MY-TERRACE(マイテラス)マイテラスのコンセプト 「だれかのなにかに役立てる」をテーマに、Web制作者YoTaが気まぐれに更新する、趣味ブログです。読者さんがふらっと立ち寄り、なにか役に立つ情報を持ち帰られたら、一番の喜びです。 (祝!累計500万PV↑)
暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
Cookie の性質を利用した攻撃と Same Site Cookie の効果 | blog.jxck.io
Intro Cookie はブラウザによって保存され、紐づいたドメインへのリクエストに自動で付与される。 この挙動によって Web におけるセッション管理が実現されている一方、これを悪用した攻撃方法として、 CSRF や Timing Attack などが数多く知られており、個別に対策がなされてきた。 現在、提案実装されている SameSite Cookie は、そもそもの Cookie の挙動を変更し、こうした問題を根本的に解決すると期待されている。 Cookie の挙動とそれを用いた攻撃、そして Same Site Cookie について解説する。 Cookie の挙動 Cookie は、 Set-Cookie によって提供したドメインと紐づけてブラウザに保存され、同じドメインへのリクエストに自動的に付与される。 最も使われる場面は、ユーザの識別子となるランダムな値を SessionI
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(1/2 ページ) ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サー
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident(米国向け) Information on the Capital One Cyber Incident(カナダ向け) Frequently Asked Questions (1)影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
7payの不正利用についてまとめてみた - piyolog
セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 セブン&アイHD/セブン・ペイ 2019年7月1日 [PDF] セブン&アイのバーコード決済「7pay(セブンペイ)」本日サービススタート! 2019年7月3日 【ご注意ください】ID・パスワードの管理について(削除済み) 7payに関する重要なお知らせ [PDF] 7pay に関する重要なお知らせ 2019年7月4日 チャージ機能の一時停止に関するお知らせ [PDF] 「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について 2019年7月5日 「7pay(セブンペイ)」に対する不正アクセスの件(第3報)セキュリティ対策の強化を目的とした新組織発足の
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - エキスパート - Yahoo!ニュース
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
「セキュリティの基礎は無料で学べる」 ワンクリックで”リテラシー”高める無料教本
「セキュリティの基礎は無料で学べる」 ワンクリックで”リテラシー”高める無料教本:ITりてらしぃのすゝめ(1/3 ページ) ほとんどの人にとっては、ITセキュリティは難しいもので、勉強するのは面倒に感じるかもしれません。将来的に素晴らしい技術が登場して、私たちが何も気にしなくてもAIや機械がサイバー空間を守ってくれるようになる未来は必ずやってくると信じているものの、現状は私たち自身がサイバーセキュリティについて学んでいく必要があります。 いきなりセキュリティの達人になることはできなくても、「あ、これ聞いたことがあるな」と気付けるだけで、多くの脅威から身を守ることができます。 ならば、その「聞いたことがある」という状況にまでステップアップしてしまいましょう。これまでなら本屋に行って何か教本を買ってくるか、ネット上で調べるのが定番でした。いまやその第一歩が、無料の電子書籍で済んでしまうのですか
「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人の本をそこまで推すの……?」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン
WordPressプラグインを狙う攻撃が活発化している件をまとめてみた - piyolog
「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。 3月以降脆弱性が確認されたプラグイン 2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。 No 報告日 対象のプラグイン インストール数 バージョン 脆弱性 1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格 2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行 3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型) 4 2019/04/09 Visual CSS S
「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた
「なぜ、単なる十数ケタの数字の羅列が、個人情報として保護の対象になるのか、そこがさっぱり分からないんですよ。企業ごとの自主的な規制ではダメなんでしょうか…」 2015年3月10日に閣議決定した個人情報保護法の改正案(ITpro関連記事:個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲)を巡り、企業や経済団体の担当者から、取材の場でこうした疑問をぶつけられた。 担当者を困惑させているのが、個人情報の定義を明確化するという名目で新たに導入される「個人識別符号」という概念だ。個人の氏名だけでなく、政府や民間企業が個人に割り当てた符号(数字や文字)を含む情報も、個人情報として保護の対象になる。 企業や経済団体は、個人情報保護法改正案のどこに、違和感を覚えているのか。経済団体への取材を基に、改めて「符号を法的保護の対象にする」ことの意味について考えてみたい。 国会審議で明らかになった個人
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話 〜 1回目 〜 SSL/TLSとは | さくらのナレッジ
脆弱性報奨金制度で認定されづらいテキストインジェクション