タグ

セキュリティに関するJULYのブックマーク (1,846)

  • 「tenki.jp、またつながらない」DDoS攻撃で不安定に 今年4度目

    今回の攻撃の影響は、15日の午前7時51分ごろから発生。16日現在も影響が続いている。 「tenki.jp」は、1月5日と9日朝、9日夜~10日早朝にかけてもDDoS攻撃を受け、利用しづらくなっていた。 関連記事 「tenki.jp」にまたDDoS攻撃、Web版で障害 日気象協会はアプリや公式Xの利用を呼びかけ 日気象協会は、天気予報メディア「tenki.jp」Web版にアクセスしづらくなっていると発表した。 「tenki.jp」Web版がつながりにくい状態に 復旧めど立たず またもサイバー攻撃【復旧済み】 日気象協会は1月9日、同日午前7時ごろから、同社の天気予報メディア「tenki.jp」のWeb版にアクセスしづらい状況になっていると発表した。 関連リンク 【お詫び】天気予報専門メディア「tenki.jp」がご利用しづらい事象について

    「tenki.jp、またつながらない」DDoS攻撃で不安定に 今年4度目
    JULY
    JULY 2025/01/16
    ずいぶん、しつこいなぁ。DDoS 仕掛けてそれほど大きなインパクトがあるサイトでも無いし。ライバル会社の社員がやってる、みたいな小並なケースしか思いつかない。
  • GoogleのOAuth認証の欠陥を利用して他人になりすます方法をセキュリティ企業が解説

    セキュリティ企業のTruffle Securityが、GoogleのOAuth認証に見つかった欠陥について報告しています。この欠陥は、倒産したスタートアップのドメインを購入した第三者が、そのドメインを使って以前の従業員のアカウントに不正アクセスできてしまうというものです。 Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co. https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw Truffle Securityは発見した欠陥を検証するため、実際に倒産企業の1つのドメインを購入し、ChatGPTSlackNotion、Zoom、人事システムなど、その企業が使用していた様々なSaaS

    GoogleのOAuth認証の欠陥を利用して他人になりすます方法をセキュリティ企業が解説
    JULY
    JULY 2025/01/16
    Hacker News のコメントの通り、これを「欠陥」と言うのはちょっと適切じゃないと思う。逆に、Google がどんな対策をするのか興味がある。
  • 省庁のドメイン管理不備でガイドライン見直し検討 デジタル相 | NHK

    総務省など複数の中央省庁のウェブサイトでセキュリティー上の不備があり第三者が不正に利用できる状態になっていた問題で、平デジタル大臣は再発防止に向けて、ガイドラインの見直しを検討する考えを示しました。 総務省や国土交通省などの一部のウェブサイトでは、「go.jp」というドメインの管理に不備があり、一時、第三者が不正に利用できる状態になっていたことが明らかになりました。 これについて平デジタル大臣は閣議のあとの記者会見で「不適切な状況だと認識しており、全府省庁に対し、必要な対策が取られているのか、速やかな状況確認と対策の実施を要請した」と述べました。 そのうえで、「ドメインの廃止にあたっては、各府省庁が必要な対策を講じるようにガイドラインで定めている。再発防止の観点から、具体的な対策を明記すべく改訂の検討を進めたい」と述べ、ガイドラインの見直しを検討する考えを示しました。

    省庁のドメイン管理不備でガイドライン見直し検討 デジタル相 | NHK
    JULY
    JULY 2025/01/14
    省庁だけじゃなく、仕事を受けるベンダーも、ドメインをたたむことに関心なさそうだしなぁ。肌感として、DNS に苦手意識を持つエンジニアが多くて、この状況に拍車をかけていそうな気がする。
  • “中央省庁の一部サイト 不正利用のおそれ” 指摘受け修正 | NHK

    総務省など中央省庁の一部のウェブサイトについて、セキュリティー対策が不十分で、第三者に不正利用されるおそれがあると、外部から指摘をうけて、省庁側が修正したことが分かりました。ドメインの管理に問題があったということで、専門家は「対策を徹底する必要がある」と指摘しています。 記事後半では「ドメイン」とは何なのか、今回、どんな危険性があったのか【Q&A形式で】お伝えしています。 関係者によりますと、霞ヶ関の中央省庁のうち、総務省などの一部のウェブサイトについて、セキュリティー対策が不十分で、第三者が不正利用できる状態になっていると、先月、外部から指摘があったということです。

    “中央省庁の一部サイト 不正利用のおそれ” 指摘受け修正 | NHK
    JULY
    JULY 2025/01/10
    てっきり汎用ドメインで取得したドメイン名がドロップキャッチされた話かと思ったら、単にサイトが乗っ取られた話だった。そのサイトが go.jp だったからドメインの信頼性が、という話。
  • “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る

    “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る:ITmedia Security Week 2024 秋 2024年11月26日、アイティメディア主催のオンラインセミナー「ITmedia Security Week 2024 秋」の「ゼロトラストセキュリティ」ゾーンで、京姫鉄道 代表社員CEOの井二かける氏が『ゼロトラストで万事解決?「信頼性ゼロ」にならないために』と題して講演した。

    “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
    JULY
    JULY 2025/01/08
    いや、もう、CASE1 のスライドだけで、実際にこの程度の認識で「ゼロトラスト」を進める人、多そう。
  • ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)

    サマリ ISO-2022-JPという文字エンコーディングの自動判定を悪用したクロスサイト・スクリプティング(XSS)攻撃について説明する。これは、文字エンコーディングを適切に指定していないウェブコンテンツに対して、文字エンコーディングをISO-2022-JPと誤認させることでバックスラッシュが円記号と解釈されることによりエスケープ処理を回避する攻撃である。稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない。 はじめに クロスサイト・スクリプティング対策として、記号文字のエスケープ処理に加えて、コンテンツの文字エンコーディングをレスポンスヘッダやmetaタグで明示しましょうと言われてきました(参照)。その背景として、UTF-7という文字エンコーディングを悪用したXSSの存在がありました。この攻撃については以下

    ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)
  • TP-Link、一部報道を受け声明。セキュリティに継続的に取り組んでおり、原価割れで販売することはない 

    TP-Link、一部報道を受け声明。セキュリティに継続的に取り組んでおり、原価割れで販売することはない 
    JULY
    JULY 2024/12/25
    仮に、今は十分に安全な機器を供給できる体制が整っていたとしても、実際、TP-Link の脆弱性は「またか」と思うのに十分なぐらいあったから、それを払拭するには信頼を積み重ねる時間が必要。
  • パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife

    ritouです。 最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきました。 ”もちろんパスキーでも詰んでしまうことはあり得るのですが” そこだよな ”パスキーでも詰んでしまうことはあり得る“話にならん、何言ってんだ?リカバリ方法のないそんなもん使おうと思う訳あらへん。 別件ではパスワード認証が詰まないと書かれているのも見かけましたので、一回整理しておきましょう。 「どんな認証方式でも、詰む」 パスワード、メールやSMS OTP、メールで送られるマジックリンク、認証用アプリ、TOTP、生体認証、パスキー...全ての認証方式で「詰む」状況というのはあり得ます。 知識情報 : 忘れる 所持情報 : デバイスや環境をなくす、一時的に利用できない 生体情報 : 関連する器官の欠損、怪我など もちろん、その頻度や条件が異なります。 FIDO認証からパスキーに変わった部分

    パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife
    JULY
    JULY 2024/12/20
    パスキーって「鍵」というメタファーがあるのに、そのメタファーを生かした UX を提供できていないのが問題だとお思う。パスキーの鍵を管理する機能に「パスワードマネージャー」は、余計な混乱を生む。
  • PPAPの次に無用なルール

    情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第51列車は「末転倒」です。※このマンガはフィクションです。

    PPAPの次に無用なルール
    JULY
    JULY 2024/12/11
    で、やりがちなのが、「使う必要があったら申請しろ」。使いたい方は申請が面倒と感じ、情シス側も適切な管理が面倒、と、双方にインセンティブが働かない。
  • パスキー認証の必須化/強制についての現状の課題と改善のための勘所 - r-weblife

    ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便利な仕組み プラットフォームを跨いだ利用が可能 パスワードを置き換える 1の安全性については技術的に説明されています。最もシンプルな使い方であれば「慣れ」ることで便利さも感じられるかと思います。 2はプラットフォーマーやパスワードマネージャーが頑張っているところです。Appleがいち早く同一プラットフォーム、クロスデバイスな環境における同期を確立、Google Password ManagerはChromeが動作する環境でパス

    パスキー認証の必須化/強制についての現状の課題と改善のための勘所 - r-weblife
    JULY
    JULY 2024/12/03
    せっかく名前に「key」=「鍵」が入っているのに、その「鍵」というメタファーを生かしていない気がするんだよなぁ。デバイスがキーボックスで、デバイスが変われば、鍵を持ち出すか合鍵を用意するか、となる。
  • 長年の誤ったパスワードポリシーが推奨された原因はあの偉人の論文だった? - YAMDAS現更新履歴

    stuartschechter.org 米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST SP 800-63」が改訂され、「パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けてはならない」というのがようやく周知された。 しかし、「複雑なパスワード」と「定期的なパスワードの変更」が長年推奨されてきたのか。この文章は、その原因を偉大な科学者たちが過ちを犯したことに理由を求めている。 その科学者とはロバート・モリスとケン・トンプソンの二人である。ケン・トンプソンについては説明は不要だろうが Unix の開発者ですね。ロバート・モリスは暗号学者で、Y Combinator の共同創業者であり「モリスワーム」の作者として知られるロバート・タッパン・モリスの父親である。 この二人が1979年に実際のユーザパスワードを調査して発表した Password Security:

    長年の誤ったパスワードポリシーが推奨された原因はあの偉人の論文だった? - YAMDAS現更新履歴
    JULY
    JULY 2024/12/02
    1979 年頃だと、まだパスワードの保存方法で DES が使われていて、DES の鍵長が 56 bit だったことから、ASCII コード 8 文字が最長のパスワードだった時代のはず。故に複雑さが重要だった。このせいにするのはちょっと...
  • 「Oisix.com」に不正ログイン10万件 WAF導入も、パスワードリスト攻撃防げず

    オイシックス・ラ・大地は11月26日、品宅配ECサービス「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性があると発表した。同社は不正ログイン攻撃対策としてWAF(Web Application Firewall)を導入していたが、防げなかったという。 クレジットカード番号は決済代行会社が保持しているため流出の可能性はない。 第三者が外部から不正に取得したIDとパスワードを使い、ユーザーになりすましてログインする行為を11月24日に検知。24、25日にかけ、9万7533件のIDが不正ログインを受けたという。 不正ログインで閲覧された可能性があるのは、ユーザーの氏名、住所、電話番号、メールアドレス、配送先の氏名、住所、電話番号、メールアドレス、予約・購入履歴。 不正ログイン検知後、サーバ側で対策を講じたという。該当顧客のパスワ

    「Oisix.com」に不正ログイン10万件 WAF導入も、パスワードリスト攻撃防げず
    JULY
    JULY 2024/11/28
    「不正ログイン対策として WAF」まぁ、WAF で防げるパターンが無いとは言わないけど、これで防げると思った・思わせたのが危ない。「ウィルス対策ソフト入れてます」と同じレベル。
  • CVE-2024-11477: 7-Zip Vulnerability Allows Remote Code Execution, Update Now!

    CVE-2024-11477: 7-Zip Vulnerability Allows Remote Code Execution, Update Now!by do son · November 24, 2024 A high-severity vulnerability (CVE-2024-11477) has been discovered in the popular file archiver 7-Zip, potentially allowing attackers to execute malicious code on vulnerable systems. The flaw, identified by Nicholas Zubrisky of Trend Micro Security Research, resides in the program’s Zstandard

    JULY
    JULY 2024/11/26
    何らかの形で子の脆弱性を突くファイルを 7-zip に開かせて、だと思うんだけど、それを「Remote Code Execution」が可能、と言う? ひょっとして 7-zip にサーバモードがあって、ネットワーク経由でデータを受け取る?
  • 「コード決済、相続に苦労」「サブスク請求止められない」困る遺族……“デジタル終活”どうすれば?

    「コード決済サービスの相続手続きが、1カ月以上たっても終わらない」「故人が契約したサブスクの請求を止めたいが、IDとパスワードがわからない」 故人の“デジタル遺品”に関するこんな相談が寄せられているとし、国民生活センターが「“デジタル終活”の必要性が高まってきている」と呼び掛けている。 万一の際に、遺族がスマートフォンやPCのロックを解除できるよにしておくこと、各サービスのIDやパスワードを整理しておくことなどを推奨している。 センターに寄せられた相談として、「故人が利用していたネット銀行の手続きをしたいが、スマートフォンの画面ロックを解除できず、契約先が分からない」「弟がコード決済に入金したまま突然亡くなり、カスタマーサポートに連絡して戸籍謄などを送付したが、1カ月経っても回答がない」「夫が契約していたサブスクサービスのIDとパスワードが分からず、すぐには解約できないと言われた」などの

    「コード決済、相続に苦労」「サブスク請求止められない」困る遺族……“デジタル終活”どうすれば?
    JULY
    JULY 2024/11/21
    遺族にパスワードが分かるように、って、別のリスクを抱える事になる。そもそも死亡時解約フローを業者側がきちんと整備していれば、解約しているサービスの一覧が分かれば良い。
  • 故人のスマホが開けず解約に支障……国民生活センターが「デジタル終活」呼び掛け【やじうまWatch】

    故人のスマホが開けず解約に支障……国民生活センターが「デジタル終活」呼び掛け【やじうまWatch】
    JULY
    JULY 2024/11/21
    「スマホやPCのパスワードを遺族が確認できるようにしておく」それは別のリスクを生じさせるのでお勧めできない。契約しているものの一覧を用意しておく、が関の山かと。
  • Introducing Amazon CloudFront VPC origins: Enhanced security and streamlined operations for your applications | Amazon Web Services

    AWS News Blog Introducing Amazon CloudFront VPC origins: Enhanced security and streamlined operations for your applications I’m happy to introduce the release of Amazon CloudFront Virtual Private Cloud (VPC) origins, a new feature that enables content delivery from applications hosted in private subnets within their Amazon Virtual Private Cloud (Amazon VPC). This makes it easy to secure web applic

    Introducing Amazon CloudFront VPC origins: Enhanced security and streamlined operations for your applications | Amazon Web Services
    JULY
    JULY 2024/11/21
    あと、CloudFront で mTLS 認証に対応してもらえれば、ALB をパブリックにする必要が無くなるんだけどなぁ。
  • 知ってそうで知らないHTTPS - Qiita

    はじめに HTTPとHTTPSの違いを理解できていますか? ウェブサイトにアクセスする際、多くの方がブラウザのURLバーで「http://」や「https://」といった表示を目にしたことがあると思います。一般的に 「HTTPSはセキュアだから安全」「HTTPは非暗号化だから危険」 と言われますが、その違いや仕組みを正しく理解している方は意外と少ないかもしれません。もし 「ちょっと怪しいかも…」 と感じたら、この記事に目を通してみてください! 特に読んでほしいのは、ネットを日常的に利用している方や、ウェブサイトの開発・運営に関わりたいと考えている方です。サイトを作る側としても、どの場面でHTTPSが必須なのか、HTTPとの使い分けを知っておくと、より安全で信頼できるサイトづくりができるはずです。ぜひ参考にしてみてください! どんな方でも頭の片隅に入れておいても損はない情報ですので、ぜひ最後

    知ってそうで知らないHTTPS - Qiita
    JULY
    JULY 2024/11/19
    暗号警察のチェックが入りそうな記述はスルーするとして、SSL の説明は「 TLS の元になった物で、現在は使われてないが、SSL という用語が広く浸透していたため、TLS を含めて SSL と言っているケースがある」で十分。
  • ダークウェブを体験してわかったマイナンバーカードがもつリスクと個人情報保護の対策|@DIME アットダイム

    消費者向けサイバーセーフティブランド「ノートン」が、「マイナンバーカードの利用実態調査」を実施。その結果を踏まえて、懸念される犯罪被害、その対策について、2024 年 11月 6日に実施した「Norton ダークウェブ体験会」で説明した。 マイナンバーカードの利用について調査したその結果とは? 2024年12月2日以降、従来の健康保険証の新規発行はなくなり、医療機関や薬局ではマイナ保険証(マイナンバーカードの健康保険証)を利用する仕組みに移行する。また25年3月24日からは、マイナンバーカードと運転免許証を一体化させたマイナ免許証の運用が開始する。 このようにマイナンバーカードに様々な情報が紐付くことで、その価値が高まってくる。このような背景を踏まえて、ノートンが「マイナンバーカードの利用実態調査」を実施。その調査結果について、SNS・PR担当の櫻井理沙氏が説明した。なお調査は20~70代

    ダークウェブを体験してわかったマイナンバーカードがもつリスクと個人情報保護の対策|@DIME アットダイム
    JULY
    JULY 2024/11/18
    マイナンバーカード関係ない。個人情報のアンダーグラウンドでの流通やその悪用の話。同じ事は免許証や学生証など、本人確認に用いられる物に言える。それをタイトルでマイナンバーカードの問題に見せる酷い記事だ。
  • システム障害に関するお詫びと、復旧に関するご報告

    平素より、当社が運営するデリバリーサービス「出前館」をご利用いただきまして、誠にありがとうございます。 2024年10月26日(土)14時30分頃よりサービスを停止しておりましたが、先ほど再開いたしましたのでお知らせいたします。お客さま、加盟店さま、配達員さま及び関係するすべての皆さまに、多大なるご不便とご迷惑をおかけしましたことを深くお詫び申し上げます。 なお、事案に関する詳細は次のとおりです。 10月25日(金)20時頃、サーバが高負荷となったことからサービスを停止し、当該サーバより切り離してサービスを再開いたしました。原因の調査を継続していたところ、翌10月26日(土)14時30分頃、前日とは異なるサーバが高負荷となり再度サービスを停止したのち、暗号資産マイニングマルウェアである通称「RedTail」に感染したことが発見され、当該マルウェアの削除を実施しました。サービスの再開にあた

    システム障害に関するお詫びと、復旧に関するご報告
    JULY
    JULY 2024/10/30
    システム障害の原因は分かったけど、redtail を突っ込まれて実行された経路に関しては言及はされていないなぁ。むしろそっちが気になる。
  • AWS CDK の脆弱性が発覚、S3バケット名の予測可能性で管理者権限奪取の危険|約38,000アカウントに影響の可能性 - イノベトピア

    AWS CDK の脆弱性が発覚、S3バケット名の予測可能性で管理者権限奪取の危険|約38,000アカウントに影響の可能性 Last Updated on 2024-10-25 08:42 by admin Aqua Securityセキュリティ研究チームは、AWSの6つのサービス(CloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStar)に重大な脆弱性を発見した。この発見は2024年8月のBlack Hat USAカンファレンスで発表された。 脆弱性の概要 – AWS Cloud Development Kit (CDK)のデフォルトのS3バケット命名パターンが予測可能で、攻撃者による悪用が可能 – 攻撃者は未使用のAWSリージョンで事前にS3バケットを作成し、被害者がそのリージョンでサービスを使用するのを待つことができる – こ

    AWS CDK の脆弱性が発覚、S3バケット名の予測可能性で管理者権限奪取の危険|約38,000アカウントに影響の可能性 - イノベトピア
    JULY
    JULY 2024/10/25
    S3 の古いサービスゆえの制約事項(バケット名が、ワールドワイドでユニークで早い者勝ち)が引っかかった感じだなぁ。もう AWS アカウントで閉じて使う、S3 v2 が有っても良いと思うなぁ。