タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(Content Security Policy)やintegrity属性(サブリソース完全性)の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が
デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていない😇) そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか? 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の2パターンのいずれかが原因となっているようです。 1.表示設定で「結果の概要を表示する」が有効に設定されている ある
Windows10のパソコンでは、デスクトップ画面右下に各種通知がポップアップで表示されますよね。このポップアップ通知を消したあとに、どういった通知が表示されていたのか再度確認したい・今まで表示された通知の履歴を確認したいと思ったことはありませんか? 通知の履歴を表示させるには、デスクトップ画面右下に表示されているアクションセンターボタンをクリックしてアクションセンターを開くことで、通知の履歴を確認することができますよ。「Windowsキー+Aキー」の同時押しがアクションセンターのショートカットキーに設定されているので、こちらからもアクションセンターを開くことができます。 アクションセンターに表示される通知の履歴の保存期間などは設定することはできませんが、アプリケーションごとに通知を受け取る・受け取らないなどの設定を行うことは可能です。アクションセンターの通知一覧の右上に表示されている「通
初めに 「署名とはメッセージのハッシュ値を秘密鍵で暗号化したものであり、検証は署名を公開鍵で復号してハッシュ値と等しいかを確認することである」という説明(×)をよく見かけます。 正しい署名の定義と実際のRSA署名がどのようなものであり、上記説明(×)がなぜよくないのかを理解しましょう。 署名の定義 署名の解説は署名の概要でも解説しましたが、再掲します。 署名(方式)は鍵生成(KeyGen)、署名(Sign)、検証(Verify)の3個のアルゴリズムからなります。 KeyGenではアリスが署名鍵sと検証鍵Sを生成します。署名鍵sは自分だけの秘密の値なので秘密鍵、検証鍵Sは他人に渡して使ってもらう鍵なので公開鍵ともいいます。 Signは署名したいデータmに対して署名鍵sを使って署名と呼ばれるデータσを作ります。 データmと署名σのペアを他人(ボブ)に渡します。 Verifyはボブが検証鍵Sを使
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセス
目次[非表示] 1.はじめに 2.AI関連の指針・原則・ガイドラインの動向 2.1.国内における分野横断の主なAI関連の指針・原則・ガイドライン 3.ChatGPTの業務利用に関する動向 3.1.ChatGPT等の業務利用を推進する企業様のニュース 3.2.ChatGPTの業務利用を制限・禁止する企業様のニュース 3.3.AIサービスの業務利用に関するガイドライン策定のニュース 4.ChatGPTのプライバシーポリシーと利用規約における留意点 4.1.情報漏えい 4.2.情報の正確性 4.3.参照 5.ChatGPT Web版の業務利用における情報セキュリティ上の留意点のまとめ 5.1.情報漏えい 5.2.情報の正確性 6.まとめ はじめに昨今、ChatGPTに関する話題に注目が集まるなか、「業務利用」について検討される企業様が増加しています。実際に、クラウドリスク評価「Assured(ア
米Googleは7月12日(現地時間)、Gmailの受信箱に表示する送信者のアイコンとして、企業ロゴを表示できるようにしたと発表した。BIMI(Brand Indicators for Message Identification)を採用した企業の認証済みのロゴのみが表示されるので、なりすまし対策になる。 BIMI採用のロゴは、Gmail内で表示されるアカウントの頭文字やGoogleアカウントのプロフィール画像に代わって表示される。 BIMIは、メールの送信ドメイン認証技術、「DMARC」に基づく業界標準。Googleの他、Verizon MediaやTwilio、Fastmailなどが取り組みに参加している。 DMARCなどのセキュリティプロトコルはデジタル証明書と暗号化によるため、検証済みのロゴは実際の企業のメールドメインにしか表示されず、なりすましメールで真似することはできないことに
We’re rolling out general support of Brand Indicators for Message Identification (BIMI) in Gmail within Google Workspace. Creating a secure-by-default experience based on robust defenses has always been a core design principle for Gmail. That’s why we’ve established a strong baseline of security in Gmail, with built-in protections to help automatically filter out potentially malicious messages. Wh
ガソリンスタンド(GS)で、銀行口座から即時決済する「デビットカード」を使って、外国人グループがタイヤなどの高額商品をだまし取る不正取引が多発していることが15日までに分かった。少なくとも計約9千万円分の被害が産経新聞の取材で判明した。給油の決済で行われる「1円オーソリ」という特殊な承認手続きを悪用する新手の不正で、被害が広がっている恐れがある。 外国人グループが利用したカードはスリランカの銀行が発行。取引に不可解な点が多く、銀行内の人間が不正に加担した可能性もあり、マネーロンダリング(資金洗浄)対策の観点からも、警察など当局による不正取引の実態の解明が求められる。 実際に被害のあった茨城県のGSを運営する会社によると、同店には令和2年春から8人程度の外国人グループがメンバーを変えながら繰り返し来店。デビットカードでタイヤの購入を繰り返した。半年後に突然、スリランカの銀行が日本側に数千万円
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
どう対応するべきか、ちょっと考えてみる。LastPassを勧めた記事を書いた手前、このnoteは本来有料マガジン用だが全文無料にする。ただし俺はこの手の分野は完全に素人なので、どこまで適切なことを書けるか分からないが。 実際のところ何が起きたのか。GIGAZINEは少々大げさに書くところがあるので、他ではどのように書かれているか調べる。 平文で盗まれたのは以下である。ユーザーの基本情報が抜かれた形だ。 LastPassでのユーザー名 請求先住所 メールアドレス 電話番号 IPアドレス 暗号化された状態で盗まれたものは、LastPassに覚えさせたもの。 ユーザー名 パスワード セキュアノート その他覚えさせたもの 盗まれていないもの。 LastPassのマスターパスワード LastPassは保存されたパスワードなどをAES 256 暗号化で保護している。マスターパスワード無しで解読しようと
■概要 Fortinet社のFortiOS、FortiProxyおよびFortiSwitchManagerの管理画面の認証がバイパスされる脆弱性 CVE-2022-40684 が公開されました*1。脆弱性を悪用した攻撃を受けた場合、サーバの設定変更やユーザ追加等、機器に対して様々な操作が行われ、攻撃者が組織内へ侵入するポイントになりうる可能性があります。 本脆弱性はすでに実際の攻撃で悪用が観測されており、脆弱性を悪用するための手法やPoCも公開され*2、さらには脆弱性を悪用するための活動も急速に増加し始めているとの報告*3もあります。こういった状況を受け、Shodanで観測できる情報も踏まえて情報や注意点をまとめます。本脆弱性を起因としたインシデントが今後、爆発的に増加することが懸念される状況です。 *1: https://www.fortiguard.com/psirt/FG-IR-22
現存するTAKERUの内部に迫る! TAKERUの時代を先取りしたかのようなシステムは、どのようなハードで実現されていたのだろうか。その内部を少し見てみよう。 機能を大きく分けると、ソフトをダウンロードして保存しておく記憶部、メディアを書き込むドライブ、メディアをストックしておく倉庫、メニューを表示するモニター、お金の認識ユニット、マニュアルを印刷するプリンター、そしてこれらを制御するコントローラーで構成されている。 この中でとくに気になるのが、記憶部だ。実はソフトの多くは記憶部のHDDに保存されており、そこにないソフトだけがダウンロードされる仕組み。毎回ダウンロードしていては通信速度がネックになるし、何より、通信費がかかりすぎてしまうからだ。通信用の回線は当初専用回線を使っていたが、コストが高くなってしまうため、加入回線へと変更。また、3代目からはISDNへと変更することで、低コストと通
職場や個人のパソコンで仕事用アカウントにアクセスする場合、管理者から Endpoint Verification を設定するよう求められることがあります。Endpoint Verification を設定すれば、管理者はデバイスに関する情報を確認し、現在地、デバイスのセキュリティ ステータス、その他の属性に基づいてアプリへのアクセスを制御できます。 システム要件 Chrome ブラウザのみ。Endpoint Verification は Chromium ベースのどのブラウザにもインストールできますが、サポートされているのは Chrome ブラウザのみです。パソコンが Chrome ブラウザのシステム要件を満たしていることを確認してください。 サポートされているパソコン: Apple Mac OS X El Capitan(10.11)以降 ChromeOS 110 以降 Linux De
ユーザに対して、そのユーザ名のサブドメインやメールアドレスを払い出すWebサービスがあります。 しかし、特定のサブドメインやメールアドレスは特別な用途で使われているものもあります。そのようなサブドメインやメールアドレスを一般ユーザに払い出してしまうと危険です。 現在、IETFでは仕様上利用用途が決められている、それらのラベルをとりまとめる「Dangerous Labels in DNS and E-mail」というdraftが提出されています。 今回はそれを眺めていきます。 (あくまでIETFの取り組みであり、仕様上定義されているものをとりまとめています。クラウドサービスや特定ベンダーで特別利用しているものは現在含まれていません。) サブドメイン ここでとりあげるサブドメインは、利用用途が決まってるため一般ユーザに払い出すべきではありません。(例: mta-sts.example.com)
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
最初のページはリスクを理解しろとういう内容なのでそんなもんわかっとるわいとNextをクリック。ちなみに一切の保証は受けられなくなるので引き返すなら、そっとウィンドウを閉じましょう。 ログインが求められるのでMotoアカウントでログインします。ここはGoogleアカウントが利用可能なのでそちらでログインすれば登録の手間が省けます。続けてunlockコードを発行してもらうためのページです。fastbootモードで接続するためのドライバが別途必要なのでDownload hereからインストールしておきます。android sdkについてはfastbootが実行できる環境があればOKです。 続いてunlockコードを発行してもらうためのデバイスコードの取得手順です。書いてある内容の通りなのでそのまま実行すればOKです。取得したデバイスコードを”6.”のフィールドへコピペして”Can my devi
先日Twitterを眺めていたら、「Phantom Wallet(Solanaブロックチェーン向けのウォレットアプリ)を利用していたら暗号資産が奪われてしまった」という話を見かた。 その件について実態を調査したので書き留めておく。 先に書いておくと、 Google PlayではSolana以外のブロックチェーンを対象とするウォレットにも暗号資産を詐取されるものが存在します。 Salanaユーザー以外も気をつけてください。ただ、 Solanaはモバイルに対応した正規のウォレットがまだ少ないため、結果的に多くの人がスキャムアプリをインストールしてしまいやすい 状況にありそうです。 Google Play でPhantom Walletの不正な(偽の)モバイルウォレットアプリが配布されている Solanaブロックチェーンに対応したウォレットとして一定の知名度があるPhantomウォレットというウ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
