楕円ElGamal暗号の変種とその安全性
初めに 『暗号技術のすべて』(IPUSIRON)を読んでいたら、私が知ってる楕円ElGamal暗号と少し違う方式(変種)が紹介されていました。 「なるほど、そういうのもあるのだな」と思ったのですが、よく考えると安全性が損なわれているのではと思って考えたことを書いてみます。 単に、不勉強な私が知らなかっただけで大昔からの既知の事実だと思いますが、探してもあまり見当たらなかったのでまとめておきます。 楕円ElGamal暗号 まずは『現代暗号の誕生と発展』(岡本龍明)でも紹介されている、私が知っていた方式を、記号を変えて紹介します。用語は楕円ElGamal暗号も参照してください。 記号の定義 0 以上 r 以下の整数の集合を [0, r], そこからランダムに整数 x を選ぶことを x ← [0, r] と書くことにします。 G を楕円曲線の点 P を生成元とする素数位数 r の巡回群 \lan
MicrosoftがWindows 11の新AI機能「Recall」を発表、PCで見たもの行ったことをすべて記録しあとから検索できるパワフルすぎるAI検索機能
現地時間の2024年5月20日、MicrosoftがAIのために設計されたWindows PC向けの新しいカテゴリ「Copilot+ PC」を発表しました。このCopilot+ PCで利用可能となるWindows 11向けの新しいAI機能が「Recall」で、PC上で見たものや行ったことをすべて記録して検索できるようになるという、AI時代に相応しいパワフルな検索機能になっています。 Accelerating innovation: A new era of AI at work begins | Windows Experience Blog https://blogs.windows.com/windowsexperience/2024/05/20/accelerating-innovation-a-new-era-of-ai-at-work-begins/ Recall is Micr
研究開発部 システム&セキュリティ担当の松倉です。 世間の DMARC 対応を加速させたといっても過言ではない Gmail におけるメール送信者のガイドラインが適用開始されてから 3 ヶ月近くが経ち、NFLabs. に届くメールでも DMARC ポリシーが設定されているドメインが多くなっています。 しかしながら、そのほとんどはポリシーが none であり、DMARC レポートを通じて影響範囲を見極めている、という企業がまだ多そうです。 受信側から見ると、ポリシーが quarantine または reject であればセキュリティ観点では安心感がある一方、正規のメールが検疫や破棄となる場合もあり悩まされることがあります。 DMARC 認証の失敗原因となりがちなのはメーリングリスト等のメール転送で、NFLabs. でもこれにより正規のメールが DMARC failとなって検疫される、という事例
みなさん、こんにちは。えんピぐらしです。 Linuxでの構築経験がある方を対象としていますので、前回よりも少しレベルが高くなりますが、今回はSELinuxという機能について見ていきたいと思います。 Linuxの構築経験がある方は分かると思いますが、SELinuxは必ずと言っていいほど、「無効」にします。デフォルトで有効になっている機能なのですが、わざわざ無効にします。私は今までSELinuxを有効にしているシステムを見たことがありません。(周りにもいませんでした) 今回は、そんなSELinuxについてのお話です。 SELinuxとは? そもそもSELinuxとは何なのでしょうか。 Wikipediaでは、こう書かれています。 “SELinux(Security-Enhanced Linux : エスイーリナックス)は、アメリカ国家安全保障局がGPL下で提供しているLinuxのカーネルに強制
続いて、上記説明文を受けての設問内容です。 設問5 [S/MIMEの調査と実施策] について答えよ (1) 表4中の下線⑨の電子署名データの作成方法を,25字以内で答えよ。 (2) 表4中の下線⑩のハッシュ値 aを取り出す方法を,20次以内で答えよ。 (3) 表4中の下線⑪について,どのような状態になれば改ざんされていないと判断できるかを,25字以内で答えよ。 不備の内容 S/MIMEについての基礎 ここで、不備の説明に移る前に、S/MIMEに関する基本事項について触れておきます。 S/MIMEは公開鍵暗号(守秘/署名/鍵共有)を用いてメールの暗号化や署名を行う技術およびその規格です。 最新はRFC8551のv4(2019年)ですが、アプリの対応状況は不明なところがあるので、一つ前のRFC5751のv3.2(2010年)を参照した方が無難かも知れません。 そして、S/MIMEで使用するデー
仙台市立病院は5月24日、担当患者1人の氏名や病名が漏えいしたと発表した。職員がInstagramにカルテの写真を掲載したという。漏えいした情報による二次被害などは確認していないとしている。 同職員は4月15日ごろ、担当患者のカルテに記載の疾病説明を、業務の参考にするためスマートフォンで撮影。写真データを保存する目的で、自身のInstagramアカウントに投稿した。患者に関連する個人情報は全て消去したつもりだったが、写真の一部分に氏名などが残っていたという。 5月15日に外部から匿名で指摘があり、情報漏えいが判明した。その日のうちにデータを削除したが、それまでの約1カ月間は閲覧可能な状態だった。患者には、23日に電話で説明と謝罪をしたという。 同病院は再発防止策として、院内の全職員に対して院内会議と文書で個人情報の適切な管理や取り扱いについて周知するとしている。加えて、毎年実施している個人
1Passwordを利用したSSH時のToo many authentication failuresを回避する | DevelopersIO
SSHキーを1Passwordに保存しておき、 ~/.ssh/configに IdentityAgent "~/Library/Group Containers/HOGEHOGE.com.1Password/t/agent.sock" という設定を書いておくと秘密鍵を1Passwordから出すことなくサーバに接続することができます。 こちらの内容については下記ブログなどをご参照ください。 https://dev.classmethod.jp/articles/1Password-git-ssh/ 私はこの方法を愛用していたのですが、 ある日次のエラーが出るようになりました。 Received disconnect from UNKNOWN port 65535:2: Too many authentication failures Disconnected from UNKNOWN por
どうも、freee でエンジニアリングマネージャー をやっている sentokun です。 以前に私の所属しているチームで開発している権限管理基盤マイクロサービスの記事を書いたのですが、そういえば「権限制御ってなに?」という説明をしていないと思ったので、今回記事にしました。 権限制御とは? freee の権限管理基盤が行なっている権限制御とは?を一文でまとめると以下となります。 アクセス制御ポリシーを元に、ユーザーの属性に合わせた適切なアクセス制御を行うこと というわけで、この記事は権限制御について説明しました。ありがとうございました! … とはなりませんよね。ちゃんと一文の中の要素を分解してそれぞれ解説していきます。 ユーザーの属性 適切なアクセス制御 アクセス制御ポリシー ユーザー属性とは? freee ユーザーが持っている、様々な属性のことです。例えば以下が挙げられます。 管理者やメ
「4桁の暗証番号」で最も使われている数字は何なのか?
クレジットカードの暗証番号やスマートフォンのパスコード、PCのロック解除コードなど「4桁の暗証番号」を使う機会は日常にあふれています。いずれも他人から推測されにくい4桁の数字を使うべきものですが、自分が覚えやすかったり、入力しやすかったりする数字を使ってしまうという人も多いはず。イギリスのデータサイエンティストであるニック・ベリー氏が2012年に書いた「4桁の暗証番号でよく使われている数字をまとめたブログ」は、2024年になってもなお通じる興味深い内容となっています。 PIN number analysis http://www.datagenetics.com/blog/september32012/index.html 「0~9」の数字を組み合わせて作られる4桁の暗証番号は全部で1万通りであり、すべての人々がランダムに数字を選んでいる場合、ランダムな数字を入力してロックを解除できる可能
神奈川県川崎市は5月27日、個人情報100件以上を含む画像データを収録したUSBメモリ2個を紛失したと発表した。申請書のコピー画像をバックアップする際に利用していたもので、業務への支障はない見込み。USBメモリの扱いを全面的に見直すなどして再発を防ぐ。 紛失したのは、「まちづくり局交通制作室」で管理していたUSBメモリ。市民が提出した「駐車施設附置届出書」などの紙データをスキャンした画像データをHDDに保存するとともに、バックアップのために一時的にUSBメモリにも保管していたという。 保存されていたデータは1660件あったが、同じ人からの申請を除くと664件。全データのうち個人による申請件数は143件(重複を除くと128件)で、氏名、住所、電話番号などが含まれていた。法人によるものは1517件(同536件)で、法人の代表者の氏名などが含まれていた。 このUSBメモリは2024年3月7日に使
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
デジタル庁のNWはココが凄い ダークファイバー、ゼロトラスト、ネットワーク仮想化など採用|BUSINESS NETWORK
ネットワークが仕事に不可欠なのは政府職員も同じ。デジタル庁は今、政府の業務を支える共通ネットワークの整備を進めている。“先進性”という観点でも注目のネットワークだ。 (左から)デジタル庁 参事官 省庁業務サービスグループ 古川易史氏、デジタル庁 ネットワークエンジニア/自然科学研究機構 国立天文台 情報セキュリティ室次長 大江将史氏 国内最大級のネットワーク更改プロジェクトが現在進行中だ。主導するのはデジタル庁。ネットワークなど、政府共通の標準的な業務実施環境を提供する「ガバメントソリューションサービス(GSS)」のことである。 政府職員の日々の業務を支えるデジタル基盤は従来、府省庁間を結ぶ「政府共通ネットワーク」を除くと、各府省庁が個別に調達・整備してきた。しかし今、デジタル庁が一括して調達・整備するGSSへの移行が進んでいる。 「デジタル社会の実現に向けては、行政機関が利用するデジタル
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Security-JAWS【第33回】 勉強会 https://s-jaws.doorkeeper.jp/events/173294Read less
オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
米司法省は5月29日(現地時間)、「おそらく世界最大のボットネット」を破壊し、「911 S5」と呼ばれるこのボットネットを運営したとして中国籍のワン・ユンヘ容疑者(35)他2人を逮捕したと発表した。 米連邦捜査局(FBI)のクリストファー・レイ長官は発表文で「FBIは国際的なパートナーと協力し、おそらく世界最大のボットネットである911 S5を解体するための共同連続サイバー作戦を実施した。われわれは管理者を逮捕し、インフラと資産を押収し、共謀者たちに制裁を課した」と語った。 ワン容疑者らは2011年初頭、プロキシバックドアを潜ませた複数のVPNアプリ(MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN、ShineVPNnなど)を配布し、多数のユーザーの端末にマルウェアを仕込んだ。 2014年から数年間で、世界中の何百万台もの一般ユーザーのWindow
「モバイルデバイス」と「Wi-Fiのアクセスポイント」をランドマークとして使用し、三角測量でデバイスの位置を特定するというのが「Wi-Fi Positioning Systems」(WPS:Wi-Fi測位システム)です。AppleのWPSが悪用され、世界規模でプライバシーの脅威となる可能性をメリーランド大学のエリック・ライ氏とデイブ・レビン氏が指摘しました。 [2405.14975] Surveilling the Masses with Wi-Fi-Based Positioning Systems https://arxiv.org/abs/2405.14975 Surveilling the Masses with Wi-Fi\replaced-Based Positioning Systems Geolocation Services https://arxiv.org/html/
Why, after 8 years, I still like GraphQL sometimes in the right context
A recent post, Why, after 6 years, I’m over GraphQL, made the rounds in the tech circle. The author argues that they would not recommend GraphQL anymore due to concerns like security, performance, and maintainability. In this post, I want to go over some interesting points made, and some points I think don't hold up to scrutiny. Always be Persistin' Ok, first of all, let's start with something may
積水ハウスは5月24日、住宅オーナー向けの会員制サイト「積水ハウス Net オーナーズクラブ」で情報漏えいがあったと発表した。会員・従業員のメールアドレスやパスワードなど30万件近くが漏えいした他、これとは別に50万件超の情報が漏えいした可能性も否定できないという。 漏えいした情報は、サイト会員10万8331人のメールアドレス、ログインID、パスワード。過去に在籍していた人を含む積水ハウスグループの従業員や協力会社スタッフなど18万3590人のメールアドレスと、社内システムにログインする際に使うパスワードも漏えいした。これとは別に、会員46万4053人のメールアドレス、ログインID、パスワードと、従業員や協力会社のスタッフなど7万2194人のメールアドレス、パスワードも、漏えいの可能性が否定できないという。 2008年から11年にかけて運用していたが、現在は使用していないWebページのセキ
損害保険4社は、保険代理店の担当者がやりとりする電子メールで、保険の加入者の契約内容などの個人情報を本来送るべきではない競合他社にも送っていた情報漏えいが確認されたと発表しました。 発表によりますと、東京海上日動火災保険、損害保険ジャパン、三井住友海上火災保険、あいおいニッセイ同和損害保険の4社は、販売を委託する保険代理店の担当者がやりとりする電子メールで、保険の加入者の名前や証券番号、保険料などの個人情報を本来送るべきではない競合他社にも送っていたことを確認したということです。 各社によりますと、保険代理店の担当者の間では、契約の更新手続きなどのためにこうした個人情報を電子メールでやりとりしていますが、宛先のCCに本来送るべきでない競合他社が含まれていたということです。 これまでの調査で情報漏えいを行った疑いがある代理店は、東京海上日動が238、損保ジャパンが268、三井住友海上が151
「4桁の暗証番号」、世界でよく使われる組み合わせが判明! どの国の人も考えることは同じ? | GetNavi web ゲットナビ
クレジットカードや銀行のキャッシュカードなどに使われる4桁の暗証番号。4つの数字の組み合わせは全部で1万通り存在しますが、過去に流出した340万件の暗証番号を分析した結果、よく使われるものとそうでないものの傾向が見えてきました。 ↑ひょっとして誕生日? 「人気の高い4桁の暗証番号」TOP101234111100001212777710042000444422226969 もっとも人気だったのは「1234」。驚くことに、分析された暗証番号のうち約11%がこの「1234」だったそうです。2位の「1111」は6%でした。上位の暗証番号を見てみると、同じ番号の繰り返しなど、どれも覚えやすそうなものばかりです。 また、最初の2桁に「19」を使っているものも多く、自分が生まれた年代を使っている可能性が高い模様。さらに、最初の2桁は「12」以下、最後の2桁は「31」以下の数字が使われていることが多いこと
Appleの落とし物トラッカーである「AirTag」が登場して以来、同デバイスを使ったストーカー行為がたびたび報告されています。これを受け、AppleとGoogleが「迷惑位置情報トラッカーの検出」という標準規格を発表しました。これにより、未知のBluetoothデバイスがユーザーを追跡していることが検出された場合、ユーザーに警告することが可能となります。 Apple and Google deliver support for unwanted tracking alerts in iOS and Android - Apple https://www.apple.com/newsroom/2024/05/apple-and-google-deliver-support-for-unwanted-tracking-alerts-in-ios-and-android/ Google Onl
NICTのセキュリティ講習「実践サイバー演習 RPCI」において使用しているDropbox社が運営する電子署名システム「Dropbox Sign」において、ユーザー情報に不正なアクセスを受けていたことが判明しました。 この情報には、「実践サイバー演習 RPCI」の令和3年度から令和5年度の受講者524名のDropbox Sign のユーザー名*、メールアドレスが含まれておりました。 Dropbox社の調査によると、署名を求めるメールを受け取った方のDropbox Sign のユーザー名*とメールアドレスが流出したとのことです。 *受講証明書発行時にDropbox Sign または HelloSign アカウントを作成又は同アカウントでログインされた方が対象(なお、RPCI受講証明書発行に際しアカウント作成は必須ではありませんでした)。 なお、同社にて不正アクセスを把握した時点で、同社がフォ
米Microsoftは5月2日(現地時間)、コンシューマー向けのMicrosoftアカウントで、パスワードレス認証「パスキー(Passkey)」を用いたサインインのサポートを開始した。2日より、Microsoft 365やCopilotなど、MicrosoftのアプリケーションおよびWebサイト(デスクトップ、モバイル)のサインインにパスキーが使用可能になった。数週間以内に、パスキーを使ったモバイルアプリへのサインインもサポートする予定である。 同社は2015年、Windows 10でWindows Helloを使ったサインインのサポートを開始し、FIDOセキュリティキー、Microsoft Authenticatorアプリなど、パスワードレスへの移行を推進してきた。2021年9月には、Microsoftアカウントからパスワードを削除し、パスワードなしで使うオプションの提供も開始した。 パ
「YAMLパース占い」in RubyKaigi 2024 で伝えたかったこと - Flatt Security Blog
今年もRubyKaigiに協賛させていただきました! Flatt Security 執行役員CCO / プロフェッショナルサービス事業部長の @toyojuni です。先日沖縄県那覇市で開催されたRubyKaigi 2024の振り返りと皆様への感謝の気持ちを込めて本記事を執筆します。 昨年に引き続いて、Flatt SecurityはRubyKaigiにPlatinum Sponsorとして協賛し、ブースを出展させていただきました。ありがたいことに、3日間でのブース訪問の延べ人数は500人を超え、様々なRubyistの方との接点を持てたと感じています。 そんな今回のブース出展の軸と言える企画が「YAMLパース占い」でした。 Flat Securityは明日から始まる #RubyKaigi 2024に協賛させていただきます!ブースでは新企画「YAMLパース占い」を実施します🔮 与えられたYA
はじめに こんにちは、計測プラットフォーム開発本部SREブロックの近藤です。普段はZOZOMATやZOZOGLASS、ZOZOFITなどの計測技術に関わるシステムの開発、運用に携わっています。 計測プラットフォーム開発本部では、複数のプロダクトを運用していますが並行して新しいプロダクトも開発しています。SREチームでは増え続けるプロダクトの運用負荷に対して改善は行っていますが、さらなるプロダクトの拡張に備えてZOZOFITの開発運用を別チームへ移管することになりました。移管作業の中でAWSリソースを別チームが管理するAWSアカウントへ移行する作業が発生することになりました。本記事では移行時に遭遇した課題と、その課題の解決に至るまでの取り組みをご紹介します。 目次 はじめに 目次 背景・課題 調査 ユーザ移行Lambdaの作成 簡易ダイアグラム フローチャート ユーザ移行Lambdaの処理
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
Windows 11の新機能「Recall」はあなたの画面を常に監視している | Forbes JAPAN 公式サイト(フォーブス ジャパン)
マイクロソフトはWindows 11の新機能「Recall(リコール)」を発表した。この機能はユーザーが過去に見た情報をいつでも遡って見ることができるように、数秒ごとにパソコン画面のスクリーンショットを残し、その後、同社のAIがそれらのスクリーンショット内の情報を処理し、3カ月間検索、アクセスできるようにするというものだ。 プライバシー保護の活動家たちはこの発表に危機感を募らせた。直接的な不安は、マイクロソフトがユーザーの行動にアクセスできることだが、CEOのサティア・ナデラは、データは暗号化されてデバイス内にのみ保存され、外部には一切送信されないことを強調して心配するユーザーたちを安心させている。 しかし、この発言も本機能に対する批判を止めることはなかった。もう1つの大きな懸念は、もしハッカーがパソコンに侵入したら、真っ先にRecallを見に行きユーザーが何をしていたかの正確な履歴を手に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。 ランサムウェアを筆頭に、サイバー犯罪被害に関連した株式市場での適時開示が2024年も既に複数発生している。サイバー犯罪が組織への被害だけでなく株主や取引先といったステークホルダーに与える影響が甚大なことを示唆している。今回は、サイバー犯罪被害に関する報告義務が世界的にも標準化する中で、企業はサイバーセキュリティに関する情報開示にどう向き合うべきかについて考えてみたい。 サイバーリスクに関する適時開示と任意開示の違い サイバー犯罪被害に関連した適時開示は、2024年の最初の3カ月で5件行われている。適時開示とは、証
昨年夏ごろからフェイスブックのアカウントを乗っ取ろうとする攻撃が活発化しており、日本の政府関係者のアカウントも狙われていたことが6日、分かった。2020年米大統領選挙への介入が指摘されたロシアの情報工作団体が再び交流サイト(SNS)を使い、今年11月の米大統領選に向け、米国の有権者らに影響を及ぼそうとしている可能性がある。 インターネットセキュリティー会社「Sola.com」(ソラコム、仙台市)によると、昨年夏ごろから世界規模でフェイスブックアカウントの詐取を狙う動きが活発化しているという。同社の分析によると、昨年11月までに約1312万回、約850万人のアカウントを詐取しようとした試みが観測された。 被害者の9割以上は米国人だが、日本では、政府関係者などがこうした攻撃を受け、実際に乗っ取られたケースもあったという。 手口は、まずアカウントを詐取するために作られたリンクをユーザーに送り付け
「+94」から始まる番号から電話が掛かってきたことはありませんか。今、スリランカから発信されたとみられる謎の国際電話が相次いでいます。 ■スリランカから?未明に国際電話 スタッフの携帯電話に掛かってきたスリランカからの着信。身に覚えのない番号です。その電話のおよそ15時間前にも、大阪で…。 大阪在住 30代の人 「夜中2時くらいに電話掛かってきて。寝ている時間帯じゃないですか、迷惑ですよね。全く知人とかがいるわけじゃないので。スリランカに」 着信履歴にスリランカからの発信を示す「+94」の表示が。どちらも不審に思い、電話には出なかったそうです。 ここ数日、SNSではスリランカからの“謎の着信”を報告する声が相次いでいます。 インド洋に浮かぶ小さな島国スリランカ。近年は深刻な経済危機から、デモ隊が大統領の公邸を占拠するなど、混乱が広がっていました。 なぜスリランカから着信が相次いでいるのでし
本件に関して対応が必要なお客様へのお知らせはすべて<updates@digicert.com>から送信しております。 日本時間2024/05/09 (木) 23:00頃 配信されたメール(件名:「REISSUANCE OF CERTIFICATES PRIOR TO MAY 11 2024」) は誤送信であることが確認されましたので、お手元に届いている場合には、大変お手数ではございますが破棄をお願い致します。 拝啓 貴社益々ご清栄のこととお慶び申し上げます。 平素は弊社サービスの拡販にご尽力頂きありがとうございます。 首記の件につき、弊社が発行いたしましたEV TLS証明書の一部にBusiness Categoryの記載フォーマットに誤りがあるものを確認し、CA Browser Forum SSL/TLS証明書のBaseline Reuqirementの取り決めにより、2024年 5月 1
インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 Web サービスへの攻撃を防ぐために WAF を使いましょうというのはよく聞きます。 ではインターネットに公開した Web サービスに送信される悪意のあるリクエストがどれぐらい WAF によって防御され得るのでしょうか? お手軽に使える AWS WAF のマネージドルールを対象に確かめてみました。 この記事の概要 実験用に固定レスポンスを返すだけの HTTP エンドポイントを作成し、約半年間インターネットからアクセス可能な状態で放置した AWS WAF のマネージドルールをアタッチしており、それぞれのルールに一致したリクエスト数を集計し、ランキング形式にまとめた 一致したリクエスト数が多いマネージドルールそれぞれに対して、どのようなリクエストが多かったのか集計し、ランキング形式にまとめた 実験用システムの構成 基本的なデー
生成AIでウイルス作成容疑 男逮捕「楽に稼ぎたかった」―遠回しの質問で回答引き出す・警視庁 時事通信 社会部2024年05月28日12時44分配信 【図解】生成AIを悪用した手口 インターネットで無料公開されている対話型生成AI(人工知能)を使い、コンピューターウイルスを作成したとして、警視庁サイバー犯罪対策課は28日までに、不正指令電磁的記録作成容疑で、無職林琉輝容疑者(25)=川崎市幸区古市場=を逮捕した。容疑を認め、「AIを使えば何でもできると思った。楽に稼ぎたかった」と話している。 脅威増すサイバー犯罪 身代金型「復旧まで数カ月」―万博見据え、組織底上げ 生成AIによるウイルス作成の摘発は異例という。 逮捕容疑は昨年3月、複数の対話型生成AIを使って入手した不正プログラムの設計情報を組み合わせ、ウイルスを作成した疑い。 同課によると、ウイルスは身代金要求のため、攻撃対象のデータを暗
携帯電話のSMSを使った認証を、なりすましで不正に突破される例が問題視されている。手口としてはスマートフォンやケータイを物理的に盗んだり、他人がなりすまして不正にMNPする例が従来は見られたが、最近ではeSIMの再発行という手法も出てきた。そこで主要4キャリアについてeSIMの再発行が簡単かどうか、あらためてeSIMは不安視すべきものかどうか調べた。 そもそも不正なeSIM再発行をされると何が起こるのか? eSIM再発行とは、端末間で物理的なSIMカードを差し替えることに相当する行為だ。特にeSIMでは、物理SIMでは必要だった発送や受け取りが不要。たとえばネットで新規加入の手続きをすれば、SIMの到着を待つことなく、すぐに使うことができる。 手軽でスピーディーな反面、誰かが不正にeSIM再発行の手続きをして、別の端末でeSIMを受信してアクティベーションしてしまえば、どこかの誰かのスマー
「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab
はじめまして、中島明日香(@AsuNa_jp)です! 私は14歳の頃にハッカーに憧れてセキュリティの世界に飛び込んで以来、セキュリティひと筋なキャリアを歩んできました。大学でセキュリティを学び、卒業後も研究開発者として10年以上さまざまなセキュリティの研究開発に携わってきました。 本記事では、私自身のキャリアの歩みについて紹介します。今までどのような仕事に携わってきたかだけでなく、大学卒業時の就職や一昨年に経験した転職など、キャリアの節目においてどのように考え、選択してきたのかについても触れています。 私のこれまでの歩みが、皆様が自分らしいキャリアを歩む参考になればたいへん嬉(うれ)しく思います。 ▲ Black Hat Asia 2023のロックノート(閉会時基調講演)となるパネルセッションに登壇する筆者(左から2人目) ハッカーに憧れてセキュリティの世界に飛び込む 「世界を広く良くした
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メール認証における ARC の仕組みと DMARC fail の対策 - NFLabs. エンジニアブログ
rootを越えろ!スルーされがちなSELinuxの秘密-前編-
IPA試験問題不備(令和6年春期ネットワークスペシャリスト午後2) - Qiita
職員がインスタに患者のカルテ写真を投稿、約1カ月間外部から閲覧可能な状態に 仙台市立病院
権限制御とは? を freee の権限管理基盤で説明 - freee Developers Hub
Dropboxを装って認証情報をだまし取る「二段階式スピアフィッシング」、巧妙な手口をカスペルスキーが説明
第2回:ユーザーも「ひと手間」にご協力を。クレジットカード会社が取り組む不正利用対策【カード会社が教えるクレジットカードのセキュリティ】
川崎市、個人情報入りUSBメモリ紛失 申請書のコピーをバックアップしていた
「PDF.js」に任意コード実行の脆弱性 ~多くのWebサイト・アプリに影響/「Firefox」内蔵PDFビューワーでも用いられているPDF表示ライブラリ
zstd圧縮に対応した「Firefox 126」、追跡コードを除いてURLをコピーする機能も強化/セキュリティ関連の修正は16件
米連邦政府、“世界最大のボットネット”「911 S5」を解体し、主犯を逮捕
Appleの「探す」で利用されるWi-Fi測位システムを悪用すると簡単に位置情報の追跡が可能になるとの指摘
積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】
損保4社 「加入者の個人情報を競合他社に」漏えい確認と発表 | NHK
AppleとGoogleが未知のBluetoothデバイスがユーザーを追跡していることを警告する標準規格を発表
外部利用サービス提供事業者への不正アクセスについて|2024年|NICT-情報通信研究機構
【追記あり】バッファローのWi-Fiルーター「WSR-1166DHP」シリーズほかのボット感染が増加、NICTER解析チームが警告
Microsoftアカウントがパスキーに対応、パスワードなしで安全にサインイン
MFA設定必須のCognitoのクロスアカウントマイグレーションについて - ZOZO TECH BLOG
LINEヤフー「生みの親」退任 ネイバー側との委託契約も終了へ:朝日新聞デジタル
セキュリティインシデントの発生時にどこまで情報開示すべきか
<独自>FBアカウント詐取攻撃、日本政府関係者も標的 露、米大統領選選挙工作か
「+94」スリランカから謎の着信相次ぐ 厚労省かたる電話も(テレビ朝日系(ANN)) - Yahoo!ニュース
【重要】EV証明書における再発行、ならびに入れ替え手順のご案内
生成AIでウイルス作成容疑 男逮捕「楽に稼ぎたかった」―遠回しの質問で回答引き出す・警視庁:時事ドットコム
eSIMの不正再発行が問題視される中、主要4キャリアの状況を調べた (1/2)