新たなフィッシングの手口が報告された。フィッシングメールの送信元は米Google(グーグル)のメールアドレスで、送信ドメイン認証もパスする。またメール中のURLから誘導されるWebサイトもグーグルのドメインだ。 メールには、法執行機関から召喚状が発行されたと書かれている。メール中のURLに慌ててアクセスすると偽のログインサイトに誘導され、Googleアカウントとパスワードの入力を盗まれる。 だまされて当たり前。あまりにも巧妙な仰天の新手口を解説しよう。 「DKIMリプレイ攻撃」で認証をパス メールの送信元を詐称するフィッシングは以前から存在する。それを見抜くために開発された技術の1つが送信ドメイン認証である。送信ドメイン認証を用いれば、受信したメールが正規の送信元から送られてきたかを検証できる。SPF、DKIM、DMARCの3種類があり、主なメールサービスでは全て実装されている。 だが、送
Techstrong Groupは1月30日(米国時間)、セキュリティブログ「Security Boulevard」に掲載した記事「SquareX Discloses “Browser Syncjacking” , a New Attack Technique that Provides Full Browser and Device Control, Putting Millions at Risk - Security Boulevard」において、Google Chromeユーザーを標的とする新しいシンクジャッキング攻撃が発見されたと報じた。 この攻撃を成功させるには、ちょっとしたソーシャルエンジニアリングを必要とするが、それ以後はユーザーに気づかれることなくWebブラウザおよびシステムを乗っ取ることが可能だという。 SquareX Discloses “Browser Syncja
Subdomain & Certificate Transparency Uncover Hidden Subdomains and CertificatesDiscover subdomains and SSL/TLS certificates from across the internet. Our search engine provides valuable insights into the digital assets and trust infrastructure of any organization, enhancing your security research and reconnaissance capabilities. Our subdomain and certificate transparency search engine empowers you
ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がクレジットカード情報を入力する決済画面から情報が窃取(Webスキミング)さ
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。 本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and Misconceptions」で、米国Amazonのレビューでは4.6の高評価を得ています。また、「インターネットの父」ことヴィントン・サーフ氏が本書に前書きを寄せています(後述)。 はじめにサイバーセキュリティは、その短い歴史にも関わらず、神話や都市伝説に満ちています。古典的なものとして、本書の冒頭では、「ウイルス対策企業が自社製品を売るためにマルウェアを作って拡散した」が紹介されています。 本書は、このようなセキュリティの都市伝説や神話をとりあげ
2024年3月29日 お客様各位 ワークスタイルテック株式会社 弊社サービスをご利用いただいているお客様への重要なご報告とお詫び このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。 お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。 1. 本件の概要 本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。 当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっ
社内で脆弱性診断を行なっている理由や、どのように診断から修正までを行なっているか、また社内で脆弱性診断をやることでどのような変化が起きたかについて紹介します。
決済代行会社のメタップスペイメント社から、ここ数年で最大のカード漏洩(国内)が発表されました。発表された内容を読むと下記の記事にある様に”やられ放題”と書かれても仕方が無い、基本セキュリティ対策の不備が含まれています。この不正アクセス事件について専門家の立場で考えてみます。 www.itmedia.co.jp 公式発表 ・不正アクセスによる情報流出に関するご報告とお詫び(2/28)[魚拓] ※第2報 ・不正アクセスに関するご報告とお詫び(1/25)[魚拓] ※第1報 2. 不正アクセスおよび流出情報について 今回は決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出いたしました。 ① トークン方式クレジットカード決済情報データベース 2021年10月14日から2022年1月25日に利用されたクレジットカード番号数(括弧内は流出情報):460,395件
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセス
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 特集:Webコンテンツの守り方 情報漏えい対策術 経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本
Plaion/Starbreezeは日本時間7月11日、『PAYDAY 3』の隠密ミッションを紹介する「Stealth Gameplay Trailer」を公開した。しかし、このトレイラーがユーザーに発見されたのは7月16日のこと。隠密ミッションを題材とする本トレイラーは公式サイトに巧みに隠されており、“特定の条件下”でのみ出現するという“隠し”トレイラーとなっていたようだ。 『PAYDAY 3』は、オンライン4人協力プレイ対応のクライムFPS『PAYDAY』シリーズの最新作だ。開発を手がけるのは、シリーズを通じて制作を担当するStarbreeze Studios。本作は、PC(Steam/Epic Gamesストア)/PS5/Xbox Series X|S向けに9月21日に発売予定。発売に向けて「Dev Diary(開発者日記)」などが順次公開されており(関連記事1、関連記事2)、『PA
三井住友カードは5月16日、同社クレジットカードの所有者に郵送したダイレクトメール(DM)に、クレジットカード番号を誤って印字したと発表した。DMはシーラーはがきタイプだったが、その表面宛先部にカード番号を印字していたという。対象のDMの件数は29万771件に及ぶ。 DMを発送したのは4月18日と20日。本来、DMの宛先部には客の照会番号を印字すべきだったが、誤ってカード番号を印字した。カードの有効期限やセキュリティコードなどの情報は一切記載していないとしている。 DMの郵送先は「AOYAMA VISAカード」「AOYAMA PiTaPaカード(VISA)」「AOYAMA LiVE MAX VISAカード」「BLUE ROSE CARD(VISA)」のカード所有者の住所という。 印字ミスの原因について同社は「DMを送る際、住所や氏名、客の照会番号などの顧客情報を基幹システムから抜き出し、D
2/11 ~ 2/12 の間、浅草橋で実施された「SECCON 2022 電脳会議」に参加し、いくつか気になった講演を聴いたりワークショップに参加したりしました。 www.seccon.jp 内容のうえでもためになる知見がいろいろ得られたのですが、プログラム外でもいくつか学びがありました。 今回はその一つを共有します。 見覚えのある「あの会社」のロゴ 何がいけないのか そういえば…… 会社の資料は特に危ない 結論 見覚えのある「あの会社」のロゴ ある講演を聴講していたとき、ふと視界の右端に見覚えのあるものが現れたような気がしました。 私の座っていたところから2列前の右側に、ずっと PC を操作している男性がいました。私の興味を引いたものはその画面の中にありました。 彼がそのとき操作していたのはプレゼンテーションソフトで、スライドの表紙には、SECCON のスポンサーに名を連ねるあるセキュリ
「解除不可能」ロシア・ハッカー犯罪集団のコンピューターウイルスはなぜ解除できたのか? サイバー攻撃を受けた徳島・半田病院、復旧の裏で起きていたこと【前編】 2021年10月、徳島県つるぎ町の町立半田病院が、ロシアを拠点とするハッカー犯罪集団からサイバー攻撃を受けた。身代金要求型の「ランサムウエア」と呼ばれるコンピューターウイルスによる攻撃で、電子カルテなどのデータが盗まれ暗号化されてしまい、病院機能がダウンした。ウイルスは高度な暗号技術が使われており、身代金を支払わないと「解除は不可能」とされる。病院は「身代金は支払わない」と表明し、東京都内のIT業者に調査とシステムの復旧を依頼、2カ月後には復旧して全診療科が再開した。解除不可能なウイルスは一体どのようにして解除できたのだろうか―。ハッカー犯罪集団、復旧を請け負ったIT業者らに取材を敢行し、その「謎」に迫った。(共同通信=角亮太) ▽未明
Slack Security UpdateBecause we take security, privacy, and transparency very seriously, we are sharing the details of a recent incident. Author: Slack’s Security Team31st December 2022 Updated January 9, 2023 We recently became aware of a security issue involving unauthorized access to a subset of Slack’s code repositories. Our customers were not affected, no action is required, and the incident
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
2022年10月25日、ショーケースは同社が提供する複数のサービスが不正アクセスを受けたため、サービスを利用する企業のWebサイトを通じて入力された情報が外部へ流出した可能性があると公表しました。ここでは関連する情報をまとめます。 フォーム入力支援やサイト最適化サービス改ざんで複数社に影響波及 www.showcase-tv.com 不正アクセスによりショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。 被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つ。フォームの入力支援やサイト表示最適化を行うサービスで利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する。 改ざん被害
この度はお客様へ多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 本件の対象となるお客様には、2022年10月26日に弊社より電子メールをお送りしております。 ただし、電子メールをお届けできなかったお客様には、2022年10月27日に速達にて書状を発送いたします。 Qクレジットカード情報漏洩の可能性がある対象期間はいつですか? A2022年7月24日~2022年7月26日の期間、弊社が運営する「生涯学習のユーキャン」サイトにて受講申込み時にクレジットカード情報を入力されたお客様が対象です。ただし、「[案内資料をお持ちの方専用]受講お申込みページ」からお申込みの方は対象外です。 クレジットカード情報が漏洩した可能性のあるお客様には、2022年10月26日に弊社より電子メールをお送りしております。 ただし、電子メールをお届けできなかったお客様には、2022年
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
