0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
【図解】コレ1枚でわかるゼロ・トラスト・ネットワーク・セキュリティ:ITソリューション塾:オルタナティブ・ブログ
「いつでも、どこでも働ける」環境を整えることは、いまや働き方改革の要件となっています。そうなると、社外に持ち出したデバイスで、社内システムやクラウドを活用して仕事をするのは当たり前となり、ネットワークにおける社内と社外の境界は意味を持たなくなります。また、ウイルスに感染したパソコンから社内ネットワークを介して感染を広げ被害をもたらす事故や、内部の悪意あるユーザーが機密情報を漏洩してしまうといった事件も後を絶ちません。 「社内は"善"、社外は"悪"」という前提に立ち、ファイヤーウォールで「社内外の境界を守る」従来の「境界防衛セキュリティ」は、もはや役に立たなくなってしまいました。 また、クラウドの利用拡大により、インターネットを介した外部へのアクセスは益々増大します。これらアクセスの全てを、ファイヤーウォールで守ろうとすれば、処理能力が追いつかずスループットの低下は避けられません。高速・大容
無料 SSL の認証局である Let's Encrypt は、有効な証明書のうち 2.6% に当たる300万件の証明書に対し、2020年3月4日に失効手続きを行うと宣言しました。しかもその事がユーザーに通知されたのは失効手続きの数時間前です。一体、Let's Encrypt に何が起きたのでしょうか? 私が調べた事を共有したいと思います。 この記事は Let's Encrypt の証明書失効に関する一連の出来事についてまとめた物です。今回の失効処理の対象となっているかどうかの確認方法等については、以下の記事をご覧下さい。 Let's Encrypt に重大なバグが発覚。該当サイトは2020/3/4 までに対応が必須 更新しました(2020/3/7) 影響の度合いについての記載が正しくなかったので修正 現在の Let's Encrypt の見解が正しくなかったので修正 何が起きているのか?
あなたの Windows 10 には何種類の Python が入っていますか?私は5種類でしたが。 - Qiita
2020-03-10 Update1: あなたの macOS には何種類のPythonが入っていますか?私は401種類でしたが。 Update2: わりかん がん保険 やってます 2020-03-15 Update3: タイトルが Window 10 だったのを Windows 10 に修正。無意識typoでした。 タイトルは煽りです。WSL Ubuntu 18.04 上にはpyenv経由で3種類+OS由来の2種類で合計10種類でした。 なぜこの記事を書こうとしたのか 背景を説明します。ひさびさにWindows 10を開いたのでセキュリティアップデートも兼ねて Visual Studio Comminity 2019 update や Microsft Store からのアプリのアップデートをよく確認せずに実行したところ、Git bash から python が起動しなくなってしまったので
iPhoneのOSであるiOS 13の純正アプリに表示される広告の多さについて、ミニブログサービスTumblrのエンジニアであるスティーブ・ストリザ氏が「これではもうアドウェアです」と苦言を呈して、波紋を投げかけました。この主張に対し、インターネット上の意見は賛成と反対の両方に割れています。 The Paywalled Garden: iOS is Adware - Steve Streza https://stevestreza.com/2020/02/17/ios-adware/ Apple is pushing its services, but iOS is not adware yet https://appleinsider.com/articles/20/02/19/apple-is-pushing-its-services-but-ios-is-not-adware-yet
Intel製CPUの「修正済み」脆弱性が実は修正不可能であったことが判明、特権によるコード実行やDRMの回避などが可能
Intel製のCPUには、2018年に「Meltdown」や「Spectre」、2019年には「SPOILER」など、ここ数年多くの脆弱性が判明しています。そうした脆弱性のひとつとして、Intel製CPUのセキュリティシステムである「Intel CSME」に見つかった、「すでに修正パッチを配布済み」の脆弱性が、実は完全には修正不可能なものであることが判明しました。この脆弱性を悪用すると、悪意のあるコードを特権レベルで実行できるほか、著作権保護技術のDRMの回避などが可能になります。 Positive Technologies: Unfixable vulnerability in Intel chipsets threatens users and content rightsholders https://www.ptsecurity.com/ww-en/about/news/unfix
iPhoneに突然表示される不審なカレンダー通知に注意! - 安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
ここでは、手口および対処、被害にあわないための対策について解説します。 なお、以下に掲載するiPhoneの画面は、相談内容等をもとにIPAが再現したものであり、実際の手口の画面とは異なる場合があります。 (脚注1) 本件に関するこれまでの相談件数 2016年:1件 2017年:0件 2018年:2件 2019年:0件 2020年:227件 2021年:79件(3月末時点) 1.手口の概要 iPhoneのカレンダーに身に覚えのないイベントが入ってしまうパターンには以下の2通りがあります。 (1)アカウント追加型(悪者の仕掛けたワナにハマってしまうケース) (2)イベント・カレンダー共有型(悪者から一方的に送られるケース) (1)アカウント追加型(悪者の仕掛けたワナにハマってしまうケース)の手口(2020年8月追加内容) サイト(脚注2)に表示される画面の「照会」などをタップしてしまう(図4)
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?:徳丸浩氏×総務省サイバーセキュリティ統括官室 特別対談【前編】 あらゆるものがインターネットを介してつながり、これまでにない量の情報を多くの人が日々活用する――。そんな「Society 5.0」が現実的になりつつある中、多くの組織にとって課題になるのがセキュリティだ。そんな中、総務省は2019年にIoT機器の脆弱性をチェックする「NOTICE」を開始した。開始当時は一部で物議を呼んだ同施策だが、そもそもどのような効果を期待して始められたのか? NOTICEが始まった背景や現状について、セキュリティ専門家の徳丸浩氏が総務省のサイバーセキュリティ統括官室に切り込んだ。 あらゆるものがインターネットにつながるIoT(モノのインターネット)時代。SNSを通じた人々のつながりや購買経路、移動経路など、これまで見えなか
SQL インジェクション(SQL Injection、略称: SQLi) は、バックエンドにおけるデータベース操作に悪意のある SQL クエリを意図的に注入して、データベース内のデータに不正にアクセスできてしまう脆弱性および攻撃手法です。 データベースには、企業の機密情報や顧客の個人情報などが保存されているため、攻撃者はこの機密情報を狙って取得を試みようとします。 SQL インジェクションは、攻撃が成功すると被害は Web アプリケーション内に留まらず、情報漏えいという形でビジネスに悪い影響を与えます。 ユーザーリストを不正に表示できたり、データベースのテーブル全体の削除できたり、場合によっては攻撃者がデータベースの管理者権限を取得できたりする可能性もあります。 SQL インジェクションによって顧客の個人情報(電話番号、住所、パスワード、クレジットカード情報など)が漏えいした場合、企業とし
本連載「中堅・中小企業向け、標的型攻撃対策の現実解」では、中堅・中小企業における「高度標的型攻撃(APT)」への現実的な対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。 ベースラインAPT対策コンソーシアム(以下、BAPT)のメンバーが交代で各回を担当。第1回と第2回では最初に取り組むべき「リスク分析」を扱った。第3回は「出入口対策」、第4回は「ログ管理」、第5回は「エンドポイント対策」について解説した。 前回の記事では、コンピュータセキュリティに関わるインシデントに対処するための組織、CSIRT(Computer Security Incident Response Team)構築の勘所を解説した。本記事は構築したCSIRT、また既存のインシデント対応体制を強化する方法の一つである「サイバー演習」を中心に、セキュリティ強化するための方法
「ITシステム・サービスの業務委託契約書見直しに関する実態調査報告」 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2020年4月に施行される改正民法(*1)では、「瑕疵担保責任」が「契約不適合責任」となり、「引渡しから1年以内に瑕疵の修補」とされていたものが「契約不適合の事実を知った時から 1年以内に通知。権利行使は最長10年。」としています。これを受け多くの企業・組織では、契約書雛形の変更、契約内容の見直しの必要が生じました。 また、2019年は内部不正により委託先からHDDが廃棄されずに転売され情報が漏洩したり、クラウドサービスが長時間停止し業務が停止したり、といったサプライチェーン上の信頼を脅かすようなセキュリティ事故が発生しました。これらの報道を契機に、中には過去の取引実績や現在の契約内容が自社のリスクに見合っているのかといったことを再点検する企業もありました。 このような企業の問題意識を受け、IPAではITシステムやサービスの業務委託契約書見直しの契機と実際の見直し状況について、2019年度
サイバーセキュリティ経営可視化ツールとは 目的 本ツールは、「サイバーセキュリティ経営ガイドラインVer3.0」で定める重要10項目の実施状況を5段階の成熟モデルで可視化(レーダーチャート表示)できます。企業は自社のサイバーセキュリティ対策状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の実行等が可能となります。 対象利用者 原則として、従業員300名以上の企業・組織を対象としています。 但し、従業員300名未満の企業・組織を対象としないものではなく、グループ企業との比較等にも活用可能です。 回答にあたって 回答はサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO(注1)等)が回答を記入し、最終的には経営者(注2)が回答内容を確認・承認してください。 自社の予算・技術力に関わらず、セキュリティのあるべき姿に対してどこまでできて
Googleアカウントのセキュリティを本気で強化する方法
Googleアカウントのセキュリティを本気で強化する方法2020.03.07 20:0023,075 David Nield - Gizmodo US [原文] ( Rina Fukazu ) 周りに必要そうな人がいたら、教えてあげたい機能。 Google(グーグル )アカウントを保護する方法は基本的に3つあります。まずセキュリティ強めなパスワードを設定すること。もっと強化するには、2段階認証プロセスを有効にすること。そして極めつけは、高度な保護機能を利用すること。今回は、この「高度な保護機能」とはどのようなものかについて解説します。 どんな人が使うべき機能?まず最初に明確にしておきたいのが、この機能はGoogleアカウントを持つ全ユーザーにお勧めできるもの...ではありません。 そもそも、設定するのに結構な時間がかかります。また、初めてログインする端末やたまにしか開かない端末を使うとき、
[アップデート] AWS Managed Rules for AWS WAF に匿名 IP リストのルールが追加されました | DevelopersIO
本日のアップデートにより、AWS 製のマネージドルール 「AWS Managed Rules for AWS WAF」 に匿名 IP リスト(Anonymous IP List) のルールが追加されました。 AWS WAF adds Anonymous IP List for AWS Managed Rules 何が嬉しいのか Anonymous IP List には、悪意のある攻撃の際に利用されやすい「匿名プロキシ(Anonymous Proxy)」、「Tor ノード(IP 発信元の匿名化)」、「VPN」、「ホスティングプロバイダー」からのリクエストをブロックするルールが含まれています。 アプリケーションから身元を隠そうとしている Web リクエストを除外する場合に利用できます。これらのサービスの IP アドレスをブロックすることで Bot や、CloudFront などで設定された地域
![[アップデート] AWS Managed Rules for AWS WAF に匿名 IP リストのルールが追加されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a40565a486672c7039cb5c926f432f33218cbc0e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-waf.png)
Apple WWDC 2023: What to expect, from iOS 17 to new MacBooks
Apple WWDC 2023: What to expect, from iOS 17 to new MacBooks
商品開発畑の出身でリテールやデリバティブ取引については詳しくとも「Citadel? Zeus? それ何?」というほどサイバーセキュリティについてほぼ素人だった安田貴紀氏(ACSiON 代表取締役CEO/セブン銀行 7BK-CSIRTエグゼクティブアドバイザー)と西井 健二朗氏(セブン銀行 セブン・ラボ リーダー)。その2人がどのようにしてセブン銀行のCSIRT「7BK-CSIRT」を立ち上げていったのか。 「ITmediaエンタープライズ セキュリティセミナー」のランチセッション「セブン銀行 CSIRT創設者に聞く、セキュリティの経験はDXにどう生かせるか」では、ITmedia エンタープライズ編集部の宮田健の進行の下、7BK-CSIRT創設前後のエピソードを交えながら一連のいきさつを紹介した。 定期的に開催した「セキュリティ検討会」をベースに、恒常的なCSIRTを組織 セブン銀行は全国に
同日、Chrome 80のセキュリティ関連のアップデート(80.0.3987.149)がWindows、Mac、Linux向けに配信開始された。このアップデートでは、危険度が上から2番目の「High」9件を含む13件の脆弱性が修正される。 関連記事 Google、非正規雇用者のための「COVID-19基金」設立 Googleが、新型コロナウイルス感染症拡大防止策の影響を受ける世界中の非正規雇用者が有給休暇を取得できるようにするための「COVID-19基金」を設立する。派遣社員や臨時スタッフにも賃金を支払う。 Googleが「Chrome 80」のアップデート公開 ゼロデイ攻撃発生の脆弱性も デスクトップ向けの「Chrome 80」で修正された脆弱性3件のうち1件については、既に攻撃の発生が伝えられている。 「Google Chrome 80」リリース、新しいCookieの分類システムを導入
Online dating behemoth Match Group is introducing a new gay dating app, just in time for Pride. The company, which owns the lion’s share of the global dating market, is launching Archer, a “social
Firefoxに対する攻撃を防御、WebAssemblyを利用したサンドボックスが役立つ:Windows版にも適用可能 「WebAssembly」を使ってWebブラウザをサイバー攻撃から保護する仕組みをテキサス大学の研究者らが開発した。現在は「Firefox」で効果を検証しており、今後は全面的に適用される見込みがあるという。
【セキュリティ ニュース】Linuxなどに含まれる「pppd」に脆弱性 - root権限でコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT
モデム接続やPPPoE接続、VPN接続の「PPTP」など、ノード間の接続に用いる「Point-to-Point Protocol(PPP)」の接続セッションを管理する「pppd」に、深刻な脆弱性が含まれていることがわかった。 Linuxなどで広く採用されているPaul's PPP Packageの「pppd」に脆弱性「CVE-2020-8597」が明らかとなったもの。 「同2.4.8」から「同2.4.2」までが影響を受ける。 認証プロトコル「EAP(Extensible Authentication Protocol)」のパケットを処理する際、データサイズの検証処理に問題があり、バッファオーバーフローが生じるという。 脆弱性を悪用されると、任意のコードを実行されたり、サービス拒否に陥るおそれがある。認証に「EAP」を用いていない環境でもパケットを受け付け、脆弱性の影響を受ける可能性があるた
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 | スラド セキュリティ
無線LANチップの脆弱性を悪用して暗号通信を傍受する手法が公開された。この手法は「Kr00K」と呼ばれており、さまざまなデバイスが影響を受けるという(PC Watch、ESETの発表、welivesecurity、、ESETによるホワイトペーパー)。 特定の無線LANチップではセッションの切断(ディスアソシエーション)時に、不具合によってその値がすべて0の暗号鍵でデータが送信されてしまうという。BroadcomおよびCypress製の無線LANチップでこの脆弱性が確認されており、ESETの検証では複数のApple製品やGoogle Nexusシリーズ、Samsung Galaxyシリーズ、Raspberry Pi 3、AmazonのEchoやKindleなどで問題が確認されたとのこと。 すでに主要メーカーはパッチのリリースを行なっているとのことで、メーカーからの告知を確認した上でアップデー
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Intelは2019年に、同社のCPU技術で発見されたバグをパッチで修正したが、セキュリティ企業Positive Technologiesの研究者らによると、そのバグが与える影響は当初考えられていたよりもはるかに深刻である。 Positive Technologiesが米国時間3月5日に公表した報告書は、「過去5年間にリリースされたIntel製チップセットの大半に、この懸案の脆弱性が含まれている」と述べている。 攻撃は検出が不可能で、ファームウェアのパッチは問題を部分的にしか解決しない。 研究者らは、デバイスを保護し、機密性の高い業務を行えるように、このバグの影響を受けない最新のCPUに置き換えることを推奨している。この脆弱性がないCP
パロアルトネットワークス(以下、パロアルト)は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC(Infrastructure as Code)テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱(ぜいじゃく)性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。 クラウドの設定ミスはテンプレートの利用が原因 今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65%が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。 さら
出題分野、出題範囲はこれでも一部です。非常に幅広い分野の知識とスキルが求められます。 未経験・初心者がCTFに出場するための方法 CTF初心者や未経験の人でもCTFに参加することは可能です。ここでは、CTFに参加するまでに行っておいたほうがいいおすすめの手順を紹介します。 SECCON、SECCON以外のCTFのスケジュールを確認 まずはSECCONのサイトからCTFのスケジュールを確認する方法を紹介します。 SECCONの公式サイトへアクセス メニューから「スケジュール」をクリック SECCON以外で開催されているCTFのスケジュールは以下のサイトから確認することができます。 サイトCTFtime.org https://ctftime.org/ CTFtime.orgのメニュー「Calendar」をクリックすると「Events calender」が表示されるので、ここから世界中で行われ
Google Chromeに重大な脆弱性、アップデートを
United States Computer Emergency Readiness Team (US-CERT)は3月4日(米国時間)、「Google Releases Security Updates for Chrome|CISA」において、Google Chromeに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており、注意が必要。 脆弱性が修正されたプロダクトおよびバージョンは次のとおり。 Google Chrome 80.0.3987.132 Windows版 Google Chrome 80.0.3987.132 Mac版 Google Chrome 80.0.3987.132 Linux版 Google Chrome 80.0.3987.132 - macOS Catalina 脆弱性に関する
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事、 BetaNewsの記事、 The Registerの記事)。 サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその
概要 インターネット安全教室を開催する際、指導用にご利用いただく目的で作成した教材と、講義要領を公開しています。情報セキュリティや情報モラルの教育・普及の目的で、学校での授業、各種セミナーや研修等にご利用いただけます。 教材へのご意見、ご感想は「本件に関する問い合わせ先」のE-mailアドレス宛にお寄せください。 本件に関する問い合わせ先 教材の構成とダウンロード 講義の前に 子どもたちをとりまく情報通信機器の現状、情報モラル・セキュリティに関する情報、講義にあたっての指導ポイントや講義する上での基本的な知識について、「講義要領」としてまとめています。教材をご利用の際、あわせてご活用ください。 講義にあたっての指導のポイント・講義する上での基本的な知識について講義要領(PDF:4.7 MB) 教材の構成 教材は、「オープニングスライド」と「メインスライド」の2種類のファイルで構成されます。
成人向けコンテンツ配信サービスを提供するソフト・オン・デマンド(SOD)は2020年3月19日、同社のコンテンツ配信サービス「SODプライム」で顧客情報が流出した事実の詳細と経緯について発表した。顧客情報の一部が一時的に他の会員から閲覧可能になっていた。 閲覧可能になっていた情報は「ニックネーム」「メールアドレス」「購入履歴」「視聴履歴」「レビューリスト」「投稿動画」「会員ステータス」である。配送情報を登録していた会員については「氏名」「住所」「電話番号」も閲覧された可能性がある。 会員登録時にクレジットカード情報の入力は必須だが、SODは同データを保存していなかったため、他の会員が閲覧できる状態にはなっていなかったという。 顧客情報が閲覧可能だった時間帯は3月16日の午後7時23分~午後10時57分と、3月17日の午前8時25分~午後9時8分の間だ。 事態が発覚したのは3月16日の午後1
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 香港に本社を置く航空会社Cathay Pacificは、顧客情報の保護を怠ったとして50万ポンド(約6900万円)の罰金を科された。 英国の情報コミッショナー事務局(ICO)の発表によると、Cathay Pacificは2014年10月から2018年5月の間、同社のコンピューターシステムに適切なセキュリティ対策を講じておらず、結果として約940万人の顧客情報への不正アクセスが発生した。そのうち英国人は11万1578人だった。ICOは、Cathay Pacificがシステムのセキュリティ対策を怠ったために、乗客の個人情報(氏名、パスポート番号、IDカード番号、生年月日、郵便番号、Eメールアドレス、電話番号、渡航履歴など)への不正アクセスが
『くつざわ亮治テレビ改革党豊島区議会議員 on Twitter: "とあるサーバー管理者さんからご連絡 安倍やめろ ツイデモ発信は東京一極だったが細かく追跡した結果、そのほとんどが次の3つのIPアドレスからだった ・西早稲田 在日韓国人問題研究所 ・代々木 韓国旅券法の改正を求める会 ・高円寺 日… https://t.co/aPotONzSwZ"』へのコメント
世の中 くつざわ亮治テレビ改革党豊島区議会議員 on Twitter: "とあるサーバー管理者さんからご連絡 安倍やめろ ツイデモ発信は東京一極だったが細かく追跡した結果、そのほとんどが次の3つのIPアドレスからだった ・西早稲田 在日韓国人問題研究所 ・代々木 韓国旅券法の改正を求める会 ・高円寺 日… https://t.co/aPotONzSwZ" Twitter連携機能をご利用のみなさまへ 代替手段として、ブックマーク完了後の共有メニューを新たに追加いたしました Twitter共有ダイアログの追加 こちらは、シェアアイコンがONの場合のみ表示されます Twitter・マストドン共有ボタンの追加
経産省からEC-CUBEの脆弱性について注意喚起 EC事業者が行うべきセキュリティ対策とは?|ECのミカタの取材記事です
昨年(2019年)12月20日に、経済産業省から「株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について」が発表された。EC-CUBEを利用しているECサイトに対して、クレジットカード番号等が窃取される危険性があることについての注意喚起が目的である。 今日、インターネットを活用するすべての企業・個人にとって、情報セキュリティは極めて大切だ。とりわけEC事業者にとっては、万が一の事態が発生した際の被害が重大であることに鑑みれば、しっかりとした対応が求められるところである。 しかし、具体的にどのように対応すべきなのかわからない、というEC事業者も少なくない。そこで、ウェブアプリケーション脆弱性診断やウェブセキュリティ強化支援などを手掛けるEGセキュアソリューションズ株式会社の代表取締役である徳丸 浩氏と、株式会社イーシーキューブの取締役社長である金 陽信氏、
Wi-Fiチップに欠陥、世界10億台のスマホが傍受される危険 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
Wi-Fiデバイスに内蔵されたチップのバグにより、世界10億台ものスマホやタブレットの通信が傍受される潜在的脅威が浮上した。 この脆弱性は、スロバキアのセキュリティ企業ESETが発見し、「Kr00k」と名づけられた。Kr00kは、BroadcommとCypress社製のWi-Fiチップのバグに起因する脆弱性だ。 この2社のチップは、世界で最も利用されているもので、アップルのMacBookやiPad、iPhoneやアマゾンのキンドルやエコー、サムスンのGalaxyやグーグルのPixelでも採用されている。 ESETによると、Kr00kはデバイス間通信で利用されるall-zero encryption key(すべてゼロ値の鍵)を引き金とし、サイバー犯罪者がネットワークパケットを解読可能にする脆弱性だという。 Wi-Fiデバイスは通常の場合、長く複雑な暗号化キーを用いることでネットワークへの侵
一般的にセキュリティが強固だと信じられている2要素認証アプリ。ネットバンキングなど重要なサービスで設定している方も多いのではないか。 だが、意外にも2要素認証アプリのトークンは盗まれてしまう可能性があるという。 バンキングマルウェアに強いサイバーセキュリティ企業、ThreatFabricが、ブログ記事にて新手のトロイの木馬攻撃について明らかにしている。 ・RAT機能が追加されたCerberus2要素認証アプリのトークンを盗む手口は、2020年1月中旬に発見された「Cerberus(ケルベロス)」の亜種によって成し得るという。 Cerberus自体は、2019年6月に再登場したマルウェア「Anubis(アヌビス)」の流れを汲んでいる。アンドロイド端末で動作し、感染したデバイスから個人を特定できる情報(PII)を抽出。これに端末のリモート操作を可能にする「RAT機能」が追加されたのが今回出てき
デスク配線がスッキリ。Ankerの全部入り12 in 1モニタースタンドが突然8,250円OFFされてた #Amazonセール
近年、企業経営においては、ITを積極活用した「攻めの経営」と、情報資産やシステムを保護する「守りの経営」とを高いレベルで両立することが求められています。このためには、経営方針に基づき、セキュリティに関して企業内の調整や実務者層をリードできる人材(CISO等(*1))及び同方針に基づいたセキュリティ対策の実践が必要であると考えられます。 経済産業省と独立行政法人情報処理推進機構(IPA)は、2017年11月にサイバーセキュリティ経営ガイドライン Ver 2.0を発行しました。これを受け、IPAは、サイバー攻撃への対策強化に向けて、国内での実践事例を基にしたプラクティス集を作成しました。 そこでIPAは、これらの取組みの充実を図るべく、経営層を支えるCISO等の対策実践力を強化支援し、組織のセキュリティ対策レベルの向上に資することを目的とする調査を行いました。本調査では、国内のサイバーセキュリ
ポリシー大改定の概要について 写真左から、ゾーホージャパン ManageEngine ソリューションエバンジェリスト 曽根 禎行氏 ディー・エヌ・エー システム本部 セキュリティ部 部長 茂岩 祐樹氏 ニュートン・コンサルティング 執行役員 CISO / プリンシパルコンサルタント内海 良氏 ――DeNAさんはセキュリティポリシーの大改定を進めており、先日EnterpriseZineでも紹介しました。まずは大改定の背景や、感じていた課題などについて教えてください。 茂岩氏:まだ完了はしていないのですが、細かい部分のレビューを残している状況で、今年度に改定を完了する予定です。現在、正式に社内の規定に取り込まれているポリシーは、2014年にグローバル共通で策定したものです。これは主に、米国と中国、そして日本のそれぞれの拠点でセキュリティのレベルを統一する必要があったためです。 そこから5年が経
トヨタ自動車は2020年3月30日、既に販売された一部のレクサス車とトヨタ車について、社外から脆弱性の指摘があり、対策を施したことを発表した。 トヨタ自動車は2020年3月30日、既に販売された一部のレクサス車とトヨタ車について社外から脆弱性の指摘があり、対策を施したことを発表した。 サイバーセキュリティを研究するTencent Keen Security Labによるレポートを受けてトヨタ自動車側でも再現評価を実施。一部車種のマルチメディア製品のBluetooth通信を介して、一部の機能を遠隔操作できることを確認した。この脆弱性を利用した走る・曲がる・止まるの制御に関する遠隔操作はできないという。また、この脆弱性を突いた遠隔操作には極めて高度なプログラムや、対象車両と近い距離を保ち続けることが必要となることから、実現性が限定的で困難だとしている。 現在販売中の車両にはトヨタ自動車側でこの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
証明書300万件を強制失効。Let's Encrypt に一体何が起きたのか? - Qiita
![[VS Code]タブのカスタムラベル設定でpage.tsx、layout.tsxなどのファイルを見やすくする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/611914e4c074abe947efa5c820fc1646e6c60a0a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F06%2Fvscode-2020-eyecatch-1200x630-1.png)
もはや「iPhoneのOSはアドウェアと化してしまったのではないか?」との意見がネットで激論に
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?
油断できない SQL インジェクション。その種類と Web アプリにおける対策 | yamory Blog
自社だけでできる、コスパ最強の「サイバー演習」実施レシピ&鉄則
サイバーセキュリティ経営可視化ツール | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
Engadget | Technology News & Reviews
Engadget | Technology News & Reviews
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に【海外セキュリティ】
「シーサートって何?」――セキュリティ分野の素人2人がCSIRTを立ち上げるまで
セキュリティ対策の基本を“ほぼ15秒”のアニメで、IPAが動画コンテンツを公開
Google、Chromeのアップデートをセキュリティ関連以外一時停止 新型コロナの影響で
TechCrunch | Startup and Technology News
Firefoxに対する攻撃を防御、WebAssemblyを利用したサンドボックスが役立つ
インテルのCSMEバグは当初の予想より深刻の可能性--セキュリティ専門家が指摘
クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト
CTF(Capture The Flag)とは?概要・ルール解説
Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 | スラド セキュリティ
インターネット安全教室_教材ダウンロード | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
SODが顧客情報流出の経緯を公表、購入や視聴の履歴が閲覧可能な状態だった
英、キャセイパシフィック航空に約6900万円の罰金--顧客情報流出で
新手のトロイの木馬攻撃でGoogleの2要素認証アプリがハッキングされる可能性! | Techable(テッカブル)
iPhoneやKindleも? 新しいファームウェアのバグが見つかる | ライフハッカー・ジャパン
企業のCISO等やセキュリティ対策推進に関する実態調査 | アーカイブ | IPA 独立行政法人 情報処理推進機構
DeNAがNIST発行フレームワーク等を参照しセキュリティポリシー大改定 当事者が語った狙いとは?
テンセントのハッキングチームがトヨタ車の脆弱性を報告、トヨタは既に対策済み
jp.news.gree.net
www.joqr.co.jp
www.famitsu.com
full-count.jp
kinosaki-spa.gr.jp
diobrando.blog.jp