SMSで送信元を偽装したメッセージを送る
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア
KINEZOといえば、映画のチケット予約サービスだけれども、セキュリティー界隈では「数字4桁のログインパスワード」でお馴染みの有名所でもある。平成も終わりに差し掛かっているのにこれを貫いていることについては何と申せば良いのやら…。そんなKINEZOだが、今回は新宿バルト9で更なる深淵を覗いてしまったので、ここに書き記しておく。 暗証番号代わりのログインパスワード 昨日映画を観に行った所、生憎スマートフォンの調子が悪くてネットに繋がらなかったので、チケット発行用の予約番号は確認できたが、QRコードの確認ができなかった。そこで、予約番号からチケットを発券しようとした。 すると、求められたのはKINEZOのログインパスワード。 おいおい、ログインパスワードが暗証番号代わりかよ…。 と、その時点でセキュリティー的にアウトだろうとは思いつつも、仕方ないので入力する。が、どうにも通らない。暗証番号代わ
サイバー警察に家宅捜索を受けた際の体験談
はじめに これは、私が2018年4月に埼玉県警のサイバー警察に自宅の家宅捜索を受けた時の体験談です。 事実を出来るだけ詳細に記載致します。また、大変稚拙で恐れ入りますが私自身の正直な気持ちも一緒に書き留めています。 また、事件内容の詳細につきましては、警察に口止めされている上、私も捜査を妨害する意図などは全くなく捜査上の秘密が守られることは個人的にも大切だと理解し同意もしているので掲載しないこととします。 この記事の掲載目的は、主権者(納税者)である私以外の国民の皆様に、行政組織の1つである警察から私と同じような体験をして頂きたくないという点と、サイバー警察組織の現状を垣間見た一市民、一ITエンジニアとして私が感じたこと、体験致しましたことを皆様に共有させて頂ければと思い執筆させて頂きました。 登場人物の紹介 ここでは、少し話が長くなりますので先に登場人物をまとめさせて頂きます。 私:自営
Let's encryptとSSL/TLSに関する誤謬 - Chienomi
全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 そもそもSSL, TLSとは何か SSL/TLSは暗号化技術である。 SSL/TLSのデータ通信自体は対称暗号である。ただし、暗号化に利用する暗号鍵は使い捨てる。 Cipherはかなり色々使えるのだけど、だいたいはTriple DES (3DES)かAESが使われる。 その手順は <- HelloRequest -> ClientHello <- ServerHello <- ServerCertificate <- ServerKeyExchange <- ServerHelloDone -> ClientKeyExchange -> Finished -> ChangeCipherSpec <- Finished <- ChangeChiperSpec <-> Application Dat
パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
ルーターの設定情報改ざんについてまとめてみた - piyolog
2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。 ここでは関連情報をまとめます。 確認されている被害事象 (1) ルーターの設定情報が改ざんされる ルーター内部に設定されたDNS情報が改ざんされる。 DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。 (2) マルウェア配布サイトへ誘導される 改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。 一部サイト(Twitter,Facebookなど)は正規のIPアドレスが返されサイトへ接続できる。 誘導先の配布サイトではマルウェアのインストールを促す
パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
SSL/TLS サーバー証明書の基礎知識
動画で解説! PKI (Public Key Infrastructure)「公開鍵暗号基盤」とは Eコマース(電子商取引)が日常的になった今日、便利さの反面、顔が見えない相手との取引に起因するリスクも同時に存在しています。 取引情報を他人(第三者)が盗み見る「盗聴」、取引データ等の内容を書き換えてしまう「改ざん」、他人が当事者の振りをして取引を行う「なりすまし」、更にはこれら「改ざん」や「なりすまし」が生じたと思われる際に、「それは誰か他人が行ったものだ」と自らの商行為を否定する「否認」などが主なリスクとして挙げられます。 なりすましとはサイトの運営者や、関係者等相手になりすますことです。例えば、ECサイト運営者になりすまし、クレジットカードの番号や住所等の顧客情報等を取得し、悪用されたりする。 なりすまし
技術者でなくても分かる 電子証明書と PKI 入門 | シマンテック
SSL/TLS サーバ証明書 更新 セキュア・サーバ ID購入 グローバル・サーバ ID購入 セキュア・サーバ ID EV購入 グローバル・サーバ ID EV購入
セキュリティのトビラ(6) パスワードのトビラ(6) 不正ログインは誰の責任?
これまで5回に分けてパスワード突破の経路、突破の手法、リスト型攻撃の怖さ、そして、弊害を生む可能性があるルールについて解説させていただきました。今回はそれらを踏まえた上で、最後のパスワードのトビラを開けましょう。 著者プロフィール 辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社 セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。 また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。 Twitter: @ntsuji 不正ログイン被害は日常的に起きているわけですがこれらは誰の責任なのでしょう。 パスワード突破の中で最も厄介であると考えられる「リスト型攻撃」のターゲ
SSLとPKI・電子証明書ガイド|GMOグローバルサイン【公式】
SSL/TLSとは?詳細と必要性を簡単解説 SSLは、インターネット上のデータ通信を暗号化し、第三者による情報の盗聴や改ざんを防ぐ仕組みのことです。 SSLとは? SSLの使い方・必要性 SSLで防ぐ3つのリスク SSL導入の流れ
サイバー犯罪者は脆弱な社員を狙う--人が影響するセキュリティの実態
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 2016年に企業や組織で発生したデータ漏えい/侵害事件を分析した Verizonによれば、企業が直面する深刻な脅威がフィッシング攻撃であるという。従業員の14人に1人の割合でフィッシングに引っかかり、そのうち4分の1が何度もだまされてしまう実態が分かった。 同社のサイバーセキュリティ グローバル本部で戦略およびマーケティングを担当するJohn Loveland氏は、「現在のフィッシング詐欺は、ソーシャルメディアに公開された情報などを利用して非常な洗練された内容のメールを送り付けてくる」と解説する。 Loveland氏は、特に繰り返しだまされてしまう従業員が一定数存在する状況を懸念すべきだと指摘している。近年は、巧妙な内容のメールが標的型
武田圭史 » 【パスワードの定期変更1】〜まずは結論から
ここ2年ほど続けてきたパスワードの定期的な変更をめぐる日本での一連の議論について論点も出尽くしたように思われますので、これまでの議論の経過についてまとめておきたいと思います。まず最初に本エントリーにて私の認識を結論として記述しておきます。内容は当初より変わるものではありませんが誤解のないように自身のスタンスを明確にしておきたいと思います。 【結論】 パスワードを定期的に変更することによるセキュリティ上の効果に関する評価はケースバイケースであり、システムの用途や個々の利用者の利用形態によって意味がある場合もあればない場合もある。そのために一律に意味があるとも無意味であるとも言うことはできないと考えています。 また、私は「パスワードの定期変更は無意味」と言う表現を客観的事実についての表現として使用すべきではないと考えています。その理由は、こういった表現によって多くの事実誤認が生じていると感じて
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
WannaCry cyber attack - Wikipedia
WannaCry (WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptorなどの別称あり [3] ) は、 Microsoft Windows を標的とした ランサムウェア である。 2017年 5月12日 から大規模なサイバー攻撃が開始され、150か国の23万台以上のコンピュータに感染し、28言語で感染したコンピュータの身代金として 暗号通貨 ビットコイン を要求する [4] 。 概要 [ 編集 ] 確認されている最も古い感染例は、 2017年 4月25日 に トレンドマイクロ が確認した、 Dropbox のURLを悪用したもの [3] 。同年 5月12日 頃より本格的に感染を拡大した [3] 。 このランサムウェアは、 メール や ワーム など複数の方法によって感染し、 欧州刑事警察機構 が「前例のない規模」と発表する [5] ほど大規模であった。
世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog
2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。 ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。 インシデントタイムライン 以下は主に国内の関連事象を整理したもの。 日時 出来事 2016年9月16日 MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。 2017年1月16日 US-CERTがSMBv1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
not found
マカフィー株式会社 公式ブログ
TechCrunch | Startup and Technology News
Expired