楽天が「security.txt」を導入
楽天グループがWebサーバーに「security.txt」と呼ぶテキストファイルを置き、脆弱性▼情報の受付窓口としてVDP(Vulnerability Disclosure Program、脆弱性開示プログラム)を開始したことがSNSで話題になった。2023年10月2日のことだ。同社広報はこれを事実だと認めた。 security.txtは、米Apple(アップル)や米Google(グーグル)、米GitHub(ギットハブ)、米IBMなど、海外IT大手は既に導入している。一方、日本では少ない。security.txtとは何か、国内でなぜ普及しないのか、脆弱性情報の受け付けとの関連性は――。順に見ていこう。 セキュリティーが高まる理由 security.txtとは、当該企業が提供する製品やサービスの脆弱性情報を見つけた人が通知する窓口を示すためのファイルだ。その仕様は、インターネット関連技術の標
AWSでの法令に則ったログ設計及び実装/分析 - Adwaysエンジニアブログ
エージェンシー事業でリードアプリケーションエンジニアを行なっている大窄 直樹 (おおさこ)です. AWSのログ, サーバーのログってたくさん種類があって難しいですよね... 同じようなログがたくさんあるので, 何を取れば良いのかとか どのくらいの期間保持すれば良いのかとか またその後の, ログの実装や, 分析方法する方法も難しいですよね... 今回AWSに構築した商用アプリケーションのログを整備する機会があったので, このことについて書こうかなと思います. 概要 本題に入る前の準備 今回ログ実装するアーキテクチャ ログに関する法令 ログの取得箇所 設計 保管するログの決定 インフラのログ OSのログ アプリケーションのログ ログの保管 保管場所について 保管期間について バケット構造 アプリケーション, OSのログの転送 実装 アプリケーション, OSのログをfluentbitを用いてS3
Microsoft Teamsの認証トークンが平文で保存されていることからアカウント乗っ取りの危険性があると研究者が警告
オンラインビデオ会議ツール「Microsoft Teams」のデスクトップアプリで、認証トークンや多要素認証(MFA)をオンにしたユーザーアカウントに攻撃者がアクセスできる深刻なセキュリティ脆弱(ぜいじゃく)性があることが分かりました。 Undermining Microsoft Teams Security by Mining Tokens https://www.vectra.ai/blogpost/undermining-microsoft-teams-security-by-mining-tokens Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs https://www.bleepingcomputer.com/news/security/microsoft-teams-stores-
404 SECRET Not Found #29 まだディスク処分で消耗してるんですか?:404 SPAM Not Found
小飼弾です。ブロマガでお届けいたします。「ブロマガを」でなくて「ブロマガで」なのは、はじめは404 Blog Not Foundの方に書こうと思ったから。 しかしつっこみを入れたい元記事「大掃除でHDDを破棄するときは「初期化の方法」に気をつけて」がニコニコニュースということもあり、同じ会社がやってるメディアに掲載した方がいいかなと思い、ブロマガにしました。そういう経緯なので今回(は|も)無料です。 200 Any Questions OK Q. ディスクを安全に処分する方法 弾さんこんにちわ。来年結婚します。結婚にあたって独身時代の黒歴史も一緒に処分したいのですが、下取りに出すパソコンのディスクはどうしたらよろしいのでしょうか。さまざまな記事にあるように繰り返しゼロ書込みするべきなのでしょうか?それともやはり小渕先生のようにドリルで破壊するべきなのでしょうか?そうするだけの時間も螺旋力も
Appleが9月に修正したCatalinaの脆弱性は香港市民への攻撃に悪用されていたとGoogle
この攻撃ではmacOS Catalinaの脆弱性(CVE-2021-30869)を悪用し、Webサイトを訪れたユーザーの端末にバックドアをインストールしていた。このバックドアには侵入した端末を特定するモジュールが含まれ、音声を録音し、画面をキャプチャし、キーロガーをインストールする。 TAGは、この攻撃は、「国家の支援を受けている可能性の高い」グループによるものだという見解を示した。 関連記事 Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表 Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。 「iOS 12.5.5」セキュリティ更新 「積極的に悪用された可能性がある」脆弱性に対処 AppleがiPhoneの旧モデル対象のセキュリティ更新をリリ
Huaweiがオランダ最大の電気通信事業者を盗聴できる状態だったことが判明
by Open Grid Scheduler / Grid Engine アメリカから名指しで「国家保障上の脅威」に指定された中国の通信機器大手のHuaweiの従業員が、オランダの元国営電話会社であるKPNが敷設するネットワークの「管理者権限」を有していると判明しました。この一件を報じたオランダ紙のDe Volkskrantは「Huaweiは盗聴する能力を有していた」と報じています。 ‘Huawei beheert nog steeds de kern van het mobiele netwerk van KPN’ | De Volkskrant https://www.volkskrant.nl/nieuws-achtergrond/huawei-beheert-nog-steeds-de-kern-van-het-mobiele-netwerk-van-kpn~bbe353c2/ H
LinkedInから5億人分の個人情報が流出、自分のアカウントへの影響の確認方法と対策とは?
Facebookから5億人を超えるユーザーの個人情報が流出したことが報じられていますが、新たに、ビジネス特化型SNS「LinkedIn」からも5億人分の個人情報が流出し、ハッキングフォーラムで取引されていることが判明しました。 Scraped data of 500 million LinkedIn users being sold online, 2 million records leaked as proof | CyberNews https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/ LinkedInからの個人情報の流出は、セキュリティ関連メディアのCyberNewsがハッキングフォーラム上で「5億人分のL
“タイムスタンプ” 国の認定制度導入へ 書類の改ざん防止 | IT・ネット | NHKニュース
電子データで作成された書類の作成時刻を記録する「タイムスタンプ」と呼ばれるサービスについて、国による認定制度が新たに導入されることになりました。書類の改ざんを防ぐとともに紙で保存する必要をなくし、電子化を促すねらいがあります。 タイムスタンプは電子データによる書類が作成された時刻を記録し、書類の改ざんやねつ造を防ぐ技術で、すでにIT企業などがサービスの提供を行っています。 こうしたタイムスタンプのサービスについて、総務省が4月から新たに認定制度を導入することになりました。 サービスを提供する企業側から申請を受け付け、セキュリティーなどの基準を満たすかどうか審査したうえで、認定するとしています。 タイムスタンプが普及すれば紙で書類を保存する必要性も低くなるため、国による認定制度を導入することで、書類の電子化を促進したいねらいがあります。 武田総務大臣は閣議のあと、記者団に対し、「同様の認定制
トレンドマイクロの不正行為の続報。ついにMicrosoft から BANされてしまった模様 - Windows 2000 Blog
Microsft VS TrendMicro、マイクロソフトが トレンドマイクロのドライバをブロックすることで完結! MicrosoftはTrend MicroドライバーをBANし、Windows 10から Trend Microの RootkitBusterが削除されました。マイクロソフトとトレンドマイクロの間で起こったドライバー大戦に勝っているのは誰でしょうか? この1つのWindows 10ドライバー大戦は、技術専門家に気付かれずに行われていました。MicrosoftとTrend MicroはWindows 10のドライバーをめぐって争っていました。それはすべて、利害関係のない研究者であるBill DemirkapiがTrend Microの先端であるWindows 10ドライバーが品質保証テストに失敗したことを発見したのが始まりでした Demirkapiは、トレンドマイクロのRoo
差し込むとマルウェア感染するUSBデバイスが届いた事例についてまとめてみた - piyolog
2020年3月26日、TrustwaveはUSBデバイスを用いたサイバー攻撃の事例を解説する記事を公開しました。またFBIは郵送で届く不審なUSBデバイスについて注意喚起を行いました。ここでは関連する情報をまとめます。 届いたのはUSBメモリ? 今回の手口は米家電量販店(BestBuy)からの50ドルのギフトカードのプレゼントに見せかけた郵送物で確認された。 日頃の利用への感謝を記した手紙で、USBメモリ(に見えるデバイス)が同梱。ギフトカードが使用できる商品をメモリ中のリストから選ぶよう指示する内容。 ZDnetの記者によれば、米国内のホスピタリティ企業で確認されたもので受け取った側がこれに気付き結果的に攻撃は失敗したという。 届いた郵送物、2020年2月12日付(Trustwave記事より) 差し込むとマルウェア感染 TrustwaveがこのUSBデバイスを差し込んだ後に起こる事象につ
パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論
研究者によると、パスワードが簡単に抽出されてしまいかねない問題が各ツールに見つかった。しかしそれでも、パスワード管理ツールを使った方がいいという前提は変わらない。 米セキュリティコンサルタントのIndependent Security Evaluators(ISE)は2月19日、Windows向けの主要パスワード管理ツールに関する調査結果を公表し、調査対象とした全てのツールでパスワードが簡単に抽出されてしまいかねない問題を発見したと伝えた。 ISEによると、調査対象としたのは「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」の各ツール。それぞれについて詳しく調べた結果、各ツールともメモリ管理に問題があり、たとえロック状態にあったとしても、攻撃者によってパスワードが取得されてしまう恐れがあることが分かったという。 「ロック状態」は、ユー
鍵マークへの過信は禁物、フィッシングサイトの半数はHTTPS対応
従来、Webブラウザーに鍵マークが表示されていれば、そのサイトは安全だとされてきた。つまり、TLS(トランスポート・レイヤー・セキュリティー)に対応しているかどうかが重要だった。 だがその常識は崩れ去った。セキュリティーベンダーの米フィッシュラブズ(PhishLabs)によれば、フィッシングサイトの半数はTLSで通信できるというのだ。TLSはWebなどの通信を安全にする技術(プロトコル)。TLSを使ったWebの通信は「HTTPS」と呼ばれ、URLは「https://」で始まる。 フィッシングサイトとは、フィッシング詐欺に使われる偽サイトのこと。フィッシング詐欺は、有名企業などをかたる偽のメールでユーザーをフィッシングサイトに誘導し、パスワードやクレジットカード番号などを入力させて盗むサイバー犯罪のことである。
iPhone版ウイルスバスター、買ってもインストールできない状況が続く - BCN+R
【日高彰の業界を斬る・30】9月21日、家電量販店のスマートフォン売り場はiPhone新モデルの発売に沸いていた。しかし、売り場に多数並ぶスマホ関連商品の中、トレンドマイクロのセキュリティソフト「ウイルスバスター モバイル」は深刻な問題を抱えていた。購入しても、iPhoneへのインストールができないのだ。 (以下、本稿は9月21日時点の情報に基づき執筆) 9月12日、iOSの「App Store」およびmacOSの「Mac App Store」を通じてトレンドマイクロが提供している全アプリが、両ストア上から削除された。一般ユーザーがiOSのアプリをインストールする方法はストア経由に限られているため、ストアでの公開が再開されない限り、店頭でウイルスバスター モバイルのライセンスを購入しても利用できない。個人向け製品だけでなく、企業が従業員の端末管理に使う「Trend Micro Mobile
「中華ウェブカメラ」のセキュリティについて - 黒林檎のお部屋♬
黒林檎です。 今日は、IPカメラをハッキングしていこうと思います。 ◆最初に 巷で話題のIPカメラ『VSTARCAM Mini WIFI IP Camera 技術基準適合認定済み有線/無線LAN対応ネットワークカメラ C7823WIP』をハッキングして、どんなセキュリティリスクがあるか考えていきたいと思います。 hardshopper.hatenablog.com 最初に疑ったことはスピーカーの破損によるシステム音声のボヤきだったので、ウェブカメラで再生される音声データを抽出してみましたが、該当しそうな音声データはありませんでした。 中国カメラ音声 - Google ドライブ 金曜日にこんな面白い話が降ってきたので、速攻ポチって買いました。 同じシステムを使っているカメラを購入してハッキングしていたので、そこまで時間掛けずにハッキングできるだろうといったところでした。 (図)IPカメラ 私
人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ
通信の安全を保証するプロトコル「HTTPS」が採用されているURLの表記が正しければ、それが正規サイトだと認識するのは自然なことですが、ブラウザのURL表記上からは見抜けないフィッシング詐欺の危険性が指摘されています。このフィッシング詐欺は「homograph attack(ホモグラフ攻撃)」を進化させた手法を用いており、ブラウザに内在する脆弱性を突いたもので、人間が画面表示から詐欺サイトであることを見抜くことは不可能。現実問題として「ブラウザ側の対応を待つしか対策法はない」と言える状況です。 This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.htm
オープンソースSSHクライアント「PuTTY」、トロイの木馬版が見つかる--データ窃盗の恐れ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報を盗むトロイの木馬が含まれたバージョンのオープンソフトウェア「Putty」のクライアントが出回っていることが明らかになった。 Symantecの研究者によれば、開発者のプライバシーや安全性を侵害する可能性のある、オープンソースSSHクライアントPuTTYの非公式バージョンが配布される事例が見つかっている。 Simon Tatham氏が開発したPuTTYは、世界中のウェブ開発者、管理者、ITスタッフに利用されている。このクライアントは協調作業やITプロジェクトの作業で使われており、暗号化された接続を通じてリモートサーバに接続するのに使用される。 しかし、今回はPuTTYのオープンソースであるという性質が悪用された。 トロイの木馬バージ
スマホのアプリで運転免許証を提示できるのってあり? なし?
スマホのアプリで運転免許証を提示できるのってあり? なし?2014.12.14 20:00 junjun スマホで運転免許証が提示できたら、車を運転する人にとっては、何気に便利そうですよね? 2015年中に、アメリカの運輸省が運転免許証とIDを表示してくれる公式アプリを提供することが明らかになり、手始めにアイオワ州から適応されるようです。 運転免許証といえば、運転する時以外でも身分証明としての役割もしてくれるので、特にお財布を持ち歩かない生活を送りたい人にとって、運転免許証をスマホで提示できるのは理想的ですよね。 米運輸省の主任Paul Trombino氏の話では、もちろん現在のような物理的な運転免許証が一番正式なものだということは変わらず、アプリはあくまでも補助的存在だとか。そこで気になるのはセキュリティ面のこと。スマホを失くしたりハッキングされてアイデンティティーが盗まれる危険性が頭に
インターネットサービスプロバイダはメールの暗号化を勝手に解除していることが判明
By Jimmy Smith インターネットサービスプロバイダとはインターネットへの接続環境を提供する企業のことで、日本にはOCNやYahoo! BB、eo、BIGLOBEなどが存在します。インターネットに接続するには欠かせない存在であるインターネットサービスプロバイダが、暗号化された顧客のメールを勝手に暗号化解除してしまっている、という恐るべき事態が明らかになりました。 ISPs Removing Their Customers' Email Encryption | Electronic Frontier Foundation https://www.eff.org/deeplinks/2014/11/starttls-downgrade-attacks ここ数ヶ月の調査により、アメリカやタイのインターネットサービスプロバイダは、通信プロトコルを暗号化通信に拡張するための「STARTT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
個人情報保護委員会が公開の研修資料、「パスワードの定期的な見直し」にツッコミ相次ぐ【やじうまWatch】
TechCrunch | Startup and Technology News
