Amazon の 2段階認証 突破の噂についての仮説 と 2段階認証で意識すること【2FA/2SV/MFA】 - Qiita
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
IPAのサイトリニューアルに総ツッコミ 多くの旧ページが「404」、リダイレクトせず 「なぜこんな雑に」
情報処理推進機構(IPA)の公式Webサイトリニューアルについて、Twitter上で批判の声が上がっている。新URLへのリダイレクト設定がなく既存のリンクを開いても「404 Not Found」になっているとの報告が相次いでいる他、RSSがなくなって困るというユーザーもいる。 IPAが新サイトを公開したのは3月31日。「ユーザーがコンテンツを探しやすいよう導線を改善した」「スマートフォンやタブレットでの閲覧を想定してマルチデバイス対応をした」としている。 リニューアルによりURLの変更もあったが、新ページへのリダイレクト設定がなく、既存のリンクを開いてもコンテンツが表示されないケースが多発している。 例えばGoogle検索で「情報セキュリティ白書2021」を検索すると、検索結果トップに該当ページが表示されるが、リンクを開いても「お探しのページ・ファイルが見つかりませんでした」とのみ表示され
パスワードを紙で保存するのは危険? Twitter上で賛否 安全な管理方法をIPAに聞いた
パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品であることが見て取れる。投稿者がこの商品について問題提起したところ、他ユーザーから賛否両論のさまざまな意見が飛び交っている。 話題の商品は、手帳やノートなどのメーカーであるダイゴー(大阪市西区)が販売している「ID・パスワードブック」というメモ帳とみられる。2020年9月から販売されており、商品概要では「パスワード忘れやPCの故障やスマートフォンの紛失など、もしもの時に備えて記録しておくと便利」と紹介している。 このメモ帳を取り上げたツイートには8日午前11時半時点で、1万件以上のRTと約7.3万いいねが付き、大きな反響を集めている。ユーザーからは「やばすぎ、セキュリティとは」や「オシャレな情報漏えい」「大切なパスワードをまとめて他人
大規模接種ウェブ予約 架空の数字で登録可 券番号も、年齢も | 毎日新聞
防衛省の新型コロナウイルスワクチンの高齢者向け集団接種のインターネット予約サイト。任意の数字を打ち込むと予約が進められることが分かった=2021年5月17日 東京23区と大阪市の住民を対象に17日始まった新型コロナウイルスワクチンの高齢者向け大規模集団接種のウェブ予約で、実際の接種券に記載されていない架空の数字を入力しても予約ができることを、毎日新聞記者が複数の数字で確認した。予約の対象は65歳以上だが、65歳未満となる生年月日を入力しても予約できることも確認。架空の数字を使って予約枠を「占拠」することもできるとみられ、予約システムの信頼性が問われそうだ。 17~23日の予約は東京23区と大阪市に住む65歳以上の人に限定されており、地方自治体から送付された接種券の6桁の市区町村コード▽10桁の接種券番号▽生年月日――を打ち込んで、希望日と会場を予約する仕組みだ。
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」【訂正あり】
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理推進機構)は5月18日、取材に対し「一般論ではあるが、脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。 【修正履歴:2021年5月18日午後9時25分 IPAがITmedia NEWSの取材に回答したものであるため、表現を一部変更しました】 【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】 【訂正履歴:2021年5月21日午後1時 IP
海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ
海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ 顛末を記録した雑多なログになっているので整理されていない部分が多々あります. 2万文字を超えているので気合を入れて読むか適当に読み飛ばしてください. これでも不要な調査データを省いたりしてスリム化したのですが超巨大化してしまいました. 2018-11-07から自宅のネットワークの調子が悪すぎる 自宅のネットワークが死んでいました. J:COMの回線現在98%パケットロスするという状態になっています pic.twitter.com/Vfe0O3p5j2 — エヌユル (@ncaq) 2018年11月7日 今日の私 14時 サーバが落ちていることが通知される,サーバにDHCPがアドレス振ってくれてない 15時 ucomがついに死んだかと思いjcomに移行する 1
IPA曰く「ソフトウェア開発の生産性は年々低下傾向にある」 | スラド デベロッパー
ストーリー by hylom 2018年03月15日 16時35分 生産性を高めるために冗長な記述が求められる言語とフレームワークを導入すべきか 部門より 独立行政法人情報処理推進機構ソフトウェア高信頼化センター (IPA/SEC) は3月6日、近年のソフトウェア開発の傾向を分析した「ソフトウェア開発データが語るメッセージ2017」という資料を公開し、ソフトウェア開発の生産性は年々低下傾向にあるとの警鐘を発した(プレスリリース)。 この資料は2018年のソフトウェア開発データ白書用に収集したデータを元に作成されたもの。IPA/SECでは、新規開発プロジェクト全体におけるソースコード行数の生産性が年々低下傾向にあることに着目し、ここからソフトウェア開発の生産性が低下していると主張している。 データのさらなる分析の結果、この要因として「品質要求レベルが上昇している」「要員のスキルに低下傾向がみ
情報処理技術者試験の出題範囲を大幅に見直し、IPAが発表
独立行政法人の情報処理推進機構(IPA)は2012年5月22日、同機構が実施する情報処理技術者試験の出題範囲やシラバスの変更を発表した。出題範囲には、「クラウドコンピューティング」や「仮想化」、「標的型攻撃」といった項目が新たに加わり、リモートアクセスで使う「コールバック」や開発支援ツールの「CASE」などが削られた。例えば、IT関連の知識を広く問う午前の部の出題範囲では、従来の約680項目のうち約30項目が削られ、新たに約150項目が加わって約800項目になった。 大幅に見直されたのは、セキュリティ関連の用語。例えばこれまで「ウイルス」とされてきた用語は「マルウエア」に変わり、マルウエアの一つとして「コンピュータウイルス」や「ボット」「スパイウエア」といった用語が使われるようになっている。 なお、今回加わったクラウドコンピューティングや仮想化という項目は、過去の試験においても既に出題され
プレス発表 プログラム言語RubyのJIS規格(JIS X 3017)制定について:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)に設置したRuby標準化検討ワーキンググループ(委員長:中田 育男 筑波大学名誉教授)にて原案作成を進めてきたプログラム言語Rubyの技術規格書が、JIS規格、JIS X 3017として、2011年3月22日に制定されました。 JIS規格化されたことにより、Rubyの相互運用性(*1)が向上し、Rubyを用いてより生産性の高いプログラム開発・システム開発が可能になります。 概要 Rubyは1993年に日本で発案され、開発が開始された、日本発のプログラム言語です。豊富な機能と簡便さとを併せ持ち、高機能なアプリケーションを簡潔に記述できる等の特長から、セールスフォース・ドットコムや楽天など、国内外に有名な数多くの会社のアプリケーション開発やシステムの開発に用いられています。また、島根県や福岡県などは、Rubyを核とした地域ソフトウェア産
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
「IPAとして慙愧に堪えない」--仲田理事が会見で職員の情報流出事件を説明
独立行政法人 情報処理推進機構(IPA)の職員がファイル交換ソフトを用いた結果、コンピューターウィルスに感染し、情報を流出させた事件について、同機構が状況説明の記者会見を開いた。 IPA理事である仲田雄作氏は冒頭、経済産業省に赴き、事件について報告したことを明かした。同省からは再発防止策を講じるように強い要望を受けたという。 当該職員が流出させたファイルは現在把握できている分だけでも1万6208件にのぼる。そのなかには児童ポルノを含むわいせつ画像、職員が以前に所属していた企業の業務関連情報、その企業の取引先企業の業務関連情報も含まれている。 さらにファイル交換ソフトでジャストシステムのかな漢字変換ソフト「ATOK」をダウンロードしようとしていたことも明らかとなっている。 セキュリティ対策の普及、啓蒙を推進しているIPAの職員が今回の行動に至ったことについて仲田理事は、「ファイル交換ソフトは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
