滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。(実装ミスは問題外として) カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは?ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA(通常は画面に出ない) リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード
羽田発米子行きANA機、着陸時に対地接近警報装置が作動 重大インシデントに認定 - TRAICY(トライシー)
全日本空輸(ANA)は、4月7日の東京/羽田発米子行きのANA389便(ボーイング737-800型機、機体記号:JA69AN、ANAウイングス運航便)でGPWS(対地接近警報装置)が作動し、国土交通省が重大インシデントに認定したと発表した。 同便は、東京/羽田を午後8時9分に出発。午後9時25分ごろに米子空港沖の湖上を着陸進入中、低高度になりGPWSが作動したため、手順に則り再上昇し、着陸をやり直した。 同便は1度目の着陸に向けた降下の際、滑走路への進入角度が合わず着陸をやり直していた。旋回をしながら2度目の進入態勢に入った際、早期に降下を開始したことで低高度となったという。同便は午後9時34分に着陸した。乗客132名と乗員6名の計138名にけがはなかった。 ANAでは詳細を調査中で、「当該便にご搭乗いただいておりましたお客様をはじめ、関係者の皆様には、ご心配ならびにご迷惑 をおかけいたし
米ボーイング、787型機の操縦席点検を要請 航空各社に
3月15日、米ボーイングは、同社の中型機「787」が飛行中に機体が急降下する事故が発生したことを受け、787を運航する航空会社に操縦室の座席のスイッチを点検するよう要請した。写真はソーシャルメディアに投稿された、南米ラタム航空の機体の、破損した天井。11日撮影(2024年 ロイター/Brian Adam Jokat) [ワシントン 15日 ロイター] - 米ボーイング(BA.N), opens new tabは15日、同社の中型機「787」が飛行中に機体が急降下する事故が発生したことを受け、787を運航する航空会社に操縦室の座席のスイッチを点検するよう要請した。
ANAグループ2社、羽田空港ランプ内の運転免許試験で不正 - TRAICY(トライシー)
ANAホールディングスは、羽田空港ランプ内運転免許試験で、グループ2社で不正行為があったことを明らかにした。 全日本空輸(ANA)とANAエアポートサービスで、社員が教本を参照して回答していた。監督官庁が試験を務める正当な環境下で再受験し、合格した人は運転業務に従事している。 ANAでは、2022年8月から2024年2月の間に実施したオンライン試験で、受験時に車両安全運転教本の閲覧を許可されているものと誤認識し、受験者6名と監督者1名が不正を行っていた。 ANAエアポートサービスでは、2023年2月から12月の間に実施したオンライン試験で、一部の試験監督が受験者に対して教本の閲覧を認める案内をしたことにより、受験者72名と監督者2名が不正を行っていた。 ANAホールディングスでは、「このような事象を発生させたことを深くお詫び申し上げます。皆様の信頼を回復できるよう適切な受験を徹底してまいり
JALグループ2社、羽田空港ランプ内の運転免許試験で不正 - TRAICY(トライシー)
日本航空(JAL)は、羽田空港ランプ内運転免許試験で、グループ2社で不正行為があったことを明らかにした。 ジャルロイヤルケータリングとJALスカイで、社員が教本を参照して回答していた。国土交通省東京航空局東京空港事務所に報告するとともに、当該社員の運転許可を返納し、オンライン試験を中止した。 ジャルロイヤルケータリングでは、2022年10月から2024年1月の間に実施したオンライン試験12回のうち1回で、受験者2名と監督者1名が不正を行っていた。 JALスカイでは、2022年5月から2024年1月の間に実施したオンライン試験21回のうち4回で、受験者9名と監督者4名が不正を行っていた。 JALグループでは、コンプライアンス違反ならびに安全運航を阻害しかねない重大な行為として、コンプライアンス意識や安全意識の向上と再発防止に努めるとしている。
セキュリティ対策テストで職員のほぼ全員が引っかかって開封してしまった「卑怯すぎるファイル名」に同情の声「訓練でよかったな」
きんむいーにゃ @NTR66802653 セキュリティ対策テストで「給与変更のお知らせ」という添付ファイルついたメール送ってくるの卑怯すぎだろ 職員のほぼ全員が開封してしまった 2024-02-09 18:34:42
DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
Gmailで6年前の「警告」ついに現実化、1日4999件以下の送信でも駄目なものは駄目
「米国では、グーグルやヤフーといった大手が導入している。将来的には、『DMARCに対応していないところからのメールは受け取ってもらえない』といった状況になる可能性がある。まだ対応していない企業・団体は、DMARCの導入を検討してほしい」 上記は、筆者が2017年に執筆したDMARCに関する特集記事の結びに書いた文章だ。DMARCは、送信ドメイン認証の検証をパスした送信元ドメインと、メールの送信者アドレスのドメインを照合することで、送信者アドレスのなりすましを見抜く技術。6年の時を経て、DMARC対応の「義務化」がついに現実のものになろうとしている。 というのも、米Google(グーグル)が迷惑メール(なりすましメール)対策を大幅に強化した「メール送信者のガイドライン(Email sender guidelines)」を2024年2月から適用すると発表したからだ。 メールの送信者がこのガイド
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ(2024年1月23日 10:00更新) | さくらインターネット
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ(2024年1月23日 10:00更新) お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 「さくらのレンタルサーバ」および「マネージドサーバ」において、DKIM※1およびDMARC※2の対応を、2024年1月末日までに実施することを決定いたしました。 また、詳細な提供開始日が確定次第、改めてお知らせをいたします。 ■2024年1月23日 追記 2024年1月31日11:00から順次提供開始とすることが確定いたしました。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 ※1 DomainKeys Identified Ma
ソニー傘下企業がハッキング被害 ゲーム開発計画流出=米報道
ブルームバーグは12月19日、ソニー傘下のインソムニアック・ゲームズの130万件を超えるファイルが、ハッカー集団「リシダ」による身代金要求型ウイルス「ランサムウエア」を使ったハッキング攻撃を受け、インターネット上に流出したと報じた。2021年12月、ニューヨークの店舗で撮影(2023年 ロイター/Andrew Kelly) [19日 ロイター] - ブルームバーグは19日、ソニー(6758.T), opens new tab傘下のインソムニアック・ゲームズの130万件を超えるファイルが、ハッカー集団「リシダ」による身代金要求型ウイルス「ランサムウエア」を使ったハッキング攻撃を受け、インターネット上に流出したと報じた。流出した中にはゲームの制作計画や予算、発売予定のゲーム「ウルヴァリン」に関する情報が含まれていたという。 ブルームバーグは、「スパイダーマン3」「ヴェノム」「X―MEN」を題材
なぜ「ドコモ口座」のドメインがオークションに? ドコモの見解は(山口健太) - エキスパート - Yahoo!ニュース
NTTドコモが2021年に終了した金融サービス「ドコモ口座」のドメインが、オークションで落札されたことが話題になっています。 もしドメインが第三者の手に渡った場合、セキュリティ面での懸念が指摘されています。どうしてこうなったのか、ドコモに聞いてみました。 「管理の不手際」で有効期限切れにドコモ口座は、2020年に不正利用の問題を起こした後、2021年10月に「d払い」に機能を統合する形でアプリやWebサイトの提供を終了しています。 ところが、そのドメイン名である「docomokouza.jp」が、GMOインターネットグループが運営するオークションにかけられているとして、SNS上で話題になっていました。 ドコモがこのドメインを登録したのは2012年7月のこと。しかし2023年7月31日の有効期限までに更新手続きをしなかったとみられ、一定の猶予期間を経て、9月1日には所有者が「お名前.com」
「ドコモ口座」のドメイン、落札される 402万円で
NTTドコモが2021年にサービスを終了したウォレットサービス「ドコモ口座」のドメイン「docomokouza.jp」が、GMOインターネットのドメイン登録サービス「お名前ドットコム」にて出品されていた件について、オークションが9月25日午後7時15分に終了した。132件の入札があり、最終的に402万円で落札された。 ドコモ口座は2020年9月に不正送金問題が発覚し、一部機能を「d払い」に移したあと21年8月にサービス終了を発表した。しかし、今も金融機関などにリンク先が残されていることが多く、金融サービスのドメインが第三者の手に渡ってしまうことで、本物と同じドメインを持つ、ドコモ口座を装ったフィッシングサイトが出てくる可能性があることから、X(Twitter)などを中心にそのリスクを危惧する声が相次いでいた。 落札者などの詳細は不明。現在ITmedia NEWS編集部では、NTTドコモにド
マウイ郡の防災担当トップが辞任 山火事で警報不使用を正当化 | 共同通信
Published 2023/08/18 11:41 (JST) Updated 2023/08/18 14:36 (JST) 【キヘイ(マウイ島)共同】米ハワイ・マウイ島で起きた山火事で、住民に危険を知らせる警報サイレンを鳴らさなかったことを16日の記者会見で正当化していたマウイ郡の緊急事態管理局のトップが17日、辞任した。健康上の理由としている。マウイ郡が明らかにした。記者会見後、批判の声が強まっていた。 辞任したのはヘルマン・アンダヤ氏。避難した住民らから、山火事で被害が拡大したのは警報サイレンを作動させなかったためだとする指摘が上がっていた。16日の記者会見でアンダヤ氏は、サイレンは「主に津波用」だとして不作動は正当だとの見解を示した。 「市民はサイレンが鳴った場合は、高い場所へ避難するように訓練している。サイレンが鳴っていたら(山側の)火の中に逃げていた」とも説明。記者が「サイレ
米紙が報じた中国による日本の防衛ネットワークの侵害についてまとめてみた - piyolog
2023年8月7日(現地時間)、2020年頃に中国軍が日本政府にサイバー攻撃を行い防衛機密情報にアクセスしていたとして米国のThe Washington Postが報じました。ここでは関連する情報をまとめます。 日本政府のネットワーク侵害を米国が把握 発端となったのは、現地時間2023年8月7日付でThe Washington Postが報じた中国が日本の防衛ネットワークへハッキングを行ったとする当局者の話などを取り上げた記事。2020年秋に米国NSAが日本政府が侵害されていることを確認した後、米国が日本に情報提供をはじめとする本件への対応をどのようにとってきたか経緯や関連事案などをまとめたもの。同紙で国家安全保障やサイバーセキュリティの取材を行っているEllen Nakashima氏の署名記事。氏が面談した米国の元高官ら3人を情報ソースとしているが機密性が高いことからいずれも匿名での取材
在日米軍横田基地に爆破予告 従業員らに一時建物から退避指示 | 国内 | ABEMA TIMES | アベマタイムズ
在日アメリカ軍横田基地で爆破予告があり、基地内の従業員らに対し複数の建物から退避するよう指示が出されたと米軍メディアが伝えています。 【映像】避難指示があった横田基地 米軍メディア「星条旗新聞」によりますと、在日アメリカ軍横田基地に対し爆破予告があり午前11時過ぎ、地内の従業員らに対し複数の建物から退避するよう指示が出されたということです。 基地の報道官は「現実に起きた事件によって、基地関係者には警備担当者の指示に従うよう求めている」と話しています。交通量の多い国道16号線沿いの2つのゲートが閉鎖され、基地内の道路も閉鎖されたということです。 横田基地によりますと午後1時すぎ、「オールクリア」が発令され、すべてのゲートと道路は通常通り通行できるようになったということです。(ANNニュース)
Minecraft Mod/Pluginを対象としたマルウェア“fractureiser”
このマルウェアに関する情報は動きが激しいため、記事の更新が追いついていません。 最新の情報に関しては参考文献(英語)を参照してください。 現在、参考文献の翻訳プロジェクトを準備中です。 続報について、以下の動画の内容の一部に関して監修させて頂きました。非技術者向けの内容ですが、現状に関する説明が行われています。 現状について日本語で知りたい方は以下の動画を参照するのをおすすめします。 はじめに タイトルのママで、マイクラ工業界隈だとかなり話題になっています。 このマルウェアは、マイクラのMod/Plugin及びMod/Plugin開発者を対象としたかなり悪質で強力なマルウェアです。 当初はMod配布プラットフォームであるCurseForgeにおけるアカウントハックだとみられていましたが、それよりも遙かに恐ろしい事案でした。現在発見されているのはCurseForgeのみですが、Modrint
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
厚生労働省コロナ情報サイトのドメイン名、投資関連に転用か - 日本経済新聞
「Aterm」シリーズのWi-Fiルーターなど59製品に複数の脆弱性。対策や買い替えの検討を 
攻撃メールの訓練を会社でやったが、いくらなんでも本気出しすぎで引っかかる人が続出「ハンター試験?」
ドコモ口座ドメイン名流出の背景 企業・政府におけるドメイン運用の課題【鈴木淳也のPay Attention】
