IPA、「情報セキュリティ10大脅威 2024」の解説および対策のための資料公開 
HTTPSは安全なのか? - Qiita
いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか? コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ (編集履歴はqiitaの機能で見れると思います) 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え
「ウェブスキミング」全国初摘発 通販サイトでカード情報不正取得(毎日新聞) - Yahoo!ニュース
インターネット上の通販サイトに不正なプログラムを仕掛け、サイトを利用した購入客のクレジットカード情報を抜き取ったとして、京都府警が20代の男性を不正指令電磁的記録供用と割賦販売法違反の疑いで逮捕した。捜査関係者への取材で判明した。本物のサイトを悪用してカード情報を盗み取る「ウェブスキミング」と呼ばれる新たな手口で、摘発は全国初とみられる。 【図でわかる】あなたのクレカも危ない?「ウェブスキミング」とは スキミングは、特殊な機械をクレジットカードに接触させて情報を盗み取る行為。ネット上でのウェブスキミングは、商品の不正購入などに悪用される恐れがある。この通販サイトでは数件の被害が確認されており、府警は実態解明を進める。 捜査関係者によると、男性は2022年、音楽コンサートのチケットやグッズを販売する通販サイトに何らかの方法で侵入。特殊なプログラムを仕掛け、利用客数人のカード情報を不正に抜き取
RSAの終わりの始まり - 暗号移行再び - Qiita
前振り 全国の暗号を使うエンジニアの皆さんこんにちは。今日は暗号移行とRSA暗号の話をしたいと思います。まず暗号を利用している皆さんであればCRYPTRECの「電子政府推奨暗号リスト」のことはご存じですよね!(言い切るw) CRYPTRECから2022年7月(昨年夏)に暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準(PDF直リンク)が公開されました。この中では暗号のセキュリティ強度で各種暗号と鍵長が整理されています。セキュリティ強度はビットセキュリティと呼ばれるビットサイズ(共通鍵暗号の場合のビット長)で区分されます。暗号アルゴリズムが違ってもセキュリティ強度で比較ができるということですね。例えば現在一般的に良く使われているセキュリティ強度は112ビットセキュリティが多く、これにはデジタル署名であればRSA暗号の2048ビットやECDSAのP-224等が含まれます。今日は公開鍵暗
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
Hiromitsu Takagi on Twitter: "みんな絶対言わないだろから、私が言うしかない。 これはうっかり筆が滑ったというレベルではなく、電子署名の根幹から理解がおかしいことを露呈したもので、このレベルでの無理解は、全体設計への深刻な勘違いを産むし、己の無理解に無自覚であ… https://t.co/FhTeLclir6"
みんな絶対言わないだろから、私が言うしかない。 これはうっかり筆が滑ったというレベルではなく、電子署名の根幹から理解がおかしいことを露呈したもので、このレベルでの無理解は、全体設計への深刻な勘違いを産むし、己の無理解に無自覚であ… https://t.co/FhTeLclir6
Introducing Content Security Policy - MDC Doc Center
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
金融機関に資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応の要請について
悪意のある第三者が不正に入手した預金者の口座情報等をもとに当該預金者の名義で資金移動業者のアカウントを開設し、銀行口座と連携した上で、銀行口座から資金移動業者のアカウントへ資金をチャージすることで不正な出金を行う事象が複数発生しています。 これを踏まえ、金融庁においては、預金取扱金融機関に別紙1の注意喚起及び別紙2の要請、並びに資金移動業者に別紙3の要請を実施しましたので、公表いたします。 また、9月14日(月)、全国銀行協会において、傘下金融機関に対し、以下の(参考)の要請をしております。 (別紙1)スマホ決済等サービスを利用した不正出金に関する注意喚起(9月8日) (別紙2)預金取扱金融機関向け要請文(9月15日) (別紙3)資金移動業者向け要請文(9月15日) (参考)資金移動業者の決済サービス等での不正出金への対応について (一般社団法人 全国銀行協会 令和2年9月14日公表) 利
高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた - piyolog
2019年7月31日、本田技研工業の従業員のメールアドレスや内部ネットワーク、PCに関連するElasticsearchデータベースが露出していたとして、対応の顛末が発見者により公開されました。この問題は本田のセキュリティチームに伝えられ、問題は解消されているとのことです。ここでは関連する情報をまとめます。 問題の発見者 Justin氏の報告 Honda Motor Company leaks database with 134 million rows of employee computer data https://t.co/IN9IESN0Ae— Justin (@xxdesmus) 2019年7月31日 Justin氏はクラウドフレア社 Trust & Safety担当のディレクター。 何が問題であったか 本田技研工業の従業員の名前やメールアドレス、連絡先の情報、同社内部の端末やネ
アプリで「ログインしっぱなし」はどのように実現されているか? - Qiita
このツイートを見て、「アプリで再ログインを頻繁要求されるってユーザビリティ良くないな。」と思ったのですが、普段裏側の仕組みは意識していなかったりテックリードの方に任せきりだったりしていたので、これを機に調べてみました。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月8日 この記事は「アプリでログインしっぱなしは、どのように実現されるの?」という疑問と調べた結果を共有するために書いていきます。 間違いや「もっとこんな仕組みが使われてるよ!」等のツッコミがあれば、どしどし貰えると助かります! 疑問1. アクセストークンという仕組みとは? 「なぜアクセストークンという概念が必要なのか?」 モバイルアプリでユーザー認証をし
コインチェック流出、北朝鮮だった 安保理|日テレNEWS NNN
国連安全保障理事会の専門家パネルは11日、報告書を公表し、北朝鮮が仮想通貨交換業者にサイバー攻撃をするなどして、外貨を獲得している実態を明らかにした。 北朝鮮に対する制裁の実効性を調査している専門家パネルが公表した報告書では、北朝鮮がサイバー攻撃を行って仮想通貨交換業者から約5億7100万ドル、日本円で630億円あまりを盗み出したと指摘した。 また、盗んだ額のほとんどが、去年、巨額流出が問題となった日本の「コインチェック」からだったとしている。 また、中国漁船15隻以上が北朝鮮の漁業免許を掲げて操業していたという調査結果を写真付きで公表し、北朝鮮が外貨を獲得するために、漁業権を売り渡している実態も明らかにした。 さらに、メルセデス・ベンツやロールスロイスなど、輸入が禁止されている高級車を利用しているとして、制裁逃れを続けていると指摘している。
安全なWebアプリケーションの作り方2018 - slideshare
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
「うんこボタン」全品交換の理由 - ITmedia NEWS
ソフトウェア開発会社の144Labは11月26日、同社が販売しているIoTデバイス「うんこボタン」の不具合について発表した。赤ちゃんの排泄をボタンを押すだけでクラウドに記録する「うんこボタン」は、これまで販売した全品が通信の不具合により動作しなくなったため、同社が回収し交換する。 不具合の原因は「2018年11月24日のうんこボタンサーバの通信環境アップデートにおけるミス」と同社は説明。後進復帰も不可能であるためボタンデバイス側のファームウェアを直接更新する必要があるという。 うんこボタンは、2つの押しボタンで赤ちゃんがうんこ、おしっこをしたタイミングをクラウドに記録。スマートフォンで使えるWebアプリとの連動により、固いか柔らかいかといった細かい情報を後で追加することもでき、それらの情報をLINEグループにより家族などと共有できる。2017年にMakuakeでクラウドファンディングし人気
IPA 独立行政法人 情報処理推進機構
IPAの“今”がわかる広報誌IPA NEWSは、IPAの活動状況や注力事業などをわかりやすくご紹介する広報誌。セキュリティ対策情報やDX推進に役立つ情報などをまとめてお届けしています。最新号の公開をメールでお届けするサービスをご利用いただけます。 サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサービス利用料は、IT導入補助金で支援が受けられます。 マナビDX「マナビDX」は、デジタルスキルを身につける講座を紹介するポータルサイトです。 はじめての方でもデジタルスキルを学ぶことのできる学習コンテンツを紹介します。 また、掲載している講座の中には、受講費用等の補助が受けられる講座もあります。
「Apache Struts 2」に重大な脆弱性、直ちに更新を
「Apache Struts 2」に重大な脆弱性、直ちに更新を:Strutsを使う全てのアプリケーションに影響 「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」とセキュリティ企業は指摘している。 JavaでWebアプリケーションを開発するためのオープンソースフレームワーク「Apache Struts 2」に深刻な脆弱性が発見され、Apache Software Foundationが更新版を公開して対処した。Strutsの脆弱性は過去に重大な事案を引き起こしたこともあり、直ちに対応する必要がある。 Apache Software Foundationのセキュリティ情報によると、リモートでコードを実行される恐れのある脆弱性が、「Struts 2.3.34」と「Struts 2.5.16」で確認された。危険度は最も高い「C
キーボードに残された体温でパスワードを推測する攻撃手法--スパイ映画さながら
セキュリティ企業のESETは、キーボード入力されたパスワードの情報を、各キーに残る体温から推測する攻撃手法「Thermanator」を紹介した。 この攻撃方法は、カリフォルニア大学アーバイン校(UCI)が可能性を実証して論文で示したもの。入力を終えてからも、キーボードに残された熱で入力内容を推測するヒントが得られるという。 PC用のキーボードだけでなく、指で触れて操作するデバイスは、触れた位置が後から読み取られてしまう。パスワード以外にも、短い入力内容なら、どのような情報でも推測可能である。 研究チームは、一般的に使われる4種類のPC用キーボードを用意し、30人の被験者に10種類のパスワードを入力してもらった。そして、熱探知カメラで入力後のキーボードをとらえて各キーの温度を計測。その温度データを別の被験者8人に見せたところ、かなり高い確率で押されたキーを当てたそうだ。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ネットワークハッキング入門 - ニート向けソフトウェアエンジニアリング塾
IPA「情報セキュリティ白書2019」PDF版の無料公開開始! AIやIoTなどをテーマに解説 
