宮城県名取市は29日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できる。 兵庫県尼崎市で全市民約46万人分の個人情報が入ったUSBメモリーが紛失したのを受け、情報管理態勢のさらなる…
背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……
ユーザー名とパスワードを入力してください。ユーザー名、またはパスワードを忘れてしまった場合は、徳島県医師会までお問合せください。
ウィスキー、シガー、パイプをこよなく愛する大栗です。 先程のアップデートで CloudFront の IP アドレスが Managed Prefix List でサポートされました。これにより CloudFront を経由しない不正なアクセスを簡単に弾くことが可能になります。CMS など CloudFront を使う機会が多いサービスではぜひご利用ください。また CloudFront で AWS WAF を使ってセキュリティを向上している場合の迂回路を塞ぐことができます。 Amazon CloudFront now supports a managed prefix list CloudFront を経由しないアクセス 今まで AWS で CloudFront を経由したアクセスだけ強制させる場合は、CloudFront ではカスタムヘッダを付与して、その値を ALB や Web サーバで
当社より流出した過去の情報について 2022年1月14日 | プレス 株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、2021年11月2日、フリーマーケットで販売されていたハードディスクに当社内のビジネス文書が含まれていたことを、社外からの通報により確認いたしました。その後の通報者とのやり取りの結果、12月17日にハードディスクを回収し、流出経路、流出情報の調査並びに情報の拡散が無いことの確認が完了しましたのでお知らせいたします。 なお、この件につきまして、お客様はじめ多くのご関係先にご迷惑とご心配をおかけしますことを、深くお詫び申しあげます。 1.情報流出の経緯と概要について 2021年10月31日、フリーマーケットで購入したハードディスクに、当社のビジネス文書が入っていたという匿名の通報があり、その根拠として提供された一部のビジネス文書のスクリーンキ
ブクログサービスご利用者 様 いつもブクログサービスをご利用いただきまして、誠にありがとうございます。 この度、ブクログサービスにおいて、ソースコード上にメールアドレスが認識される状態にあるとのご 指摘を受け、事実関係を調査いたしましたところ、各ご利用者様の本棚ページのソースコード上にご利 用者様ご本人のメールアドレスが表示されている事実を確認いたしました。 本棚を公開されているご利用者様におかれましては、不特定な人物にメールアドレスを見られてしまう 可能性があり、直ちにメールアドレスが記載されている個所を削除いたしました。 皆様には、大変なご迷惑とご心配をおかけしましたこと、深くお詫び申し上げます。 現在のところ、本件によるメールアドレスの流出や被害は報告されておりません。 このような事態を招いたことを重く受け止め、個人情報の取り扱いには厳重に注意するとともに、今 後、このような事態を起
OpenAI co-founder and Chief Scientist Ilya Sutskever is leaving the company
企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していません。 Windows版のJohn
インターネットのショッピングサイトが改ざんされ、商品を購入しようとすると決済のときだけ偽の画面が表示され、クレジットカードの情報を盗まれる被害が相次いでいて、サイバーセキュリティー団体が注意を呼びかけています。 これは、去年半ばから被害が相次いでいる手口で、ショッピングサイトでクレジットカードを使って商品を購入しようとすると、決済のときだけ偽の画面が表示され、入力したカード情報などが盗まれます。 被害は東京の電子書籍販売会社や松山市のタオル販売会社など主に中小企業のサイトで起きています。 サイバーセキュリティー団体の「日本サイバー犯罪対策センター」によりますと、去年半ばからことし10月末までで、少なくともおよそ100の企業のサイトが改ざんされ、盗まれたカード情報は10万件に上るということです。 「日本サイバー犯罪対策センター」経済・金融犯罪対策チームの佐藤朝哉さんは「カード情報を盗まれても
HOME社会基盤センター報告書・書籍・ツール・教材報告書等8年ぶりの改訂、「非機能要求グレード2018」を公開 ~新たなセキュリティ脅威の増大などを踏まえ、ツール群を改訂~ 概要 独立行政法人情報処理推進機構 技術本部 ソフトウェア高信頼化センター(以下、IPA/SEC)は4月25日、2017年9月に発足した「非機能要求グレード改訂ワーキング・グループ」における成果をまとめ、「非機能要求グレード2018」を公開しました。 背景 非機能要求とは、ハードウェア、OS、ミドルウェア、データベースといった「システム基盤」の強度や品質に関する要求、ユーザインタフェースの操作性やソフトウェアの品質など「アプリケーション」に対する要求などをいいます。「非機能要求グレード」とは、前述した「システム基盤」の可用性や拡張性などの要求を明確化し、システムを発注する側(ユーザ企業)とシステムを開発する側(開発企業
それぞれのフェーズの詳細は以下のようになります。 当該アクセスキーを利用した不正な操作が行われる 流出したアクセスキーを利用し以下の操作が行われました。APIレベルの操作です。一連の操作はスクリプト化されているように見受けられます。 CreateAccessKey 流出したアクセスキーを利用し新規のアクセスキーを作成 DeleteAccessKey 流出したアクセスキーを削除 CreateUser IAMユーザーを作成(権限不足により失敗) CreateKeyPair 新規のアクセスキーを利用しキーペアを作成 RunInstances 全リージョンでインスタンスを起動 各リージョンで20のインスタンスが立ちあがる(起動上限はデフォルトのまま) m5.24xlargeなどインスタンスサイズが大きいものが優先される その後、起動したインスタンスにて仮想通貨Moneroのマイニングが行われました
.appというgTLDをご存知でしょうか。gTLDはgeneric top-level domainの略後で、ICANNが管理しているトップレベルドメインのことです。 有名どころでは.comや.net等があります。このブログのURLは https://kouki.hatenadiary.com ですが、この.comの部分がトップレベルドメインです。*1 このトップレベルドメインはICANNという組織が管理しています。2012年までは限られたトップレベルドメインしか存在しませんでしたが、2012年の公募では基準を定め、その基準を満たした団体は自由にgTLDを作ることができるようになりました。これ以降大量のトップレベルドメインが登録され、今では様々なドメインを利用することができます。 その中の一つ、appドメインが去年話題を呼びました。 appドメインはセキュアなドメイン そんなappドメイン
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
はじめに 既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。 ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。 閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。 その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。 このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。 不審な JavaScript 先日、不審な挙動を示す以下のJavaScriptを目にしました。 Cookieを含むいくつかの情報を king[.]connect
クレジットカード不正利用の背景には「ダークウェブ」の存在とbotの悪用がある。botの検知システムを利用することで、被害を未然に防ぐことが可能という。 連載:迷惑bot事件簿 さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。 昨年末、モバイル決済サービス「PayPay」で、クレジットカード登録時にセキュリティコードの入力回数に制限がない、という不備が見
2022/9/21 わかりやすく一覧にしてみた かれこれ15年以上 いくつかの代理店経由でコードサイニング証明書をとり、雑誌(ハッカージャパン・白夜書房)でも二度にわたり、コードサイニング証明書の取り方を解説してきた。その経験から、これまでの取材内容と合わせて、代理店・主要価格一覧をまとめてみたので、みなさんの参考になれば幸いである。 2022年版に際して(概況) CA(認証局)ブランドの集約が進み、Symantec、thawte、Verisign は DigiCert に一本化された。これと並行して旧ブランドを扱う代理店の契約改廃が進行し、新ブランドに移行しなかった代理店(コードサイニング証明書の扱いをやめた事業者)もあるようだ。 こうした背景から2022年の日本では、DigiCert、GlobalSignのハイブランド2社と、カジュアルブランドのSectigo、2021年末から円建ての
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景 WebサイトをHTTPS化する最も大きな理由は、インターネットの信頼性を維持することです。TLS技術の現状や、安全なHTTPS化に何が必要かを、ヤフー株式会社の大津繁樹氏が解説します。 「SEO対策のためには、WebサイトをHTTPS化しないといけない。」 —— そう聞かされて対応を迫られている技術者の方も多いのではないでしょうか? 確かに、Googleは「HTTPSページが優先的にインデックスに登録されるようになります」と表明し、HTTPS化されたWebサイトが同社の検索結果で有利になると示唆しています。はたして、WebサイトのHTTPS化が必要な理由は、SEO対策だけなのでしょうか? そして、それはGoogleという一社だけの意向で推奨されていることなのでしょうか? こうした疑問に答
2018/02/13追記:「サンプル用のドメインを使おう」の説明に “.example” と “.test” の使い分けについて追記しました。 Web システム開発時のテストデータを作成する時、また各種ドキュメントを書いている時など、サンプルの URL を使う場面は多いと思いますが、その時に適当なドメイン名を使うのはやめましょう、という話です。 知っている方には当たり前レベルの話ですが、意外と IT 企業のシステム開発現場等でも普通に見かけることがまだまだありますので・・・。 よく見かける例 例えば、こんなドメインの URL で開発中システムのテストデータを作っていたり、仕様書に説明が書かれていたりする場面をよく見かけませんか? test.comaaa.comabc.comsample.comdummy.comhoge.com でも、これらのドメインって存在していて、また実際に利用されてい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く