IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に 
見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法
Googleは独自のルールに従って検索結果の表示順位を決めていますが、Googleの広告枠を購入すれば任意のウェブサイトを検索結果の最上部に表示することができます。この広告枠を悪用して人気画像処理ソフト「GIMP」の公式サイトになりすました偽サイトが検索結果の最上部に表示されてしまう事態が発生しました。偽サイトはドメインの見た目までソックリで、インターネットに慣れている人でも見分けることは困難となっています。 Dangerous Google Ad Disguising Itself as www.gimp.org : GIMP https://www.reddit.com/r/GIMP/comments/ygbr4o/dangerous_google_ad_disguising_itself_as/ Dangerous Google Ad Disguising Itself as www
提供終了したアクセス解析ツールのドメインが他者の手に 不審なスクリプトが設置されている可能性も
NTTグループのNTTコム オンライン・マーケティング・ソリューションは5月18日、2020年7月に提供終了した同社のアクセス解析ツール「Visionalist」で使っていたドメインが何者かに取得されたと発表した。情報セキュリティ上問題のあるスクリプトが設置されている可能性があるとしている。 問題のドメインは「tracer.jp」。以前はVisionalistのログ収集システムを置いていたが20年のサービス終了に伴いドメインを廃止していた。ユーザーがWebサイトに設置したアクセス解析用のスクリプトを放置していると、意図せず悪意のある処理が実行される恐れがある。 同社はサービス終了時、ユーザー向けにアクセス解析用スクリプトを削除するよう呼び掛けていたが、今回の件を受けリスク回避のため改めて注意喚起した。 関連記事 ドメイン名の乗っ取りを防ぐサービス ムームードメインで提供開始 GMOペパボは
楽天とPayPayがつまずいたセールスフォース製品の「設定不備」、被害は氷山の一角か
15万社以上が使い、「世界No.1 CRM(顧客情報管理)」をうたうセールスフォース・ドットコム。同社が提供するクラウドサービスを使う企業で、本来アクセスできないはずの情報を第三者が閲覧できてしまう問題が明らかになった。この問題に気づいていない企業もあるとみられ、情報漏洩のリスクが高まっている。 「自宅の壁にいきなりマジックミラーを取り付けられたようなものだ」。セールスフォースのクラウドを使うネット企業のセキュリティー担当者はこう憤る。 情報セキュリティーに詳しい国際大学グローバル・コミュニケーション・センター(GLOCOM)の楠正憲客員研究員は「今はアンテナが高い企業で被害が判明している段階。金融以外の業種では被害をまだ十分に洗い出せていないのではないか」と指摘する。セールスフォースのクラウドに何が起きたのか。 楽天やPayPayが被害公表 今回の不正アクセス問題が広く知られるようになっ
hontoにあった怖い話 「サービス誤登録削除を依頼したら当方のメアド変更を提案される」の巻
hontoにあった怖い話 「サービス誤登録削除を依頼したら当方のメアド変更を提案される」の巻:CloseBox(1/2 ページ) 自分のメールボックスに宛先を間違えたメッセージが大量に届くが、それを防ぐ術がない。今回はそんなお話です。 Gmailなどの一般的なメールサービスをかなり初期から使っているユーザーは多く経験していることだと思うのだが、スパムが多い。ただのスパムならばスパムフィルターで防げるのだが、やっかいなのが、他人が自分のメールアドレスを誤って登録し、その登録サービスから大量のメルマガやお知らせが届く場合だ。その対策はサービスによって異なり、多くの場合、メールクライアント側でスパムとしてはじく処理をしても効果がない。今回はその1つの例について語りたい。 筆者がGmailで使っているのは自分の名前に由来する短いメールアドレスだ。iCloudやHotmailなどのアカウントも持って
「全世界に存在する3分の1のAndroidデバイスで一部ウェブサイトが閲覧できなくなる」とLet’s Encryptが警告
無料でウェブサーバー向けのSSL/TLS証明書を発行している認証局Let's Encryptが、「全世界に存在するAndroidデバイスの3分の1で、Let's Encryptの証明書が使えなくなる」と警告しました。 Standing on Our Own Two Feet - Let's Encrypt - Free SSL/TLS Certificates https://letsencrypt.org/2020/11/06/own-two-feet.html Let's Encrypt warns about a third of Android devices will from next year stumble over sites that use its certs • The Register https://www.theregister.com/2020/11/06/
2021年にLet’s Encryptのルート証明書が変更!影響や備えておくべきこととは? | さくらのSSL
Let’s Encryptのルート証明書とは? Let's Encryptを運営している非営利団体のISRG(Internet Security Research Group)は2014年に設立された新しい認証局です。もちろん、当時は設立されたばかりなのでISRGのルート証明書は様々な端末にインストールされていませんでした。そのため、別の認証局であるIden Trustが2000年に発行した「DST Root X3」というルート証明書を利用し、クロス署名された中間CA証明書を現在も利用しています。 この間(2014年~現在まで)ISRGは何をしていたかというと、各OS(Windows、Mac、Android等)やMozilla(Firefoxブラウザの開発元)に対して、自社のルート証明書である「ISRG Root X1」をインストールしてもらうようにお願いをして、徐々にインストール済み端末
リツイートしただけで著作者人格権を侵害し得るという判決が最高裁で確定(栗原潔) - エキスパート - Yahoo!ニュース
「写真の無断投稿、リツイートだけでも権利侵害 最高裁」といニュースがありました。 ちょっとややこしい案件ですが、かいつまんで言うと、写真を含むツイートをリツイートするとツイッターの仕様(CSSの設定)により写真がトリミングされてサムネールとして表示されますが、それによってリツイート者は写真の著作者の著作者人格権(同一性保持権と氏名表示権)を侵害し得るという判決が最高裁で確定したということになります。 この件の知財高裁の判決について、2018年10月に解説記事を書いています。この判決に不服であったツイッター社が最高裁に上告したが、今回、上告棄却されたということになります。 最高裁の判決文はこちらです。 最初に押さえておきたい重要ポイントは以下の2点です。 1)この判決は、写真の著作権者である写真家がツイッター・ユーザーを訴えた著作権侵害訴訟ではありません。リツイート者の情報を開示せよと、写真
Let's Encrypt、証明書の発行数が10億件に到達
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2020-02-28 12:08 ウェブサイトの多くが、Transport Layer Security(TLS)によって暗号化されていなかったのはそれほど昔のことではないかもしれない。そうしたサイトは、アドレスがHTTPSではなくHTTPで始まっているため、すぐに特定できた。Let's Encryptによると、世界のウェブページの81%が現在HTTPSを使用しており、米国内であればサイトの91%が保護されている。安全に閲覧できるウェブサイトが大きく増加しており、これにはInternet Security Research Group(ISRG)と、そのLet's Encryptプロジェクトも寄与しているだろう。Let's Encryptは米国時間2月27日、証明書の発行数
対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃
フジ・メディア・ホールディングス子会社で通販大手ディノス・セシールが新たな手法によるサイバー攻撃の被害に遭った。同社は2018年6月2日にWebサイト「セシールオンラインショップ」が不正アクセスを受け、4日後の6月6日に顧客情報が流出した可能性があったと公表した。 手口は「リスト攻撃(リスト型アカウントハッキング)」の一種だ。リスト攻撃とは、サイバー攻撃や闇取引など何らかの手段で入手した、攻撃対象のWebサイトのユーザーIDとパスワードの一覧(リスト、パスワードリストとも)を使って、機械的にログイン試行を繰り返し、不正ログインを試みるものだ。ログインできたら個人情報を盗んだり、ポイントを金品に換えたりする。 今回、ディノス・セシールを襲ったのは、より巧妙さを増した「新型リスト攻撃」と言えるものだった。結果的に不正ログインが成功したのは490人にとどまったものの、セキュリティ関係者には波紋が
Google Chrome、HTTPページに対する警告を強化
Chrome 62からは、HTTPページのフォームにユーザーがデータを入力した場合、およびシークレットモードでHTTPページにアクセスした場合、アドレスバーに警告が表示される。 米Googleが、2017年10月にリリース予定のWebブラウザ安定版「Chrome 62」について、通信が暗号化されないHTTP接続を使ったWebサイトに対する警告を、さらに強化すると発表した。 ChromeではHTTPを使ったサイトを安全ではないサイトと見なす措置を段階的に導入している。1月にリリースされた「Chrome 56」からは、パスワードやクレジットカード番号を入力させるWebページにHTTP接続が使われている場合、アドレスバーのURLの前に「保護されていません」という警告が表示されるようになった。 この変更を行って以来、パスワードやクレジットカード番号の入力フォームがあるデスクトップ向けHTTPページ
この人に聞きたい! 辻伸弘のセキュリティサイドライト (2) 知る人ぞ知るセキュリティブログ「piyolog」運営者に迫る! | マイナビニュース
標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。 マイナビニュースでは、 "セキュリティ三銃士" のソフトバンク・テクノロジーの辻 伸弘氏にコラム「 セキュリティのトビラ 」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の"プロフェッショナル"なセキュリティ人材がまだまだ埋もれているとのこと。 そこで、辻氏に"サイドライト(側光)を当てるべき人物"と対談していただき、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうというのが、この連載の狙いです。第2回は、セキュリティ情報ブログ「 piyolog 」を運営するpiyokango氏との対談です。個人としてブログを運営している piyokango氏 に迫ります。 辻 伸弘 (Tsuji Nobuhiro) - ソフトバンク
不屈のトップガンの情報収集シーンを凝視してみた - piyolog
NHK プロフェッショナル 仕事の流儀。昨晩は国内トップのサイバーセキュリティ技術者として名和さんを追った内容でした。 第277回 2015年9月14日放送 不屈の“トップガン”、サイバー攻撃に挑む サイバーセキュリティー技術者・名和利男 多くの情報はモザイクがかかっていたのですが、名和さんが情報収集するシーンが一部紹介されていました。名和さんがどのように集めているのか興味があり、部分的ではありますが凝視した結果をメモします。 タクシーでの情報収集 番組開始11分ぐらいでタクシーの車内でスマートフォンを見ながらセキュリティ記事を読み込むシーンが放送されています。RSSリーダー「feedly」のAndroidアプリを使って記事を読み込まれているようです。キャッチアップをするために1日あたり少なくとも500記事の読み込みを行っているそうですが、主だって読んでいるのは記事の見出しだけなのか、それ
『証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」』は何に使え、何に使えないのか - いろいろやってみるにっき
やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ - TechCrunchだが、ブコメ欄で「フィッシングサイトが見分けられなくなる」と勘違いしている向きがあるようなので、ちょっと書いておく。 このLet's Encryptだが、Let’s Encrypt: Delivering SSL/TLS Everywhereに説明が書かれている。そもそも上のTechCrunchの記事ではLet's Encryptがどういうものか分からない。この記事では何ができて何ができないかを書いていないし。 TechCrunchの記事はオレが見た時点(2014/11/20 5:00)ですごいブクマ数(792ユーザ)なんだけど、本体の説明のブクマ数は4ユーザ、オレがブックマークしたので5ユーザである。ちょっと調べてからコメントすればいいのに。 下記のほう
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
初心者Webアプリケーション開発者がチェックすべき情報源2014 - ハニーポッターの部屋
毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。 去年は手を広げすぎてかえって反応が悪かったので、最低限のものに絞ってみた。 上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。 必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。 書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリティ」と「実践 Fiddler」を掲載。 「HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書」を追加。 ■重点 ★Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html LASDECなどで公開されていたウェブ健康診断仕様が別冊に加わ
TechCrunch | Startup and Technology News
Byju’s is cutting 500 to 1,000 more jobs at the firm, this time eliminating several non-sales roles as well, as the Indian edtech giant pushes to improve its finances, according to a person fami While platforms like Reddit and Twitter are changing rules and making life difficult for developers of third-party clients, the ecosystem of Mastodon apps is still growing. Today, indie developer Jake
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Mozilla、情報漏洩の被害に遭ってないかをチェックする“Firefox Monitor”をリリース - 窓の杜
Webブラウザーの動作を妨げる迷惑ソフトを一掃してくれるGoogle製のクリーナーツール - 窓の杜
