テルモ、医療機器にサイバー攻撃対策 ソフト欠陥素早く修正 - 日本経済新聞医療機器大手がサイバー攻撃対策を急いでいる。テルモは製品に使うソフトウエアの一覧表「SBOM(エスボム)」を導入し、欠陥が見つかった際に早期に修正する。2024年4月から国内での製造販売の承認にはサイバーセキュリティー対策が必須となる。テルモは輸液ポンプやインスリンポンプなど、通信機能を持った医療機器にエスボムを導入する。エスボムはソフトウエアを構成するプログラムを一覧にしたものだ。プログラ
「サークルK・サンクス」公式サイトの中古ドメイン、約6000万円で落札される
ファミリーマートに統合され、2018年11月に営業を終えたコンビニ「サークルK・サンクス」の公式サイトで使われていた中古ドメイン「circleksunkus.jp」が、6月18日午後8時30分ごろ、ネットオークションで競り落とされた。落札額は6000万300円。 サークルK・サンクスの公式サイトは、営業終了に合わせて閉鎖。更新期限を迎えて手放されたドメインはGMOインターネットが取得し、同社のドメイン登録サイト「お名前.com」上で1日からオークションにかけていた。 開始価格は6000円だったが、18日間で自動入札を含めて1250件の入札があり、落札額は約1万倍にまで膨れ上がった。 中古ドメインを取得すると、旧Webサイトが得ていた検索エンジンの評価や外部サイトからの被リンク数などを引き継げるため、SEO対策で高い効果を発揮する。そのため、検索上位の表示を狙ったアフィリエイトサイトの構築に
ログイン情報の管理に関する注意喚起 | Sansan株式会社
平素よりSansan株式会社のサービスをご利用いただき、ありがとうございます。 営業DXサービス「Sansan」をご利用中のお客様のログイン情報を第三者が不正に入手しログインする事象が報告されております。なお、当社および当社サービスよりログイン情報は流出しておりません。 ログイン情報は、第三者に知られることがないよう適切に管理し、推測されやすいパスワードの設定は避けるようお願いします。 Sansanでは、不正ログインを回避するのに有効なワンタイムパスワードを利用した二要素認証機能をユーザーに無償提供しております。そのほか、利用ログによるお客様側でのアクセス状況の監視、IPアドレス制限によるアクセス元の制限といったセキュリティ機能の利用を引き続き促進してまいります。 お客様におかれましては、十分にお気を付けいただくとともに、ログイン情報を開示しないようお願い申し上げます。
バックドアの存在に7年間気づかず、政策研究大学院大学がネット接続を8カ月間遮断
政策研究大学院大学がインターネット接続を遮断する事態に追い込まれた。攻撃者が公開Webサーバーにバックドアを設置。これを利用した不正アクセスを受けたことが原因だ。情報システム担当者がメンテナンス作業中に不正な通信を検知して発覚した。バックドアは7年前に仕掛けられたもので、システム更改時にも気づかなかった。 2023年8月22日、政策研究大学院大学の大田弘子学長が「本学で発生した情報セキュリティインシデントについてのお詫び」という文書を公表した。同大学は2022年8月29日に、不正アクセスによるセキュリティーインシデントが発覚。2023年5月までの約8カ月の間、大学内からインターネットが使えない事態に陥った。 同じ2023年8月22日には、インシデント対応から復旧までに従事した学外の専門家がまとめた「政策研究大学院大学の情報システムに対する不正アクセスの調査報告書」と題した文書を公表している
平将門と東京の霊的結界史|パブロフのベル
**ザックリ千年くらい前の事、平安時代の中期、関東武士の平将門は、京都の朝廷(天皇)の圧政に反旗を翻し、関東に独立国家を築こうと戦を仕掛け、京都まで攻め入った。世に言う「平将門の乱」である。** **将門は戦術に長けていたが、戦場でも武士としての礼節を重んずる武将であったが、朝廷側にその隙を突かれ、志半ばで弓矢に倒れてしまう。反逆者として首を切られ、京都でさらし首にされた将門の首は、腐る事もなく、胴と離されているのに三ヶ月も呻き続け、その首は自らの意思で江戸に飛んで行き、今の東京の大手町一丁目に落ちたという。そこに誰かが、首だけになって江戸に帰ってきた将門を弔って、小さな首塚を作った。首塚の隣にあった神田明神に祀り、将門信仰が始まった。 その後、将門の兜が戻り、江戸の地に兜神社が建ち、次は鎧神社だなんだと、半ば史実があやふやになるが、築土神社、水稲荷神社、鳥越神社などが建ち、神田明神と首塚
シスコシステムズ、ソフトウエアのスプランク買収へ-280億ドル規模
The Splunk office in San Jose, California, US. Photographer: David Paul Morris/Bloomberg ネットワーク機器大手の米シスコシステムズは、ソフトウエアメーカーの米スプランクを買収することで同社と合意した。スプランクの企業価値を約280億ドル(約4兆1400億円)と評価しており、シスコシステムズ創業以来で最大規模の買収となる。 21日の両社発表によると、シスコはスプランク株1株につき現金157ドルを支払う。これはスプランク株の20日終値に対し31%のプレミアムになる。 シスコは1株当たり現金157ドルを支払うと、両社は木曜日の声明で発表した。これは、水曜日のスプランクの終値に対して31%のプレミアムを意味する。声明によると、両社の統合は、サイバーセキュリティの脅威に対する企業の耐性を高めるのに役立つという。合
Qiita Conference 2023 Autumn (2023/10/25 17:00〜)
お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。 2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。 お知らせ connpassをご利用いただく全ユーザーにおいて健全で円滑なイベントの開催や参加いただけるよう、イベント参加者向け・イベント管理者向けのガイドラインページを公開しました。内容をご理解の上、イベント内での違反行為に対応する参考としていただきますようお願いいたします。 10月 25 Qiita Conference 2023 Autumn 10/25(水)、26(木)、27(金)の3日連続でオンライン開催!どなたでもご参加いただけます!
パスワードがペッパー付きハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
この記事は「パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita」の続編です。 前回までのあらすじ SQLインジェクションによる影響として、認証回避の例がよく紹介されます。よくある「'OR'a'='a」を入力するパターンはよく見かけるところですが、パスワードがハッシュ値で保存されているケースについても認証回避が可能なケースがあることを示しました(参考:解答編)。 パスワードがペッパー付きハッシュ値で保存されているとどうなる? 今どきはパスワードはソルト付きハッシュ値で保存することが常識になっていますが、加えて「ペッパー(pepper)」というものを付加した方がよいという流れになってきています。ソルトがユーザー毎に異なる文字列であるためにハッシュ値とセットで保存するのに対して、ペッパーは固定値であるもののデータベースとは別の安全な場所に
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 まず、多くの方に記事を読んで頂きありがとうございます。解答もいくつかいただきましたが、その中で、以下のhm323232さんの解答は非常に優れたもので、これに付け加えることはほとんどありません。 しかし、気を取り直して、解答を書きたいと思います。 まず、ログイン処理の中核部分は以下に引用した箇所です。 $sql = "SELECT * FROM users WHERE userid = '$userid'"; $stmt = $pdo->query($sql); $user = $stmt->fetch(); if ($user && password_verify($password, $user['password'])) { echo "ログイン成功:" . htmlspecialchars(
Wi-Fiからスマホの入力キーを盗む攻撃 他人のパスワード取得に成功 中国チームなどが発表
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の湖南大学、シンガポールの南洋理工大学などに所属する研究者らが発表した論文「Password-Stealing without Hacking: Wi-Fi Enabled Practical Keystroke Eavesdropping」は、Wi-Fiハードウェアをハッキングすることなく、Wi-Fi経由でスマートフォンのキーストロークからパスワードを特定する攻撃を提案した研究報告である。 この方法は、ターゲットとなるスマートフォンと、そのスマートフォンが接続しているアクセスポイントとの間のWi-Fi信号を傍受し、その信号からキー入力
WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新
米GoogleのChromeや米MicrosoftのEdgeなど、主要Webブラウザが9月11日から重大なゼロデイ脆弱性に対処するアップデートをリリースしている。この脆弱性「CVE-2023-4863」は、GoogleのWeb向け画像フォーマット「WebP」のヒープバッファオーバーフローに関するもので、既に悪用されているという。 この脆弱性は、米Apple Security Engineering and Architecture(SEAR)と加トロント大学のCitizen Labが6日に報告した。 本稿執筆現在、Chrome、Mozilla Firefox、Brave、Microsoft Edgeがこの脆弱性に対処するアップデートをリリースしている。 Googleは公式ブログで、「CVE-2023-4863のエクスプロイトが存在することを認識している」とした。 また、米Stack Dia
山形大学のWebサーバーで不正アクセス被害、150のサイトを一時閉鎖に
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回取り上げるシステムトラブルは、山形大学のWebサイト改ざん被害、エフトリアへのランサムウエア攻撃、長崎県立大学への不正アクセスである。 Webサーバーに不正なプログラムを設置される 山形大学は2023年9月1日、大学の研究室のWebサーバーが不正アクセス被害に遭い、コンテンツを改ざんされ、不正なプログラムを設置されたことを明らかにした。 当該サーバーでは150のWebサイトが稼働していた。そのうち2つのWebサイトでは個人情報が保存されていたため、流出した可能性があるという。流出した可能性がある個人情報は、氏名やメールアドレスなどを含む380人分。発表時点で悪用された事実を確認していないという。 大学は2023年7月1日、コンテンツサポート業者からの指摘で被害を把握。調
node-jsonwebtokenで学ぶJWTのalg=none攻撃 - Qiita
JWTの検証プログラムに対する有名な攻撃手法にalg=none攻撃があります。JWTのalgクレーム(署名アルゴリズム)としてnone(署名なし)を指定することにより、署名を回避して、JWTのクレームを改ざんする手法ですが、手法の解説は多いもの、脆弱なスクリプトのサンプルが少ないような気がしています。そこで、node.js用の著名なJWTライブラリであるjsonwebtokenを使った簡単なサンプルにより、alg=none攻撃の解説を試みます。 なお、jsonwebtokenの最新版では今回紹介した攻撃方法は対策されているため、以下のサンプルでは古いjsonwebtokenを使っています。 alg=none攻撃とは よく知られているように、JWTは以下のように3つのパートからなり、それぞれのパートはBase64URLエンコードされています。ヘッダとペイロードはエンコード前はJSON形式です
“推し”への「投げ銭」のためか…アプリのコイン詐取の疑いでJTB元オペレーター逮捕 客のカード情報を悪用 | 東海テレビNEWS
大手旅行代理店、JTBの電話オペレーターだった55歳の女が今年5月から6月にかけて、ライブ配信アプリで使うコイン68万円分をだまし取った疑いで逮捕されました。「推し」のアイドルに「投げ銭」をするために犯行に及んだとみられています。 アイドルと笑顔で写真に納まるのは、愛知県あま市に住む山口恵理子容疑者(55)です。名古屋市中村区にある「JTB旅物語」中部販売センターの電話オペレーターをしていましたが7日午後、愛知県警に逮捕されました。 捜査関係者によると今年5月から6月にかけて、顧客のクレジットカード情報を不正に使い、ライブ配信アプリでアイドルに「投げ銭」をするためのコイン68万円分をだまし取った疑いが持たれています。 ライブ配信アプリ「ミクチャ」の山口容疑者のものとみられるアカウントがあります。 【動画で見る】“推し”への「投げ銭」のためか…アプリのコイン詐取の疑いでJTB元オペレーター逮
ゲームの「ネタバレ」動画を無許可で配信 被告に有罪判決 仙台地裁:朝日新聞デジタル
ゲームのプレー動画などを無許可で配信したとして、著作権法違反罪に問われたウェブクリエーター、吉田忍被告(53)に対し、仙台地裁(中村光一裁判官)は7日、懲役2年執行猶予5年、罰金100万円(求刑懲役2年、罰金100万円)の有罪判決を言い渡した。ゲーム動画の配信を巡り、同法違反罪で有罪判決が出たのは初めてという。 被告は、アドベンチャーゲーム「シュタインズ・ゲート 比翼恋理(ひよくれんり)のだーりん」のエンディングを含む「ネタバレ」のプレー動画や、アニメ「スパイファミリー」を編集した動画など3点を2019年9月~22年5月、ユーチューブ上で無許可で配信し、著作権を侵害したとして起訴された。 被告は公判で動機について、「趣味の一環として、自分の作ったものを誰かに見てほしかった」などと説明した。 検察側は、正規商品を購入する意欲を減退させ「コンテンツ制作の労力を踏みにじる悪質な行為だ」と主張。弁
IoTデバイスの「いつまでセキュリティアップデートが施されるか分からない問題」を解決に導くセキュリティラベルについて連邦通信委員会のメンバーが解説
2023年7月19日、バイデン政権がIoTデバイス向けの新しいサイバーセキュリティラベル付与プログラムを発表しました。スマートテレビを始めとするスマート家電に存在するセキュリティ上の脆弱(ぜいじゃく)性を定期的に是正することが可能になるこのプログラムについて、連邦通信委員会(FCC)のメンバーであるネイサン・シミントン氏が大衆から意見を募りました。 Ask HN: I’m an FCC Commissioner proposing regulation of IoT security updates | Hacker News https://news.ycombinator.com/item?id=37392676 身の回りにあるモノをインターネットにつないでスマートフォンやPCで管理できるようにするIoTデバイスには、常にセキュリティの脅威がつきまといます。メーカーには脆弱性が発見され
横向きA4サイズの現代アート。霞が関の「ポンチ絵」はどうして生まれたか? その知られざる使命とは|narumi
「ポンチ絵」が大好きだ。 なかでも官公庁のつくるポンチ絵がいい。 細かく書き込まれた文字にフリーのイラスト素材、あちらこちらを向いた派手な矢印と吹き出し、関係性を示す線……。圧倒的な情報量がぎゅうぎゅうに詰め込まれた1枚の資料……。それこそが至高のポンチ絵だ。 言葉で説明していても、きっとこの魅力は伝わるまい。まずはご覧いただこう。 環境庁による名作「地域循環共生圏(日本発の脱炭素化・SDGs構想)」とにかくうつくしい。見とれるほどに。 デザインを学んだ人なら眉をひそめるかもしれない。だが、その複雑怪奇な魅力にはあらがえない――。 いったいなぜこんなものが生まれたのだろうか。誰がどうやってつくっているのか。なんのために…どんな意味があるのだろう? わからないことだらけだ。 そこでこの記事では、官公庁のパワポ資料(いわゆるポンチ絵)の独特さ、ポンチ絵が生まれた背景とその使命について考察し、ポ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
クレジットカード情報不正利用し「投げ銭」購入した疑いで逮捕|NHK 東海のニュース
非エンジニアにドン引きされたんだけど、画面上のコードと声に出して会話するのって普通だよね?「死ぬほど言う」「返事が帰ってきたら病院へ」
