経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説
経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。 SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。 例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。 多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなってい
Not Found
今月5日、沖縄・那覇空港で身体障害がある女性が格安航空会社(LCC)ピーチ・アビエーション(本社・大阪府)の台湾行きの便を利用しようとしたところ、電動車椅子のバッテリーが外から見えないことを理由に搭乗できなかった。バッテリーの目視確認を巡っては航空会社で対応が異なっており、女性は「差別的な対応だ」と訴えている。 搭乗できなかったのは、台湾籍の林君潔さん(43)。骨が折れやすい難病の骨形成不全症を抱え、電動車椅子を使って生活している。林さんは障害者らが集う沖縄のイベントに参加するため、1日に別の航空会社で同じ車椅子に乗って来日。5日にピーチ機で台湾に戻る予定だった。 国土交通省によると、発火の恐れがあるバッテリー類は航空法で輸送を禁じる危険物にあたる場合があり、航空各社は持ち込みに条件を設ける。ピーチ社のウェブサイトには、身体が不自由な乗客への案内として「バッテリーの目視確認ができない場合、
DNS水責め攻撃、食らっちゃいました
DNS水責め攻撃、食らっちゃいました:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(37) 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第37列車は「DNS水責め攻撃」です。※このマンガはフィクションです。
自分がとあるイベントあわせでやったこと。 トリガは以下の記事の公開および、記事の内容に関連する各種レポート。 IT系コミュニティをタダ飯狙いの不審者からどう守るべきか。あるイベントで発生した深刻な事案と提言 - Publickey (publickey1.jp) 若手が相当おそれて課題提起してくれたこともあり、大きいところは自分のほうで巻き取って対応。過去に別のところでやってるし、(手慣れてるとは言わないけど)うごくせきぞう状態の自分がやったほうが良いと判断して対応。 以下、対応の流れをおおまかに。 運営関係者間で対応を協議の上、大きな方針をまとめる課題提起を受けて、イベントの運営側で協議を行い、大きな方針をまとめる。この方針の中で、会場および管轄の警察署との連携を強化することを確定。そしてこの中で、主担当者(今回の場合はオレ)をあらためて決定。 今回立てた方針は、以下の2つ。 不審なのが
夜景の写真をアップして「どこか当ててみろや」をやったら都市名どころかホテル名と部屋番号まで当てられた「本当にネットは敵に回しちゃいけない」
pato @pato_numeri これをアップして、どこか当ててみろやってやったら都市名どころかホテル名、部屋番号まで当てられたので、本当にインターネットは敵に回しちゃいけないと思いました pic.twitter.com/BBtgWGylpA 2023-09-30 21:08:41
プログラマのための公開鍵による暗号化と署名の話
初めに 公開鍵による暗号化と署名をプログラマ向け(?)に書いてみました。ちまたによくある暗号化と署名の話はインタフェースと実装がごちゃまぜになっていることが分かり、暗号化と署名の理解が進めば幸いです(と思って書いたけど、余計分からんといわれたらすんません)。登場する言語は架空ですが、多分容易に理解できると思います。 公開鍵による暗号化PKE 早速、公開鍵による暗号化(PKE : Public Key Encryption)を紹介します。登場するのは暗号化したいデータのクラスPlainText, 暗号文クラスCipherText, 秘密鍵クラスPrivateKeyと公開鍵クラスPublicKeyです。PKEは次の3個のインタフェースを提供しています。 abstract class PKE { abstract keyGenerator(): [PrivateKey, PublicKey];
デジタル社会の実現に向けて、政府が取り組むべき重点計画の改定案をデジタル庁が取りまとめ、マイナンバーカードについては、2026年中にセキュリティーを高めた新しいカードの導入を目指すなどとしています。 政府は、デジタル社会の実現に向けて重点計画案の策定を進めていて、このほどデジタル庁が改定案をまとめました。 それによりますと、2016年から交付が始まったマイナンバーカードでは、当時、取得した人たちが更新時期を迎えることから、新しいマイナンバーカードの2026年中の導入を目指すとしています。 偽造防止など、今のカードよりもセキュリティーを高めます。 カードには現在、性別や生年月日、住所などが記載されていますが、本人であることを証明する機能を残しながら、記載する情報を精査していくということです。 また、2024年度末までに行うとしているマイナンバーカードと運転免許証の一体化では、スマートフォンに
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか? 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方(通称徳丸本)」を出したのが2011年3月でして、それから13年以
スウェーデン・イエーテボリで起きた爆発の現場で規制線を張る警察官(2023年8月31日撮影)。(c)Adam IHSE / TT News Agency / AFP 【1月20日 AFP】スウェーデン東部ウプサラ(Uppsala)の集合住宅に住む教師のトーマス・セルバンさんは、昨年9月のある夜、建物内部で鳴り響く銃声で目を覚ました。同国で急増しているギャング間の抗争がすぐ近くで起きたのだ。 これまで比較的治安が良かったスウェーデンでは近年、暴力事件が多発している。「子ども兵」による処刑スタイルの銃撃事件が発生し、建物が爆破され、報復のために家族が狙われるケースも起きている。 ウルフ・クリステション(Ulf Kristersson)首相は、「欧州でこれほどの事態が起きている国は他にない」とし、ギャング犯罪の根絶を表明。現行法ではギャング間抗争や子ども兵は適用外だとして、法改正を行う考えを示し
徳島ニュース 一覧 事件・事故 社会 政治・行政 選挙 経済 健康・医療 教育 文化・芸能 気象・防災 号外 市町村別 一覧 徳島市 鳴門市 小松島市 吉野川市 阿波市 勝浦町 上勝町 佐那河内村 石井町 神山町 松茂町 北島町 藍住町 板野町 上板町 阿南市 那賀町 牟岐町 美波町 海陽町 美馬市 つるぎ町 三好市 東みよし町 スポーツ 一覧 ヴォルティス ガンバロウズ インディゴ 高校野球 高校スポーツ 高校総体 中学スポーツ 中学総体 小学スポーツ 大学・一般 FC徳島 とくしまマラソン 徳島駅伝 あわースポーツ 連載・特集 一覧 政治・行政 経済 地域 社会 文化 スポーツ 暮らし オピニオン その他 デジタル限定 一覧 連載 コラム 経済 ライフ エンタメ スポーツ 全国・海外 プライム アートエンタメ 時事通信 深掘り オリコン 主要 経済 政治 国際 社会 スポーツ 写真・動
河野太郎の再生エネルギータスクフォース(内閣府)で元活動家構成員が中国企業の資料で政府への提言取りまとめ|山本一郎(やまもといちろう)
そもそも何が起きたのか 内閣府に設置されている、再生エネルギータスクフォース(以下、再エネTF)において、次期再生エネルギー調達にかかる固定買取価格(FIT)を政権に対して提言するにあたり、再エネTFの構成員の何者かが中国国営の送電企業の『国家電網公司』の資料を流用し、その電子透かしが資料にそのまま掲載されていたことが発覚した事件です。 https://web.archive.org/web/20240323041756/https://www8.cao.go.jp/kisei-kaikaku/kisei/conference/energy/20240322/240322energy05.pdf 本件資料は中国語では現存するものですが、問題は、「日本語で記載されていること」「資料そのものに電子透かしが入っていること」を考えれば、この内閣府で行われた再エネTFで構成員から日本政府に向けて提言
日本人はなぜ「マスク」と「PPAP」をやめられないのか:あなたは大丈夫? 電子メールのセキュリティ対策(1/3 ページ) 2万社以上にセキュリティ対策を強化したメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。今回のテーマは「脱PPAP」についてです。 PPAPとは「パスワード付きZIPファイルとパスワードを同じ経路で送信する方法」のこと。「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」の頭文字からなる造語で、元JIPDECで現PPAP総研代表の大泰司章氏が命名し、問題提起したのが始まりだといわれています。 政府がPPAP廃止を宣言してから3年。いまだにパスワード付きZIPファイルを送ってくる企業が少なくありません。なぜ日本企業はP
これまで、盗撮行為の処罰には様々な“壁”があった。例えば、飛行機の機内での盗撮行為もその一つ。また、盗撮画像を“加害者”に返却しなければいけないという、理不尽なルールも。 こうした盗撮をめぐる問題の解消に向け、新たな法律が成立した。 「撮影罪」によって、何が変わるのか? ■これまでの盗撮行為の取り締まりと問題点きょう国会では、盗撮行為を直接取り締まることのできる「撮影罪」を含む新しい法律が可決・成立した。これまでは、都道府県ごとに定められている迷惑防止条例などによって処罰されていた盗撮行為。しかし、条例を適用するにはまず、どの自治体で盗撮されたのかを特定する必要がある。そのため問題になっていたことの1つが、上空を飛行している飛行機内での盗撮だ。 実際、過去にはこんなケースもあった。2012年、乗客の男性が客室乗務員の女性のスカートの中を盗撮したとして逮捕。しかしその後の捜査で、盗撮をした時
こんにちは。エムスリーでSREやセキュリティに従事している山本です。 以前に、「Gmailのメール認証規制強化への対応って終わってますか?」という記事を書かせていただいておりますが、そこでちょい出しだけしたDMARCについて書かせていただきたいと思います。 www.m3tech.blog Gmailへの対応を実施するだけならば、「とりあえずよくわかんないけど入れておけばOK」なのですが、そもそもDMARCは何のために存在していてどのように活用にするのかというところに触れていきたいと思います。 DMARCとは SPF/DKIM DMARC登場 DMARCで実施できるポリシー三種 ポリシーの強化 強化できるか DMARCレポート RUA/RUFの二種のレポート DMARCレポートの確認ツール どう判断するか メール転送 今後 まとめ We are hiring! DMARCとは DMARCの日
iPhoneの安心/安全はもはや国民が自ら意見を述べて守るしかない――「モバイル・エコシステムに関する競争評価」の最終報告を受けて
iPhoneの安心/安全はもはや国民が自ら意見を述べて守るしかない――「モバイル・エコシステムに関する競争評価」の最終報告を受けて(1/4 ページ) 6月16日、官邸のWebサイトにデジタル市場競争会議で検討されていた「モバイル・エコシステムに関する競争評価」の最終報告(案)が掲載された。これを受けて日本政府は、iPhoneでApp Store以外の他社ストアからもアプリを入手できるように法律で義務付けることを法案化していく。 iPhoneの安全を脅かす法案 行動を起こす最後のチャンス これまで再三、指摘してきたiPhoneのセキュリティを著しく低下させる法案が、ついに立法に向けて本格的に動き出した。だが、まだ手遅れではない。 現在、政府は広く国民からの意見(パブリックコメント)を募集しており、その後で案を国会の審議にかける。 今の国会議員たちのITに関する知識や関心度に信頼を寄せていない
この方法により、推定したビッティング間の距離から鍵のビッティングパターンを推測できる。この手法で、大量の鍵の中から特定の鍵を効率的に絞り込むことが可能となる。実験により、33万以上の鍵の中から最も可能性の高い3つの候補鍵を特定することに成功している。 SpiKeyの最大の利点は、特殊な道具や技術を必要とせず、スマートフォンさえあれば誰でも利用できる点である。また、従来のロックピッキングに比べて疑いをかけられにくく、最新のアンチピッキング機能を備えた錠前に対しても有効である。 Source and Image Credits: Soundarya Ramesh, Harini Ramprasad, and Jun Han. 2020. Listen to Your Key: Towards Acoustics-based Physical Key Inference. In Proceedi
2023年12月4日、マイナンバーカードの偽造などを行っていたとして有印公文書偽造と入管難民法違反の容疑で女が逮捕されました。ここでは関連する情報をまとめます。 初のマイナンバーカード偽造事案 警視庁と兵庫県警など6の府県警によって有印公文書偽造と入管難民法違反の容疑で再逮捕されたのは中国籍の女。他者と共謀し2023年11月12日頃に自宅で在留カード13枚とベトナムやインドネシア国籍の外国人名義のマイナンバーカード9枚の偽造を行っていた疑い。*1 マイナンバーカードの偽造により摘発された事案は今回が初めて。女は「9月頃からマイナンバーカードの依頼が増えた」などと供述し容疑を認めている。 知人の紹介を受け中国から届いたPC、プリンターを使用して2023年6月頃より女は1日20~60枚のカードの偽造を繰り返していたとみられている。*2 偽造に必要なデータ(顔写真、住所)はWeChatを通じて送
ドコモは現在、各サービスのドメインを「docomo.ne.jp」へ統合する作業を進めており、現在使用しているもの、すでに使用をやめたものを含め同社の専門部署で一括管理しているという。そのうえで「docomokouza.jp」については、社内管理の不手際により、一時的にドコモの保有ではなくなっていたとしている。 今回の「docomokouza.jp」はドコモが取り戻したため不正利用される心配はなくなったが、こうしたドコモ保有のドメインを失った場合はどういった対応を取るのだろうか。同社は「弊社の商号、商標を含むドメインが第三者に取得されて不正に利用された場合は、JP-DRP(JPドメイン名紛争処理方針)という公的な指針によって必要な措置をすみやかに取る」としている。 JP-DRPは、ドメインにまつわる商標権者とドメイン登録者の紛争処理に関する規約を定めたもの。ドメイン名の不正登録・使用を回避す
アンチウイルスソフト Antivirus for Amazon S3 を本番環境に導入してみてわかったメリット・デメリット - ANDPAD Tech Blog
こんにちは。SREチームの吉澤です。 アンドパッドでは最近、AWSのS3バケット上のファイルをスキャンするために、アンチウイルスソフト Antivirus for Amazon S3 を本番環境に導入しました。その結果、私たちの要件はほぼ全て満たされたうえに、従来比で大幅なコスト削減を実現できました。 Antivirus for Amazon S3について日本語で書かれた記事はまだ少ないですが、S3に対するウイルススキャンが求められるケースでは、導入を検討する価値があるソフトです。 そこで、今回はこのAntivirus for Amazon S3の概要、私たちが本番環境に導入してみてわかったメリットやデメリット、そしてこのソフトが適した状況をご紹介します。 背景 S3に対するウイルススキャンが必要な理由 Antivirus for Amazon S3の導入前に利用していたソフト Antiv
こんにちは、後藤です。今回はAWS構成における踏み台についての記事です。 データベースなどのインターネットに繋げたくないリソースに踏み台リソース経由でアクセスさせることは、セキュリティ設計としてよくある構成だと思います。 今回はその踏み台リソースに「ユーザーログイン有無を検知して自動停止する」ロジックを組み込んだ方法を共有します。 また、一般的によく用いられるのはEC2だと思いますが、今回はECS on Fargate(以降はFargateと略)を使います。しかも自動停止ロジックにLambdaを使いません!!コンテナの中で完結させます。 踏み台を設計する時に気になること そもそも踏み台について設計する際に何が気になるのでしょうか。それはOS管理負担と自動停止です。 踏み台にEC2を用いるとOSパッチ適用などの運用コストが発生します。業務系サーバでないのに心労が重なるのはなるべく避けたいとこ
2023年11月27日、LINEヤフーは同社のシステムが不正アクセスを受け外部にユーザー情報などが流出したと公表しました。その後も調査が継続して進められたところ、2024年2月14日には最終の調査報告として社外のサービス(ファイル共有やSlackなど)に対しても影響が認められたと公表しました。さらに今回の調査を通じて別の委託先2社を通じた不正アクセス事案も確認されたと同日に公表しました。ここでは関連する情報をまとめます。 社内外システムへ不正アクセス LINEヤフーが主体として管理運用するシステム(社内システム)と社内コミュニケーションに利用していた社外サービスシステムに影響が及んでいた。11/27公表を事案A、2/14公表を事案Bとして、具体名称が上がっているシステムは以下の通り。*1 旧ヤフー社側とはシステム基盤が異なることから、ヤフー側の情報への影響はない。また公表時点では流出可能性
世間ではあらためてHDDのドリルでの破壊が話題になっているようですが、では実際、どのようにしたらドリルで確実にHDDを破壊できるのでしょうか? そこは筆者、ドリル北村にお任せください。確実に破壊する方法をレクチャーしましょう。 HDDの破壊には、ドリルで穴を開ける穿孔破壊のほか、打撃衝撃による粉砕破壊、磁気を照射する磁気消去という3つの方法があります。なかでも一番簡単なのが穿孔破壊です。 電動ドリルは、金属を貫通する必要があるので5N・m以上のトルクがあるものが望ましく、ドリルビット(替芯)は鉄工用が必要です。筆者はカインズのACドリルドライバー「KT-01」(3280円)と、直径6mmの鉄工用ドリルビット(2本で578円)を使用しました。 単純にドリルでHDDに穴を開ければ破壊はできますが、穴を開ける場所を間違えるとデータの復元ができてしまう可能性があります。データの復元を阻止するために
【注意】海外ナレーターからの宅録ナレーション依頼にどうかご注意ください。|石井しおり | ナレーター・MC | コトバテラス
一人でも多くの方にこの記事が届きますようにという思いを込めて、この度投稿することにいたしました。ぜひ周囲の方、特にフリーランスの方にこういった事例があることを周知していただければと思います。 発信することの重要性を前回お伝えしましたが、実はその投稿直後に自身の発信をきっかけに特殊詐欺の被害に遭い、発信することのウラに潜む危険な面を自ら経験しました。これからお伝えする私の経験をもとに、公に発信する内容につきましてはどうか皆さん慎重にご検討いただければと思います。 と言いますのも、私は今年の初めに仕事用のInstagramアカウントを立ち上げたのですが、まさにそれがきっかけとなってしまったのです。Instagramを通してある宅録ナレーションの依頼を受け、データを納品したにもかかわらず、結果的に報酬をいただくどころか多額のお金を奪われてしまいました。そして恐ろしいことに、今もなお追加の振り込み
以下の文章は、電子フロンティア財団の「The U.K. Government Is Very Close To Eroding Encryption Worldwide」という記事を翻訳したものである。 Electronic Frontier Foundation 英国議会が世界のプライバシーを崩壊させかねないインターネット規制法案を推進している。現在、貴族院での可決を目前に控えた「オンライン安全法案」は、メッセージングサービスにバックドアを強制する権限を英国政府に与え、エンド・ツー・エンド暗号化を破壊するものとなる。法案の最も危険視されている部分を軽減する修正案は全く受け入れられていない。 オンライン安全法案が可決されれば、世界のプライバシー、そして民主主義そのものを後退させることになるだろう。我々が使用するメッセージングサービスに政府承認ソフトウェアの導入を義務づける悪しき前例を生み出
![英国政府が全世界のエンドツーエンド暗号化を破壊する | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/171668db90a0ff80748b8fd9ae1136bc54446b0d/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2023%2F08%2Fdefend-encryption-cyan-1_0.png)
はじめに 本記事はMicrosoft Security Advent Calendar 2023、10日目の記事になります。 シリーズ3部作です。 きっかけ 所属企業にて、2022年7月頃、情報システム部門に異動。種々の課題感に対する解決策(ここも話すと長くなる)としてMicrosoft 365 E5を導入することに決定。2023年1月にテナントにライセンスが適用され、E5セキュリティの実装を始める。同時に、組織内でIdPが複数運用されていることに対しても課題感を持っていたため、IdPの整理・統合も始める。 さらに同時期に、セキュリティ侵害の多くの原因が、パスワード漏洩だということを知る。 フィッシングメールでパスワードが漏洩(個人1位)し、クレジットカードが不正利用(個人4位)されたり、インターネット上のサービスに不正ログイン(個人10位)されたり…。スマホ決済の不正利用(個人5位)もで
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
Project Googrename: Google Workspace で 14 年運用されたドメインエイリアスをプライマリドメインに変更 & 全ユーザーを安全にリネームする - クックパッド開発者ブログ
コーポレートエンジニアリング部の id:sora_h です *1。今回は 3 ヵ月ほど前に実施した、Google Workspace テナントのプライマリドメイン変更について、記録を兼ねて説明します。 クックパッドは 2009 年頃 *2 より Google Workspace *3 を利用しています。当社の対外的なメールアドレスは cookpad.com ですが、Google ではプライマリドメインとして cookpad.jp が設定されています。各ユーザーには cookpad.com のアドレスを別名 (エイリアス) として登録されていて、メールアドレスとしては cookpad.com を利用、ただ Google へログインする時だけ cookpad.jp を利用する運用になっていました。想像が出来ると思いますが、これが様々な面で不便・混乱を発生させていました。どうしてこうなった… *
「1Password」が昨年世界で最も顧客数が増えた業務アプリ。テクノロジースタートアップの人気1位の業務アプリは「Google Workspace」。Oktaの調査結果
Oktaは業務アプリの利用動向に関する年次調査を発表。1社当たりの業務アプリ数、米国は105、日本は35で、昨年最も顧客数が増えたのは「1Password」などの結果が示された。 アイデンティティ管理サービスを提供するOktaは、1万8000社以上が利用する同社のサービスの利用データなどを基にした業務アプリの利用動向に関する年次調査「Businesses at Work 2024」 の結果を発表しました。 1社当たりの業務アプリ数、米国は105、日本は35 調査結果によると、1社当たりの業務アプリ数は平均で米国が105で調査結果中最大、日本は35と調査結果中最少だとされました。 企業規模別に見ると、従業員2,000人以上の大企業は前年比10%増の231、従業員数2000人未満の中堅・中小企業は、前年比4%増の72と、企業規模によって業務アプリの数に大きな違いがあることが示されました。 昨年
米ホワイトハウス「将来のソフトウェアはメモリ安全になるべき」と声明発表。ソフトウェアコミュニティに呼びかけ 米ホワイトハウスの国家サイバー局長室(The White House Office of the National Cyber Director:ONCD)は、サイバー空間における攻撃対象領域を積極的に削減する目的で、テクノロジーコミュニティやソフトウェアコミュニティに対してメモリ安全(Memory Safe)なソフトウェアの実現を積極的に呼びかけるプレスリリース「Future Software Should Be Memory Safe」(将来のソフトウェアはメモリ安全になるべき)を発表しました。 プレスリリースの中で、国家サイバー局長Harry Coker氏は「私たちは国家として、サイバースペースにおける攻撃対象領域を減らし、あらゆる種類のセキュリティバグがデジタルエコシステムに
マイナンバー キソのキソ|ヨシモトアキヒラ
相変わらず混乱した議論が多いので、キソのキソを整理する。マイナンバーについて、これがベストかどうかという議論はさておき、とにかく今はこうだということ。厳密に説明し出すと長くなるので、あえてざっくりだけど マイナンバーは個人を特定する識別子あたりまえだけどマイナンバーは個人を特定する識別子だ。住民票を元に付番されている。 重要な性質として、唯一無二悉皆不変がある。 唯一無二とは一人に必ず一つということ。重複はない。だからマイナンバーが指定されれば一人が確実に定まる。悉皆とは全員にということ。全ての国民に(一部外国人も含まれるけど)マイナンバーがついている。不変とは文字通り変わらないということ。例外的な場合を除いて一生涯変わらない。 つまり、マイナンバーを使えば全ての国民のなかから特定の一人を一生涯追跡できるということ。 この性質は極めてプライバシーインパクトが強い。だからこの後説明する様々な
神奈川県内の公立高校入試のインターネット出願システムを巡り、Gメールで申請した受験生にメールが届かない不具合が相次いだ問題で、システム事業者の設定ミスが原因だったことが7日、分かった。不具合は解消されたという。 県教育委員会が同日、発表した。高校教育課によると、事業者がグーグル社のガイドラインに沿った設定をせず、短時間に大量のメールを送信した結果、迷惑メール扱いになった。同課は「事業者がガイドラインを熟知していなかった」と釈明。「志願者や保護者、中学校関係者らに迷惑をかけ、本当に申し訳ない」と改めて謝罪した。 県教委は1月4日から志願者登録の申請を受け付けたが、9日になって案内メールが届かないとの問い合わせが相次いだ。県教委は19日に不具合が解消されたと発表したものの、出願期間初日の24日に再発。学校現場などが対応に追われていた。
SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
“推し”への「投げ銭」のためか…アプリのコイン詐取の疑いでJTB元オペレーター逮捕 客のカード情報を悪用 | 東海テレビNEWS
大手旅行代理店、JTBの電話オペレーターだった55歳の女が今年5月から6月にかけて、ライブ配信アプリで使うコイン68万円分をだまし取った疑いで逮捕されました。「推し」のアイドルに「投げ銭」をするために犯行に及んだとみられています。 アイドルと笑顔で写真に納まるのは、愛知県あま市に住む山口恵理子容疑者(55)です。名古屋市中村区にある「JTB旅物語」中部販売センターの電話オペレーターをしていましたが7日午後、愛知県警に逮捕されました。 捜査関係者によると今年5月から6月にかけて、顧客のクレジットカード情報を不正に使い、ライブ配信アプリでアイドルに「投げ銭」をするためのコイン68万円分をだまし取った疑いが持たれています。 ライブ配信アプリ「ミクチャ」の山口容疑者のものとみられるアカウントがあります。 【動画で見る】“推し”への「投げ銭」のためか…アプリのコイン詐取の疑いでJTB元オペレーター逮
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
電動車椅子の利用者、ピーチ機に搭乗できず バッテリー目視確認巡り | 毎日新聞
懇親会付きのイベントに出没する迷惑な人対策の一考察|wakatono
“新マイナンバーカード2026年中に導入目指す”重点計画改定案 | NHK
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が
スウェーデンでギャング間抗争が急増 加害者の低年齢化の背景とは
あわわ、個人情報95人分流出か|社会|徳島ニュース|徳島新聞デジタル
日本人はなぜ「マスク」と「PPAP」をやめられないのか
【解説】「撮影罪」を新設 盗撮画像の廃棄・削除に“画期的”な仕組みも|日テレNEWS NNN
DMARCの対応って進んでますか? - エムスリーテックブログ
鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃 シンガポール国立大「SpiKey」発表
マイナンバーカード偽造事案についてまとめてみた - piyolog
「ドコモ口座」のドメイン、ドコモが取り戻す 出品の経緯をGMO含め聞いた
セルフ式うどん店で幼児が火傷「どうしてくれるの」 親が目を離した瞬間の悲劇、店の責任は? - 弁護士ドットコムニュース
踏み台にはECSコンテナを。~ログイン有無を検知して自動停止させる~ - NRIネットコムBlog
LINEヤフーへの不正アクセスについてまとめてみた - piyolog
「VLC」に2,000円を寄付したらなんと200,000円も請求されてしまった!/詐欺? 乗っ取り? 真相は……多国通貨決済でときどきあるバグ【やじうまの杜】
定番のHDD破壊方法 これであなたもドリル◯◯
英国政府が全世界のエンドツーエンド暗号化を破壊する | p2ptk[.]org
IPA、「情報セキュリティ白書2023」を7月25日発売。PDF版は無料公開予定
社内をパスワードレスにするため頑張った話(前編) - Qiita
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
ドコモ口座ドメイン名流出の背景 企業・政府におけるドメイン運用の課題【鈴木淳也のPay Attention】
米ホワイトハウス「将来のソフトウェアはメモリ安全になるべき」と声明発表。ソフトウェアコミュニティに呼びかけ
マイナンバーカードを用いた本人確認とiPhoneへの機能搭載【鈴木淳也のPay Attention】
神奈川公立高入試のネット出願不具合 原因は事業者の設定ミス | カナロコ by 神奈川新聞