外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検【読売新聞】 外交上の機密情報を含む公電をやりとりする外務省のシステムが中国のサイバー攻撃を受け、大規模な情報漏えいが起きていたことがわかった。米政府は2020年に日本政府に警告して対応を求め、日本側は主要な政府機関のシステムを点検
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
米紙が報じた中国による日本の防衛ネットワークの侵害についてまとめてみた - piyolog
2023年8月7日(現地時間)、2020年頃に中国軍が日本政府にサイバー攻撃を行い防衛機密情報にアクセスしていたとして米国のThe Washington Postが報じました。ここでは関連する情報をまとめます。 日本政府のネットワーク侵害を米国が把握 発端となったのは、現地時間2023年8月7日付でThe Washington Postが報じた中国が日本の防衛ネットワークへハッキングを行ったとする当局者の話などを取り上げた記事。2020年秋に米国NSAが日本政府が侵害されていることを確認した後、米国が日本に情報提供をはじめとする本件への対応をどのようにとってきたか経緯や関連事案などをまとめたもの。同紙で国家安全保障やサイバーセキュリティの取材を行っているEllen Nakashima氏の署名記事。氏が面談した米国の元高官ら3人を情報ソースとしているが機密性が高いことからいずれも匿名での取材
川崎市様における証明書誤交付ついて(お詫び)
川崎市様における証明書誤交付ついて(お詫び)2023年5月2日に川崎市様において、証明書交付サービスと戸籍システムを連携させるために当社が開発した個別連携システムの通信連携プログラム(以下、当該プログラム)不具合により、証明書交付サービスで申請された方とは異なる住民の方の戸籍全部事項証明書が発行されるという事象が発生いたしました。 川崎市様ならびに証明書交付サービスをご利用の皆様に多大なるご迷惑ご心配をおかけいたしましたことを深くお詫び申し上げます。 本事象の原因は、2か所のコンビニで、2名の住民の方が同一タイミング(時間間隔1秒以内)で証明書の交付申請を行った際に、後続の処理が先行する処理を上書きしてしまうことによるものです。本事象の原因となった当該プログラムの不具合は、既に修正および入れ替えを完了しております。なお、当該プログラムは川崎市様以外では使用されておりません。 当社はこれまで
やはりお前らの「公開鍵暗号」はまちがっている。
※タイトルの元ネタは以下の作品です。 はじめに この記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。 少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。 ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証(本人確認)をするためのプロトコルだと理解して読み進めてください。 公開鍵暗号の前に:暗号技術とは 公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。 これは情報の機密性を守るための「暗号化」という技術ですが、実は「暗号技術」と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。 念のため補足して
Googleから「セキュリティ通知」が届いたときは要注意!届く理由や対処法を解説
スマートフォンあるいはPCを買い替えたときなど、新しいデバイスでGoogle アカウントにログインしたり、パスワードの変更などを行ったりすると、Googleから「セキュリティ通知」が届くことがある。これは、他人による不正アクセスを防ぐためのGoogleによる取り組みだ。 自分でログインなどの操作を行っているなら問題ないが、心当たりがない場合には当然、注意が必要だ。誰かが不正ログインを試みている可能性がある。この記事では、Googleからセキュリティ通知が届いたときの対処法を紹介する。 【目次】 ■セキュリティ通知が届くタイミング ■セキュリティ通知が届いたときの対処法 ・セキュリティ通知に心当たりがある場合 ・セキュリティ通知に心当たりがない場合 ■アカウントのセキュリティを強化しよう ●セキュリティ診断を実施する ●2段階認証プロセスを有効にする ●再設定用の電話番号またメールアドレスの
IPアドレスの例示で xxx.xxx.xxx.xxx を使うな - Qiita
悲劇は起こった… ある日のLINE A氏「IPアドレスについて教えて欲しい!」 B氏「IPアドレスっていうのは xxx.xxx.xxx.xxx っていうフォーマットの…」 A氏「このリンクなに?」ポチー \フワーオ♡/ B氏(YABE) 何が起こったのか LINE や Twitter などの SNS は投稿されたリンクを自動的に飛べるようにしてくれます。 今回不幸なことに、この .xxx というドメインは存在し、xxx.xxx というドメインは登録されていました。 参考: ドメイン (domain)とは |「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典 ドメイン名の種類 JPNIC そして .xxx ドメインの用途はよりによって… 用途 登録対象 > アダルトエンタテイメント業界用 < >> アダルトエンタテイメント業界用 << >>> アダルトエンタテイメント業界
デジタル庁、報道機関向けのメール誤送信 アドレス400件をBCCではなくCCに記載
デジタル庁は11月24日、報道機関向けのメールを誤送信したことでアドレス400件が外部に流出したと発表した。BCC欄に記載するべきアドレスを、CC欄に記載していたのが原因。同庁は「今後は厳重に注意し、再発防止に努める」とコメントしている。 誤送信は同日午後2時40分ごろに発生。牧島かれんデジタル相が、デンマークとデジタル分野における協力覚書を締結したとするプレスリリースの送信時に、アドレスをCC欄に誤って記載した。このため、報道各社の担当者約400人分のアドレスが、同庁のメーリングリストの登録者には閲覧できるようになっていた。 デジタル庁は約4時間後の午後6時56分ごろに同内容のメールを再送するとともに、誤送信したメールを破棄するよう報道各社に求めた。 関連記事 JINS田中社長、バルミューダ株でインサイダー取引“疑惑” 専門家「立件されてもおかしくない」と苦言 JINS田中社長のバルミュ
HDDを完全消去して安全にパソコンを廃棄する方法
パソコンを廃棄するとき、よく注意点として挙げられるのが「HDDの内容は完全消去する」というものです。HDDのなかには、さまざまな個人情報が詰まっているための注意ですが、単にフォーマットをしただけではHDDの完全消去は不十分。復元ソフトを使うことで情報を盗み出すことも可能なため、月の方法でHDDは完全に内容を消去する必要があるのです。 HDD完全消去はフォーマットでは不可能 HDDを完全消去するといえば、まず再フォーマットを行うという方法を思い浮かべる人が多いでしょう。ところが、この方法で消去されるHDDの情報は、ディレクトリと呼ばれるファイルが格納されている場所を保管した部分のみで、肝心のファイル内の情報はそのまま残ってしまうのです。 再フォーマットを行ったHDDは、通常の方法でパソコンに接続しても空のHDDとして認識されます。しかし、ファイル復元ソフトを活用することにより、高い確率でデー
Hiromitsu Takagi on Twitter: "みんな絶対言わないだろから、私が言うしかない。 これはうっかり筆が滑ったというレベルではなく、電子署名の根幹から理解がおかしいことを露呈したもので、このレベルでの無理解は、全体設計への深刻な勘違いを産むし、己の無理解に無自覚であ… https://t.co/FhTeLclir6"
みんな絶対言わないだろから、私が言うしかない。 これはうっかり筆が滑ったというレベルではなく、電子署名の根幹から理解がおかしいことを露呈したもので、このレベルでの無理解は、全体設計への深刻な勘違いを産むし、己の無理解に無自覚であ… https://t.co/FhTeLclir6
児童全員同じパスワードで配布されたタブレットで起きた問題についてまとめてみた - piyolog
2021年9月14日、文部科学相はGIGAスクール構想の先進事例として町田市立の児童に配布されたタブレットがいじめに使われたことを明らかにし、*1 同日に文科省は東京都教委、町田市教育委に事実関係の確認を行った上で個人情報の管理状況が不適切であったと指摘しました。*2ここでは関連する情報をまとめます。 児童全員が同じパスワード 不適切な管理が行われていたのは町田市内の市立小学校で2019年5月に配布されたChromebook。具体的には次の問題があったことが週刊誌、新聞で報じられている。*3 *4 *5 *6 なお、町田市教委はPRESIDENT Onlineが報じた一連の記事に対して同社より取材を受けていないとして内容確認中とするコメントを行っている。*7 児童が端末起動時に使用する認証情報はIDは「所属学級+出席番号」、パスワードは全員「123456789」固定と第三者から容易に類推で
Amazonから注文していない商品が次々と届く、しかし代引きではない… - xckb的雑記帳
さて、先日から自分のもとに、全く身に覚えの無い謎の雑貨の類が次々とAmazonから届くようになった。これが代引きなら典型的な送りつけ詐欺なのだけれども、代引きではない。 そんな体験をしたことがあるだろうか。 と言うことで、このような現象が何を目的として、どのような人によって引き起こされているかの推理し、対応策を考えるのがこのブログ記事の目的だ。こんな感じの目次でいってみようか。 なにが起こったのか 突然送られてくる謎の商品 Amazonのカスタマーサービスに連絡 さらに次々と送られてくる不審な商品 再びカスタマーサービスに連絡 よくありそうな疑問への回答 配送拒否すればいいのでは? 返品すればいいのでは? 何が原因なのか 在庫処分説 ソーシャルハッキング説 仮説の検討 在庫保管にかかる費用 在庫保管制限 返送・廃棄にかかる費用 そもそものAmazonに出品するための手数料 以上の数字の分析
akira_you on Twitter: "ブラウザのアドレスバーで検索できて便利やん。でもね、会社でつかうのはやめとき。 mDNSで同じLAN居る人全員に、このアドレス知りませんか?って検索ワードで聞きおるで。 Firefoxは検索窓がアドレスバーの右にあるからアドレス… https://t.co/zhn1fKxxe2"
ブラウザのアドレスバーで検索できて便利やん。でもね、会社でつかうのはやめとき。 mDNSで同じLAN居る人全員に、このアドレス知りませんか?って検索ワードで聞きおるで。 Firefoxは検索窓がアドレスバーの右にあるからアドレス… https://t.co/zhn1fKxxe2
ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント(ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー)の作成、安全な取り扱い、
【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」【真偽不明】
まとめ 岸防衛大臣「AERA・毎日新聞は極めて悪質な行為」ワクチン予約欠陥報道に大激怒! えーw具体策が「市区町村コードが真正な情報である事が確認できるようにする等」ってこのまま突っ走るつもりなんかw 15536 pv 167 14 users 27
続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 (この内容は記事の最後にテキスト情報としても掲載しておきます) URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする
【共通用語】パスワードを電話で伝える時に間違えない方法:新倉茂彦の情報セキュリティAtoZ:オルタナティブ・ブログ
パスワードのPPAPですが「今さら感がありつつ」も、PPAP止められないからと電話でパスを伝えるという「最も古典的」で「伝え間違い」も起きやすい方法が発生しているようです。身近では聞きませんが... ネタとして面白いと思う一方で、本当にこんなことしてるのならば「確実な方法」を使うべきと思います。どんな業界にも専門用語的なものがあり、関係者全員が知っているので略語的な使い方でも伝わります。これ情報セキュリティ的にも隠語は使えます。セキュリティ的にどうよ?という事例を考える_会話編 共通用語の活用や用語の定義をしっかりしないと話が進まないことが多くあります。パスワードに関しては曖昧な文字はありませんが、その説明に曖昧な(明確でない)伝え方では話になりません。そもそも電話でパスを伝えることはないと思われるかもしれませんが、20年以上前から便利に使っております。まぁメール暗号化のような長ったらしい
Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「2年目になって泣きながら勉強してる」プログラミングに興味を持つのはいいが、これらの知識を先に入れておかないと入社したときに結構病む
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
