この記事を開いたということは、おそらく「キャプティブポータル (Captive Portal)」についてある程度はご存じのことと思います。無線LANを使おうとすると、ぱかっとブラウザやポップアップを開いて、利用規約を表示したりログインを要求してくる、うざったいアレです。 煩わしい手動ログイン操作を無くして、自動接続で快適な無線LANを実現したいなら、WPA2 Enterpriseなり、その拡張のPasspointなりを導入すればよいです。セキュリティも高まるし、良いことだらけです……と言いたいところですが、実は欠点もあります。少なくとも現時点では (意味深)。セキュアな公衆無線LANが普及すれば、キャプティブポータルの技術がまったく不要になるかというと、そうでもなさそうです。この話は別の機会に譲るとして、今回はキャプティブポータルの仕組みと変遷についてまとめてみます。 macOSのCapt
CVSS v4.0では、従来のバージョンよりも細かい基本メトリクスが提供されており、スコアリングの曖昧さの低減や脅威メトリクスの簡素化、環境固有のセキュリティ要件や補完的なセキュリティ要件の評価効果が向上している。 脆弱性評価を補足するため「Automatable」(ワーム化可能)「Recovery」(回復力)「Value Density」(価値密度)「Vulnerability Response Effort」(脆弱性対応努力)「Provider Urgency」(提供者の緊急度)など幾つかのメトリクスが追加されている。 また、CVSS v4.0における機能拡張の重要なポイントとしてOT/ICS、IoTへの適用性を高めたことなども注目される。昨今、OT/ICS、IoTはサイバー攻撃者にとって格好の標的となっており、その深刻度を適切に評価する指針が必要になっていた。 その他、CVSSは単な
【Zscaler】ZCCってなんだ?!概要・設定編【Zscaler Client Connector】 みなさん、こんにちは! Zscalerには全てのプロダクトの中心となる ZCC:Zscaler Client Connectorと呼ばれるクライアントがあります。端末にインストールすることでインターネットやアプリケーションに安全にアクセスできるとても便利な優れものです。今回は概要と設定の方法をご紹介します。 ■押さえるべき3つのポイント ZCCを知るために押さえるべきポイントが3つあります。ZCCの概要、メリットをざっくりと理解できるポイントとしてご紹介します。 端末にインストールするクライアント ZIA, ZPA, ZDX共通 手軽かつ安全 端末にインストールするクライアント ZCCは、Zscalerの各プロダクトをご利用いただくにあたり端末にインストールするクライアントです。インスト
2023年5月23日、Barracudaは同社のEメールゲートウェイ「Barracuda Email Security Gateway(ESG)」のゼロデイ脆弱性(CVE-2023-2868)が2022年10月の時点で悪用されており、その調査のためにMandiantに支援を依頼したことを発表しました。Mandiantは調査を通じて、中国との関連が疑われる攻撃者を特定しました。この攻撃者は、現在UNC4841として追跡されており、世界中のさまざまな地域および業界にまたがるスパイ活動の初期侵入経路としてBarracuda ESGアプライアンスのサブセットをターゲットにしています。Mandiantは、中華人民共和国を支援するこの広範な攻撃キャンペーン活動の背後にいるのはUNC4841であると、高い確信を持って評価しています。 UNC4841は、早ければ2022年10月10日から、CVE-2023
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
コンビニの証明書交付サービスで別人の住民票が発行されるトラブルが横浜市で発生した問題について、サービスの提供ベンダーが富士通Japanであることが日経クロステックの取材で2023年3月29日までに分かった。同社が手掛ける証明書交付サービスへのアクセスが集中し負荷が高くなったことで、「プログラム的な瑕疵(かし)が表面化した」(広報)という。 富士通Japanは日経クロステックの取材に対し、システムに不具合があったことを認めた。負荷が高くなると別人の住民票が発行される事象の詳細については「回答を控える」(広報)とした。 同トラブルは2023年3月27日午前、横浜市に住民から寄せられた連絡で発覚した。住民がコンビニでマイナンバーカードを使って住民票を取得したところ、別人の氏名や住所が記載された住民票が交付されたという。横浜市は同日午後2時にコンビニでの証明書交付サービスを停止し、誤って交付された
主にWebアプリケーションスキャナを開発している寺田です。 本日はJavaのWebアプリケーションにおけるセッションのレースコンディションについて書きます。StrutsやSpringのセッションスコープのフォームを使用しているアプリケーションに影響しうる問題ですので、該当する方は参照ください。 要約 Java Servletのセッションは、同じセッションIDのリクエストを複数同時に処理する際にレースコンディション問題を起こしうる仕組みになっている。 Struts1/2, Springのセッションスコープのフォームを使っていると、レースコンディションによりフレームワークやアプリケーションによるチェックをバイパスされるおそれがある。 Synchronizedブロックによるロック等の回避策がある。 Java Servletのセッションが持つ特性 Java Servletのセッションは、他の処理系
パソコンを人に譲ったり、売ったり、廃棄したりする場合、 しっかりと対策をとっておかないと、HDDから重要な情報が盗まれる可能性がある。 HDDにはクレジットカード番号、各種アカウントの情報、パスワードなど、 流出すると大きな損害につながりかねない情報やプライバシー情報など様々な秘匿情報が格納されているはずだ。 そのため、完全消去を行うことは必須と言って良いだろう。 ここでは、多少技術的な知識は必要ではあるが、 無料で入手可能なLinuxを利用して完全消去を行う方法について説明する。 ただし、完全といいつつ、実質は『十分に解析困難な状態にする』でしか無いことを断っておく。 なお、HDDからのデータ漏洩対策はもちろんこれ以外に様々な方法はあるが、 一見ちゃんとした対策を行っているつもりで、実際は対して意味のないことという物がある。 それについては別ページにまとめたので参考にしてほしい。 ファイ
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 2022年10月末、多くのシステムで利用されるオープンソースソフトウェア(以下、OSS)「OpenSSL」に大きな動きがありました。OpenSSLプロジェクトは同年11月1日に“緊急”レベルの脆弱(ぜいじゃく)性対応を含むバージョンアップを予告したのです。この時点で詳細は明らかにされていなかったものの、予告するほどの脆弱性対応が含まれることから“準備を万全に整えてほしい”という意図がうかがえました。 そして予告通り、2022年11月1日には「CVE-2022-3602」と「CVE-2022-3786」に対応したバージョンであるOpenSSL 3.0.
Ars Technicaは10月25日(米国時間)、「Passkeys—Microsoft, Apple, and Google’s password killer—are finally here|Ars Technica」において、安全で使いやすいパスワードの代用品がついに登場したと伝えた。Microsoft、Apple、Googleの「パスキー(Passkeys)」の登場によって、パスワードの代替手段を手に入れることが可能になったという。 パスワードに変わる新たな選択肢として、パスキーが具現化した。もともと認証情報をハードウェアに保存するためのさまざまなスキームのことをパスキーと呼び、コンセプトは10年以上前から存在していた。パスキーは、パスワードよりも使いやすく、クレデンシャルフィッシングやクレデンシャルスタッフィング、アカウント乗っ取り攻撃にも完全な耐性があるといわれている。 F
パソコン処分時に!フリーソフトwipe-outで万全にデータ消去する方法 2016/1/28 2018/4/16 ハードウェア 前回比較したデータ消去フリーソフトの中からwipe-outをピックアップして、実際にデータ消去してみます。 前回の記事はこちら ↓↓↓ 安全なパソコン処分に必須!データ消去フリーソフトを比較 もし、この記事を読んでみて、面倒そうだなと思ったなら、パソコン処分業者に頼むのもよいと思います。 全国に回収対応していて、パソコンのデータ消去証明書も発行してくれる業者をこちらで紹介しています。 ↓↓↓ あなたに最適なパソコン買い換え時の古いパソコンの処分方法: 追記 wipe-outは、他のデータ消去ソフトに比べると消去方式の種類が少ないのですが、 JEITA(一般社団法人 電子情報技術産業協会)推奨の方式でデータ消去することが可能です。 詳しくは、前回書きましたが、パソコ
Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / ハードディスク消去ツール / ダウンロード / Q&A (最終更新: 2023-09-10) ご利用マニュアル / マニュアル本 2004年版 / 2011年版 / 2016年版 #はじめに | #こんなことできます | #カンタン操作 | #ダウンロード | #おことわり | #関連リンク 初版: 2002-03-13 改訂その2: 2004-06-23 最終更新日: 2021-08-08 ChatGPTによる紹介 | Q&A | バグ情報 | ダウンロード | New! ★名前入れサービス★ CD-ROMやUSBメモリ、ネットワークやフロッピーからブートすれば、 カンタン操作できれいにデータを消去。 ハードディスク消去ツール「wipe-out」 − 超消わいぷたん →ダウンロー
「Darik's Boot and Nuke」は、ハードディスクのデータを完全消去するためのソフトです。 名前が長いので、通称「DBAN」です。※以下、「DBAN」で統一。 二度と復元できないように、データを上書きして消去してしまいます。 フリーソフトです。 「DBAN」は、ハードディスク内の対象領域をランダムなデータ等で複数回埋めつくし、 最後に消去できたかどうかを検証して終了します。 具体的には、米国国防総省準拠方式や、Gutmann方式など、 市販のソフトでも用いられている方法でデータを消去します。 単純に「0」を上書きするだけのソフトではありません。※ゼロフィルも可能です。 ハードディスクのデータを一掃するソフトなので、 CD等、ハードディスク以外から起動して使用します。 どーでもいーはなし よく聞かれるのは、「Windows上からハードディスクデータを完全消去するソフトはありませ
eSecurity Planetはこのほど、「How You Get Malware: 8 Ways Malware Creeps Onto Your Device」が、マルウェアに使用されている8つの典型的な侵入方法を紹介した。 サイバー犯罪者は、機密データや金銭の窃取、ハードウェアやファイルの破壊、ネットワークやデータベースの乗っ取りなど行うためにマルウェアを使用している。 How You Get Malware: 8 Ways Malware Creeps Onto Your Device eSecurity Planetが紹介している主な8つのマルウェア侵入経路は次のとおり。 マルバタイジング スピアフィッシング Google Chromeの拡張機能やWordPressのプラグインなどに隠れたトロイの木馬のダウンロード PDFおよびWord、PowerPointなどのMicroso
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く