「Dropbox詐欺」が始まった どうやって防げばよいのか
強力な「Dropbox詐欺」が現れた。これまでのビジネスメール詐欺と比べると検出が難しく、よりだまされやすくなっている。どのように対応すればよいのだろうか。 オンラインストレージサービス「Dropbox」を利用したビジネスメール詐欺(BEC)が急増している。Checkpoint Software Technologies傘下のAvananの報告によれば、2023年9月の最初の2週間だけで、このような攻撃が5440件も発生した。Dropboxをどのように悪用しているのだろうか、どうやって防げばよいのだろうか。 そもそもDropboxが悪いのだろうか 攻撃の手口は3段階に分かれる。まず攻撃者が無料のDropboxアカウントを作成する。 次に危険性のない文書を作成して、関係者のふりをして攻撃対象(ユーザー)と共有する。最後に狙われたユーザーにDropboxから「共有したコンテンツを誰かがクリック
偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
Chromeの鍵アイコンが今年後半に変更される予定。ほとんどの人が意味を正しく理解していなかったため | テクノエッジ TechnoEdge
著書に『宇宙世紀の政治経済学』(宝島社)、『ガンダムと日本人』(文春新書)、『教養としてのゲーム史』(ちくま新書)、『PS3はなぜ失敗したのか』(晋遊舎)、共著に『超クソゲー2』『超アーケード』『超ファミコン』『PCエンジン大全』(以上、太田出版)、『ゲーム制作 現場の新戦略 企画と運営のノウハウ』(MdN)など。 Googleは現地時間5月2日、ChromeがURLが「https://」から始まるサイトを読み込むとき、アドレスバーに表示される鍵アイコンを新たな「調整(tune)」アイコンに置き換える方針を発表しました。 まずデスクトップ版の全般的なデザイン刷新の一環として、2023年9月初旬にリリースされるChrome 117で登場。それと同時にAndroid版の鍵アイコンも置き換えられる予定です。 HTTPSとは、ブラウザがウェブサーバから情報を取得する際に使うプロトコル「HTTP」を
電話後にメールを送ってくるフィッシング攻撃についてまとめてみた - piyolog
2023年3月30日、名刺管理サービスを提供するSansanは、同社になりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。その後、この注意喚起に関連して実際に被害に遭ったとみられる企業が名刺管理システムからの情報流出の公表を行っています。ここでは関連する情報をまとめます。 運営会社になりすました人物から電話後にフィッシングメール 不正アクセス被害を公表したのは川崎設備工業。名刺管理システム上に登録された名刺情報6万6214件が流出した。名刺情報には氏名、会社名、役職、会社住所、電話番号、メールアドレス等が含まれていたが、公表時点では流出した情報の悪用(営業メールや電話等の発生)は確認されていない。 不正アクセスは2月13日の同社従業員への電話連絡から始まった。電話をかけてきた人物は、Sansanの従業員になりすまし、川崎設備工業からその従業員に対して2
PageSpeed InsightsがSEOスコアをレポート
[レベル: 中級] PageSpeed Insights が、パフォーマンスに加えて次の項目に関してもレポートするようになりました。 ユーザー補助 おすすめの方法 SEO Lighthouse と同じ項目を PSI でも監査 PageSpeed Insights で検証すると、ラボデータ(「実際のユーザーの環境で評価する」セクション)に「パフォーマンス」のスコアとともに ユーザー補助 おすすめの方法 SEO のスコアもレポートされます。 Chrome のデベロッパーツールや拡張の Lighthouse を利用すると同じ項目を監査できます。 PageSpeed Insights のラボデータは Lighthouse がベースです。 Lighthouse 相当にバージョンアップしたということですね。 📝すずきメモ: ラボデータに対して、「実際のユーザーの環境で評価する」はフィールドデータとも
嫌いな相手に糞尿を匿名配送するサービス「ShitExpress」から顧客情報漏れる。利用者のハッカーが脆弱性突く | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 気に入らない知人や何らかの理由で敵対する相手に対し、匿名で動物の糞尿にメッセージを添えて送りつけられるサービス「ShitExpress」が、サイトの脆弱性を突かれてデータベースをまるごとダウンロードされ、ハッキングフォーラムに公開される事態が発生しました。 ShitExpressのウェブページは日本語にも対応しており、そこには「あなたを悩ますあの人、この人を思い浮かべてみてください」、「もし、その人たちにクッサーいサプライズを贈ることができるとしたら?」と書かかれています。そして送りつけるウ〇コの種類(動物)や箱に飾りのスマイリーシールを貼付するか否かなどのオプションを選択して送付できるようになっています。価
高木浩光@自宅の日記 - 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た
■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している(今月10日23時59分まで)。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた(はてブの反応、スラドの反応)。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題
ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング
日経クロステック登録会員になると… ・新着が分かるメールマガジンが届く ・キーワード登録、連載フォローが便利 さらに、有料会員に申し込むとすべての記事が読み放題に! 春割キャンペーン実施中! >>詳しくは
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
東京都が病院にポスターはがしを依頼した真相、ドメイン取引の怖い話
「御迷惑をお掛けしまして申し訳ございません」。東京都健康安全研究センターが2021年8月に発表したお知らせは冒頭、この言葉で始まる。 QRコードからアクセスするサイトが東京都のものではないとして注意喚起を出した。1番右にあるカードのQRコード(赤い部分)脇には「東京都ホームページ」と書かれている お知らせによれば、同センターが2018年に配布した乳児ボツリヌス症の予防に関するポスターやリーフレットに掲載されていたQRコードを使用すると、東京都とは関係のないWebサイトに誘導されるという。 東京都はお知らせを出した後、ポスターを配布した病院などに対して、ポスターをはがすよう依頼した。これによりポスターを貼ったままの病院はなくなったという。ただ、2018年当時にこのポスターやリーフレットを取り上げたニュース記事や病院などのブログには、QRコードやQRコードを読み取って得られるURLが掲載された
初心者が扱いやすいセキュリティープラグイン『Wordfence』の設定方法
有料版は ・ファイヤーウォールルールとマルウェアシグネチャのリアルタイムアップデート(無料版は30日経過後にアップデート) ・サイトやIPアドレスが、スパムや悪質な行為を行ったためブラックリストに登録されていないか確認する。 ・接続元の国を指定してIPブロックすることができる。 ・無料版より更に高度なコメントスパムフィルタが利用できる。 ・WPのログインパスを2要素認証にすることができる。 です。 スパムやマルウェアは日々、新しい物が作られ、またその亜種もすぐに増殖すると言われていますが、30日間というタイムラグがどれほど危険度が増すのか不明です。 とは言え、30日経過後は、機能が若干劣るものの有料版で使われているものですからセキュリティー機能の向上に繋がるのは間違いないです。 不正侵入を試みる接続元は多岐に及びますが、中国やアフリカ諸国などが多いという傾向が見られるので、国を指定して接続
Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ | スラド セキュリティ
Let's Encryptがルート証明書の切り替えに向け、古いバージョンのAndroidへの対策をサイトオーナーとユーザーに呼びかけている(Let's Encryptのブログ記事、 The Registerの記事)。 5年前にLet's Encryptが立ち上げられた際にはIdenTrustのクロス署名を得たルート証明書「DST Root X3」を使用することで、メジャーなソフトウェアプラットフォームすべてで信頼される証明書をすぐに発行することが可能だったという。しかし、DST Root X3は2021年9月1日に失効する(ただし、実際に証明書を見ると有効期限は日本時間2021/9/30 23:01:15となっている)。他のCAからクロス署名を得た証明書を使い続けることはリスクが高いため、Let's Encryptでは既に独自のルート証明書「ISRG Root X1」を発行している。このル
【ドコモ口座】4ケタパスワードの分布と傾向
ACTIVE GALACTIC @active_galactic 悪巧みをする人間は賢いな.確かに口座番号・暗証番号・氏名の組み合わせは工夫すれば手に入ってしまう.口座番号を入力すると振込先の宛名を表示してくれるサービスはあるし,語呂合わせのような使っている人が多い暗証番号で口座番号を片っ端から試していくと,一定確率で貫通するだろう.>RT 2020-09-09 20:45:35 ACTIVE GALACTIC @active_galactic リバースブルートフォースアタック:物理学科のロッカーで暗証番号を137決め打ちで片っ端から試して,貫通したロッカーから貴重品を盗む泥棒を想像した.数学科なら1729とかだろうか. 2020-09-09 20:49:28
【セキュリティ ニュース】サイトの「問い合わせフォーム」を悪用する攻撃に警戒を(1ページ目 / 全3ページ):Security NEXT
ウェブサイトの閲覧者と円滑にコミュニケーションを取るために設置された「問い合わせフォーム」。こうした便利な機能を逆手にとってスパムを配信する攻撃が確認された。正規メールの配信に支障きたすおそれもあり、類似した攻撃に警戒が必要だ。 既報のとおり、千葉県船橋市の公式サイトで、フィッシングサイトと見られるURLを含んだメールを配信するため、問い合わせフォームの機能が悪用される被害が発生した。サーバ内部への侵入や改ざんなど許したわけではなく、正規に用意された機能の隙を突かれたかたちだ。 ウェブサイトにフォームを設置している場合、投稿後に正しくデータが送信されたか確認できるよう、入力内容の控えをメールで自動的に送信するしくみを導入しているケースがあるが、こうした「自動返信機能」が悪用されたものだ。
東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。
【2019/11/09 20:00】コメント・一部記述を追加。 【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。 【2019/11/10 17:50】大澤氏のコメントを追加。 【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。 【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。
崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない
個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。 だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。 米国の政府組織であるインターネット犯罪苦情センター(IC3)は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
中国製の電子タバコにマルウェアが仕組まれていた可能性
By Florian F. (Flowtography) さまざまな味のフレーバーを楽しめる上に、禁煙を手助けしてくれる「リキッド式電子タバコ」は海外で人気が上昇し、日本でも使用する人が増えているようです。電子タバコは専用のUSBケーブルで充電するタイプがほとんどなのですが、マルウェアに感染したPCの感染経路を調べたところ、電子タバコからUSBケーブル経由で感染した可能性が指摘されました。 The boss has malware, again... : talesfromtechsupport https://www.reddit.com/r/talesfromtechsupport/comments/2mkmlm/the_boss_has_malware_again/ Health warning: Now e-cigarettes can give you malware | Tec
TechCrunch
Two of the biggest groups to oppose robotaxi expansion in California are now formally working together. Teamsters 856, which is tied to one of the longest-standing labor unions in the U.S., and Ridesh With a massive $2 billion reported investment from Google, Anthropic joins OpenAI in reaping the benefits of leadership in the artificial intelligence space, receiving immense sums from the tech gian
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ネット詐欺から身を守るために。おさえるべき8つのポイント | ライフハッカー・ジャパン
