捨てメアド【メルアドぽいぽい】多機能フリーメールサービス。メールアドレスは同時にいくつでも保有でき、期限もありません。登録も不要です。
情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
Publickeyのサーバは3月12日から14日にかけて何度もDoS攻撃を受けてダウンしていました。 その間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 ひとまず現在までの状況と対応について報告したいと思います。 先に現状のみを報告すると、CloudflareのDDoS対策サービスを導入していまのところ平穏な状況を保っているため、このまま様子をみているところです。 DoS攻撃の発生時間帯 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 下図が3月12日から14日にかけてPublickeyのサーバに対して行われたDoS攻撃の主な発生時間帯です。 グラフはPublickeyのページビューの推移を示しており、横向きの矢印が主なDoS攻撃の発生時間帯を示しています。発生時間帯では
Lockbitへ行われた共同捜査 Operation Cronos についてまとめてみた - piyolog
2024年2月20日、日本を含む複数の司法機関の共同捜査により、Lockbitランサムグループの関係者2名の逮捕とリークサイトなどのインフラのテイクダウンが行われました。ここでは関連する情報をまとめます。 共同捜査の成果 Lockbitランサムグループに対して10か国の法執行機関が参加した共同捜査はEUROPOLなどが調整を行っていたもので、作戦名はOperation Cronos。フランスからの要請を受け開始された。EUROPOLや英国NCA、米国司法省などが共同捜査に関連した情報について公表を行っており、そこではこの捜査を通じた主な成果として次の5つが上げられている。 Lockbit関係者の摘発や起訴 フランス司法機関の要請を受け、ポーランド、ウクライナの両国において関係者2名が逮捕された。またフランスおよび米国司法機関より、3件の国際逮捕状および5件の起訴状の発行が行われた。米国はL
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
パスキーに入門してみた話 - Qiita
久しぶりの投稿です。 はじめに 昨今、様々なサイトがどんどんパスキーに対応しはじめてきました。 まだまだパスキーがデフォルトになっていくには時間が掛かりそうですが、どのような仕組みでパスキーを実装するのか、早めにキャッチアップしておくのも悪くないと思い、パスキーについて色々と調べてみました。 パスキーとは? パスワードの代わりに、自分の持つデバイスによる生体認証やパターンを用いて認証を行う方法のことです。 次世代認証技術であるFIDO(Fast IDentity Onlineの略で、「ファイド」と呼びます)を使った認証方式(詳細は後述)で、Apple、Google、MicrosoftがFIDOを普及させるために命名したブランド名になります。 FIDOとは? 脆弱なパスワードは安全ではありません。 2段階・2要素認証を採用してもそれを有効にするユーザーは少なく、昨今では2段階認証を突破する攻
認可のアーキテクチャに関する考察(Authorization Academy IIを読んで)
みなさま、認可の設計に苦しんでいるでしょうか?私は苦しんでいます。苦しまなかった瞬間などありません。昔「アプリケーションにおける権限設計の課題」を執筆しましたが、あれから3年以上が経ちます。 当時は認可の設計に関する情報がうまくまとまっている記事などほとんど無く、調べに調べて得たナレッジを書き記したのが上記の記事です。3年以上経ちますが、苦悩が今も特に変わっていないことが驚きです。 ただし、世の中的には認可のライブラリであったりサービスというのは少しずつ増えてきている印象があります(Auth0の OpenFGA であったりOsoの Oso Cloud 、Asertoの Topaz )。 認可の設計に関する記事も少しずつ増えている印象があり、その中でも本記事で紹介したいのがAuthorization Academyです。 これは認可サービスである Oso Cloud やOSSのライブラリ o
Oso - Authorization Academy
Concepts. Architecture. Best Practices. A series of technical guides for building application authorization. Authorization is a critical element of every application, but the problem is: there’s limited concrete material available for developers on how to build authorization into your app. To help developers build these systems and features, we built Authorization Academy.
TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術
FIDO認証&パスキー総復習(認証の仕組みやパスキー登場までの経緯)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。サービス統括本部ID本部で認証サービスの開発運用を担当している服部です。 パスワードに代わる新たな認証手段としてパスキーが登場し、多くのサービスでも利用ができるようになってきていますが、みなさんはご活用されていますでしょうか。このパスキーとはパスワードに代わる認証情報で、Fast IDentity Online(FIDO)仕様というFIDOアライアンスによって規格策定されている技術をベースとしています。ヤフーでも2018年から「生体認証でログイン」としてFIDO認証に対応し、2023年よりパスキーをつかった認証にも対応しています。 この記事ではこのFIDO認証の技術的な説明から当時の課題と解決方法、そしてその解決方法を
『情報セキュリティの敗北史』はサイバーセキュリティ歴史と概念が学べる教科書だった|一田和樹のメモ帳
『情報セキュリティの敗北史: 脆弱性はどこから来たのか』(アンドリュー・スチュワート、白揚社 2022年10月12日)をご恵投いただいたので読んでみた。実は原題は「A Vulnerable System: The History of Information Security in the Computer Age」でだいぶ印象が違う。 内容はサイバーセキュリティの歴史そのものだった。考えてみると、意外とサイバーセキュリティの歴史についてまとめられた本、特に包括的なものは思いあたらない。特定のテーマや地域に限定したものなら、すぐに思いつく。たとえば、アメリカがサイバー空間でぼこぼこにやられた歴史をまとめた『Dark Territory: The Secret History of Cyber War』(Fred Kaplan、Simon & Schuster、2017年3月28日)や、サイ
病院のランサムウェア事件、ロシア系犯人を直撃取材 払っていないはずの「身代金」を支払ったのは誰なのか(山田敏弘) - エキスパート - Yahoo!ニュース
10月31日、大阪市住吉区にある総合病院「大阪急性期・総合医療センター」がランサムウェア(身代金要求型ウィルス)攻撃を受けたことがニュースになっている。 この件を見ていく上では、昨年末に起きた徳島の病院へのサイバー攻撃を教訓として見るべきだろう。なぜなら、攻撃者側は、病院に攻撃したという自覚がないこともあるからだ。さらに身代金の支払いも、きちんと議論すべき時に来ている。 2021年10月3日、徳島県つるぎ町立半田病院が、ロシアのサイバー犯罪集団である「LockBit2.0」(以下、LockBit)によるランサムウェアによるサイバー攻撃を受けた。病院内の電子カルテを含む様々なシステムが動かなくなり、緊急患者の受け入れも断念することになった。 そして2カ月以上にわたって、半田病院は病院機能が麻痺し、通常通りに診療ができない事態に。日本では、政府が身代金の支払いをしないよう指導しているため、公立
VLC Blu-Ray
Wonder how to get your VLC 3.0 to play encrypted blu-ray discs? Here's how. You'll need two files: keys database and AACS dynamic library. Keys database Fetch the up-to-date file from FindVUK online database and unzip it Windows: put it in C:\ProgramData\aacs\ Mac OS X: put it in ~/Library/Preferences/aacs/ (create it if it does not exist) Linux: put it in ~/.config/aacs/ Linux SNAP: put it in ~/s
SPAセキュリティ超入門 | ドクセル
スライド概要 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説明を心がけます。 PHPカンファレンス2022での講演資料です。 PHPカンファレンスでの動画URL https://www.youtube.com/watch?v=jZ6sWyGxcCs
コンピュータウイルス感染事案有識者会議調査報告書について つるぎ町立半田病院
徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について 令和3年10月31日の未明、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害が生じました。令和4年1月4日の通常診療再開までの間、患者さんをはじめ関係者の皆さまには多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。 事件発生後、当院の職員は一丸となって早期復旧を目指しました。全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当てインシデント対応を行っていきました。幸いにして、調査復旧を請け負った事業者の作業、電子カルテ業者の仮シ
オンライン投票はなぜ『難しい』のか
日本で公職選挙が近づいてくると、「202X年にもなって投票所に行く必要があるなんて」とか「オンライン投票もいまだにできないなんて」みたいな声をよく聞きます。 [1] 法にも技術にも詳しくない一般の人がそう思うのは自然なことでしょう。オンライン投票ができれば、少なくとも若年層の投票率にはいい影響がありそうです。しかし「現代的で民主的な選挙」の要件をしっかり満たしてオンライン投票を実現するのは、実は技術的にも容易ではありません。 「現代的で民主的な選挙」の要件とは、どういうものでしょうか。現在の技術でオンライン投票を実施すると、その要件はどのように毀損するのでしょうか。私たちはその要件を、本当に理解しているでしょうか。 本記事は、「現代的で民主的な選挙」の要件を振り返り、そこから導かれる「オンライン投票のなにが『難しい』のか」をできるだけ明確にする試みです。そして、議論をその先へ進めるための前
MFAデバイスが機能しなくなってAWSアカウントにログインできなくなった場合の対処法 - おれさまラボ
はじめに 2週間ほど前に、iPhone Xsが突然壊れ、いわゆるリンゴループに陥りました。Genius Barでもいろいろ調べてもらったのですが、水没でもなく、容量不足でもなく、ソフトウェアアップデートが起因でもなく、通電障害でもなく、原因はまったくもって不明です。Apple Careも切れていたので、交換修理の75,000円程度を払うのもバカバカしく、結局iPhone 12 Proに買い替えました。 ほとんどのデータをクラウドに逃がしているので、買い替え後の対応はスムーズで、初期設定~データ復旧までは数時間で完了することができました。みなさん、本当にバックアップは大事ですよ。 が、ひとつだけ問題がありました。二段階認証(ワンタイム認証)で使用する Google Authenticator です。 Google Authenticator のバックアップ Google Authentica
iPhoneのパスコードを忘れてしまってもアンロックできるソフトを試してみた
MacとWindows上で動作するこのアプリは、さまざまな状況でiPhone/iPadのロック画面を解除できるというもの。 Touch IDやFace IDを使ってiPhoneの画面ロックを解除しようとした時に、うまく認識されず、代わりにパスコードを入力するよう求められた経験が少なからずあると思う。 パスコードを全く思い出せずにロック画面から先に進めなくなった場合、iPhoneを工場出荷時の状態に戻す「初期化」を行って消去する必要がある。その方法は次の通りだ。 設定>一般>リセットで「すべての設定とコンテンツを消去」タップし、パスコードを入力する。 ポップアップで出てくるメッセージ上の「消去」をタップする。 Apple IDとそのパスワードを入力すると、iPhoneが再起動する。 iPhoneを開き「ようこそ」と表示されていれば初期化は成功だ。 Macがなく、iPhoneなど他にiOSデバ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JWTセキュリティ入門
Japan’s Blockchain Gaming Industry: A Primer – Kantan Games Inc. CEO Blog – From Tokyo, Japan