オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
フィッシングに遭っても、パスワードが漏れても、比較的安全な方法があったとしたら気になりませんか? この記事では、Webアプリケーションにおける認証について、特にB to Cに的を絞ってお届けしたいと思います。B to Cサービスを提供する方を読者として想定していますが、利用する側の方も知っておいて損はありません。 セキュリティ認証、突破されていませんか? 突然ですが、あなたが提供しているサービスの認証周りのセキュリティは万全ですか?既にMFA(Multi Factor Authentication:多要素認証)を導入しているから大丈夫と考えている方もいるかもしれません。しかし、それは本当に大丈夫なのでしょうか。 MFAだって突破される MFAを有効にすることで、99.9%のリスクは低減できると言われています。しかし、最近ではMFAを突破する事例も出てきているのです。 事例1 Cloudfl
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりがちです。このような場合、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。 最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。 これらのような事態とならないよう、(1)企業や組織の管理者、(2)企業や組織の利用者、(3)個人の利用者、のそれぞれの対象者に対して取るべき対策をまとめています。 ■長期休暇における情報セキ
疑わしいサイトを開くとアイコンで通知され、何が疑わしいのかという理由も即座に確認&Googleに通報できるGoogle Chromeの拡張機能「Suspicious Site Reporter」が登場したので、実際に使ってみました。 Google Online Security Blog: New Chrome Protections from Deception https://security.googleblog.com/2019/06/new-chrome-protections-from-deception.html Suspicious Site Reporterを使うにはまず以下のページにアクセスして「Chrome に追加」をクリック。 Suspicious Site Reporter - Chrome ウェブストア https://chrome.google.com/web
米Googleは10月12日(現地時間)、AndroidとChromeで、5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「パスキー」(正式名称は「マルチデバイス対応FIDO認証資格情報」)のサポートを年内に開始すると発表した。 パスキーは、パスワードに代わるより安全な手段として開発された。また、SMSやアプリによるワンタイムパスコード、プッシュベースの承認などによる従来の2要素認証をも置き換えられる。 業界標準のAPIとプロトコルに基づいて公開鍵暗号化を使うことで、フィッシング攻撃を回避できるとGoogleは説明する。 パスキーは、ユーザーのPCやスマートフォンなどに暗号化された秘密鍵として保存される。秘密鍵を作成すると、オンラインサービス側で対応する公開鍵のみが保存され、そのオンラインサービスにログインしようとすると、サービス側が秘密鍵の署名を検証す
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます クラウド環境からのデータ漏えいといったセキュリティ問題は、技術的というより不適切な設定や操作ミスなど人に起因するものが多い。日常的な心がけで改善できる余地は大きいが、人の努力だけでは補い切れない部分では技術の活用が重要になる。 Amazon Web Services(AWS)のCISO(最高情報セキュリティ責任者)室のディレクターを務めるMark Ryland氏は、「クラウドセキュリティにおける最大の課題は、セキュリティの脅威そのものではなく、脅威につながる可能性のある人のミスになる」と話す。 Ryland氏は、CISO室でセキュリティに関するユーザーとのコミュニケーションや、同社セキュリティチーム、政府機関らとのセキュリティに関するや
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2019-08-06 11:03 Microsoftは、新しいラボの立ち上げとバグ報奨金の増額により、「Azure」クラウドコンピューティングサービスのセキュリティ強化に取り組んでいる。 Microsoftは米国時間8月5日、ネバダ州ラスベガスで開催されている「Black Hat USA」カンファレンスで、「Azure Security Lab」について発表した。Azure Security Labは、「Azureを確信をもってアグレッシブにテストしてもらう」ための専用のクラウドホスト群であり、Microsoftはテストを行うセキュリティ専門家を招待しているという。 ハッキングの試みやテストが通常の機能を混乱させるのを防ぐため、このラボはメインのAzureフレームワークから隔離されている。Mi
三菱電機は12月5日、システムをあえて攻撃し、侵入可能か検証することで、サイバーセキュリティ対策の状況を確認する「ペネトレーションテスト」のシナリオを自動生成するツール「CATSploit」(キャッツプロイト)を発表した。同様のツールは世界初という。 テストの目的を入力することで、攻撃対象となるOSやアプリケーションのバージョン、セキュリティ監視機器の有無を考慮した上でシナリオを自動生成。各攻撃手段の有効性を「成功の可能性」「発見されにくさ」といった項目ごとに定量的に評価し、利用者に提案できるツールという。OSなどの情報が不足する場合も、それを考慮の上で攻撃の有効性を評価できるという。 これにより、高度な専門知識を持つセキュリティエンジニアがいない組織でも、ペネトレーションテストがしやすくなるとしている。より詳細な情報は、ロンドンで12月6日(現地時間)から開催予定のセキュリティイベント「
Appleは今年の6月、macOS Catalinaでアプリをデフォルトで動作させるためには、Mac App Store外で配布される全てのアプリにNotarizationが必要になることを発表しました。 macOS Catalinaへの移行を容易にするため、9月にこの条件が一時的に緩和されていましたが、2020年2月3日以降は、登録される全てのアプリがNotarizationのオリジナルの条件を満たしている必要があると発表しています(MacRumors)。 このためまだNotarizationを行っていない場合、ソフトウェアを公証サービスにアップロードし、開発者ログで警告を確認することが推奨されています。警告は2月3日からエラーに変わるため、それまでに修正する必要があり、警告が表示されない場合、2月3日前にNotarizationされたソフトウェアでも引き続き実行可能とのこと。 なおイン
ランサムウェア攻撃が激化する今、脅威の侵入口であるエンドポイントを適切に保護することは企業にとって喫緊の課題だ。これを実現する際のポイントとは何か。 アイティメディア主催のオンラインイベント「ITmedia Security Week 2022 冬」にサイバーセキュリティの専門会社トライコーダを立ち上げた現役ペネトレーションテスターの上野 宣氏(代表取締役)が登壇し、「侵入者が語る、効果のあるサイバー攻撃対策とは」と題し講演を実施した。 ここでの「侵入者」とは、組織が持つ顧客情報や資産を守るため、サイバー攻撃対策が総合的に機能しているかどうかをチェックする「ペネトレーションテスター」のことだ。本稿は、サイバー攻撃者の視点を持つ必要性と、その視点だからこそ見えるシステムの真の姿を語るセッションをレポートする。 自社のセキュリティ総合力にどれくらい自信がありますか? そもそも、私たちは何のため
NIST(National Institute of Standards and Technology:米国立標準技術研究所)は2022年12月15日(米国時間)、ハッシュ関数「SHA-1」の使用を2030年12月31日までに完全に停止すると発表した。 SHA-1は、原文から160bitのハッシュ値を生成し、通信経路の両端で比較することで、通信途中で原文が改ざんされていないかどうかを検出できる。SSL/TLS、PGP、SSH、S/MIME、IPsec、デジタル署名(コード署名)など、さまざまなアプリケーションやプロトコルで、暗号化やデータの完全性の検証に利用されてきた。 関連記事 Windowsで証明書にSHA-1が使われているかどうか確認する(GUI編) 2017年第1四半期には、古いハッシュアルゴリズム「SHA-1」を使った証明書のサポートが終了するという。そんな証明書をWindows
ChatGPTを狙った悪用の手口、フィッシングメール作成やプロンプト漏えいも どう対策する?(1/3 ページ) 世界中で活用が進む対話型AIサービス「ChatGPT」だが、サイバー攻撃のリスクも大きい。ChatGPTはどんなケースで悪用され、個人や企業のユーザーはどんな点に注意すればいいのか。 半導体やネットワーク、セキュリティ製品やサービスソリューションを提供するマクニカが4月21日に実施した、ChatGPTを悪用したサイバーリスクについての説明会から読み解いていきたい。説明を行ったのは同社 セキュリティ研究センターの凌(しのぎ)翔太氏。 ChatGPTでフィッシングメールやマルウェアが作られている ChatGPTを使ったサイバーリスクには2つのケースが考えられる。攻撃者によるChatGPTの悪用と、ChatGPTを組み込んだシステムに対する攻撃の2つだ。 ChatGPTの悪用とは、例え
はじめに 下の画像を見てください。これはとあるアプリの Firebase Console の App Check の Cloud Firestore のモニタリング画面です。この画面で 不正リクエストがどのくらいあるかが確認できます。 え?小さくてよくわかりませんか?もう少し拡大してみましょう。 ↓拡大してみました。不正リクエストは 2% ありました。30日間で不正リクエストは57万回あったということです! さらに Authentication は 18% も不正リクエストがありました! これは、どうにかしないといけない。。。ということで、最近 Firebase App Check を個人開発した Flutter アプリに導入したので、導入手順について紹介します! コードの修正は簡単ですが、Firebase 側の設定がなかなか難解ですし、公式サイト は手順がひとつにまとまっていなくてわかり
Microsoftがユーザーをインターネット上に存在するさまざまな脅威から守るために、Officeファイルのマクロをデフォルトで無効にすると発表しました。 Helping users stay safe: Blocking internet macros by default in Office - Microsoft Tech Community https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/ba-p/3071805 Microsoft to block Office VBA macros by default - The Verge https://www.theverge.com/2022/
11月7日に開かれたNTTの2023年度第2四半期決算会見では、NTT西日本グループ企業で発生した情報漏えいに関する質問が記者から飛び出した。これに対し同社の島田社長は「誠に申し訳ない」と謝罪。社内で定められた情報管理に関するルールの再確認と恒久的な対策の実施を明言した。 この漏えい問題はNTTマーケティングアクトProCXが発表したもので、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズの元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたとされている。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている。 テレマーケティング業務を委託されたNTTマーケティングアクトProCXは、NTTビジネスソリューションズ(NTT BS)のコールセンターシステムを利用。情報漏えい
Google、公式サイト「Pixel Phone ヘルプ」の[Google Pixel にソフトウェア アップデートが提供されるタイミング]ページ更新 2019 年 5 月発売「Pixel 3a」「Pixel 3a XL」の Android バージョンアップデートとセキュリティアップデートの提供終了を宣言 ちなみに「Pixel 7」「Pixel 7 Pro」は 2027 年 10 月までセキュリティアップデート配信 Google は 2022 年 10 月 14 日(金)、公式サイト「Pixel Phone ヘルプ」の[Google Pixel にソフトウェア アップデートが提供されるタイミング]ページ更新し、2019 年 5 月発売「Pixel 3a」「Pixel 3a XL」の Android バージョンアップデートとセキュリティアップデート提供終了を宣言しました。 「Pixel 3a
Haun Ventures has made 48 investments, including some of its token positions, across its early-stage $500 million and $1 billion later-stage acceleration funds. At the 2024 IAB NewFronts event on Wednesday, Snapchat announced a series of new augmented reality (AR) and machine learning (ML) tools designed to help brands and advertisers reach users on the socia
サービス開始早々に不正ログインが相次いだモバイル決済サービス「7pay」。7月11日の時点で少なくとも1574人のユーザーが被害に遭い、被害総額は約3240万円に上ったと報じられています。発覚から約3週間がたった今も、運営元のセブンペイは不正利用の原因調査を進めており、7月中をめどに脆弱性への対応策をまとめ、公表する方針です。 情報が錯綜していたり、不足していたりする中ではありますが、既にさまざまな記事で原因が推測されています。パスワードリスト攻撃の可能性に始まり、サービス側の実装の不備、具体的にはパスワードリセット機能の不備や二段階認証の欠如、さらには外部サービスと連携する際のOpenID Connectというプロトコルの実装に関する脆弱性など、多くの問題が指摘されました。 この中で筆者が少し驚いたのは、報道を巡って「金銭取引や決済が関連するサービスならば、『二段階認証』『多要素認証』は
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米Microsoft セキュリティー担当コーポレートバイスプレジデントのRob Lefferts氏が、同社のセキュリティーに対する取り組みについて説明した。「セキュリティー対策は日々のチェックが大切だ。高度なセキュリティーを実現したOSの採用と最新機能へのアップデートによって、81%の攻撃を阻止できる。また、多要素認証によって99.99%の攻撃をブロックできる」などと語った。 サイバー攻撃は、年々増加の一途をたどっているのは周知の通りだ。そして、企業はその対策に追われ続けている。米国では、企業のマルウェア対策に年間1億3000万円ものコストがかけられており、従業員1000人以上の企業では、平均で35社のセキュリティーベンダーから70種類
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます マクロを悪用したマルウェアは1990年代からハッカーらに多用されており、近年でもガードのあまいユーザーのデバイスにマルウェアを仕掛けるシンプルな方法として利用されている。 ウクライナ政府は2月、ロシア政府のスパイが悪意あるマクロを含んだ文書をウクライナ政府の文書共有サイトにアップロードしたとして非難した。またMicrosoftは、新型コロナウイルスのパンデミックの第1波が襲っているさなか、悪意あるマクロを含んだ「Excel」ファイルが添付された電子メールに関する警告を発した。 Microsoftは、「Antimalware Scan Interface」(AMSI)と「Office 365」の統合によって、マクロを利用したマルウェアを根
サイバーセキュリティツールベンダーのPortSwiggerは2022年1月17日(米国時間)、「OWASP API Security Top 10」に含まれる脆弱(ぜいじゃく)性の挙動を観察できるように設計されたオープンソースツール「vAPI」(Vulnerable Adversely Programmed Interface)を解説した。 APIセキュリティは近年、重要なセキュリティ分野となっている。APIは現在、サービスやデータ転送の管理に広く使われており、壊れたエンドポイントが1つあるだけで、データ流出や企業ネットワークの侵害につながる。 Gartnerは2022年には、API攻撃が企業Webアプリケーションに対する最も一般的な攻撃手法になると予測している。 vAPIでは何ができるのか vAPIはセキュリティベンダーのHolm Securityでセキュリティエンジニアを務めるトゥシャ
by Tyler Lastovich スマートフォンは使い続けるとバッテリーが購入したての頃よりも早くなくなるようになっていきます。バッテリーは比較的簡単に交換できるため、自分で交換用のものを購入して付け替えたり、正規・非正規のプロバイダーに持ち込んで有料でバッテリーを交換したりすることが可能なわけですが、AppleはiPhoneバッテリーの仕様を一部変更して非正規プロバイダーによるバッテリー交換が行われた場合、永続的に警告メッセージが表示されるようにすることで、正規のサービス以外でのバッテリー交換を防ごうとしていることが明らかになっています。 Apple Is Locking iPhone Batteries to Discourage Repair - iFixit https://www.ifixit.com/News/apple-is-locking-batteries-to-ip
Microsoftが、1996年8月にWindowsに導入されたプログラミング言語のVBScriptを段階的に廃止すると発表しました。 Deprecated features in the Windows client - What's new in Windows | Microsoft Learn https://learn.microsoft.com/en-us/windows/whats-new/deprecated-features Microsoft to kill off VBScript in Windows to block malware delivery https://www.bleepingcomputer.com/news/security/microsoft-to-kill-off-vbscript-in-windows-to-block-malware-de
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Appleは、6月に開催した「Worldwide Developers Conference」(WWDC)で「App Store」でのアプリ公開における一部の要件を厳格化することを発表していた。開発者は、特定のアプリケーションプログラミングインターフェース(API)を使用している理由を説明しなければならなくなる。そして今回、同社はこの要件に該当するAPIをApple Developerウェブサイト上で明らかにした。 APIはアプリケーションソフトウェアを作り上げるための共通の構成要素ではあるが、一部の標準APIや共用APIを悪用すれば、ユーザーの個人データにアクセスすることも可能となっている。とは言うもののApp Storeは、使用して
凸版印刷と情報通信研究機構(NICT)は、量子コンピュータでも解読が困難な耐量子計算機暗号(Post-quantum cryptography)を搭載したICカード「PQC CARD」を開発し、その有効性を検証したと発表した。 次世代の電子署名方式「CRYSTALS-Dilithium」(クリスタル・ダイリチアム)を採用。世界で初めてICカードに実装した。 NICTが運用するテストベッド「保健医療用の長期セキュアデータ保管・交換システム」で、医療従事者のICカード認証と電子カルテデータへのアクセス制御に適用し、その有効性の検証に成功したという。 ICカードのリーダライタや通信プロトコルなどは、現行暗号方式を実装した既存のICカード用から変える必要がなく、ハードウェアもそのまま使えるという。 2025年には医療や金融などの用途で限定的に実用化し、2030年に本格的な提供開始を目指す。また、高
Appleは、パスワードと同じくらい使いやすく、それでいてはるかに安全だという新たな認証技術「passkey」のテストを開始した。この技術のテスト版は、「iCloudキーチェーン」の一部として、2021年中に「iPhone」「iPad」「Mac」に搭載される見込みだ。 ウェブサイトやアプリでpasskeyを使ってアカウントを設定するには、まず新規アカウントのユーザー名を選び、「Face ID」を利用して、そのデバイスを使っているのが本当に本人であることを確認する。パスワードを設定することはない。デバイス側でpasskeyの生成と保存が行われ、iCloudキーチェーンによってすべてのAppleデバイス間で同期される。 その後、passkeyを認証に使うには、ユーザー名を確認し、Face IDで本人確認をするよう求められる。開発者は、passkeyをサポートするようログイン手続きをアップデート
トレンドマイクロは8月5日、システム開発時にコンテナイメージ内の脆弱性や不正プログラムを検知するコンテナイメージスキャン製品「Trend Micro Deep Security Smart Check(以下、Smart Check)」を、8月16日に提供開始することを発表した。参考標準価格は年額150万円(税別)。 Trend Micro Deep Security Smart Checkによるリスクの可視化 Smart Checkは、システムの開発時にコンテナイメージ内の脆弱性をスキャンし、脆弱性を緊急度に応じて「Critical」「High」「Medium」「Low」「Negligible」「Unknown」という6つのレベルで表示し、コンテナイメージ内の脆弱性を可視化する。 コンテナイメージ内の不正プログラムをパターンマッチング、機械学習型検索などの技術を用いてスキャンする機能や、コ
by Sara Kurfeß Twitterが同プラットフォーム上で使用可能だった動画フォーマットのひとつであるAPNG形式のファイルの利用を禁止しました。その理由は、APNGがてんかん患者の発作を引き起こしたという報告があったためです。 Twitter bans APNGs after attack on Epilepsy Foundation handle - The Verge https://www.theverge.com/2019/12/23/21035855/twitter-bans-apngs-trolls-seizures-epilepsy-foundation-attack 2019年12月16日、何者かがてんかん財団の公式Twitterアカウントに対するツイートやてんかん財団関連のハッシュタグ付きのツイートにAPNGファイルを添付し、てんかん患者の光過敏性発作を引き起
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 Log4j脆弱性に対する攻撃の傾向 Log4jはJavaベースのロギングライブラリだ。柔軟で包括的なロギング機能を備えているため、Webアプリだけでなく組み込みデバイスに至るまであらゆるものに使われている。 12月に発見された脆弱性「CVE-2021-44228」を利用した攻撃では、Log4jの「Lookup機能」という、ログとして記録された文字列の一部を変数として扱い、置換して処理する機能が悪用された。 Lookup機能の一つ「JNDI Lookup」を使うと、HTTP GETなどの簡単なHTTPリク
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く