「背筋が凍る」強力なサイバー兵器盗まれたファイア・アイ
新型コロナウイルスの感染拡大が続く中、世界のいたるところでサイバー攻撃の被害も広がっている。 2020年12月7日には、スマホ決済サービスPayPayの加盟店を管理するシステムが不正アクセスを受けたと発表した。同社の公表資料によれば、最大で約2007万件の加盟店に関する情報が不正にアクセスされた可能性がある。 2000万件という数字に反応してしまうが、アメリカではさらに深刻な事案が起きた。 サイバーセキュリティ企業ファイア・アイ(FireEye)が翌12月8日、顧客企業の情報セキュリティのぜい弱性を評価するソフトが盗まれたと発表した。 同社は、大企業や政府機関を顧客として、サイバー攻撃への対策を提供している。9日付のBBCによれば、サイバーセキュリティ分野で最も急成長している企業の1社と言われている。 ファイア・アイは、名指しこそ避けたものの、攻撃者について「高度に洗練され、国家の支援を受
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
AWSがネットワークファイアウォール「AWS Network Firewall」をリリース
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Amazon Web Services(AWS)が新たなセキュリティサービス「AWS Network Firewall」をリリースした。これは、AWSのセットアップやアーキテクチャーの可視性を高め、ネットワークセキュリティを強化するマネージドセキュリティサービスになる。 この新サービスは、AWSコンソールを介してAmazon Virtual Private Cloud(VPC)環境でイネーブルでき、AWSのワークロードとサーバー全体にネットワーク保護のレイヤーを自動で追加する。スケーラビリティーも高く、ネットワークトラフィックの増加に対応できる。 ルールエンジンはカスタマイズでき、CrowdStrike、Fortinet、Trend M
パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る
不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。 WebAuthn に関しては、すでに数多くの記事が出ていますので
何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント
何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント:働き方改革時代の「ゼロトラスト」セキュリティ(7) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストアーキテクチャを構成する12の論理コンポーネントについて。 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。 ニューノーマル、テレワークといったキーワードとともに目にする機会の増えてきたゼロトラストについて、連載第5回からは、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポート「SP 800-207 Zero Trust Architectureを読み
GitHub、コードの脆弱性を検出する「Code Scanning」を全ユーザーに提供
GitHubによると、新機能のCode Scanningは、「全てのプルリクエストやコミット、マージを分析し、脆弱なコードが作成されるとすぐにそれを認識して、脆弱性が本番環境に入り込むのを防ぐのに役立つ」という。 脆弱性を検知すると、Code Scanningは開発者にコードの修正を促す。 Code Scanningの内部では、「CodeQL」が用いられている。CodeQLは、GitHubが2019年にコード分析基盤「Semmle」を買収し、そのプラットフォームに統合した技術だ。 CodeQLは、「code query language(コードクエリー言語)」の略で、大規模なコードベースの中から1つのセキュリティ脆弱性のさまざまなバージョンを検知するためのルールを作成できる汎用言語だ。 ユーザーにCode Scanningを利用してもらうため、GitHubのセキュリティチームは2000を超
SNS情報で国際的事件の謎を暴く「すご腕チーム」<ベリングキャットの衝撃(上) > | 欧州ニュースアラカルト | 八田浩輔 | 毎日新聞「政治プレミア」
ベリングキャットを創設したエリオット・ヒギンスさん=英中部レスターで2019年10月7日、八田浩輔撮影 インターネット上の公開情報を分析し、国際的な事件や事故の経緯をいち早く解き明かす独立系の調査グループ「ベリングキャット」が注目を集めている。ポスト真実の時代に市民と共に切り開くインテリジェンス(諜報〈ちょうほう〉)の新時代を3回に分けて紹介する。 ウェブ情報を分析して政府機関を超える 英国のほぼ中央に位置する人口30万人の都市レスター。ベリングキャット代表のエリオット・ヒギンスさん(40)が個人のオフィスとして使う表札もない小部屋には、雑誌が1冊だけ置かれた机とキャビネット、2脚の椅子しかない。「シンプルな部屋ですね」。そう私が口にすると、ヒギンスさんは「物が多い部屋は好きじゃない」と笑い、ノートパソコンを手に取った。「これとインターネットがあれば調査はできます」 レスターに暮らす元ブロ
41歳のゲーマー、部屋から一歩も出ずに権力者の不都合な真実を暴く(高木 徹) @gendai_biz
日本の状況は? 今回の取材対象は海外だったが、ひるがえって日本の状況はどうだろうか? それは視聴者のみなさまに判断をお任せしたいが、自戒を込めて私自身が感じたのは、こうしたネットを通じた積極的な調査報道という分野は、日本ではかなり遅れているのではないか、ということである。 インターネットと報道、という話になると、日本で先行しているのは新しいネットの報道プラットフォームの興隆という印象を持っているが、それは調査報道などコンテンツの充実ではなく、いかに他人のふんどしで相撲を取るかという話をしているように感じられる。 あるいは、「ファクトチェック」といったことが実践されることもあり、それはもちろん素晴らしいが、このオープンソース・インベスティゲーションのように、もっと積極的に、権力が隠蔽する真実を暴く、という「スクープ」にこだわる調査報道の王道に新しい手法を取り入れていくことはできないのだろうか
べリングキャット: 公開情報からすべてを暴き出す新しいジャーナリズム
要点オープンソースインテリジェンス(OSINT)を活用するべリングキャットは報道の新しい地平を切り開いた。バージニア州シャーロッツビルで反抗運動家を暴行した白人至上主義者を特定したり、イギリスのサリスベリーでロシアのスパイ仲間とその娘を殺そうとしたと疑われるロシアの諜報員の正体を暴いたりした。 OSINTの報道応用漏洩した文書や内部告発者へのインタビューは、常に調査ジャーナリズムの一部である。しかし、デジタル技術の台頭とそれに伴うデータの容易な利用可能性のおかげで、記者はこれまで以上に多くの方法でネタを得ることができるようになった。 オープンソースインテリジェンス(OSINT)という諜報の一種を活用し、入手可能なデータから物語を紡ぐインターネットの専門家は、バージニア州シャーロッツビルで反抗運動家を暴行した白人至上主義者を特定したり、イギリスのサリスベリーでロシアのスパイ仲間とその娘を殺そ
オープン・ソース・インテリジェンス - Wikipedia
この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "オープン・ソース・インテリジェンス" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL(2012年3月) オープン・ソース・インテリジェンス(英: Open-Source Intelligence)とは、合法的に入手できる資料を調べて突き合わせる手法である。OSINT(オシント)と略す。オープン・ソース・インベスティゲーション(公開情報調査、英: Open-Source Investigation)と呼ばれる事もある[1]。 1980年代から諜報・諜報活動で用いられるようになってきた[2]。他のヒューミント(HUMINT)やシギント(SIGI
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万
パラノイアのプログラマと第6感 - megamouthの葬列
今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化(暗号化)せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい
指定されたページが見つかりません。|Infoseekニュース
404 NOT FOUND 指定されたページが見つかりません。 お手数ですが、次のいずれかの方法でページをお探しください。 ブラウザの再読み込みを行う 入力したURL(ページアドレス)にタイプミスがないか確認する ブラウザの「戻る」ボタンを押して前画面からやり直す
NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係
NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係:働き方改革時代の「ゼロトラスト」セキュリティ(6) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、NISTによる「ゼロトラストにおける7つの基本原則」について。 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。前回は、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポートである「SP 800-207 Zero Trust Architecture(2nd Draft)」に書かれた内容を基に、今後ゼロトラストを論じる上で軸となり得る、米国政府が考えるゼロトラストの定義と実践の姿について考えまし
リバースブルートフォース攻撃とは?仕組みや危険性、対策について徹底解説
特定のIDに対して、あらゆる文字列の組み合わせをパスワードとして総当たりで攻撃する手法である「ブルートフォース攻撃」が知られています。これはパスワード認証が求められるシステムに対する攻撃手法としては歴史が古く、現在ではシステムの防御側で様々な方法で対策が取られています。 しかしこのブルートフォース攻撃を応用した「リバースブルートフォース攻撃」による不正なログインが確認される事例が増えてきています。今回はリバースブルートフォース攻撃に概要やブルートフォース攻撃との違い、そして具体的な対策方法について徹底解説します。 リバースブルートフォース攻撃とは、特定のパスワードと、IDに使用されている文字列の組み合わせを使って、総当たり的にログインを試みる攻撃のことです。 攻撃者は何らかのプログラムを使用して、システムに対して不正なログインを試みようとします。その際、パスワードの文字列を固定にして、ID
ドコモ口座を悪用した不正送金についてまとめてみた - piyolog
NTTドコモのドコモ口座を悪用し、不正に盗み出した口座番号、キャッシュカード暗証番号等の情報を使用した口座の不正利用が発生したと報じられました。ここでは関連する情報をまとめます。 勝手に作成したドコモ口座に送金 不正送金の手口 犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。 銀行預金者の名義でドコモ口座を開設。 入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web口振受付サービス」を利用 サービスを通じて口座預金をドコモ口座にチャージ。 Web口振受付サービスは銀行提携先のWebサイトを通じて口座振替の申し込み手続きができるサービス。 ドコモ口座不正利用の発表相次ぐ 当初被害報告が上がった銀行は七十七銀行だが、その後も複数の地銀で不正利用に関する案内が相次ぎ公開された。 ドコモ口座登録等の受付停止を行った銀行 35行、全ての銀行 不正利用(疑い含む)発
続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ
クラウドやモバイルデバイスのビジネス活用が急速に普及した現在、社内外のネットワークの境界が曖昧になりつつある。その結果、ネットワークセキュリティの概念も様変わりを見せている。これまで主流であった、ネットワークの内部と外部の間にファイアウォールなどの境界を設けて攻撃を遮断する「境界型セキュリティモデル」だけでは自社のIT環境を必ずしも守ることができなくなった。 そこで注目されているのが「ゼロトラストネットワーク」である。従来の境界型ネットワーク対策に代わるものとして、企業での導入が広がりつつある。しかし、このコンセプトを現場で適用する場合、思わぬ落とし穴が存在することはあまり知られていない。 以下の資料では、ゼロトラストネットワークを実装する際に気をつけなければならない課題を解説。その解決策を提示している。セキュリティ担当者は一読することをお勧めする。
テレワークのネットワーク渋滞を解消する鍵は「脱・VPN」(2) 企業の新たなセキュリティ境界線「SASE」とは?
企業の内側と外側の間に境界を引くことを前提としたアーキテクチャは、クラウドをはじめとするIT環境の変化に伴って陳腐化した。それに代わって今、SASEと呼ばれる新たなアプローチが注目され始めている。 境界に多層防御を重ねるというアプローチは時代遅れ 前回は、長年企業のリモートアクセス環境を支えてきたVPNが、IT環境の変化、テレワークの大規模化にともなって限界を露呈させたことを紹介した。 オンプレミスやデータセンターでの1点集中型の構成は、従業員がそのシステム内にいて、アクセスする先もオンプレミス環境という前提ではうまくいっていた。セキュリティ対策もその前提に沿って、境界に多層防御を重ねるというアプローチで実装され、VPNはその「内側の世界」に、外部の端末からアクセスする仕組みとして活用されてきた。 だが、IT環境が大きく変化した今、このアプローチは現状に追随できなくなっている。 まずは、利
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
BS世界のドキュメンタリー「ベリングキャット~市民が切り開く調査~20190813 - 動画 Dailymotion
