2012年の夏を振り返ったとき、LinkedInのハッキング事件について、かすかに思い出す方もいるのではないでしょうか。データが盗まれ、LinkedInの人々が気まずい思いをすることになった、あの事件です。 大規模なハッキングではありましたが（英語記事）、LinkedInは存続し、すべては徐々に平常を取り戻しました。 しかし、それも今日までの話です。2012年に流出したログインとパスワード1億1700万人分が、売りに出されているのです。特に不可解な（気がかりでもある）点は、売り出されているアカウントの数が、これまで考えられていたよりもずっと多いことです。 犯人追跡のためにLinkedInや当局がすべきことはいくらでもありますが、私たちが自分で自分の身を守るために、今すぐできることは何でしょうか。 LinkedInのアカウントを守るために、今すぐできることとして以下をお勧めします： 1: 一

総務省及び経済産業省では、サイバーセキュリティ戦略（平成27年9月4日 閣議決定）において、IoTシステムのセキュリティが確保された形での新規事業の振興やガイドラインの策定などの制度整備、技術開発などを進めることとしていることを踏まえ、IoTを活用した革新的なビジネスモデルを創出していくとともに、国民が安全で安心して暮らせる社会を実現するために、必要な取組等について検討を行うことを目的として、「IoT推進コンソーシアム　IoTセキュリティワーキングルループ」（座長：佐々木良一　東京電機大学教授）を開催しています。 今般、同ワーキンググループにおける議論を取りまとめたIoTセキュリティガイドライン（案）について、平成28年6月1日（水）から同年6月14日（火）までの間、広く意見を募集します。 総務省及び経済産業省では、サイバーセキュリティ戦略（平成27年9月4日 閣議決定）において、IoTシ

IPA（独立行政法人情報処理推進機構）セキュリティセンターは、無償で利用できる検索エンジン”Censys”（センシス）が2015年10月に新たに登場したことを受け、2014年に公開したテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を更新し、その使い方、機能などを追加し、2016年5月31日より改訂版として公表しました。 下記より改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」についてのレポートPDF版をダウンロードしてご利用いただけます。 本テクカルウォッチで紹介しているSHODANおよびCensysによる日本国内で接続されているIoT機器数を、こちらで公開しています。 1．オフィス機器とサーバー機能 2．インターネット接続機器検索サービスSHODAN 3．SHODANを使用した自組織の検査 4. インターネット接続機器検索サービスCe

安易なコピー&ペーストによりクリップボードを介してユーザーに任意のコードを実行させるPoC「Pastejacking」が公開され話題になっています。詳細は以下から。 米セキュリティ企業Malwarebytesが「ターミナルへのコピー＆ペーストを実行させることで、任意のコードを実行させることの出来る」概念実証「Pastejacking」の危険性を伝えています。 Browsers now allow developers to automatically add content to a user’s clipboard, following certain conditions. Namely, this can only be triggered on browser events. This post details how you can exploit this to trick a

最近の不正ログインの傾向: 独房の中 http://f36type.cocolog-nifty.com/blog/2016/05/post-1e24.html 前回の記事で書かなかったYahoo!JAPANについて、約一年前からの流れを説明しつつ書いていきます。あまり詳しく書くのもどうかとは思っていたんですが、結構深刻な事態になりつつあると考えているのでわかっている限り書いていきますよ。 Yahooへの不正ログインの質が変わったのが2015年4月頃から、それまでほとんど単独の不正ログインと思われていた被害がYahoo＋αの不正ログインというパターンが数多く見つかるようになります。＋αは楽天だったりオンラインゲームだったりしました。 その後、Yahooで連携していてYahooのIDでログインできるサービスに不正ログインされたり、Tポイントと連携したためか多額のポイントの被害というものも見つか

こんにちは、プラットフォーム サポートチームの高田です。 今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。 本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。 基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。 IT 管理者向けの、パスワードに関するガイダンスは以下のとおり

「Microsoft Account」でユーザーが安易なパスワードを入力しようとすると、リセット画面が表示されて「推測されにくいパスワードを選んでください」と促される。 ビジネスSNS「LinkedIn」から会員のパスワードが流出してネットで出回るなど、ユーザー情報の大量流出被害が後を絶たない。それでも安易なパスワードを使い続けるユーザーが一向に減らないことから、米Microsoftは「Microsoft Account」などのサービスで、安易なパスワードを使えなくする措置を講じていることを明らかにした。 LinkedInの情報流出事件でも、「123456」などの安易なパスワードが多様されていた実態が伝えられている。攻撃側はこうした情報を分析して使用頻度の高いパスワードを洗い出し、その情報を使って総当たり式の「ブルートフォース攻撃」を仕掛けるなどしてパスワードを破ろうとする。 Micros

2016年5月24日、慶應義塾大学は同大学職員に文部科学省を装ったメールが届いたとして注意喚起を行いました。関連情報をまとめます。 慶應義塾大学の注意喚起 2016年5月25日 標的型攻撃メールに関する注意喚起 (魚拓) 2016年5月24日時点の注意喚起内容。メールアドレスやファイル名など若干内容が変更されている。 他大学の注意喚起 東京工業大学 2016年5月25日 文科省を騙ったメール攻撃に注意して下さい (魚拓) 中央大学 2016年5月26日 【注意喚起】文部科学省を騙ったウィルス添付メールについて (魚拓) 首都大学東京 2016年5月26日 【注意喚起】文科省を騙った標的型攻撃メールの到達について 早稲田大学 2016年5月26日 【注意】文科省を騙るフィッシングメールご注意ください (魚拓) 青山学院大学 2016年5月27日 【注意喚起】文部科学省を装った添付ファイル付き

NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ／富居 姿寿子,大森 章充＝NTT NTTセキュアプラットフォーム研究所 NTT-CERT SSID▼は無線LANのアクセスポイント（AP）の識別名である。通常、APは自分のSSIDを発信して、その存在を知らせる。無線LAN機能を内蔵したノートパソコンなどでは、無線LANの接続用画面にSSIDの一覧を表示して、その中から接続したいAPのSSIDを選択し、パスワード（ネットワークキー）などを入力して接続するのが通常の操作になる。 APにはSSIDを隠蔽（ステルス化）する機能があり、ノートパソコンなどの無線LANの接続画面にSSIDを表示させないようにできる。事前に知っているユーザーがSSIDを入力しないと接続できないため、SSIDの隠蔽はセキュリティが高まるように思える。 一方で、解析ツールを使えば、隠蔽さ

Windowsでセキュリティ設定を記述するためにはSDDL文字列を利用する。SDDLは、ファイルやサービス、レジストリなどのセキュリティ設定や監査のために利用される。SDDL内では、組み込みのアクセス権やユーザーアカウントは、2文字の英字で省略して記述される。 解説 Windows OSでは、セキュリティを確保するために、システム内部に存在する各種のオブジェクト（ファイルだけでなく、サービスやプロセス、パイプといった、動的に生成されるものも含む）に対して、アクセス権を設定し、権限を持つユーザーやグループからのアクセスを許可し、それ以外からのアクセスを禁止するなどしている。アクセス権の設定で利用される「アクセス制御リスト（ACL）」については、TIPS「アクセス制御リストACLとは？」で解説しているので、参考にしていただきたい。 ACLの設定内容を確認したり、編集したりするためには、エクスプ

５月２４日、全国各地にあるセブンイレブンのＡＴＭで、偽造クレジットカードが一斉に使われ、現金約１４億円が不正に引き出された事件で、専門家はＡＴＭのネットワーク管理が甘い日本が狙われたとみている。写真は１万円紙幣を数える女性。都内で２０１３年２月撮影（２０１６年　ロイター／Shohei Miyano） 全国各地にあるコンビニの現金自動預け払い機（ＡＴＭ）で、偽造クレジットカードが一斉に使われ、現金約１４億円が不正に引き出された事件で、専門家はＡＴＭのネットワーク管理が甘い日本が狙われたとみている。 同事件に詳しい人物によると、犯行は２２日朝、セブンイレブンのＡＴＭで、南アフリカのスタンダード銀行の偽造クレジットカードが使われた。わずか３時間ほどの間に実行された取引は計１万４０００回に上り、約１４億円が不正に引き出された。 セブンイレブンにあるＡＴＭのほとんどは、セブン＆アイ・ホールディングス

近年、インターネットの普及に伴い、オンラインカジノが急速に普及しています。 それらは、家の中で手軽にカジノゲームを楽しめるという利便性が魅力です。 しかし、初めてオンラインカジノに取り組む方にとっては、様々な選択肢から正確な情報を得ることが困難です。 初めての方には国内人気のオンラインカジノの特徴・魅力を知っていただき、安心して楽しんでいただけるようにまとめました。 オンラインカジノとは オンラインカジノは、インターネットを通じてカジノゲームを楽しむことができるウェブサイトのことです。 近年、パソコンやスマートフォンの普及に伴い、家の中で手軽にカジノゲームを楽しむことができるようになりました。 オンラインカジノのメリット 自宅でのプレイ オンラインカジノは、自宅でプレイすることができるため、気軽に楽しむことができます。また、家族や友人と一緒にプレイすることも可能です。 様々なゲームの選択が

あいまい検索（英語検索） あいまいな日本語で（英語でも）検索できます。上手く動くか分からないのでお試しです。 検索の仕方については「検索のコツ」をご覧ください。 AIを使っていらすとや風の画像が生成できるサービスです。 Eテレのショートアニメです。 いらすとやが更新されたらお知らせするツイッターアカウントです。 いらすとやのLINEスタンプに関する情報をお知らせするLINEアカウントです。

パスワード入力を不要にしようとするGoogleの計画が進行している。「Project Abacus」は、ユーザーの端末使用方法を包括的に解析することでパスワード入力を不要にしようという野心的なプロジェクトである。Googleは米国時間5月20日、このプロジェクトが2016年6月より「複数の大規模金融機関」で試験運用を開始することを開発者会議「Google I/O」で明らかにした。 Project Abacusを考案したGoogleのATAP（Advanced Technologies and Projects）部門を統括するDan Kaufman氏は、「うまくいけば、2016年末までにすべての『Android』開発者に提供されるだろう」と述べた。 Googleはそれ以上の詳細を明らかにしていない。 Project Abacusは、2015年のGoogle I/Oで発表された。人はパスワード

人間にまつわるセキュリティを考える本連載。今回のテーマは「ヒューマンエラー」です。個人の意識だけに原因を求めてもうまくいかないヒューマンエラー対策について考えます。 連載目次 ヒューマンエラーを考える 心理学などの知見を借りながら、「人間のセキュリティ」を考える本連載。第5回では、組織の「ヒューマンエラー対策」を扱います。情報セキュリティに限らず、多くの事件・事故は、ヒューマンエラーが主要な原因となって起きています。 図表1はNRIセキュアテクノロジーズが2015年に行った調査の結果です。これを見ると、企業におけるセキュリティ事故の大部分は、「ヒューマンエラー」と「サイバー攻撃」によるものだと分かります。また、この調査の中でサイバー攻撃として分類されている幾つかの項目も、考え方によってはヒューマンエラーに起因するものと捉えることができます（標的型メール攻撃など）。 図表1　過去1年間に発生