0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
【図解】コレ1枚でわかるゼロ・トラスト・ネットワーク・セキュリティ:ITソリューション塾:オルタナティブ・ブログ
「いつでも、どこでも働ける」環境を整えることは、いまや働き方改革の要件となっています。そうなると、社外に持ち出したデバイスで、社内システムやクラウドを活用して仕事をするのは当たり前となり、ネットワークにおける社内と社外の境界は意味を持たなくなります。また、ウイルスに感染したパソコンから社内ネットワークを介して感染を広げ被害をもたらす事故や、内部の悪意あるユーザーが機密情報を漏洩してしまうといった事件も後を絶ちません。 「社内は"善"、社外は"悪"」という前提に立ち、ファイヤーウォールで「社内外の境界を守る」従来の「境界防衛セキュリティ」は、もはや役に立たなくなってしまいました。 また、クラウドの利用拡大により、インターネットを介した外部へのアクセスは益々増大します。これらアクセスの全てを、ファイヤーウォールで守ろうとすれば、処理能力が追いつかずスループットの低下は避けられません。高速・大容
無料 SSL の認証局である Let's Encrypt は、有効な証明書のうち 2.6% に当たる300万件の証明書に対し、2020年3月4日に失効手続きを行うと宣言しました。しかもその事がユーザーに通知されたのは失効手続きの数時間前です。一体、Let's Encrypt に何が起きたのでしょうか? 私が調べた事を共有したいと思います。 この記事は Let's Encrypt の証明書失効に関する一連の出来事についてまとめた物です。今回の失効処理の対象となっているかどうかの確認方法等については、以下の記事をご覧下さい。 Let's Encrypt に重大なバグが発覚。該当サイトは2020/3/4 までに対応が必須 更新しました(2020/3/7) 影響の度合いについての記載が正しくなかったので修正 現在の Let's Encrypt の見解が正しくなかったので修正 何が起きているのか?
【第10回】お墓の消費者全国実態調査(2018年)
&MEMBERとは… &MEMBERにご登録(無料)いただくと、気に入った記事に共感を示したり、コメントを書いたり、ブックマークしたりできます。こうしたアクションをする度にポイント「&MILE」がたまり、限定イベントやプレゼントの当選確率が上がります。
本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子
2月1日~3月18日は「サイバーセキュリティ月間」です。 普及啓発活動へご協力ください。 不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。 誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。 このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行っていきます。
![本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子](https://cdn-ak-scissors.b.st-hatena.com/image/square/807d51f8f5c93f9a7c74859fd3cd49086fe5b68f/height=288;version=1;width=512/https%3A%2F%2Fsecurity-portal.nisc.go.jp%2Fassets%2Fimages%2Fcybersecuritymonth%2Fscreenshot-index.png)
あなたの Windows 10 には何種類の Python が入っていますか?私は5種類でしたが。 - Qiita
2020-03-10 Update1: あなたの macOS には何種類のPythonが入っていますか?私は401種類でしたが。 Update2: わりかん がん保険 やってます 2020-03-15 Update3: タイトルが Window 10 だったのを Windows 10 に修正。無意識typoでした。 タイトルは煽りです。WSL Ubuntu 18.04 上にはpyenv経由で3種類+OS由来の2種類で合計10種類でした。 なぜこの記事を書こうとしたのか 背景を説明します。ひさびさにWindows 10を開いたのでセキュリティアップデートも兼ねて Visual Studio Comminity 2019 update や Microsft Store からのアプリのアップデートをよく確認せずに実行したところ、Git bash から python が起動しなくなってしまったので
iPhoneのOSであるiOS 13の純正アプリに表示される広告の多さについて、ミニブログサービスTumblrのエンジニアであるスティーブ・ストリザ氏が「これではもうアドウェアです」と苦言を呈して、波紋を投げかけました。この主張に対し、インターネット上の意見は賛成と反対の両方に割れています。 The Paywalled Garden: iOS is Adware - Steve Streza https://stevestreza.com/2020/02/17/ios-adware/ Apple is pushing its services, but iOS is not adware yet https://appleinsider.com/articles/20/02/19/apple-is-pushing-its-services-but-ios-is-not-adware-yet
Intel製CPUの「修正済み」脆弱性が実は修正不可能であったことが判明、特権によるコード実行やDRMの回避などが可能
Intel製のCPUには、2018年に「Meltdown」や「Spectre」、2019年には「SPOILER」など、ここ数年多くの脆弱性が判明しています。そうした脆弱性のひとつとして、Intel製CPUのセキュリティシステムである「Intel CSME」に見つかった、「すでに修正パッチを配布済み」の脆弱性が、実は完全には修正不可能なものであることが判明しました。この脆弱性を悪用すると、悪意のあるコードを特権レベルで実行できるほか、著作権保護技術のDRMの回避などが可能になります。 Positive Technologies: Unfixable vulnerability in Intel chipsets threatens users and content rightsholders https://www.ptsecurity.com/ww-en/about/news/unfix
金盾 - Wikipedia
金盾(きんじゅん、中国語: 金盾工程、拼音: Jīndùn Gōngchéng)とは、中国本土(大陸地区)で実施されている包括的な情報管理システム構築プロジェクトである[1]。 概要[編集] 1993年に、中国政府は金融などの情報化・電子政府化に向けて「金字工程」と称する国家戦略を立てた。これは別名を「12金工程」といい、金卡(電子貨幣)をはじめ、金橋(公用経済情報)、金関(対外貿易)、金財(財政管理)、金農(農業情報)、金税(税収)、金水(水利情報)、金質(質量監督)など12の分野にわたって「金」の字がつく情報化計画が立案されていた。 公安の情報化を目指す「金盾」もこの一つで、当初は金融分野の情報化が優先されたため、国家公安部が金盾計画を決定したのは1998年9月22日、国務院が計画を批准したのは2001年4月25日であった。システム設計の第一期は1999年から始まっており、予定では20
iPhoneに突然表示される不審なカレンダー通知に注意! - 安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
ここでは、手口および対処、被害にあわないための対策について解説します。 なお、以下に掲載するiPhoneの画面は、相談内容等をもとにIPAが再現したものであり、実際の手口の画面とは異なる場合があります。 (脚注1) 本件に関するこれまでの相談件数 2016年:1件 2017年:0件 2018年:2件 2019年:0件 2020年:227件 2021年:79件(3月末時点) 1.手口の概要 iPhoneのカレンダーに身に覚えのないイベントが入ってしまうパターンには以下の2通りがあります。 (1)アカウント追加型(悪者の仕掛けたワナにハマってしまうケース) (2)イベント・カレンダー共有型(悪者から一方的に送られるケース) (1)アカウント追加型(悪者の仕掛けたワナにハマってしまうケース)の手口(2020年8月追加内容) サイト(脚注2)に表示される画面の「照会」などをタップしてしまう(図4)
fuzzing.html#003
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
NTTデータ先端技術株式会社は、基幹業務情報の設計、統合、運用および最新技術上構築された通信システムプラットフォームを通じて、貴社のビジネスに価値を提供する専門的な企業です。
映像で知る情報セキュリティ 情報セキュリティ上の様々な脅威と対策をドラマなどを通じて学べる映像シリーズです。 社内研修などでご活用下さい。 IPA Channel動画の二次利用について YouTubeの「IPA Channel」に公開している本シリーズの動画は、そのままブラウザ上で再生して社内研修用コンテンツなどにお使いいただけます。ご利用にあたっての事前申請は不要です。 YouTube動画のダウンロード、コンテンツの二次利用等につきましては、YouTubeの利用規約を遵守していただきますようお願いします。 主な情報セキュリティ対策動画は動画ファイルでの提供も行っております。 動画ファイルのお申込み
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?:徳丸浩氏×総務省サイバーセキュリティ統括官室 特別対談【前編】 あらゆるものがインターネットを介してつながり、これまでにない量の情報を多くの人が日々活用する――。そんな「Society 5.0」が現実的になりつつある中、多くの組織にとって課題になるのがセキュリティだ。そんな中、総務省は2019年にIoT機器の脆弱性をチェックする「NOTICE」を開始した。開始当時は一部で物議を呼んだ同施策だが、そもそもどのような効果を期待して始められたのか? NOTICEが始まった背景や現状について、セキュリティ専門家の徳丸浩氏が総務省のサイバーセキュリティ統括官室に切り込んだ。 あらゆるものがインターネットにつながるIoT(モノのインターネット)時代。SNSを通じた人々のつながりや購買経路、移動経路など、これまで見えなか
SQL インジェクションは広範囲に悪影響を与える危険な脆弱性です。今回は SQL インジェクションの種類と対策についてご紹介します。
本連載「中堅・中小企業向け、標的型攻撃対策の現実解」では、中堅・中小企業における「高度標的型攻撃(APT)」への現実的な対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。 ベースラインAPT対策コンソーシアム(以下、BAPT)のメンバーが交代で各回を担当。第1回と第2回では最初に取り組むべき「リスク分析」を扱った。第3回は「出入口対策」、第4回は「ログ管理」、第5回は「エンドポイント対策」について解説した。 前回の記事では、コンピュータセキュリティに関わるインシデントに対処するための組織、CSIRT(Computer Security Incident Response Team)構築の勘所を解説した。本記事は構築したCSIRT、また既存のインシデント対応体制を強化する方法の一つである「サイバー演習」を中心に、セキュリティ強化するための方法
「ITシステム・サービスの業務委託契約書見直しに関する実態調査報告」 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2020年4月に施行される改正民法(*1)では、「瑕疵担保責任」が「契約不適合責任」となり、「引渡しから1年以内に瑕疵の修補」とされていたものが「契約不適合の事実を知った時から 1年以内に通知。権利行使は最長10年。」としています。これを受け多くの企業・組織では、契約書雛形の変更、契約内容の見直しの必要が生じました。 また、2019年は内部不正により委託先からHDDが廃棄されずに転売され情報が漏洩したり、クラウドサービスが長時間停止し業務が停止したり、といったサプライチェーン上の信頼を脅かすようなセキュリティ事故が発生しました。これらの報道を契機に、中には過去の取引実績や現在の契約内容が自社のリスクに見合っているのかといったことを再点検する企業もありました。 このような企業の問題意識を受け、IPAではITシステムやサービスの業務委託契約書見直しの契機と実際の見直し状況について、2019年度
サイバーセキュリティ経営可視化ツールとは 目的 本ツールは、「サイバーセキュリティ経営ガイドラインVer3.0」で定める重要10項目の実施状況を5段階の成熟モデルで可視化(レーダーチャート表示)できます。企業は自社のサイバーセキュリティ対策状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の実行等が可能となります。 対象利用者 原則として、従業員300名以上の企業・組織を対象としています。 但し、従業員300名未満の企業・組織を対象としないものではなく、グループ企業との比較等にも活用可能です。 回答にあたって 回答はサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO(注1)等)が回答を記入し、最終的には経営者(注2)が回答内容を確認・承認してください。 自社の予算・技術力に関わらず、セキュリティのあるべき姿に対してどこまでできて
Googleアカウントのセキュリティを本気で強化する方法
Googleアカウントのセキュリティを本気で強化する方法2020.03.07 20:0023,123 David Nield - Gizmodo US [原文] ( Rina Fukazu ) 周りに必要そうな人がいたら、教えてあげたい機能。 Google(グーグル )アカウントを保護する方法は基本的に3つあります。まずセキュリティ強めなパスワードを設定すること。もっと強化するには、2段階認証プロセスを有効にすること。そして極めつけは、高度な保護機能を利用すること。今回は、この「高度な保護機能」とはどのようなものかについて解説します。 どんな人が使うべき機能?まず最初に明確にしておきたいのが、この機能はGoogleアカウントを持つ全ユーザーにお勧めできるもの...ではありません。 そもそも、設定するのに結構な時間がかかります。また、初めてログインする端末やたまにしか開かない端末を使うとき、
[アップデート] AWS Managed Rules for AWS WAF に匿名 IP リストのルールが追加されました | DevelopersIO
本日のアップデートにより、AWS 製のマネージドルール 「AWS Managed Rules for AWS WAF」 に匿名 IP リスト(Anonymous IP List) のルールが追加されました。 AWS WAF adds Anonymous IP List for AWS Managed Rules 何が嬉しいのか Anonymous IP List には、悪意のある攻撃の際に利用されやすい「匿名プロキシ(Anonymous Proxy)」、「Tor ノード(IP 発信元の匿名化)」、「VPN」、「ホスティングプロバイダー」からのリクエストをブロックするルールが含まれています。 アプリケーションから身元を隠そうとしている Web リクエストを除外する場合に利用できます。これらのサービスの IP アドレスをブロックすることで Bot や、CloudFront などで設定された地域
![[アップデート] AWS Managed Rules for AWS WAF に匿名 IP リストのルールが追加されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a40565a486672c7039cb5c926f432f33218cbc0e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-waf.png)
iPad Pro (2024) review: So very nice, and so very expensive
iPad Pro (2024) review: So very nice, and so very expensive
脆弱性情報データベース - Wikipedia
脆弱性情報データベース(ぜいじゃくせいじょうほうデータベース)とは、脆弱性に関する情報をデータベース化し、広く一般に公開するためのプラットフォームである。 概要[編集] 脆弱性(情報)データベースは、「脆弱性は全ての情報が詳細にわたって一般に公開されているべき」とするフルディスクロージャ運動の具現化の一つである。このようなデータベースの構築によって、フルディスクロージャとしての利点「設計者や開発者が過去の失敗から学ぶことが可能」といった点を補助するものとなり得る。 このようなデータベースが作成されるまでは、脆弱性情報を統一的に扱う仕組みは存在しておらず、せいぜい脆弱性を取り扱うツール(SATAN(Security Administrator's Tool for Analyzing Network)やSAINT(Security Administrator's Integrated Net
同日、Chrome 80のセキュリティ関連のアップデート(80.0.3987.149)がWindows、Mac、Linux向けに配信開始された。このアップデートでは、危険度が上から2番目の「High」9件を含む13件の脆弱性が修正される。 関連記事 Google、非正規雇用者のための「COVID-19基金」設立 Googleが、新型コロナウイルス感染症拡大防止策の影響を受ける世界中の非正規雇用者が有給休暇を取得できるようにするための「COVID-19基金」を設立する。派遣社員や臨時スタッフにも賃金を支払う。 Googleが「Chrome 80」のアップデート公開 ゼロデイ攻撃発生の脆弱性も デスクトップ向けの「Chrome 80」で修正された脆弱性3件のうち1件については、既に攻撃の発生が伝えられている。 「Google Chrome 80」リリース、新しいCookieの分類システムを導入
リスク - Wikipedia
この記事には複数の問題があります。改善やノートページでの議論にご協力ください。 出典がまったく示されていないか不十分です。内容に関する文献や情報源が必要です。(2018年6月) 独自研究が含まれているおそれがあります。(2018年6月) 出典検索?: "リスク" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL リスク (英: risk)とは、将来のいずれかの時において何か悪い事象が起こる可能性をいう[1]。この概念をベースとして、金融学や工学、あるいはリスクマネジメントの理論の中で派生的にバリエーションのある定義づけがなされている。 例えば、ファイナンスの分野においては、「悪い事象が起こる可能性」だけではなく「良い事象が起こる可能性」もリスクに含まれると著書に記載している有識者もいる(Aswath D
商品開発畑の出身でリテールやデリバティブ取引については詳しくとも「Citadel? Zeus? それ何?」というほどサイバーセキュリティについてほぼ素人だった安田貴紀氏(ACSiON 代表取締役CEO/セブン銀行 7BK-CSIRTエグゼクティブアドバイザー)と西井 健二朗氏(セブン銀行 セブン・ラボ リーダー)。その2人がどのようにしてセブン銀行のCSIRT「7BK-CSIRT」を立ち上げていったのか。 「ITmediaエンタープライズ セキュリティセミナー」のランチセッション「セブン銀行 CSIRT創設者に聞く、セキュリティの経験はDXにどう生かせるか」では、ITmedia エンタープライズ編集部の宮田健の進行の下、7BK-CSIRT創設前後のエピソードを交えながら一連のいきさつを紹介した。 定期的に開催した「セキュリティ検討会」をベースに、恒常的なCSIRTを組織 セブン銀行は全国に
Mike Krieger, one of the co-founders of Instagram and, more recently, the co-founder of personalized news app Artifact (which TechCrunch corporate parent Yahoo recently acquired), is joining Anthropic as the…
Firefoxに対する攻撃を防御、WebAssemblyを利用したサンドボックスが役立つ:Windows版にも適用可能 「WebAssembly」を使ってWebブラウザをサイバー攻撃から保護する仕組みをテキサス大学の研究者らが開発した。現在は「Firefox」で効果を検証しており、今後は全面的に適用される見込みがあるという。
【セキュリティ ニュース】Linuxなどに含まれる「pppd」に脆弱性 - root権限でコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT
モデム接続やPPPoE接続、VPN接続の「PPTP」など、ノード間の接続に用いる「Point-to-Point Protocol(PPP)」の接続セッションを管理する「pppd」に、深刻な脆弱性が含まれていることがわかった。 Linuxなどで広く採用されているPaul's PPP Packageの「pppd」に脆弱性「CVE-2020-8597」が明らかとなったもの。 「同2.4.8」から「同2.4.2」までが影響を受ける。 認証プロトコル「EAP(Extensible Authentication Protocol)」のパケットを処理する際、データサイズの検証処理に問題があり、バッファオーバーフローが生じるという。 脆弱性を悪用されると、任意のコードを実行されたり、サービス拒否に陥るおそれがある。認証に「EAP」を用いていない環境でもパケットを受け付け、脆弱性の影響を受ける可能性があるた
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 | スラド セキュリティ
無線LANチップの脆弱性を悪用して暗号通信を傍受する手法が公開された。この手法は「Kr00K」と呼ばれており、さまざまなデバイスが影響を受けるという(PC Watch、ESETの発表、welivesecurity、、ESETによるホワイトペーパー)。 特定の無線LANチップではセッションの切断(ディスアソシエーション)時に、不具合によってその値がすべて0の暗号鍵でデータが送信されてしまうという。BroadcomおよびCypress製の無線LANチップでこの脆弱性が確認されており、ESETの検証では複数のApple製品やGoogle Nexusシリーズ、Samsung Galaxyシリーズ、Raspberry Pi 3、AmazonのEchoやKindleなどで問題が確認されたとのこと。 すでに主要メーカーはパッチのリリースを行なっているとのことで、メーカーからの告知を確認した上でアップデー
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Intelは2019年に、同社のCPU技術で発見されたバグをパッチで修正したが、セキュリティ企業Positive Technologiesの研究者らによると、そのバグが与える影響は当初考えられていたよりもはるかに深刻である。 Positive Technologiesが米国時間3月5日に公表した報告書は、「過去5年間にリリースされたIntel製チップセットの大半に、この懸案の脆弱性が含まれている」と述べている。 攻撃は検出が不可能で、ファームウェアのパッチは問題を部分的にしか解決しない。 研究者らは、デバイスを保護し、機密性の高い業務を行えるように、このバグの影響を受けない最新のCPUに置き換えることを推奨している。この脆弱性がないCP
パロアルトネットワークス(以下、パロアルト)は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC(Infrastructure as Code)テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱(ぜいじゃく)性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。 クラウドの設定ミスはテンプレートの利用が原因 今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65%が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。 さら
出題分野、出題範囲はこれでも一部です。非常に幅広い分野の知識とスキルが求められます。 未経験・初心者がCTFに出場するための方法 CTF初心者や未経験の人でもCTFに参加することは可能です。ここでは、CTFに参加するまでに行っておいたほうがいいおすすめの手順を紹介します。 SECCON、SECCON以外のCTFのスケジュールを確認 まずはSECCONのサイトからCTFのスケジュールを確認する方法を紹介します。 SECCONの公式サイトへアクセス メニューから「スケジュール」をクリック SECCON以外で開催されているCTFのスケジュールは以下のサイトから確認することができます。 サイトCTFtime.org https://ctftime.org/ CTFtime.orgのメニュー「Calendar」をクリックすると「Events calender」が表示されるので、ここから世界中で行われ
Google Chromeに重大な脆弱性、アップデートを
United States Computer Emergency Readiness Team (US-CERT)は3月4日(米国時間)、「Google Releases Security Updates for Chrome|CISA」において、Google Chromeに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており、注意が必要。 脆弱性が修正されたプロダクトおよびバージョンは次のとおり。 Google Chrome 80.0.3987.132 Windows版 Google Chrome 80.0.3987.132 Mac版 Google Chrome 80.0.3987.132 Linux版 Google Chrome 80.0.3987.132 - macOS Catalina 脆弱性に関する
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事、 BetaNewsの記事、 The Registerの記事)。 サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその
概要 インターネット安全教室を開催する際、指導用にご利用いただく目的で作成した教材と、講義要領を公開しています。情報セキュリティや情報モラルの教育・普及の目的で、学校での授業、各種セミナーや研修等にご利用いただけます。 教材へのご意見、ご感想は「本件に関する問い合わせ先」のE-mailアドレス宛にお寄せください。 本件に関する問い合わせ先 教材の構成とダウンロード 講義の前に 子どもたちをとりまく情報通信機器の現状、情報モラル・セキュリティに関する情報、講義にあたっての指導ポイントや講義する上での基本的な知識について、「講義要領」としてまとめています。教材をご利用の際、あわせてご活用ください。 講義にあたっての指導のポイント・講義する上での基本的な知識について講義要領(PDF:4.7 MB) 教材の構成 教材は、「オープニングスライド」と「メインスライド」の2種類のファイルで構成されます。
成人向けコンテンツ配信サービスを提供するソフト・オン・デマンド(SOD)は2020年3月19日、同社のコンテンツ配信サービス「SODプライム」で顧客情報が流出した事実の詳細と経緯について発表した。顧客情報の一部が一時的に他の会員から閲覧可能になっていた。 閲覧可能になっていた情報は「ニックネーム」「メールアドレス」「購入履歴」「視聴履歴」「レビューリスト」「投稿動画」「会員ステータス」である。配送情報を登録していた会員については「氏名」「住所」「電話番号」も閲覧された可能性がある。 会員登録時にクレジットカード情報の入力は必須だが、SODは同データを保存していなかったため、他の会員が閲覧できる状態にはなっていなかったという。 顧客情報が閲覧可能だった時間帯は3月16日の午後7時23分~午後10時57分と、3月17日の午前8時25分~午後9時8分の間だ。 事態が発覚したのは3月16日の午後1
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 香港に本社を置く航空会社Cathay Pacificは、顧客情報の保護を怠ったとして50万ポンド(約6900万円)の罰金を科された。 英国の情報コミッショナー事務局(ICO)の発表によると、Cathay Pacificは2014年10月から2018年5月の間、同社のコンピューターシステムに適切なセキュリティ対策を講じておらず、結果として約940万人の顧客情報への不正アクセスが発生した。そのうち英国人は11万1578人だった。ICOは、Cathay Pacificがシステムのセキュリティ対策を怠ったために、乗客の個人情報(氏名、パスポート番号、IDカード番号、生年月日、郵便番号、Eメールアドレス、電話番号、渡航履歴など)への不正アクセスが
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
証明書300万件を強制失効。Let's Encrypt に一体何が起きたのか? - Qiita
もはや「iPhoneのOSはアドウェアと化してしまったのではないか?」との意見がネットで激論に
PostgreSQL | NTTデータ先端技術株式会社
映像コンテンツ一覧 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?
油断できない SQL インジェクション。その種類と Web アプリにおける対策 | yamory Blog
自社だけでできる、コスパ最強の「サイバー演習」実施レシピ&鉄則
サイバーセキュリティ経営可視化ツール | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
Engadget | Technology News & Reviews
Engadget | Technology News & Reviews
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に【海外セキュリティ】
Google、Chromeのアップデートをセキュリティ関連以外一時停止 新型コロナの影響で
セキュリティ対策の基本を“ほぼ15秒”のアニメで、IPAが動画コンテンツを公開
「シーサートって何?」――セキュリティ分野の素人2人がCSIRTを立ち上げるまで
TechCrunch | Startup and Technology News
Firefoxに対する攻撃を防御、WebAssemblyを利用したサンドボックスが役立つ
インテルのCSMEバグは当初の予想より深刻の可能性--セキュリティ専門家が指摘
クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト
CTF(Capture The Flag)とは?概要・ルール解説
Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 | スラド セキュリティ
インターネット安全教室_教材ダウンロード | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
SODが顧客情報流出の経緯を公表、購入や視聴の履歴が閲覧可能な状態だった
英、キャセイパシフィック航空に約6900万円の罰金--顧客情報流出で