今回は実際に脆弱性を攻撃してみます。 ところで、「バグ」と「脆弱性」の違いは何でしょうか?一般論として、「バグ」と「脆弱性」は以下のように定義できます。 問題が計画されたシナリオを実行しないこと、それは「バグ」です。 問題が計画外のシナリオを実行できること、それは「脆弱性」です。 脆弱性は悪用されることでビジネスを停止させたり金銭や機密情報を窃取されたりする可能性があります。一方、バグの例として「ストリートファイターII」のキャンセル技があります。 キャンセルが発生するメカニズムは、通常技に対する必殺技の優先度が要因です。技の出始めからヒットまでの時間が短い通常技は、必殺技が成立する前に技がヒットしても必殺技となり、その結果、キャンセル技(コンボ)が誕生しました。そして驚くべきことに27年経った現在、ストリートファイターIIに新たなコンボ(バグ)が見つかりました。試してみたいですね。ちなみ
GoogleのVPNサービス「VPN by Google One」を使って安全なインターネット接続を実現する【Windows 10/11】
公衆無線LANなどを利用する場合には盗聴の危険性を考える必要あり 公衆無線LANなどを利用する場合、悪意のあるユーザーによって盗聴されている危険性を考えた方がよい。安全にインターネット接続を行うにはVPN接続を利用するとよい。ただ、VPN接続を行うには、VPNサービスの利用が必要になる。無償のものもあるが、安全性や安定性を考えると有償のVPNサービスを利用する方がよい。本稿では、Googleのオンラインストレージサービス「Google One」の付加サービスとして提供が開始された「VPN by Google One」を使ってVPN接続を行う方法を紹介する。 公衆無線LANやホテルなどでインターネット接続を行う際、ハッカーなどによって通信内容が盗まれるのではないかという不安を感じることはないだろうか。特に会社との重要な情報のやりとりやクレジットカード情報を入力しなければならないことがある場合
by Mike Mozart Microsoftは、企業向けチャットサービス「Slack」の無料版の社内使用は禁止、「Amazon Web Services(AWS)」や「Googleドキュメント」の社内使用は非推奨かつ「業務上の正当性が必要」と定めたとGeek Wiredが報じています。 No Slack for you! Microsoft puts rival app on internal list of ‘prohibited and discouraged’ software – GeekWire https://www.geekwire.com/2019/no-slack-microsoft-puts-rival-app-internal-list-prohibited-discouraged-software/ Microsoft bans Slack and discou
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
船舶のGPS・AISシステムへの攻撃手法~レッドチーム演習の先生をやってきた!~ - ラック・セキュリティごった煮ブログ
しゅーとです。先日、日本で初となる実運航船を用いたサイバー攻撃への船舶防御演習を実施しました。実際に動いている船に対して本気でスプーフィング攻撃を仕掛け、船員がどのように対応するかを考える非常にアツいイベントです。 演習の概要は広島商船高専様のプレスリリースをご参照ください。 www.hiroshima-cmt.ac.jp 私は演習で利用する攻撃技術の検討や攻撃ツールの開発、2日目の演習でのレッドチーム(攻撃役)を担当しました。また1日目には受講者への座学のほか、PCを用いて攻撃を行うハンズオンセミナーも行いました。 本記事では私が担当した講義や船舶防御演習の流れを通して、世界でもあまり知られていない船舶への特有の攻撃手法について解説します。 航行を支援するECDISへの攻撃 ブリッジにあるECDISの例*1 船舶には、航行に欠かせない動力や舵のほか、航行を支援する様々な電子機器が存在しま
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 NTTセキュリティ・ジャパンに所属する研究者らが発表した論文「Detecting Phishing Sites Using ChatGPT」は、ChatGPTでフィッシングサイトを検出する手法を提案した研究報告である。 この手法では、Webサイトから情報を収集するためにWebクローラーを使用し、その収集したデータを元にプロンプトを作成する。プロンプトはChatGPTに提示され、ChatGPTは与えられたWebサイトがフィッシングサイトかどうかを判断する。 WebクローリングとChatGPTの組み合わせにより、Webサイトの正当性や怪しさに関する情報に基
2023年1月4日、当社はお客様へセキュリティインシデントアラートを発信しました。本文では、本インシデントについて何が起き、何がわかったのか、そして今後のセキュリティ体制を継続的に改善していくための計画について説明いたします。 初めに、このインシデントによりお客様の業務に支障をきたしたことを、心よりお詫び申し上げます。また、当社が調査を行っている間、シークレットのローテーションや無効化を含め、お客様やコミュニティの皆様が柔軟に対応してくださったことに、感謝申し上げます。 まだ対策をとられていないお客様は、お客様のサードパーティーシステムやデータストアへの不正アクセスを防止するため、早めの対策をお願いいたします。責任を持った情報公開を念頭に、スピードと調査結果との整合性のバランスを追及した結果として、本日本インシデント レポートをお届けします。 インシデントレポート目録 何が起きたのか 攻撃
パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。しかし、使い方を誤るとYubiKeyなどのハードウェア認証デバイスが使い物にならなくなってしまうとして、RustのWebAuthnライブラリを作成しているウィリアム・ブラウンさんが注意を促しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/ パスキーの認証の仕組みには、クライアント側に鍵を保存しない方法と、クライアント側に鍵を保存する方法の2種類が存在しています。クライアント側に鍵を保存しない場合、あらかじめ認証に利用する鍵を生
Googleは2022年12月13日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。 Googleは2021年にオープンソースソフトウェア(OSS)の開発者と利用者のために、脆弱性のトリアージ(優先順位を付けて対処すること)を改善する取り組みとして、「Open Source Vulnerability」(OSV)スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。 OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの
iOS 16の新機能「パスキー」はこんなふうに使います
iOS 16の新機能「パスキー」はこんなふうに使います2022.11.09 14:00109,008 David Nield - Gizmodo US [原文] ( mayumine ) 人類はパスワードから解放されるべき。 だってパスワードなんてものは忘れるし、ハックされて不正利用されるリスクもあるし、デジタル世界からパスワードの運用はなくなってほしい…!というわけで、各社の生体認証が進化しているわけで。 ニセ銀行サイトに指紋を入力することはできませんし、ダークウェブで自分の顔情報がダウンロードできるようになることはないはずで、ハッキングのリスクもかなり下がるはずですから。 パスワードレス化にはいくつかのアプローチがありますが、最新のiOS 16およびiOS 16.1アップデートで「パスキー」という技術が実装されました。パスキーは鍵ペアで構成され、一方の鍵は公開鍵としてログインするアプリ
Cookie vs Local Storage マルウェア耐性等に差はあるか?Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog
はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうかは頻繁に議論されるところです。 しかし、ブラウザに保存されたデータが暗号化されているかどうかはまた別の攻撃経路への耐性の話であり、馴染みがないのではないでしょうか。 これは、基礎知識としてLocal StorageとCookieの仕組み/挙動の紹介と比較をしつつ、Google Chromeにおけるそれらの暗号化の実装上の違いを検証する記事です。 なお、保存先のストレージとAuth0のアクセストークンのXSS耐性との関連は過去に別の記事で検証しています。興味がある方
~第72回~ 「ジャーナリストや活動家、ビジネスリーダー、政治関係者など、標的型攻撃のリスクがあるユーザーのGoogleアカウントを保護します」という謳い文句がGoogleのホームページに掲載されている。Googleの最も強固なセキュリティにまつわる記載だ。 まったくもって筆者などにこのようなリスクはないのだが、この謳い文句にちょっと中二病巣をくすぐられてしまった。 「高度な保護機能をご利用いただくには、セキュリティキーを2つ購入し、お使いのGoogle アカウントにキーを登録する必要があります」と書いてある。リンクを開くと「Titan セキュリティキー」の購入画面が開く。すでに1つは持っているので、勢いにまかせてもう1つ購入してしまった。 「Titanセキュリティキー」はGoogleアカウントにログインする際に、2段階認証を行うための物理的な鍵だ。USB接続タイプとBluetooth接続
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。 個人情報をだまし取る 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールか
SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog
こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より広くインジェクションの考え方を自身のプロダクト開発に適用していくかについて扱っていきます。 SQLインジェクションやコマンドインジェクション、XSSのようなインジェクションに関わる有名な手法について横断的に解説をしながら、インジェクションの概念を説明していきます。初めてインジェクションに触れる方にとっては、インジェクションの実例や基本的な考え方に触れることができ、その全体像を把握する助けになるかと思います。 また、既にいくつかのインジェクション手法を知っている方にと
トヨタ自動車やソニー、オリンパスなどの事例を紹介 経済産業省は、2019年9月に「産業サイバーセキュリティ研究会ワーキンググループ1分野横断サブワーキンググループ」の下に設置した「ソフトウェア管理手法等検討タスクフォース」で、適切なソフトウェアの管理手法や脆弱(ぜいじゃく)性対応、ライセンス対応などについて検討している。その中で、オープンソースソフトウェア(OSS)について企業が多くの課題を抱えていることから、産業界での知見を共有する必要があるとして、OSSの管理手法などについて参考になる企業の取り組みをまとめ、「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」として公開している。 経済産業省は同事例集の目的を「OSSの適切な利用を促進すること」としている。OSSを利用する際に留意すべき点を整理し、トヨタ自動車やソニー、オリンパスなど、参考になる取り組みを実施している
匿名通信プロトコルのTorは、ウェブサイトにアクセスしたりメールを送信したりする際の通信経路を秘匿し、インターネット検閲の厳しい国や地域に住むユーザーが検閲を回避するために利用できます。そんなTorを手がける非営利組織のTorプロジェクトが、Torネットワークを標的とした検閲を回避するための新しいブリッジである「WebTunnel」のリリースを正式発表しました。 Hiding in plain sight: Introducing WebTunnel | The Tor Project https://blog.torproject.org/introducing-webtunnel-evading-censorship-by-hiding-in-plain-sight/ Tor Project | WebTunnel Bridge https://community.torproject
TechCrunch
Apple’s chief financial officer Luca Maestri challenged investor worries over an 8% drop in China revenue, by noting that sales in other emerging markets are growing. “When we start lookin
インターネットを利用中に、「Cookieを許可してください」というポップアップが表示されたり、許可するCookieの種類を選ばされたりしたことがある人は多いはず。こうした表示はGDPRといった規制を順守する上で必要なものですが、Cookieの使用を許可するつもりのない人や関心がない人にとってはわずらわしいものです。広告とトラッキングをブロックする機能を搭載しているブラウザのBraveが、このCookieの許可を促すバナーのブロックを開始しました。 Blocking annoying and privacy-harming cookie consent banners | Brave Browser https://brave.com/privacy-updates/21-blocking-cookie-notices/ Braveは2022年9月28日に公式ブログを更新し、10月にリリース
クレジットカードの不正利用で毎月数億円規模の被害に悩まされていたメルカリ。ところが、22年7月の被害額は21年12月の10分の1まで減少した。9月1日に開催された「フィッシング、クレジットカード不正の現状と対策を考える会」に登壇したメルカリの篠原孝明執行役員は2月に導入した「EMV-3Dセキュア」の効果について胸を張った。 同社は2月、不正を未然に防止するためEMV-3Dセキュアを導入した。3DセキュアはVISAやMastercard、JCBなどが推進するユーザー認証サービス。2段階認証やパスワード入力による本人確認でクレジットカード決済時の不正を防ぐための仕組みで、もし不正利用が起きた場合も、認証ができていれば加盟店側で補填する必要がない。 しかし、VISAなどのカードブランドは「3Dセキュア2.0」とも呼ばれるEMV-3Dセキュアへの全面移行をEC事業者などに求めている。22年10月以
無料で二要素認証のワンタイムパスワードを発行可能&デバイス間エクスポートもできるオープンソースアプリ「Aegis Authenticator」、特定の企業に依存する危険性がなくなり安全
ウェブサービスを安全に使用する手段の1つとして、「ワンタイムパスワード発行サービスを利用する」という方法があります。ワンタイムパスワードを生成するアプリとしては「Google Authenticator」「Microsoft Authenticator」「Authy」といったアプリが広く利用されていますが、これらのアプリはGoogleやMicrosoftなどの企業によって開発されたものであり、透明性や信頼性に不安を感じる人もいるはず。オープンソースで開発されているAndroid向けのワンタイムパスワード発行アプリ「Aegis Authenticator」を使えば、特定の企業に依存せず二要素認証によるセキュリティ強化を実行できるだけでなく、Google Authenticatorでは不可能な「ワンタイムパスワードの不可視化」なども可能となります。 Aegis Authenticator -
はじめに 近年、BoxやGoogle Drive等のようなオンラインストレージサービスを利用するケースが増えています。 それに伴い、オンラインストレージサービス特有の機能による情報漏えい事件も増加しています。 下記のような「個人情報漏えいのお詫び」を皆さんも目にされたことがあるのではないでしょうか。 個人情報漏えいのお詫びクラウドサービス上で作成したファイルで個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の個人情報がインターネット上において閲覧できる状態でありました。 対応状況個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。 このようなオンラインストレージサービス特有の情報漏えいが生じる要因は様々ありますが、
世界規模でデジタル化が進むとともに増加するサイバー攻撃。個人情報や金銭が詐取されたり事業継続に支障が生じたりと、被害の深刻化が懸念されている。そうした悪意ある攻撃の抜け道となる「脆弱性」に関する研究で、世界的に注目される人物がいる。日本電信電話(NTT)サービスイノベーション総合研究所の中島明日香氏だ。セキュリティーの世界に足を踏み入れたきっかけ、研究の内容と成果、設立した女性限定のセキュリティーコミュニティの活動などについて聞いた。
「ウェブの世界のDRM」と悪名高い「Web Environment Integrity」はなぜ・どのように危険なのかをVivaldiが語る、Apple製品には同様の仕組みがすでに導入済み
Googleが新たなウェブ標準として、Web Environment Integrity(WEI)の策定を進めています。WEIは「信頼できる第三者が正当な利用者であることを認証する仕組み」で、認証していない人をウェブの世界から追い出すものだとしてVivaldiブラウザの開発元が公式ブログで批判しました。 Unpacking Google’s new “dangerous” Web-Environment-Integrity specification https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/ WEIがどんな仕組みなのかは以下の記事で詳しく解説しています。 Google従業員が「信頼できる第三者」による認証でBotや改造ブラウザを排除して「健全なインターネット」を作るべく新たな
Apple、iPhoneのパスコードを見られても設定変更を阻止する盗難保護機能をiOS 17.3に導入へ。自宅や職場以外ではより強固に保護 | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 外出中にiPhoneのパスコードを使う機会は意外と多いものですが、もし悪意ある誰かが、肩越しに覗き込むショルダーハッキングなどでパスコードを知り、そのiPhoneを盗むことができた場合、そのiPhoneは簡単にセキュリティを破られてしまいます。 Appleは、今後リリース予定のiOS 17.3に新しいiPhone保護機能を搭載し、悪意ある人物がiPhoneとパスコードの両方を盗むことができた場合でも、勝手にデバイスの設定を変更できなくする予定です。 この機能はStolen Device Protection(盗難デバイス保護)と呼ばれ、自宅や職場など日常的に長く過ごす場所にいるか、それ以外の場所にいるかで動作
TLS 1.3 学習ノート
はじめに これは筆者が TLS 1.3 を学習した時のメモを記事にしたものです。 内容の正確性は担保できませんので、あらかじめご了承ください。 参考にした書籍 プロフェッショナルSSL/TLS (ISBN: 978-4-908686-00-9) ラムダノートでを購入するとダウンロードできる特別版PDFも参照しています 徹底解剖 TLS 1.3 (ISBN: 978-4-7981-7141-8) 参考にしたウェブサイト うるふブログ | wolfSSL Wikipedia IT用語辞典 e-Words TLS とは? TLS は Transport Layer Security の略で、インターネット上で安全に通信を行うためのプロトコルです。 インターネット上で安全に通信を行う必要性 前提として、インターネットはセキュリティが考慮されていません。 もともとインターネットは、大学間で少数のノー
Googleは「世界パスワードの日」である現地時間の2021年5月6日、アカウントにログインする際にスマートフォンを通じて本人確認を行う2段階認証プロセスを導入するようにユーザーへ呼びかけました。また、適切にアカウントを設定したユーザーに対し、近日中に2段階認証を自動で有効化することも発表しています。 Stay secure ???? this #WorldPasswordDay by making sure your account is protected with 2️⃣-Step Verification. Learn more about keeping your account secure → https://t.co/vZl0pk59DB pic.twitter.com/mgvYPhhYfJ— Google Workspace (@GoogleWorkspace) A si
Microsoftがクラウドコンピューティングプラットフォーム「Azure」を利用して、多くのユーザーがパスワード入力なしでログインできるようにしようとしている。 Microsoftは米国時間3月2日に開幕した「Ignite」カンファレンスの中で、「Azure Active Directory(Azure AD)」の標準機能としてパスワードレス認証を提供すると発表した。Azure Active Directoryは、従業員のログインに関連する処理に使用できるクラウドベースのサービスだ。Igniteは、Microsoftの製品を使用するITなどの技術担当者を対象とした3日間にわたるカンファレンスで、2021年は新型コロナウイルスの影響でオンライン開催となっている。 これとは別に、Microsoftは困難が伴う可能性のあるパスワードレス化への移行を円滑化するための新技術として「Temporar
2022年12月26日 12時00分更新 文●EGセキュアソリューションズ株式会社 取締役CTO 徳丸 浩 編集●MOVIEW 清水 こんにちは。「KUSANAGI」の開発チームで取締役をしている相原です。 「KUSANAGI」はWordPressをはじめとするCMSを高速に動作させる仮想マシンです。わたしたちは「KUSANAGI」を開発して皆様にご利用いただくほか、お客様のWebサイトを「KUSANAGI」で運用しています。 この連載では、「KUSANAGI」の開発やお客様とのお話の中で感じた課題や実際の運用の中で得た知見などをお伝えしています。 今年もあとわずかとなってきました。連載25回目は、Webセキュリティの大家でプライム・ストラテジーの顧問でもある徳丸 浩先生に「Webセキュリティの2022年の振り返り」と題して寄稿をいただきました。今年を振り返りつつ、来年からのセキュリティに
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ホワイトハットハッカーになろう!(4) 実際に脆弱性を攻撃してみよう
Microsoft Authenticatorにパスワード管理機能が追加。EdgeやChromeとの同期もサポート
MicrosoftがGoogleドキュメント、AWS、Slackなど競合他社のサービスを社内使用禁止/非推奨に
バグハント入門 (OSS編) - blog of morioka12
ChatGPTでフィッシングサイトを自動検出する方法 NTTセキュリティが開発 精度は98%以上
CircleCI 2023年1月4日セキュリティインシデントに関するインシデントレポート
IPA、「情報セキュリティ10大脅威 2023」の解説資料を公開 フィッシングや誹謗中傷、ロマンス詐欺などの事例や対策を紹介
Microsoft、新しいOSセキュリティ技術「Win32 app isolation」を発表/万が一ゼロデイ脆弱性をついた攻撃をうけても、影響を最小限にとどめる隔離機構
Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは?
6000円でできるGoogle最強セキュリティの組み方。失敗しないためには… | 日刊SPA!
同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog
Google、四半世紀かけて「偽Googleサイト」のドメイン名を取得、自社の管理下に置くことに成功【やじうまWatch】
詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策
警視庁が家庭用ルーターの使用に注意喚起、「見覚えのない設定変更」がないか定期的に確認を 従来の対策のみでは対応できず、永続的に不正利用可能となる可能性
経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開
Tor接続の検閲を回避するためにHTTPS接続を模倣するブリッジ「WebTunnel」のリリースが正式発表される
Braveがうっとうしい「Cookieを許可してください」のブロックを開始
クレカ不正利用額が90%減 メルカリが「3Dセキュア2.0」導入で
Microsoft、マルウェアの温床となっていた古い「Excel」マクロ機能をデフォルト無効化/30年前からある「Excel 4.0」(XLM)マクロ
Webサイトスキャンサービス経由による情報漏えいの実態調査 | セキュリティ研究センターブログ
Microsoft、個人向け「Microsoft Defender」の提供を開始/「Microsoft 365」ユーザー向けの新しいセキュリティ管理ソリューション
「脆弱性」対策で世界を駆ける女性ホワイトハッカー
めっちゃすげえセキュリティモード、「Microsoft Edge 96」で秘かにリリース/パフォーマンスを犠牲にセキュリティを強化するJavaScriptの動作モード
日本のIT担当者の69%に「セキュリティ疲れ」~ソフォスが調査結果を発表
Googleが間もなく「自動でアカウントの2段階認証をオンにする」と発表
マイクロソフト、パスワード不要のログインを「Azure AD」の標準機能に
Webセキュリティの2022年の振り返り
IPA、セキュリティ予算獲得「経営層説得」ツール公開 | ScanNetSecurity
ウェブサーバーのセキュリティ対策はどうすればいい? さくらインターネットらが解説 セミナーを実施、最新のセキュリティ動向と脆弱性診断など
