送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル
東京オリンピックについて、これまで関係組織からの発表や報道されたサイバー関連事象についてまとめます。この記事は個別事象を整理したもので各々の関連性は一部を除きありません。また大会期間中のものを判別つきやすくするためタイトル部を赤文字で記載しています。 大会中に起きたこと 東京オリンピック期間中、過去大会で見られたようなサイバー攻撃などに起因する情報流出やシステム破壊の発生は報じられなかった。また官房長官は「サイバー攻撃に起因する問題発生は確認されていないとの報告を受領している」と7月26日にコメントしている。*1 大会後は経産大臣が電力やインフラなどのサイバーセキュリティに関してテロの様なものはなかったと説明した。*2 サイバー空間上でオリンピックに関連する事象が何もなかったわけではなく、大会に乗じた偽動画配信などの詐欺サイトの存在が報告されていた。またSNS上で選手への誹謗中傷が行われる
2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated
ドコモの電話料金合算払いなど「d払い」経由での決済が不正に使用されたとの報告が週末SNSで複数上がっています。ここでは関連する情報をまとめます。 なお、以下の情報は2019年7月19日時点で関連報道を確認できておらず、Twitter上での報告を集めたものです。piyokangoが被害事例を直接確認したものでもありません。 ドコモの注意喚起 www.nttdocomo.co.jpwww.nttdocomo.co.jpwww.nttdocomo.co.jp Twitterへの不正使用投稿 d払いが何者かに使用され、意図しない請求がきたとTwitterへ投稿されている。 限度額(クレジットカード登録がない場合は月上限最大10万円)まで不正使用され高額な請求が発生している模様。d払いで、不正利用された。父親が〜9万の被害! 助けて誰か〜 拡散してください(¯―¯٥) #docomo #d払い #不
従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及を受けて、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る恐ろしい仕様があるからだ。 偽の不在通知が猛威に SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。 2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日本郵便などを名乗る手口が出現した。 今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシン
2019年9月9日にPayPayを騙るSMSが届いたと複数の人がTwitterへ投稿しています。SMSからフィッシングサイトへ誘導されるもので、2019年9月12日12時現在フィッシングサイトは稼働中です。ここでは関連する情報をまとめます。 「PayPaySMS」から届くSMS PayPay使ってないんだけど、こんなの来た。 無視してええんかなー?? pic.twitter.com/rM1sI58OrW— ちかもにょ。@鶯丸で昇天。 (@chikamonyo) September 9, 2019 「銀行の登録情報と一致しない」とメッセージが届く。 PayPayの公式サポートも注意を呼び掛けている。 PayPayに提供されたお支払い情報が、お客様の銀行に登録されている情報と一致しない。既存のお支払い方法を更新、または削除するには、次の手順に従ってください:<フィッシングサイトへ誘導するURL
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(前編)】 - #FlattSecurityMagazine
Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。 プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いました。2週連続・前後編でお届けします! 今回コメントをいただいた方々(社名五十音順・順不同) 前編(本記事) Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道
はじめに ◆この記事は何? セキュリティ分野の攻撃手法と対策をまとめた記事です ◆対象は? セキュリティを学びたい方、試験対策をしたい方 ◆記事のコンセプト 攻撃と対策の目的や流れを抑えておくことで、情報処理試験の午前問題・午後問題が解きやすくなります。 この記事では以下のように整理します。 攻撃者側 攻撃者の目的 攻撃手段 結果 対策側 対策の目的 対策手段 結果 ◆この記事の目的 試験対策として理解や暗記の一助になれば幸いです。 標的型攻撃 攻撃側 ◆目的 機密情報を盗むため ◆手法 特定の個人や組織(標的)を狙って、攻撃メールを送付します。 攻撃者は情報を収集する 標的型攻撃メール送付 感染 情報の流出 ◆結果 情報の漏洩やウイルスの感染 標的型攻撃の例をシーケンス図で示した例です。 対策 ◆目的 被害を抑えるため 完全に防ぐことは難しいので、被害を抑える対策を考えるのが現実的です。
2023年2月17日、米国の暗号資産取引所 Coinbaseは、従業員に対してソーシャルエンジニアリングによるサイバー攻撃が行われ、従業員情報の一部が窃取されたことを明らかにしました。ここでは関連する情報をまとめます。 従業員を標的にしたスミッシング Social Engineering - A Coinbase Case Study 2023年2月6日(日)深夜にCoinbaseの複数の従業員の携帯電話宛にSMSが届いた。SMSの内容はメッセージ受信には記載されたURLから緊急的にログインする必要があるというもの。 大多数の従業員はこのメッセージを無視したが、1名はメッセージの内容を信じ、URLをクリックしユーザー名、パスワードの入力を行ってしまった。攻撃者が用意したと思われるフィッシングサイトへのログイン(認証情報の入力)後は、当該メッセージを無視するよう要求される内容となっていた。
大阪教育大学(大阪府柏原市)は5月24日、附属小学校の教員1人がスミッシング(SMSによるフィッシング)の被害に遭い、同教員が私的に契約するクラウドストレージ内に保存していた学級名簿などの個人情報約3900件が第三者から閲覧可能な状態にあると発表した。教員は大学が決めた情報管理のルールを守らず、個人情報を私的なクラウドストレージに保存していたという。 クラウドストレージに保存されていたのは、児童や他の職員が写った顔写真や学校生活の写真3349件、児童の氏名が載った学級名簿(357人分)、児童や職員の氏名が載った写真(70人分)、学生や職員の氏名が載った夏休みの課題の応募用紙(12人分)など。 児童の氏名が載った学級写真(12クラス分)や、同大が運営する情報システムのログインに必要な、IDやパスワードが写った写真も保存されていた。大阪市の教育委員会によれば、教員が以前務めていた別の小学校で撮
SMSGangによる電番偽装 SMSGangから偽装したメッセージを送るには事前にPINコードを購入する必要がある。テストメッセージは無料で送信できるため、デバイスで受信できることを確認してからPINコードを購入したい。SMSGangがサポートしている通信事業者を確認すると、日本ではDOCOMO回線とSoftBank回線が対象になっている。 SoftBank回線の電話番号宛に送信したテストメッセージはデバイスで正常に受信できたが、DOCOMO回線の番号では受信できない。KDDI回線の番号でも確認したが受信できない。PINコードの購入後に再検証したが、SMSGangから送信したメッセージをDOCOMO回線とKDDI回線では受信できなかった。そのため以降で示す挙動は全てSoftBank回線で実証したものである。この挙動は既にSoftBank CSIRTへ報告し、現在は再現しなくなっている。ソフ
SMS(ショートメッセージサービス)を使ったフィッシング詐欺「スミッシング」の被害が右肩上がりで増えている――NTTドコモが9月1日に主催した通信事業者向けのイベントで、セキュリティ製品を手掛けるマクニカネットワークスが警鐘を鳴らした。セキュリティ対策がほぼないSMSの弱みとマルウェアなどによる攻撃が組み合わさり、手口が巧妙化しているという。 スミッシングとは、電話番号だけで文章や画像を送受信できるSMSを悪用し、運送会社や銀行、携帯キャリアなどを装って個人にメッセージを送ってフィッシング詐欺を働く攻撃手法のこと。 攻撃者は「お荷物のお届けに上がりましたが不在のため持ち帰りました」「利用料金の確認が取れていません」といったメッセージとともにフィッシングサイトへのURLや電話番号を記載したメッセージを攻撃対象に送信。個人情報を窃取したり、スマートフォンにマルウェアをインストールさせたりする。
Webサイトに設置された問い合わせフォームを悪用した攻撃が増えているとして、さくらインターネットが、サイトオーナーに注意を呼び掛けている。 フォームで問い合わせを送信した後、問い合わせアドレスにメールを自動返信しているサイトがターゲットにされている。悪意のあるユーザーが、フォームに攻撃先のメールアドレスを記入し、問い合わせ内容にフィッシングサイトのURLや偽ブランド品の広告などを記載すると、攻撃先にフィッシングメールや広告メールが届く――という手口だ。 攻撃の対象は、さくらインターネットが提供しているサービスに限らず、このようなフォームを設置しているすべてのサイト。対策として、自動返信機能をオフにするか、Googleの不正投稿対策サービス「reCAPTCHA」を利用するよう推奨している。対策の詳細を解説したページも設置した。 WordPressの脆弱性などに起因する問題ではないため、ツール
Kaspersky Labは1月19日(米国時間)、「Roaming Mantis implements new DNS changer in its malicious mobile app in 2022|Securelist」において、Wi-FiルータのDNS設定を不正に書き換えるマルウェアの脅威について伝えた。同社は、ルータに侵入してドメインネームシステム(DNS: Domain Name System)をハイジャックする機能を備えた「Wroba」と呼ばれるDNS Changer型マルウェアに注意するよう呼びかけている。 Roaming Mantis implements new DNS changer in its malicious mobile app in 2022|Securelist 「Roaming Mantis」(別名「Shaoye」)と呼ばれている脅威アクターによ
au公式からのお知らせを騙ったSMSが報告されています。SMSはフィッシングサイトへ誘導する元のみられ、auのキャリア決済が狙われている可能性があります。ここでは関連する情報についてまとめます。 auを騙ったSMS Twitter上に次のSMSが届いたという報告があった。 auお客様がご利用のアカウントが外部によるアクセスを検知しました。下記より必ずご確認ください。 www.myau-qm[.]com うちの親のガラケーに届いたCメールなんだが、これって詐欺? pic.twitter.com/ZdCoIcSPM4— 煉@カメラマン光坊 多分今年でレイヤー辞める (@koubutuhatyoko) August 10, 2019 auを騙るCメール(SMS)がau利用者へ届いた。 届いた日付は2019年8月10日 11時25分。 これまでもauアカウント狙いのフィッシングサイトの報告は多数あ
次々と編み出されるネット詐欺の新手口。詐欺師は手を替え品を替えてユーザーをだまそうとする。その中で、筆者が特に“巧み”だと感じたのが、不在通知などを装う偽SMS(ショートメッセージサービス)である。最近、筆者にも送られてきた。改めて「これはだまされる」と痛感した。 SMSだから効果的 不在通知SMSを使う手口として広く知られているのは、佐川急便を名乗る手口だ。 「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。」といった1文とリンクがSMSで送られてくる。メールではなくSMSなのがポイントだ。 SMSなら電話番号が分かれば送れる。宅配便を送る際には、送り先の電話番号を伝票に書くので、宅配業者からSMSが送られても不思議はない。疑うことなくリンクをクリックしてしまいそうだ。 もし通常のメールで送られてきたら、「知らせた覚えはないのに、なぜメールアドレスを知っているんだ?」と疑
auじぶん銀行のフィッシングSMSが届いた
3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。 auじぶん銀行アプリに対する不正出金の驚くべき手口 そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。 ふーん、au自分銀行のときは宅配事業者を装ったSMSということでしたが、これはどうなんでしょうね。開いてみると… 詐欺サイトの警告が出ていますが、構わずに開いてみると… きたきたきたー。これですよ。auじぶん銀行のフィッシング(SMSの場合はスミッシングと言いますが)サイトのようですよー。「閉じる」をタップすると… うーむ、これがauじぶん銀行の本物のフィッシングサイトですよ。これかー。僕が作った偽サイトよりもきちんと作ってありますねー(笑い)。ちなみに、本物のauじぶん銀行サイトはこちら。 よく似ていますね。お客様番号とログインパスワードの欄は共通ですが、偽物の方は暗
ヨドバシカメラのショッピングアプリ「ヨドバシ」のAndroid版に、攻撃者によって任意のURLへのアクセスに使われてしまう脆弱性があるとして、JPCERT/CC(JPCERTコーディネーションセンター)が9月7日、注意を呼び掛けた。対策として、最新版へアップデートするよう案内している。 ヨドバシのAndroid版アプリには、Androidの「Intent」という仕組みを利用して、他のアプリから送られてきたURLにアクセスする機能がある。しかし、同アプリにはリクエストの発行元を制限せず、任意のアプリからIntentを受け取って任意のURLへアクセスを行ってしまう、アクセス制限不備の脆弱性があるという。 第三者がスマートフォンに対し遠隔操作を行い、同アプリを経由することで任意のWebサイトにアクセスすることも可能なことから、JPCERT/CCはフィッシングなどの被害にあう可能性があるとしている
NTTドコモの電子決済サービス「ドコモ口座」を悪用した現金の不正引き出し被害が相次いでいることを受け、ドコモ銀行とサービス連携をしている銀行のうち18行が9月9日までに、ドコモ銀行での口座の登録や変更などの手続きを中止すると発表した。 ドコモ口座は、ネットショッピングでの支払いやユーザー間の送金ができるサービス。登録した銀行口座からドコモ口座アカウントへの入出金にも対応している。同サービスと連携している七十七銀行(宮城県仙台市)は7日、ドコモ口座を悪用して銀行口座から現金を不正に引き出される被害が確認できたとして、同サービスとの連携を一時的に中止した。 七十七銀と同様にドコモ口座と連携している35行のうち、9日までに連携を中止した銀行はイオン銀行、ゆうちょ銀行、地方銀行など18行。連携再開の時期は未定。 現金不正引き出しの具体的な手口は発表されていない。ネット上では、「入力する銀行の暗証番
福井県は2月7日、県が運用するTwitterアカウント「ふくいブランド」が不正アクセスにより乗っ取られた可能性があると発表した。アカウント名は「Fukui」に変えられ「今週はNFTプロジェクトに多額の投資をしたい。どのプロジェクトがいいか教えてほしい」という旨のツイートをしている。7日の時点で不正アクセスによる二次被害などの報告はないという 7日の昼ごろ、県に「ふくいブランドのTwitterアカウントが乗っ取られている」という旨の報告があり判明した。8日午後0時の時点では約7万6000人のフォロワーがいるが、県に問い合わせたところ「全くそんな規模ではなく、多くて数千人程度だった」という。 県はTwitter社にアカウントの削除を申請。県民などに対してはフォローの解除、ツイートへアクセスしないことなどを求めている。 ふくいブランドは、福井県からのお知らせやイベント情報などを告知するTwitt
Amazon.co.jpをかたる詐欺SMSが増加しているとして、フィッシング対策協会は11月27日、注意を呼び掛けた。Amazonアカウントに支払いの問題や不正なログインがあると偽り、文中のリンクから偽サイトに誘導するという。 文面は「支払いの問題でAmazonがロックされました」「お客様のAmazonかんたん決済に異常ログインの可能性がありますウェブページで検証お願いします」(全て原文ママ)など。これらの対応にはURLのクリックが必要だとし「https://user-amazon.●●●.top/」「http://user-amazon.●●●.top/」といったWebサイトに誘導するという。 誘導先の偽サイトではAmazon.co.jpに似たログイン画面などが表示され、IDやパスワード、氏名、クレジットカード番号といった個人情報の入力が求められる。 偽サイトは27日正午時点で稼働中。フ
宅配便の不在通知をかたった短いショートメッセージ。 思わず開いてしまった人、いませんか。 それ、「スミッシング」と呼ばれる詐欺の入り口の可能性が高いんです。 次々に生まれる身近なサービスをかたった新しい手口。 だまされないために、できることは。 (デジタルでだまされない取材班 / 絹川千晴) スミッシング 開いて調べてみた (※取材のため安全を確認した上で行っています) 冒頭で紹介したのは、記者のiPhoneに届いた1通のショートメッセージです。 「お客様が不在のためお荷物を持ち帰りました。こちらにてご確認ください」。 ネット通販ヘビーユーザーの私。心当たりは山ほどあります。 記載されたURLをタップすると… (※取材のため安全を確認した上で行っています。決して同じようにURLをタップしないでください) ブラウザが起動し、アカウントに“安全異常がある”としてログインを求める通知が出ました。
フィッシングに遭っても、パスワードが漏れても、比較的安全な方法があったとしたら気になりませんか? この記事では、Webアプリケーションにおける認証について、特にB to Cに的を絞ってお届けしたいと思います。B to Cサービスを提供する方を読者として想定していますが、利用する側の方も知っておいて損はありません。 セキュリティ認証、突破されていませんか? 突然ですが、あなたが提供しているサービスの認証周りのセキュリティは万全ですか?既にMFA(Multi Factor Authentication:多要素認証)を導入しているから大丈夫と考えている方もいるかもしれません。しかし、それは本当に大丈夫なのでしょうか。 MFAだって突破される MFAを有効にすることで、99.9%のリスクは低減できると言われています。しかし、最近ではMFAを突破する事例も出てきているのです。 事例1 Cloudfl
通信事業者からのショートメッセージ(SMS)に、詐欺目的のメッセージを紛れ込ませてURLをクリックさせるスミッシング詐欺が確認されました。ご注意ください。 通信事業者のメッセージに第三者がメッセージを挿入する手口 一般財団法人日本サイバー犯罪対策センター(JC3)と内閣サイバーセキュリティセンター(NISC)は、通信事業者から届くSMSと同じスレッドに、他の者がメッセージを挿入できる手法を用いたスミッシング詐欺が確認された、として注意を呼びかけています。 「スミッシング(Smishing)」は、SMSを悪用したフィッシング詐欺を指す言葉で、スマートフォンの普及とともに増加傾向にあります。 通信事業者からのお知らせと識別困難 これまでは、通信事業者を装ったメッセージが届いても、メッセージが他のスレッドに表示されていれば、受信者が怪しいと気付いて被害を防ぐことができました。 しかし、正規の通信
「若いほどセキュリティ教育の受講経験が多く、脅威に遭遇した経験は少ない」 IPAが情報セキュリティに対する意識調査結果を発表
「若いほどセキュリティ教育の受講経験が多く、脅威に遭遇した経験は少ない」 IPAが情報セキュリティに対する意識調査結果を発表:PC利用者の方が「脅威名の認知度」が高い IPAは、「2020年度情報セキュリティに対する意識調査」の結果を発表した。10代や20代はセキュリティ教育の受講経験が多く、脅威への遭遇経験が少ないことが分かった。 情報処理推進機構(IPA)は2021年3月4日、「2020年度情報セキュリティに対する意識調査」の結果を発表した。同調査には「脅威編」と「倫理編」があり、前者は一般国民のサイバーセキュリティに対する脅威の認識と対策の実施状況を、後者はネットモラルに対する現状などを調べている。 今回の脅威調査は「標的型攻撃」といった脅威名の認知度や、脅威への遭遇経験と被害経験、パスワードの管理方法などを調べた。倫理調査では、2020年に問題となったSNSを使ったデマの拡散や、未
日本クレジット協会は、去年1年間のクレジットカードの不正利用による被害額が430億を超えて過去最悪となったとする調査結果をまとめ、発表しました。 日本クレジット協会によりますと、去年1年間のクレジットカードの不正利用の被害額は、おととしから100億円余り増えて436億7000万円となり、統計を取り始めた1997年以降、過去最悪となりました。 内訳をみると、不正に入手したカード番号が使われる「番号の盗用」による被害が411億7000万円と、全体の94.3%を占めています。 その原因の一つとして、偽のウェブサイトに誘導してカード番号やパスワードなどを盗み取る「フィッシング詐欺」の増加があると見られています。 フィッシング対策協議会によりますと、去年1年間に報告されたフィッシング詐欺に関する情報は96万8832件と、おととしから44万2328件増え、過去最高の報告件数になりました。 最近の傾向と
岡山大学は10月8日、外部からの不正なログインによって、教員1人のメールアドレスから1万4666件のフィッシングメールが送信されていたと発表した。教員が設定していたメールアカウントのパスワードが安易だったことが原因としている。 研究室のWebサイト公開用にレンタルしているサーバがサイバー攻撃を受け、安易なパスワードを設定していた1つのメールアカウントに侵入されたとしている。 不正アクセスは7月28、29日、9月5日、23、25、26日にかけて発生。9月29日にクラウドサーバの事業者から連絡を受け、事態が判明した。クラウドサーバ上のメール機能を停止し、メールのパスワードを変更するなどして不正アクセスを遮断したとしている。 フィッシングメールの発信先は海外が中心。現在までに個人情報などの流出は確認されておらず、二次被害の報告も受けていないという。 関連記事 保健所かたる詐欺メール、病院狙うラン
コロナ禍で急速に普及したリモートワークを狙うサイバー攻撃が増加している。環境的な要因から生じる脆弱性を突いたものから、働き手のミスや油断などいわゆる「心理的な脆弱性」を突いたものまでさまざまだ。本記事では、リモートワークにおける情報漏えいリスクをどのようにして予防するのか、具体的に解説する。 リモートワークで高まる情報漏えいリスク リモートワークの際に、業務を行なう自宅やカフェなどではセキュリティ的に脆弱なことがある。その結果、こうした脆弱な業務環境を狙ったサイバー攻撃が多発している。IPA(独立行政法人 情報処理推進機構)が2021年8月に発表した「情報セキュリティ10大脅威 2021」では、「ランサムウェア」、「標的型攻撃」に加えて「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインした。実際に、業務用パソコンがマルウェアに感染したり、許可を得ていない私用端末がマルウェアに
スマートフォンゲーム「崩壊3rd」などを提供する中国miHoYoは9月29日、同日リリースした新作ゲーム「原神」のPC版で、アンチチートプログラム(外部ツールなどによるゲーム上の不正を検出するプログラム)がゲームの終了後やアンインストール後もPC上で動作し続ける仕様を修正したと発表した。 原神は、miHoYoが開発するPC/プレイステーション4/iOS/Android向けのアクションRPG。28日のリリース後、オンラインコミュニティー「Reddit」やTwitterのユーザーから、PC版でアンチチートプログラム「mhyprot2」が動き続け、アンインストール後も削除できないことが指摘された。「スパイウェアではないのか」と疑う声もあり、同日午後には「スパイウェア」がTwitterでトレンド入りした。 miHoYoによると、アンチチートプログラムは他の起動しているプログラムの状態などを読み取り
組織のセキュリティと同じように、サイバー攻撃も巧妙化しています。2要素認証において、組織に重要な取り組みとマインドセットを解説します。 先日「2要素認証」について本連載で取り上げました。2要素認証はパスワードだけに頼らない認証方法であり、「次の世代の手法」とされてきました。しかし、ここで"次"とされてきたものも、攻撃者の進化により“今”となり、すぐに“過去”になるでしょう。 2要素認証と一言で言っても、その強度は手法によって変わります。今回紹介する事件はそれを教えてくれる教訓となるものです。一緒に学んでいきましょう。 先進的IT企業が高度な手法で攻撃される 今回取り上げるのは2つの企業です。1つ目はクラウドサービスとしてコミュニケーションプラットフォームを手掛けるtwilioです。twilioは2022年8月10日、自社が標的型攻撃を受けたことをレポート「Incident Report:
Yahoo! JAPAN IDに登録された電話番号の列挙 Feb 3, 2020 Webサービスのアカウントに登録されている携帯電話番号を特定できれば、そのサービスの利用者を標的としたスミッシング(SMSフィッシング)が可能になると考えた。日本最大級のポータルサイトである「Yahoo! JAPAN」のアカウントリカバリー機能では、Yahoo! JAPAN IDに登録した電話番号からアカウントの存在を確認できる。この機能の挙動を利用して他人のIDに紐づく電話番号を列挙できる状態だった。発見した脆弱性はYJ-CSIRTへ報告し、既に修正されている。 ユーザー列挙の脆弱性 入力値の違いにより生じるエラーメッセージや応答時間などの差異を手がかりに、アカウントの識別情報を収集する行為を「ユーザー列挙(User Enumeration)」という。例えばアカウントを登録する際に以下のようなエラーが発生し
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SMSで送信元を偽装したメッセージを送る
カスタムURLスキームの乗っ取りとその対策
東京オリンピックのサイバー関連の出来事についてまとめてみた - piyolog
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog
d払いの不正使用投稿についてまとめてみた - piyolog
慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ
PayPayを騙るスミッシングについてまとめてみた - piyolog
怪しいSMSが届いたら「発信者番号」をチェック、“スミッシング詐欺”特有の見極めポイントを徹底解説【知って防ごう! スミッシング詐欺】
シーケンス図で理解する「攻撃手法と対策」【セキュリティまとめ】 - Qiita
Coinbaseが受けたソーシャルエンジニアリングについてまとめてみた - piyolog
小学校教員がSMSフィッシング被害に 学級名簿などを保存したクラウドストレージの個人アカウントが奪われる
SMSで送信元の電話番号を偽装したメッセージを送る
SMSで届く詐欺メッセージ「スミッシング」被害が右肩上がりに その巧妙な手口とは
問い合わせフォームへの攻撃急増 詐欺メールの“送信元”に
Wi-Fiルータ乗っ取るマルウェア「Wroba」に注意、日本も標的
auアカウントを狙うスミッシングについてまとめてみた - piyolog
「d払い」不正利用で190万円騙し取った詐欺グループのスミッシングと“闇バイト”を使った手口【騙されないように注意!】
これはだまされる!受信して分かった「不在通知SMS」の巧妙さ
ヨドバシカメラのAndroidアプリに脆弱性 フィッシングサイトなど任意のURLへのアクセスに使われる恐れ
ドコモ口座と連携中止する銀行相次ぐ 35行中18行が受付停止
数年放置された福井県公式Twitterが乗っ取り被害に NFT関連ツイートを開始
Amazonかたる詐欺SMSに注意 「Amazonがロックされました」「異常ログインの可能性があります」など
携帯キャリア大手3社が解説する「スミッシング」の現状と対策、日本でも多くの感染者が見つかった遠隔操作マルウェアの影響【JPAAWG 5th General Meeting】
その通知、偽物です 日々進化する“スミッシング”の脅威 | NHK
SMSで届く詐欺「スミッシング」の被害は深刻化、NTTドコモらが提案する対策方法とは
MFA(多要素認証)でさえ突破されている~WebAuthnがおすすめな理由 #1~ | LAC WATCH
【注意】通信事業者から届くSMSに悪意あるメッセージを挿入するスミッシング詐欺
去年のクレジットカード不正利用 被害額430億円超 過去最悪 | NHK
注文した覚えがないのになんで不在通知が…? SMSを悪用する「スミッシング」のよくある手口【知って防ごう! スミッシング詐欺】
岡山大に不正ログイン フィッシングメール1万4666件送信
サイバー犯罪者にとっては便利すぎる!? SMSを使ったフィッシングが急増するワケ【知って防ごう! スミッシング詐欺】
リモートワーク時の情報漏えいにおける環境要因と対策
10代で被害額が300万超え!? SMSの「スミッシング」被害者の大半が“若者“の現実(前編)
NTTドコモ、スミッシング詐欺対策として「意図せぬ迷惑メッセージ送信に関するお知らせ」を7月から提供予定 フィッシングSMSを送信している回線に対して注意喚起
「原神」、ゲーム終了後は不正防止プログラムが停止する仕様に 開発元はスパイウェア疑惑を否定
2要素認証を突破するサイバー攻撃に組織はどのように対応するべきか
Yahoo! JAPAN IDに登録された電話番号の列挙