ソニーネットワークコミュニケーションズが「ソニーのネット ソネット 防災マニュアル」を公開。被災者の安全を確保する上で、災害発生から6~8時間は「被災者以外はインターネットにつながない」ことが重要としている。 ソニーネットワークコミュニケーションズは3月6日、大規模災害発生時におけるインターネットの正しい使い方をまとめた「ソニーのネット ソネット 防災マニュアル」を公開した。被災者の安全を確保する上で、災害発生から6~8時間は「被災者以外はインターネットにつながない」ことが重要と指摘している。 災害発生直後は安否確認や情報収集のためにデータ通信量が増加し、インターネットがつながりにくくなる。しかし、インターネットが不通に近い状態になると生命の危険に直面している人や自治体などの緊急連絡に影響を及ぼす可能性があると指摘。「生命の危険を避けられている人は可能な限り、電話やインターネットでの通信を
「グーグルの透明性に深刻な疑念が生じている」。米上院商業科学運輸委員会に所属する3人の上院議員が2019年2月25日(米国時間)、米グーグル(Google)を強く批判し、同社の姿勢を問いただす書簡を送付した。同社が2017年9月から販売するホームセキュリティー製品「Nest Secure」に、仕様書に無いマイクが搭載されていたことが判明したためだ。 Nest Secureはモーションセンサーやドアの開閉センサーなどを使用して不審者の侵入を検出し、侵入時には大きなアラームを鳴らす。同製品の中心的なデバイスは円筒形の「Nest Guard」(写真左端)で、センサーのデータを集約してアラームを鳴らしたり、クラウドと連携してユーザーのスマートフォンアプリに通知を送ったりする。 音声アシスタントの追加にユーザーが驚愕 騒動の発端は2019年2月4日(米国時間)。グーグルは、Nest Secureで音
A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission Getting Started Want to know more about supported platforms, minimum requirements, how to install, launch and use Ghidra? Getting Help Ghidra provides context-sensitive help on menu items, dialogs, buttons and tool windows. To access the help, press F1 or Help on any
先日twitterを見ていたら、こんなつぶやきを拝見して、個人的に侵入テスト申請には色々思い入れのある身であるため、ビックリした「とある診断員」です。 あれ?AWSの侵入テスト申請いらなくなりました? pic.twitter.com/Z6ULU10SMy— 三ツ矢 ◎=3 (@328__) March 1, 2019 このブログでもとりあげましたが、今までAWSはペネトレーションテストや脆弱性診断などを実施する際に、AWS側への事前の申請が必要だったのですが、今回ポリシーの変更があったらしくどうやら不要になったようです。 ということで、私も自分で確認をしてみました。 Penetration Testing - Amazon Web Services (AWS) 現在日本語版サイトは、翻訳が間に合ってないようでまだ更新されてないようですが(2019/3/5確認)、英語版の方は記載内容がガラリ
World Wide Web Consortium(W3C)とFIDO Allianceは米国時間3月4日、「Web Authentication(WebAuthn)」をログイン用の正式なウェブ標準とすることを発表した。 両団体は、プレスリリースの中で次のように述べている。「パスワードの有効性が信頼できるものではないことは広く認識されている。データ漏えいの81%が、パスワードの盗難のみならず脆弱もしくはデフォルトのパスワードの利用によって発生しており、これらは時間と資源の浪費となっている」 W3CとFIDO Allianceによれば、WebAuthnはよりシンプルで堅牢な認証プロセスを実現するブラウザおよびプラットフォームの標準だ。ユーザーは、自分の好きなデバイスや生体認証、あるいはFIDOセキュリティキーを使って、自分のオンラインアカウントにログインできる。 WebAuthnはすでに、「
Windows 10 IoTの利用範囲は、想像以上に幅広い。今回はWindows 10 IoTを自社製品に採用し、新たなソリューションを生み出しているエプソンダイレクトに話をうかがい、製品と特徴と共にWindows 10 IoTの魅力を探る。 長期サポートにより資産を長期活用 最新の専用機向けOSであるWindows 10 IoTは、PCで使うWindows 10 Home/Proとは異なり、POS(販売時点情報管理)レジスターや飲食店の注文端末、工場などの管理端末などで利用されている。最近では銀行などの受付端末に導入されるなど、Windows 10が備えるタッチ操作の需要が高まっているという。 Windows 10 IoTは資産の長期利用が可能なOSだ。例えば、Windows 10 バージョン1809(October 2018 Update)をベースにしたWindows 10 IoT E
はじめに SEOポイズニングによりユーザを偽ECサイトに誘導しようとする試みは今もなお続いています。 当ブログでは、過去にSEOポイズニングの手法の一つについてご紹介しました。 tike.hatenablog.com このような偽ECサイトに誘導することを目的としたコンテンツが、ある共用サーバ上の複数のWebサイトに集中的に配置された形跡が確認できましたので、ご紹介したいと思います。 きっかけ 調査のきっかけとなったは、以下の不正コンテンツを目にしたことでした。 ある 属性・地域型JPドメインのサイトに対して、偽ECサイトに誘導するコンテンツが設置されていました。 同種のJPドメインのWebサイトで同じような不正コンテンツが設置されているケースをいくつか見かけていたという経緯もあり、調査することにしました。 Webサイトを調査してみた 先ずは urlscan.io で見てみます。 urls
When Chinese hackers declared war on the rest of us ネットを手に入れた中国が 「世界の検閲官」になるとき 多くの人がインターネットは中国に民主主義をもたらすと考えた。だが、実際には中国は世界を検閲しようとし始めている。 by James Griffiths2019.02.27 75 37 8 0 2015年3月のある水曜日の夜遅く、サンフランシスコに本社を置くソフトウェア企業、ギットハブ(GitHub)のオフィスに警報が鳴った。シリコンバレーから始まり、いまどきのオフィスに広く受け入れられた北欧風の内装。つまり無垢の木材、固定壁を使わないオープンスペース、豊富な自然光を取り入れたのが、ギットハブのオフィスだ。ほとんどの従業員は帰宅の準備をしていたが、すでに帰った人もいたかもしれない。外を見れば太陽が沈み始めており、さわやかな晴れた日だった
NTT OSSセンタの澤田です。NTT OSSセンタでは、PostgreSQLをより便利で強力なデータベースにするために、PostgreSQLコミュニティと連携してさまざまな開発を行っています。 近年PostgreSQLの適用領域が広がってきおり、金融系システムや、個人情報を扱うシステムにも適用したいという要望が高まってきています。NTT OSSセンタでは、PCI-DSS(クレジットカードのセキュリティについて国際規約)等のよりセキュリティ要件の高い環境でもPostgreSQLを利用できるようにするために、セキュリティ機能の強化に取り組んでいます。その中でも、保存データの暗号化を行う「透過的暗号化機能」は最も注力して開発している機能の一つです。 本記事では、開発中の透過的暗号化機能の概要や特徴について解説します。 PostgreSQLの暗号化における課題PostgreSQLはPGP暗号化関
Webサイトのログインに使用するパスワードをどのように管理していますか? 私は1Passwordで管理していますが、他にもChromeのパスワードマネージャーやmacOSのキーチェーンなどを使用している人も多いと思います。 そんなパスワードマネージャーとうまく連動するログインフォームを実装するためのポイントをまとめた記事を紹介します。 don’t get clever with login forms by Brad Frost 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに ログインフォームの避けるべき例 ログインフォームの適した例 はじめに 日増しに、私はログインフォームでイライラすることに気がつきました。1Password(私が使用している)やChromeのパスワードマネージャー(これも私が使用している)のような
【悲報】韓国アプリ LINE、 位置情報サービス の利用を許可してなくても別の方法で情報を取得してマーケティングに利用してることがバレてしまう 韓国NAVERの子会社の作っている SNS アプリのLINE ですが、度々「サービス向上のための位置情報利用に関するご案内」で物議を醸しています・ω・ 今回話題にするのは 2018年11月にあったアップデートに関するものです。 LINE公式ブログでは以下の通り詳細アナウンスをしています。 サービス向上のための位置情報利用に関するご案内 : LINE公式ブログ ところが 「サービス向上のための情報利用に関するお願い」について、よくあるご質問および詳細情報 ところが、利用規約のFAQのページは去年の7月から更新されておらずLINE Beacon などについての詳細説明が全くありません。 【LINE】「LINE Beaconの利用」って何?について(20
研究者によると、パスワードが簡単に抽出されてしまいかねない問題が各ツールに見つかった。しかしそれでも、パスワード管理ツールを使った方がいいという前提は変わらない。 米セキュリティコンサルタントのIndependent Security Evaluators(ISE)は2月19日、Windows向けの主要パスワード管理ツールに関する調査結果を公表し、調査対象とした全てのツールでパスワードが簡単に抽出されてしまいかねない問題を発見したと伝えた。 ISEによると、調査対象としたのは「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」の各ツール。それぞれについて詳しく調べた結果、各ツールともメモリ管理に問題があり、たとえロック状態にあったとしても、攻撃者によってパスワードが取得されてしまう恐れがあることが分かったという。 「ロック状態」は、ユー
SNIを用いた通信のブロッキング及び、「Encrypted SNI拡張」のブロッキングについてはIETFのTLS WGでも話題となりました((TLS) SK filtering on SNI, blocking ESNI)。 Encrypted SNIはSNIを暗号化する一方で、ClientHelloにencrypted_server_name拡張をつけます。そのため、経路上の観測者はEncrypted SNIが使われていることを検知できます。 それを回避するために、ニセのSNIをつける「Fake Server Name Indication」というdraftが提出されています。 初版のdraftであり、これから議論のあるところだとは思うが、とりあえず面白そうなので読んでみる。 Fake SNI Fake SNIを利用するサービスは事前に、偽のホスト名を公表します。DNSを利用することを想
By Connor Gilbert, product manager at StackRox Last month, the Kubernetes ecosystem was shaken by the discovery of the first major security flaw in Kubernetes, the world’s most popular container orchestrator. The vulnerability – CVE-2018-1002105 – enables attackers to compromise clusters via the Kubernetes API server, allowing them run code to perform malicious activity such as installing malware,
カスペルスキー、ゲーム形式の対サイバー攻撃演習シリーズ「Kaspersky Interactive Protection Simulation」の「石油ガス版」を提供開始提供を開始する「石油ガス版」では、中流(輸送)部分に焦点を当てています。油田を持ち原油を供給する企業の送油システムを再現し、実際のサイバー犯罪集団の手口も取り入れることで、リアルなサイバーインシデントの体験と対策が学べるようになっています。 ~30を超える企業や組織、教育機関などで採用された、ゲーム形式のサイバー演習の最新シナリオ ~情報セキュリティソリューションを提供する株式会社カスペルスキー(本社:東京都千代田区、代表取締役社長:川合林太郎)は、サイバー攻撃による重要インフラへの影響をゲーム形式で体験しながらその対策を学習できる、対サイバー攻撃演習「Kaspersky Interactive Protection Si
しかし今回一般の人の目にも触れる形でSNIやHTTPSのことが報じられた結果、エンジニアも含めて明らかに技術に関して勘違いをしているのではないかと感じる発言を見ることがありました。このまま放置するのも良くないと感じているので、Q&Aという形でSNIやHTTPSに関する誤解を少しでも解ければと思います。 Q&AQ: そもそもSNIって何?以前書いた記事にも書かれているので是非読んでみてください。 簡単に説明すると、HTTPSではSSL/TLSを利用して通信が暗号化されます。なので1つのIPアドレスで複数の証明書を扱おうとした場合、最初の通信時にどの証明書を利用すればいいか分かりません。そこでSNIが必要になります。 SNIは最初の通信時に今から通信したいサーバーネーム(ドメイン名と考えてください)をサーバーに平文で渡すことで、通信したいSSL証明書を指定できます。SNIは現在の一般的なブラウ
HashCat, an open source password recovery tool, can now crack an eight-character Windows NTLM password hash in less time than it will take to watch Avengers: Endgame. In 2011 security researcher Steven Meyer demonstrated that an eight-character (53-bit) password could be brute forced in 44 days, or in 14 seconds if you use a GPU and rainbow tables – pre-computed tables for reversing hash functions
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く