連の広告Tweetを投稿する事件が増えており、6日には米出版社Pantheon Booksのアカウントが乗っ取られ、登録者名を「Elon Musk」に書き換えた上で詐欺Tweetを投稿する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報流出の危険性がある「放置アカウント」、いますぐ削除する2つのステップ
Engadget | Technology News & Reviews
MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される | スラド セキュリティ
情報漏えい被害が確認できる「Firefox Monitor」 - PC Watch
TechCrunch
LTEネットワークに新たな3つの攻撃方法が発見。自衛方法は「HTTPS化されたサイトだけアクセス」 - Engadget 日本版
