パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表した。今後、外部へのファイル送信には外部ストレージサービスを活用し、他省庁の状況についても実態調査を進める。 内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。 また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワード
お願いがあります.オリジンサーバを暗号化なしの HTTP で運用しないでください. - Qiita
インフラもセキュリティも,まだまだ未熟な私ではありますが,これだけはお願いします. オリジンサーバを暗号化なしの HTTP で運用しないでください. TL;DR ここで,オリジンサーバは,ファイアウォールやゲートウェイを通った先の最も奥にある,最終的にリクエストを処理するサーバをいいます.アプリケーションサーバが当てはまることが多いですが,静的ファイルサーバも例外ではありません.対して,間に入るサーバをエッジサーバと呼ぶことにします. また,この記事では暗号化なしの HTTP を HTTP , TLS レイヤ上の HTTP を HTTPS として記述します.HTTPS における TLS 上での通信も HTTP ではあるため,差別化のために明記しておきます. 何がだめなのか 近年, Web サイトのほとんどが TLS を用いた HTTPS で運用されています.パブリックな静的コンテンツに対し
大量のグループ招待及び友だち追加の発生に関するお知らせとお詫び | LINE Corporation | セキュリティ&プライバシー
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 1. 概要 2020年10月15日の午後5時から2020年11月03日の午前10時までの間、不審なBot(※1)がLINEのユーザーの同意なく、強制的に友だちとして追加される、また、当該Botが作ったLINEグループに招待されるという事案が、約12万を超えるLINEユーザーを対象に発生いたしました。影響を受けたお客様には、ご不便とご迷惑をおかけしました事を心よりお詫び申し上げます。 経緯についての詳細は、以下の通りです。 ※1 本来、自動応答や翻訳など機能を提供するもの 2. 本事案における影響について LINEでは、通常のLINEアカウントの他に、企業や店舗からのお知らせを発信する「
キャッシュレス決済サービスに関するセキュリティ総点検の結果について-ゆうちょ銀行
当社のWebサイトは、スタイルシートを使用しております。 お客さまが使用されているブラウザは、スタイルシート非対応のブラウザか、スタイルシートの設定が有効になっていない可能性があります。そのため、表示結果が異なっておりますが、情報そのものは問題なくご利用いただけます。
ゆうちょ銀行「mijica」取りやめへ セキュリティー対策に不備 | 電子決済 不正引き出し問題 | NHKニュース
ゆうちょ銀行は、デビットカード・プリペイドカードの「mijica」について、セキュリティー対策を点検した結果、多くの不備があったことを受け、ほかのサービスに機能を移したうえで、取りやめる方針を固めました。 ゆうちょ銀行はきょう、mijicaのセキュリティー対策を点検した結果、不正なログインを検知する仕組みがないことや、口座と連携する際の認証が十分でないことなど、キャッシュレス業界などが設けた22の点検項目のうち14項目で、対策が実施されていないか不十分だったことがわかったと発表しました。 これを受けて池田憲人社長は記者会見で、mijicaについて「新規サービスの構築や他のサービスによる代替案も含めた戦略の具体的な施策を早急に決定する」と述べました。 ゆうちょ銀行はmijicaを取りやめる方針を固め、デビットカードやプリペイドカードの機能はほかのサービスに移し、継続して利用できるようにするこ
人類がZIPのパスワードを直後のメールで送る理由
IPAが公開している電子メール利用時の危険対策のしおりの影響 https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf ‘電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。‘ 普通の会社は安く手軽なセキュリティを好む、暗号化は簡単だ問題は暗号の解除だ そこでこんなサービスが登場する「パスワードは別メールで送信元に自動で同時送信」と言うものだググれば腐るほど出てくる システムさえ入れればお手軽なセキュリティしてますアピールが出来て漏洩したとしても言い訳がしやすい コストも安いとなると多くの企業が飛びついたのだろう、次! PマークやISMSを取得するために必要だから JIS改正に伴うプライバシーマーク審査基準の改正について https://www.jisa.or.jp/service/p
12年間ニートしてて社会常識がよくわかんないんだが
俺の認識が誤ってる可能性が高いので、誤りを容赦無く指摘して欲しい。 うちの職場の話なんだが、取引先に添付ファイルをつけてメール送ると添付ファイルに自動でパスワードがつくんだわ。 そのパスワードはどういうタイミングでわかるかというと自分が上記のメールを送った後にすぐシステムから送り元宛にメールが届いて、「パスワードは〇〇です」って知らせてくれるわけ。 うちの職場の慣行ではシステムから送られてきたパスワードを送り先にメールで伝えてるんだよね。 たしかにメールならコピペして開けるから楽だよね。 って思うんだけど、これ本当に意味あるのか? 俺はこのシステムを添付ファイルを暗号化する盗聴対策だと認識してるんだけど、万が一メールが盗聴されてたら、パスワードも割れるしもうアウトだよね。 本来ならfaxなり電話なりで伝達するのがベターなんじゃないかと思うんだけど正しい運用方法ってなんなの? 上司もパスワー
AppleのMacシリーズがUSBだけでハッキングされる、セキュリティチップ「T2」の脆弱性を利用
Appleが独自開発したセキュリティチップ「T2」は、MacでNetflixの4K画質ムービを再生するのに必要であることが判明するなど、Mac製品のセキュリティを担う中心的存在です。ハッキングチームのt8012 Development Teamが、改造したUSBデバイスとApple製品向け脱獄ツール「checkra1n」を利用して、T2チップの脱獄に成功したと報告しています。 Plug'nPwn - Connect to Jailbreak https://blog.t8012.dev/plug-n-pwn/ A custom USB-C cable can jailbreak the T2 chip in a MacBook Pro | AppleInsider https://appleinsider.com/articles/20/10/13/a-custom-usb-c-cable
りそな銀行 1万4000人余の顧客情報入りディスクを紛失 | NHKニュース
大手銀行のりそな銀行は、東京本社で保管していた1万4000人余りの顧客の氏名、住所、郵便番号が記録された光磁気ディスク1枚を紛失したと発表しました。 中には、1万4561人の個人の顧客の氏名と、去年12月時点の住所と郵便番号が記録されているということです。 ただ、ディスクにはパスワードが設定されているほか、口座番号や残高、暗証番号などの情報は記録されていないとしています。 また、ディスクが外部に流出した可能性も低く、銀行では誤って廃棄したとみています。 これまでに顧客情報が不正に使われたという連絡は入っていないということですが、銀行では来月6日までの平日、午前9時から午後5時までの間、専用のフリーダイヤル0120-27-8689で、問い合わせに応じることにしています。 りそな銀行は「今回の事態を重く受け止め、再発防止に向けて、お客様情報の管理を再徹底してまいります」とコメントしています。
エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント
令和2年10月11日、英国を始めとする関係国による暗号化に関するインターナショナル・ステートメントが発出され、我が国もこれに参加しました。同ステートメントの概要以下のとおりです(発出時の参加国:英国、米国、オーストラリア、ニュージーランド、カナダ、インド及び日本。その後、シンガポール、ジョージア、エクアドル及びヨルダンが追加的に参加(参加表明順)。)。 ステートメント参加国は、個人情報、プライバシー、知的財産、企業秘密、サイバー・セキュリティー、報道関係者や人権擁護者の保護において中心的な役割を果たす強固な暗号化を支持。しかし、暗号化技術は性的搾取を受けた児童のように社会の脆弱性の高い人々を含む公共の安全に対し、重大な挑戦にもなると指摘。 このため、参加国はテクノロジー企業に対し、政府と協力し、合理的かつ技術的に実行可能な方法に焦点を当て、以下の行動をとるよう呼びかけ。 (1)システム設計
日本など7カ国、暗号化された通信へのバックドアをIT企業に要請
機密情報を共有する5カ国協定、いわゆる「ファイブアイズ」の参加国(米国、英国、カナダ、オーストラリア、ニュージーランド)が、日本およびインドの政府代表と連名で声明を発表した。テクノロジー企業に向けて、エンドツーエンドの暗号化された通信に法執行機関がアクセスすることを可能にする解決策の開発を要請している。 この声明は、暗号にバックドアを設けることをテクノロジー企業に同意させようとする、ファイブアイズの最新の取り組みだ。 各国の政府関係者はこれまでと同様、テクノロジー企業が製品にエンドツーエンド暗号化(E2EE)を組み込むことで犯罪捜査が困難になったと主張している。 7カ国の政府代表は、現在の主要なテクノロジープラットフォームでサポートされているE2EEの仕組みのために、法執行機関が犯罪組織を捜査できないばかりか、テクノロジープラットフォーム各社も、一般市民を守るためのサービス利用規約を守らせ
ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた - piyolog
2020年10月3日、ゆうちょ銀行は同社のデビットプリペイドカード「mijica」の専用Webサイト(mijica Web)が不正ログイン被害を受け、会員情報の一部が第三者に取得された可能性があると発表しました。また9月23日に発表されたmijicaの不正利用被害との関連についても報じられています。ここでは関連する情報をまとめます。 mijica Webが受けた不正ログイン 不正ログインの可能性のある会員数 1,422人 mijicaWebに対し大量のログイン試行が行われ*1、平常時と比較して大量のログイン失敗(100倍~800倍)が発生していた。*2 ゆうちょ銀行は不正ログイン後に会員情報の一部が参照可能で、外部へ情報が流出した可能性があると説明している。 不正ログインの可能性があるとされた会員数はログイン成功した履歴の内、画面遷移が異常に早く機械的操作が疑われるものを抽出している。 m
noteでソースコードからIPアドレスが確認できた事態に関する追加報告とお詫び|note株式会社
8月14日にご報告しました、note株式会社(以下、「当社」)が運営するメディアプラットフォームnoteにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた事態(以下、「本件」)について、note利用者のみなさま、noteのサービスに関わるみなさまに多大なるご迷惑とご心配をおかけしましたこと、改めて心よりお詫び申しあげます。 本件発生後、最優先で原因を究明し、本件への対応を実施しました。 その後、経営陣直轄の特別対策チームを編成し、1カ月半にわたり徹底した安全対策を実施。今回は、その対応および本件を受けた安全性確保のための施策と、再発防止策についてご報告いたします。 1.本件の概要と原因2020年8月14日6:14 利用者の方から「noteの記事詳細ページのソースコードからIPアドレスが確認できる」旨のお問い合わせを頂く (現象自体は2019年4月11日から発生)
ドメインコントローラーがのっとられる脆弱性 Zerologon(CVE-2020-1472)についてまとめてみた - piyolog
2020年8月に修正された脆弱性 CVE-2020-1472はドメインコントローラーが使用するNetlogon リモートプロトコルに欠陥が見つかったもので、その内容からZerologonとも呼称されています。Microsoftをはじめ、セキュリティ組織は深刻な脆弱性であることから早急な対応を行う様呼び掛けています。ここでは関連する情報をまとめます。 Zerologonって何? Windows が実装する Netlogon リモートプロトコル (MS-NRPC)に発見された脆弱性の名前。 脆弱性悪用を通じてパスワードが変更されドメイン管理者権限の取得が行われる恐れあり。 9月11日に技術情報と実証コードが公開され、9月24日には攻撃に悪用されたとMicrosoftが注意喚起。 8月12日に脆弱性に対応するセキュリティ更新プログラムが公開済。非Winデバイス互換性への考慮から2段階に分け対応が
Let's Encryptの証明書切替周りその後 | おそらくはそれさえも平凡な日々
「Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる」の続き。 色々動きがあって猶予もできて助かった形だけど、来年9月29日以降の対応をどうするか考えないといけない状況なのは当然変わっていません。先にまとめると以下。 何もせずとも来年の1月11日までは猶予が伸びた 証明書を発行する側の場合、各クライアントで --preferred-chain "DST Root CA X3" のようにオプション設定することで、来年の9/29まで先延ばしが可能 独自ドメインに対して自動でSSL証明書を発行してくれるサービスを利用している場合はサービスが声明を出していないか調べ、出してない場合は問い合わせると良いでしょう 前回以降の動き go-acme/legoに--preferred-chainオプションのpull requestを取り込んでもらいました デフォルトRoot証
高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
【ドコモ口座】4ケタパスワードの分布と傾向
ACTIVE GALACTIC @active_galactic 悪巧みをする人間は賢いな.確かに口座番号・暗証番号・氏名の組み合わせは工夫すれば手に入ってしまう.口座番号を入力すると振込先の宛名を表示してくれるサービスはあるし,語呂合わせのような使っている人が多い暗証番号で口座番号を片っ端から試していくと,一定確率で貫通するだろう.>RT 2020-09-09 20:45:35 ACTIVE GALACTIC @active_galactic リバースブルートフォースアタック:物理学科のロッカーで暗証番号を137決め打ちで片っ端から試して,貫通したロッカーから貴重品を盗む泥棒を想像した.数学科なら1729とかだろうか. 2020-09-09 20:49:28
「LINEで住民票」に国が“待った”→開発企業が国を提訴「イノベーションを阻害している」
東京都渋谷区が4月から始めた、LINEを使って住民票の写しを請求できるサービスについて、総務省が「なりすまし申請のリスクがあり、法律上問題がある」などとし、自治体に利用しないよう通知したことは不当だとして、同サービスの開発・運営しているベンチャー企業のBot Expressが9月10日、東京地裁に提訴した。 LINEで住民票の写しを請求できるサービスは、住民がLINEの渋谷区公式アカウントを通じて顔写真や身分証明書の写真、必要事項などを送信し、LINE Payで手数料を決済すると、住民票が郵送で届くサービスで、今年4月1日に初めて渋谷区が導入した。 総務省はこのサービスについて4月3日、「マイナンバーカードを使った電子署名による本人確認が行われておらず、なりすまし申請のリスクがある。住民基本台帳法にも違反する」などとした文書を自治体に配布した。自治体から同サービスについて問い合わせがあった
「ドコモ口座」不正引き出し、昨年5月にも りそな銀で同じ手口 教訓生かされず? | 毎日新聞
NTTドコモの電子マネー決済サービス「ドコモ口座」で提携する銀行口座から不正に預金が引き出された問題で、2019年5月にも同様の不正被害があったことが9日、明らかになった。ドコモはその後も本人確認を厳格化する対応をとっていなかった。今回の問題では本人確認の甘さが指摘されており、過去の教訓が生かされなかった可能性がある。 ドコモなどによると、19年5月、提携を開始したりそな銀行の口座からドコモ口座に不正な入金が確認された。何者かが預金者になりすまし、銀行の口座番号や暗証番号を使って銀行口座から預金を引き出したとみられ、今回の問題と同じ手口だった。多額の被害が出たのを受けて、ドコモとりそなは同月中に銀行口座の新規登録を停止した。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
kokumօtօ on Twitter: "ドコモロ座の件、有名セキュリティ専門家(@ockeghem とか@HiromitsuTakagi)の方々が、各々想像した各行の実態とは異なる仕様を前提に様々なコメントをしていて頭を抱える。TLP:RED含めても業界外だと金融の情報って集められないもんなんですね。"
