Linux」カテゴリーアーカイブ

企業にとって最大の脅威はゼロデイ脆弱性とファイルレス型攻撃–エンドポイントセキュリティ調査 – ZDNet Japan

企業にとって最大の脅威はゼロデイ脆弱性とファイルレス型攻撃--エンドポイントセキュリティ調査 - ZDNet Japan

企業にとって最大の脅威はゼロデイ脆弱性とファイルレス型攻撃--エンドポイントセキュリティ調査 - ZDNet Japan

Barklyの依頼に基づいてPonemon Instituteが実施した調査のレポート「2018 State of Endpoint Security Risk」(エンドポイントのセキュリティリスク、2018年の状況)によると、過去12カ月間にエンドポイントに対する攻撃によって侵入されたことがあると回答した企業が3分の2近くにのぼっており、その割合は前年比でおよ...

はてなブックマーク - 企業にとって最大の脅威はゼロデイ脆弱性とファイルレス型攻撃--エンドポイントセキュリティ調査 - ZDNet Japan はてなブックマークに追加

Trivial authentication bypass in libssh leaves servers wide open | Ars Technica

Trivial authentication bypass in libssh leaves servers wide open | Ars Technica

Trivial authentication bypass in libssh leaves servers wide open | Ars Technica

There’s a four-year-old bug in the Secure Shell implementation known as libssh that makes it trivial for just about anyone to gain unfettered administrative control of a vulnerable server. While the authentication-bypass flaw represents a major security hole that should be patched immediately, it...

はてなブックマーク - Trivial authentication bypass in libssh leaves servers wide open | Ars Technica はてなブックマークに追加

社説 サイト遮断 政府主導に無理がある | 信濃毎日新聞[信毎web]

社説 サイト遮断 政府主導に無理がある | 信濃毎日新聞[信毎web]

社説 サイト遮断 政府主導に無理がある | 信濃毎日新聞[信毎web]

法制化を前提に事を急ぐ政府の姿勢にもともと無理があった。海賊版サイトへの接続を強制的に遮断する「ブロッキング」である。 政府が設けた有識者会議が、報告書のとりまとめを断念した。会議自体を無期限で延期している。意見の対立は埋まらず、話し合いは最後まで紛糾した。 来年の国会への法案提出を目指す政府のも...

はてなブックマーク - 社説 サイト遮断 政府主導に無理がある | 信濃毎日新聞[信毎web] はてなブックマークに追加

エプソンが格安の互換インクカートリッジを排除するダウングレードを行っていたことが判明 – GIGAZINE

エプソンが格安の互換インクカートリッジを排除するダウングレードを行っていたことが判明 - GIGAZINE

エプソンが格安の互換インクカートリッジを排除するダウングレードを行っていたことが判明 - GIGAZINE

by BwDraco プリンターメーカーのエプソンが、サードパーティーによる格安のインクカートリッジを使えないようにするために、セキュリティのアップグレードと称して実質的なダウングレードを行っていたことが判明しました。調査を行った電子フロンティア財団はセキュリティアップグレードを装ったダウングレードを強く批...

はてなブックマーク - エプソンが格安の互換インクカートリッジを排除するダウングレードを行っていたことが判明 - GIGAZINE はてなブックマークに追加

Serverspecでユーザに弱いパスワードが設定されていないか調べるユーティリティを作りました – インフラエンジニアway – Powered by HEARTBEATS

Serverspecでユーザに弱いパスワードが設定されていないか調べるユーティリティを作りました - インフラエンジニアway - Powered by HEARTBEATS

Serverspecでユーザに弱いパスワードが設定されていないか調べるユーティリティを作りました - インフラエンジニアway - Powered by HEARTBEATS

こんにちは。CTOの馬場です。 Serverspec使ってますか? ハートビーツでは使っています。 サーバ構築後などに弊社標準のスケルトンをもとにテストを作成・実行しています。 最近「弱いパスワードを利用しているユーザがいないかチェックしたい」という要望があったため、 実現するために ServerspecWeakPassword を書い...

はてなブックマーク - Serverspecでユーザに弱いパスワードが設定されていないか調べるユーティリティを作りました - インフラエンジニアway - Powered by HEARTBEATS はてなブックマークに追加

バニーから日本の読者へ:ハードウェアハッカー ~新しいモノをつくる破壊と創造の冒険|技術評論社

バニーから日本の読者へ:ハードウェアハッカー ~新しいモノをつくる破壊と創造の冒険|技術評論社

バニーから日本の読者へ:ハードウェアハッカー ~新しいモノをつくる破壊と創造の冒険|技術評論社

Hello, my name is Andrew ‘bunnie’ Huang, よろしくおねがいします! (⁠訳注 「⁠よろしくおねがいします!」まで日本語で送られてきた) この本を読む時間を作ってくれてありがとう。翻訳してくれた高須正和と彼のチームにも感謝します。個人的に,この本が日本語に訳されるのはエキサイティングだし,その翻訳者とし...

はてなブックマーク - バニーから日本の読者へ:ハードウェアハッカー ~新しいモノをつくる破壊と創造の冒険|技術評論社 はてなブックマークに追加

【セキュリティ ニュース】IoTセキュリティにおけるブロックチェーン活用で解説資料 – CSAジャパン(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】IoTセキュリティにおけるブロックチェーン活用で解説資料 - CSAジャパン(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】IoTセキュリティにおけるブロックチェーン活用で解説資料 - CSAジャパン(1ページ目 / 全1ページ):Security NEXT

日本クラウドセキュリティアライアンス(CSAジャパン)は、「IoTセキュリティのためのブロックチェーン技術の活用」を公開した。 同資料は、CSAのホワイトペーパー「Using Blockchain Technology to Secure the Internet of Things」を翻訳したもの。同団体のウェブサイトよりダウンロードできる。 IoTシステムにおける...

はてなブックマーク - 【セキュリティ ニュース】IoTセキュリティにおけるブロックチェーン活用で解説資料 - CSAジャパン(1ページ目 / 全1ページ):Security NEXT はてなブックマークに追加

相次ぐ仮想通貨流出 “限界”知りつつ規制する金融庁の苦悩 (1/3) – ITmedia NEWS

相次ぐ仮想通貨流出 “限界”知りつつ規制する金融庁の苦悩 (1/3) - ITmedia NEWS

 相次ぐ仮想通貨流出 “限界”知りつつ規制する金融庁の苦悩 (1/3) - ITmedia NEWS

仮想通貨交換業者「テックビューロ」から約70億円相当の仮想通貨が流出した問題。批判の矛先は監督官庁である金融庁にも向けられた。ただ、仮想通貨の技術はまだ未熟で、流出を完全に防ぐことは不可能だという現実もある。 仮想通貨交換業者「テックビューロ」から9月14日に約70億円相当の仮想通貨が流出した問題は、1月...

はてなブックマーク -  相次ぐ仮想通貨流出 “限界”知りつつ規制する金融庁の苦悩 (1/3) - ITmedia NEWS はてなブックマークに追加

「中国政府系」ハッカーを追い詰める「謎の集団」の正体に迫る:山田敏弘 | 記事 | 新潮社 Foresight(フォーサイト) | 会員制国際情報サイト

「中国政府系」ハッカーを追い詰める「謎の集団」の正体に迫る:山田敏弘 | 記事 | 新潮社 Foresight(フォーサイト) | 会員制国際情報サイト

「中国政府系」ハッカーを追い詰める「謎の集団」の正体に迫る:山田敏弘 | 記事 | 新潮社 Foresight(フォーサイト) | 会員制国際情報サイト

米大手格付け会社「ムーディーズ」の子会社で経済情報を扱う「ムーディーズ・アナリティックス」は、少なくとも2011年からハッカーの侵入を受けていた。 狙われたのは、同社に所属する著名なエコノミストの電子メールアカウント。このエコノミストは大手メディアなどにも頻繁に登場するほどよく知られた人物であり、彼の...

はてなブックマーク - 「中国政府系」ハッカーを追い詰める「謎の集団」の正体に迫る:山田敏弘 | 記事 | 新潮社 Foresight(フォーサイト) | 会員制国際情報サイト はてなブックマークに追加

[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey

[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey

[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey

[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示...

はてなブックマーク - [速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey はてなブックマークに追加

Twitterで謎の通知が多発、原因はアプリ内部向け通信の可視化バグ – Engadget 日本版

Twitterで謎の通知が多発、原因はアプリ内部向け通信の可視化バグ - Engadget 日本版

Twitterで謎の通知が多発、原因はアプリ内部向け通信の可視化バグ - Engadget 日本版

We're seeing this issue too. On it. pic.twitter.com/pzjd6248gJ — jack (@jack) October 16, 2018 発生していた謎の通知はこんな感じ。一定桁の意味不明な英数字列とコロン、後ろに数字の形式です。 実際にタップしても誰かのツイートにつながるわけでもなく、通知欄が開くだけでした。 場合によっては短時間にロック...

はてなブックマーク - Twitterで謎の通知が多発、原因はアプリ内部向け通信の可視化バグ - Engadget 日本版 はてなブックマークに追加

Future of Software: Developers at the center of the universe | The GitHub Blog

Future of Software: Developers at the center of the universe | The GitHub Blog

Future of Software: Developers at the center of the universe | The GitHub Blog

An open, community-powered platform As a developer, you spend too much time configuring workflows—or get locked into inflexible tools as the industry evolves around you. We’re bringing the same tools you use while writing software to the rest of your development workflow, allowing you to focus on...

はてなブックマーク - Future of Software: Developers at the center of the universe | The GitHub Blog はてなブックマークに追加

トランプ支持者向け出会い系アプリ、リリース初日に個人情報流出 写真1枚 国際ニュース:AFPBB News

トランプ支持者向け出会い系アプリ、リリース初日に個人情報流出 写真1枚 国際ニュース:AFPBB News

トランプ支持者向け出会い系アプリ、リリース初日に個人情報流出 写真1枚 国際ニュース:AFPBB News

パソコンのキーボード(2012年7月9日撮影、資料写真)。(c)AFP PHOTO / Greg Wood 【10月16日 AFP】米国のドナルド・トランプ(Donald Trump)大統領支持者向けの出会い系アプリで、ユーザーの個人情報がリリース初日に流出する出来事があった。ITニュースサイト「テッククランチ(TechCrunch)」が15日、報じた。 2016...

はてなブックマーク - トランプ支持者向け出会い系アプリ、リリース初日に個人情報流出 写真1枚 国際ニュース:AFPBB News はてなブックマークに追加

認証技術の種類と進化の歴史。ユーザーの情報を守るために必要な基本を知ろう – エンジニアHub|若手Webエンジニアのキャリアを考える!

認証技術の種類と進化の歴史。ユーザーの情報を守るために必要な基本を知ろう - エンジニアHub|若手Webエンジニアのキャリアを考える!

認証技術の種類と進化の歴史。ユーザーの情報を守るために必要な基本を知ろう - エンジニアHub|若手Webエンジニアのキャリアを考える!

私たちが何気なく使っている認証とは一体どういうものなのでしょうか。 認証はコンピュータやインターネットが普及する前から用いられている、利用者を識別し、その正当性を証明する技術です。この定義に当てはめていくと、家の鍵や合言葉など、身の回りでもおなじみのものも「認証」にあたります。 認証を支える技術の...

はてなブックマーク - 認証技術の種類と進化の歴史。ユーザーの情報を守るために必要な基本を知ろう - エンジニアHub|若手Webエンジニアのキャリアを考える! はてなブックマークに追加

JR東の無人決済店舗で“万引き”してみた – ITmedia NEWS

JR東の無人決済店舗で“万引き”してみた - ITmedia NEWS

 JR東の無人決済店舗で“万引き”してみた - ITmedia NEWS

コソッとカバンに商品を忍ばせた 店舗の利用手順はこうだ。客が入口でSuicaなど交通系ICカードをかざすとドアが開く(一度に入店できるのは3人まで)。入口から出口までは一本道になっており、棚から商品を取りながら進む。棚には、飲料や菓子など約140種類の商品が並んでいる。 出口にある端末に交通系ICカードをかざす...

はてなブックマーク -  JR東の無人決済店舗で“万引き”してみた - ITmedia NEWS はてなブックマークに追加

フェイスブック流出パスワード悪用か 国内利用者に脅迫メール | NHKニュース

フェイスブック流出パスワード悪用か 国内利用者に脅迫メール | NHKニュース

フェイスブック流出パスワード悪用か 国内利用者に脅迫メール | NHKニュース

アメリカのフェイスブックから大量の個人情報が流出した問題で、日本の利用者に、実際にフェイスブックで使っていたパスワードが記された脅迫メールが送りつけられていることがわかり、警視庁が注意を呼びかけています。 こうした中、日本の利用者に脅迫メールが送りつけられるケースが起きていて、このうち都内の40代の...

はてなブックマーク - フェイスブック流出パスワード悪用か 国内利用者に脅迫メール | NHKニュース はてなブックマークに追加

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘 森喜朗 森喜朗元首相の旧公式サイトのドメイン(インターネット上の住所)が第三者に取得され、英文の別サイトになっていることが16日、分かった。国会議員の旧サイトのドメインが、所属政党のサイトにリンクを残したまま第三者に取...

はてなブックマーク - 森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム はてなブックマークに追加

パスポート写真の売買がダークウェブで活況、どのように悪用されているのか?

パスポート写真の売買がダークウェブで活況、どのように悪用されているのか?

パスポート写真の売買がダークウェブで活況、どのように悪用されているのか?

by T.Young 違法な商品やサービスが売買されるアンダーグラウンドな「ダークウェブ」の世界で、パスポートの写真やスキャン画像が流通しています。パスポート画像の値段はさまざまですが、他の個人情報とセットで高値で売買されることもあるようです。 Passports on the dark web: how much is yours worth? - Comparite...

はてなブックマーク - パスポート写真の売買がダークウェブで活況、どのように悪用されているのか? はてなブックマークに追加

ファイアウォール機能に特化したLinuxディストリビューション「IPFire 2.21 Core 124」リリース、AWSでも利用可能に | OSDN Magazine

ファイアウォール機能に特化したLinuxディストリビューション「IPFire 2.21 Core 124」リリース、AWSでも利用可能に | OSDN Magazine

ファイアウォール機能に特化したLinuxディストリビューション「IPFire 2.21 Core 124」リリース、AWSでも利用可能に | OSDN Magazine

IPFireはオープンソースのファイアウォール向けLinuxディストリビューション。複雑なファイアウォール設定を容易に行えるという。 IPFire 2.21 Core 124は、9月初めに公開された同Core 123に続く最新安定版。Linuxカーネルのバージョンは4.14.72となり、特権のないユーザーによる一部メモリへのアクセスを禁じるセキュリ...

はてなブックマーク - ファイアウォール機能に特化したLinuxディストリビューション「IPFire 2.21 Core 124」リリース、AWSでも利用可能に | OSDN Magazine はてなブックマークに追加

知財本部タスクフォースと海賊版対策「中間まとめ案」 福井健策|コラム | 骨董通り法律事務所 For the Arts

知財本部タスクフォースと海賊版対策「中間まとめ案」 福井健策|コラム | 骨董通り法律事務所 For the Arts

知財本部タスクフォースと海賊版対策「中間まとめ案」 福井健策|コラム | 骨董通り法律事務所 For the Arts

2018年10月16日 文化・メディア著作権法 「知財本部タスクフォースと海賊版対策『中間まとめ案』」 弁護士 福井健策(骨董通り法律事務所 for the Arts) 15日、政府知財本部の海賊版対策タスクフォース(TF)がひとまず終了した。会議では焦点のブロッキングを巡り、導入論を含む両論併記でのとりまとめを求める意見と...

はてなブックマーク - 知財本部タスクフォースと海賊版対策「中間まとめ案」 福井健策|コラム | 骨董通り法律事務所 For the Arts はてなブックマークに追加

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘 森喜朗 森喜朗元首相の旧公式サイトのドメイン(インターネット上の住所)が第三者に取得され、英文の別サイトになっていることが16日、分かった。国会議員の旧サイトのドメインが、所属政党のサイトにリンクを残したまま第三者に取...

はてなブックマーク - 森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム はてなブックマークに追加

森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL

森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL

森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL

森喜朗元首相の旧公式サイトのドメインが第三者に取得され、別サイトになっている。森元首相の旧公式サイトのアドレスを入力すると、樹木などについて記した英文のサイトが表示。個人事務所閉鎖に伴い、ドメイン更新手続きを行わなかったため、第三者が取得して別サイトを作ったとみられる。 情報セキュリティー会社のト...

はてなブックマーク - 森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL はてなブックマークに追加

森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL

森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL

森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL

森喜朗元首相の旧公式サイトのドメインが第三者に取得され、別サイトになっている。森元首相の旧公式サイトのアドレスを入力すると、樹木などについて記した英文のサイトが表示。個人事務所閉鎖に伴い、ドメイン更新手続きを行わなかったため、第三者が取得して別サイトを作ったとみられる。 情報セキュリティー会社のト...

はてなブックマーク - 森元首相公式サイトが“乗っ取り”被害 悪用されるリスクも|日刊ゲンダイDIGITAL はてなブックマークに追加

【対策あり】最新のiOS12.0.1に脆弱性、写真が外部送信される可能性 – iPhone Mania

【対策あり】最新のiOS12.0.1に脆弱性、写真が外部送信される可能性 - iPhone Mania

【対策あり】最新のiOS12.0.1に脆弱性、写真が外部送信される可能性 - iPhone Mania

最新版のiOS12.0.1でも、パスコードや指紋、顔認証を使わずにiPhoneのロックを解除できてしまう脆弱性が発見されています。 最新版iOS12.0.1に新たな脆弱性 iOS12のインストールされたロックされたiPhoneを操作することで、ユーザー認証を使わずに「連絡先」などにアクセスできてしまう脆弱性があることを示した動画が9...

はてなブックマーク - 【対策あり】最新のiOS12.0.1に脆弱性、写真が外部送信される可能性 - iPhone Mania はてなブックマークに追加

Facebook、アクセストークン不正取得問題で被害状況を確認可能なヘルプページを公開

headless曰く、

Facebookは12日、9月に発生した「プロフィールを確認」ツールの脆弱性を狙った攻撃について、より詳細な被害範囲などを明らかにし、アカウントの被害状況を確認可能なヘルプページを公開した(Facebookのニュース記事)。

プロフィールを確認」(View As)ツールは自分のプロフィール画面を他のユーザーが見た時の見え方を確認するツールだが、2017年7月から2018年9月まで複数のバグにより、指定した「他のユーザー」のアクセストークンを取得可能な状態になっていた。Facebookでは9月14日から異常なアクティビティーを検知、9月25日には攻撃と断定して脆弱性を特定し、対策を行った。当初の発表ではアクセストークンを不正に取得されたユーザーの数を約5,000万人としていたが、実際には3,000万人程度だったという。

攻撃者はFacebook上の「友達」とつながる複数のアカウントを制御下におき、自動処理によりアカウントを切り替えていくことで友達やその友達のアクセストークンおよそ40万人分を取得できる状態にあった。ただし、この段階ではアクセストークンを取得するのではなく、各ユーザーのプロフィール画面を読み取って友達のリストを収集し、そのリストの一部を使用しておよそ3,000万人のアクセストークンを不正に取得したそうだ。

攻撃者はそのうち1,500万人についてプロフィールに設定された連絡先(電話番号または電子メールアドレス、またはその両方)にアクセスしており、1,400万人は連絡先の情報に加えてユーザー名や性別、誕生日などを含むさらに詳細な情報にアクセスしていたという。残りの100万人については、一切のユーザー情報にアクセスされた形跡がないとのこと。

自分のアカウントが影響を受けたかどうかについては、Facebook Help Centerで確認(要ログイン)できる。本件は現在、米連邦捜査局(FBI)が捜査しており、攻撃者の背後関係などは公表しないよう求められているとのことだ。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ | Facebook | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebook、アカウントへの不正アクセス発生を伝えるニュース記事へのリンク投稿を一時ブロック 2018年09月30日
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日
Facebook、ユーザーデータ利用に関する規約改変を公表 2013年09月04日

2020 年 IE, Edge で TLS 1.0, 1.1 での接続無効化。確認を!

こんにちは、垣内ゆりかです。

 

マイクロソフトでは、Transport Layer Security (TLS) 1.0, 1.1 の利用を廃止し、より安全なプロトコルである TLS 1.2 以降への移行を推奨しています。(参考過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています)

 

2020 年 前半、Internet Explorer 11, Microsoft Edge にて、 TLS 1.0 および TLS 1.1 を既定で無効化する措置を行う予定です。

(現時点の予定であり、予定は今後変更になる可能性があります。最新の情報は Microsoft Edge blogを参照してください)

 

Windows XP/Windows Server 2003 で主に利用されてきた TLS 1.0 は登場から約 20 年経過しました。その間、多くの脅威が発生し、セキュリティ面でも多くの改良がおこなわれたより新しいバージョンの TLS が登場してきました。今年ついに、最新の TLS 1.3 の標準化が行われ、現在、Windows, Edge をはじめとしたマイクロソフト製品、サービスへの実装をすすめているところです。(なお、 TLS 1.3 が達成する安全性については、暗号理論の視点で解説している 株式会社レピダムの米澤氏の解説ブログに詳細がありますので、ご興味のあるかたはぜひご一読されることをお勧めします。)

また、現在は、Windows XP  Windows Server 2003 のサポート終了、そして、業界全体でも TLS 1.2 の実装と利用が進んでいることから、TLS 1.0 が必要となる接続環境も徐々に減少しています。

こうした状況から、マイクロソフトでは、TLS 1.0, TLS 1.1 の利用をとりやめ、TLS 1.2 以降を利用するよう促進を行っています。Office 365 サービスにおいては、無効化が予定 (2018 1031日廃止予定) されています。暗号プロトコルは「使ってさえいれば安全」ではありません。現在の脅威に対応できるバージョンのみを利用し、リスクを下げることが重要です。

 

また、古いアルゴリズムの利用を停止し、新たなアルゴリズムを有効化するにあたっては、組織の環境を精査し、検証するなど、時間を要する作業が必要になります。特に TLS 1.0 は長い間利用されてきたこともあり、無効化による影響の確認には時間を要することが想定されます。ぜひ、早めに移行計画を開始してください。

TLS 1.2 への移行において、必要となる確認作業については、過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています を参考にしてください。

 

 

参考情報

Modernizing TLS connections in Microsoft Edge and Internet Explorer 11

過去ブログ

2018 10 Office 365 TLS 1.0, 1.1 での接続無効化。 最終確認を!

[IT 管理者向け] TLS 1.2 への移行を推奨しています

 

「Chrome」「Edge」「IE」「Firefox」「Safari」で TLS 1.0と1.1を2020年に無効化 – CNET Japan

「Chrome」「Edge」「IE」「Firefox」「Safari」で TLS 1.0と1.1を2020年に無効化 - CNET Japan

「Chrome」「Edge」「IE」「Firefox」「Safari」で TLS 1.0と1.1を2020年に無効化 - CNET Japan

Apple、Google、Microsoft、およびMozillaは米国時間10月15日、各社のブラウザでTransport Layer Security(TLS)1.0と1.1を2020年上半期中に無効化することを明らかにした。 「Microsoft Edge」のシニアプロダクトマネージャーを務めるKyle Pflug氏は、「2019年1月19日に20周年を迎えるTLS 1.0は、暗号化と認証によって...

はてなブックマーク - 「Chrome」「Edge」「IE」「Firefox」「Safari」で TLS 1.0と1.1を2020年に無効化 - CNET Japan はてなブックマークに追加

大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化 – ITmedia エンタープライズ

大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化 - ITmedia エンタープライズ

 大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化 - ITmedia エンタープライズ

EdgeとInternet Explorer(IE)11、Safari、Firefox、Chromeで、2020年にTLS 1.0とTLS 1.1が無効化される。 米AppleとGoogle、Microsoft、Mozilla Foundationは10月5日、それぞれのWebブラウザで、TLS 1.0およびTLS 1.1を2020年に無効化する計画を発表した。 TLSは通信の内容を暗号化するHTTPS接続のためのプロトコルで...

はてなブックマーク -  大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化 - ITmedia エンタープライズ はてなブックマークに追加

パソコンに差す「新しい鍵」が、パスワードを時代遅れにする|WIRED.jp

パソコンに差す「新しい鍵」が、パスワードを時代遅れにする|WIRED.jp

パソコンに差す「新しい鍵」が、パスワードを時代遅れにする|WIRED.jp

PHOTOGRAPH COURTESY OF YUBICO オンラインのアカウントで2要素認証を有効にし、パスワード+αの保護を行うことは皆さんにとっても“常識”だろう。このパスワードに加わる第2の要素として最も普及している手法は、アプリ経由でスマートフォンに数字を送るというものだ。 一方で、コンピューターに差し込む物理的なトーク...

はてなブックマーク - パソコンに差す「新しい鍵」が、パスワードを時代遅れにする|WIRED.jp はてなブックマークに追加

なぜ今どき、イモトのWi-Fiを使う情弱がいるのかわからない | More Access! More Fun!

なぜ今どき、イモトのWi-Fiを使う情弱がいるのかわからない | More Access! More Fun!

なぜ今どき、イモトのWi-Fiを使う情弱がいるのかわからない | More Access! More Fun!

最初に言うと自分はイモトのWi-Fiには非常に腹が立ったままです。 イモトのWiFiがやってくれた、初めての自分のカード情報流出体験記。 イモトのWiFiのエクスコムグローバル、セキュリティコード付き個人情報大流出のまとめ まあ、この会社の対応は無責任で酷かったの尽きる。 自分はDinersのカード情報が流出。ところが...

はてなブックマーク - なぜ今どき、イモトのWi-Fiを使う情弱がいるのかわからない | More Access! More Fun! はてなブックマークに追加

Rubyで安全な文字列リテラルかどうかを判別したい – かみぽわーる

Rubyで安全な文字列リテラルかどうかを判別したい - かみぽわーる

Rubyで安全な文字列リテラルかどうかを判別したい - かみぽわーる

Rails 5.2からRails SQL Injection ExamplesにあるようなSQLインジェクションを防ぐ仕組みが導入されて、Post.order(params[:order])みたいなコードは心温まる正規表現によるチェックをパスしないと危険とみなされるようになって、お前が安全やと思うんやったらPost.order(Arel.sql(params[:order]))しろってことになっ...

はてなブックマーク - Rubyで安全な文字列リテラルかどうかを判別したい - かみぽわーる はてなブックマークに追加

ぐるなびデータ基盤の運用について – ぐるなびをちょっと良くするエンジニアブログ

ぐるなびデータ基盤の運用について - ぐるなびをちょっと良くするエンジニアブログ

ぐるなびデータ基盤の運用について - ぐるなびをちょっと良くするエンジニアブログ

はじめまして。データマネジメントグループ DMPチームの瀧澤と申します。趣味は映画鑑賞と自宅のスマートホーム化です。 ぐるなびではデータ基盤の構築・運用を担当しています。 今回は私が運用しているデータ基盤環境の概要や導入経緯、運用のTipsをご紹介させていただこうと思います。 ぐるなびでの導入経緯 過去環境...

はてなブックマーク - ぐるなびデータ基盤の運用について - ぐるなびをちょっと良くするエンジニアブログ はてなブックマークに追加

Apple、Google、Microsoft、Mozillaが各社のブラウザでTLS 1.0/1.1のサポートを2020年前半に終了すると発表。 | AAPL Ch.

Apple、Google、Microsoft、Mozillaが各社のブラウザでTLS 1.0/1.1のサポートを2020年前半に終了すると発表。 | AAPL Ch.

Apple、Google、Microsoft、Mozillaが各社のブラウザでTLS 1.0/1.1のサポートを2020年前半に終了すると発表。 | AAPL Ch.

AppleやGoogle、Microsoft、Mozillaが各社のブラウザでTLS 1.0/1.1のサポートを2020年に終了すると発表しています。詳細は以下から。  各プラットフォームで主要なブラウザベンダーとなっ

はてなブックマーク - Apple、Google、Microsoft、Mozillaが各社のブラウザでTLS 1.0/1.1のサポートを2020年前半に終了すると発表。 | AAPL Ch. はてなブックマークに追加

CHIPSEC – Platform Security Assessment Framework For Firmware Hacking

CHIPSEC - Platform Security Assessment Framework For Firmware Hacking

CHIPSEC - Platform Security Assessment Framework For Firmware Hacking

CHIPSEC is a platform security assessment framework for PCs including hardware, system firmware (BIOS/UEFI), and platform components for firmware hacking. It includes a security test suite, tools for accessing various low-level interfaces, and forensic capabilities. It can be run on Windows, Linu...

はてなブックマーク - CHIPSEC - Platform Security Assessment Framework For Firmware Hacking はてなブックマークに追加

フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 | スラド IT

フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 | スラド IT

フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 | スラド IT

taraiok曰く、フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという(The Tribune、TechCrunch、Hacken.io、Slashdot)。 漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィ...

はてなブックマーク - フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 | スラド IT はてなブックマークに追加

フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理

taraiok曰く、

フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという(The TribuneTechCrunchHacken.ioSlashdot)。

漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。

10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。

すべて読む | ITセクション | セキュリティ | インターネット | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
米Yahoo!、今度は10億人分のユーザー情報を漏洩。以前のものとはまた別 2016年12月17日
ポルノ動画サイト「xHamster」からメールアドレス等のユーザー情報38万件が流出? 2016年12月01日
サイバー攻撃の85%は良く知られた脆弱性を悪用 2016年07月12日

“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 – @IT

“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 - @IT

 “Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 - @IT

@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。 1960年に創業したリクルートは、現在4万人の従業員を抱える大手グループ企業。『ホットペッパー』『ゼクシィ』『じゃらん』などの情報サービスを中心に事業展開...

はてなブックマーク -  “Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 - @IT はてなブックマークに追加

対立激化の海賊版対策、まとまらず迷走 中間まとめ→× 報告書→× 延長も不透明 – 弁護士ドットコム

対立激化の海賊版対策、まとまらず迷走 中間まとめ→× 報告書→× 延長も不透明 - 弁護士ドットコム

対立激化の海賊版対策、まとまらず迷走 中間まとめ→× 報告書→× 延長も不透明 - 弁護士ドットコム

知的財産戦略本部の「インターネット上の海賊版対策に関する検討会議」の第9回会合が10月15日、東京都内で開かれた。海賊版サイト対策として、ブロッキング(アクセス遮断)を導入するべきかどうかで対立が深まる中、事務局の「中間まとめ案」をめぐって、またしても意見がまとまらなかった。 村井純・共同座長が「中間...

はてなブックマーク - 対立激化の海賊版対策、まとまらず迷走 中間まとめ→× 報告書→× 延長も不透明 - 弁護士ドットコム はてなブックマークに追加

「ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に – ITmedia NEWS

「ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に - ITmedia NEWS

 「ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に - ITmedia NEWS

会議前に、ブロッキング法制化の強行は民間の協力を妨げるとして、森亮二弁護士など9人の検討会議委員が連名で中間とりまとめ案の修正案を提出した。 修正案は、「事務局の中間まとめ案にはブロッキング法制化を強行する意図がある」として、ブロッキングの賛否両論を併記したまとめ案の一部分を全文削除した上、「ブロ...

はてなブックマーク -  「ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に - ITmedia NEWS はてなブックマークに追加

フェイスブックの検索機能悪用しストーカーか 男を書類送検 | NHKニュース

フェイスブックの検索機能悪用しストーカーか 男を書類送検 | NHKニュース

フェイスブックの検索機能悪用しストーカーか 男を書類送検 | NHKニュース

フェイスブックの検索機能を悪用して好みの女性の電話番号を割り出し、ストーカー行為をしていたとして大阪の33歳の派遣社員が書類送検されました。警察によりますと、SNSを悪用した面識のない女性へのストーカー行為の摘発は全国でも珍しいということです。 警察によりますと、ことし5月までのおよそ半年間に面識の...

はてなブックマーク - フェイスブックの検索機能悪用しストーカーか 男を書類送検 | NHKニュース はてなブックマークに追加

<個人情報>本物のパスワード記載「脅迫メール」が横行(毎日新聞) – Yahoo!ニュース

<個人情報>本物のパスワード記載「脅迫メール」が横行(毎日新聞) - Yahoo!ニュース

<個人情報>本物のパスワード記載「脅迫メール」が横行(毎日新聞) - Yahoo!ニュース

本物のパスワード(PW)を記載し、「あなたの恥ずかしい動画を入手した」などと脅して仮想通貨での支払いを求める脅迫メールが横行している。交流サイト最大手の米フェイスブック(FB)などから大規模に流出した個人情報やPWが使われた可能性もあり、警察当局やセキュリティー団体は、要求に応じず、PWを変更す...

はてなブックマーク - <個人情報>本物のパスワード記載「脅迫メール」が横行(毎日新聞) - Yahoo!ニュース はてなブックマークに追加

グリッドマンの公式サイトのストーリー紹介でURL弄ったら結城友奈は勇者であるのストーリー紹介が出てくるバグを発見したんだが

グリッドマンの公式サイトのストーリー紹介でURL弄ったら結城友奈は勇者であるのストーリー紹介が出てくるバグを発見したんだが

グリッドマンの公式サイトのストーリー紹介でURL弄ったら結城友奈は勇者であるのストーリー紹介が出てくるバグを発見したんだが

1話と2話も公式サイトの予告は5枚までだったけど試しにURLを6に変えたらゆゆゆの画像が出てきた 全く関係ないはずなのになんでこんなことになるのか謎 https://gridman.net/story/img/01/01_06.jpg https://gridman.net/story/img/02/02_06.jpg

はてなブックマーク - グリッドマンの公式サイトのストーリー紹介でURL弄ったら結城友奈は勇者であるのストーリー紹介が出てくるバグを発見したんだが はてなブックマークに追加

本物のパスワード記載「脅迫メール」が横行

本物のパスワード記載「脅迫メール」が横行

本物のパスワード記載「脅迫メール」が横行

本物のパスワード(PW)を記載し、「あなたの恥ずかしい動画を入手した」などと脅して仮想通貨での支払いを求める脅迫メールが横行している。交流サイト最大手の米フェイスブック(FB)などから大規模に流出した個人情報やPWが使われた可能性もあり、警察当局やセキュリティー団体は、要求に応じず、PWを変更す...

はてなブックマーク - 本物のパスワード記載「脅迫メール」が横行 はてなブックマークに追加

植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性

headless曰く、

Medtronic製の植込み型心臓電気生理学デバイス(CIED)用プログラマーのソフトウェアアップデート機能で、リモートから患者を攻撃可能な脆弱性が見つかったそうだ(セキュリティ情報PDFFDAの発表RegisterSoftpedia)。

対象となるプログラマーはCareLink 2090とCareLink 20091で、脆弱性が見つかったのは同社のソフトウェア配布ネットワーク(SDN)からインターネット経由でアップデートする機能だ。Medtronicは当初、外部からの脆弱性報告を受けてセキュリティ情報を2月に公開し、6月にも更新情報を公開していた。この段階では特定のファイルを定期的にチェックするだけで対応可能と考えられていたようだ。しかし、米食品医薬品局(FDA)とともに脆弱性を精査した結果、脆弱性を悪用することでリモートから患者に危害を加えることが可能なことが判明したという。

Medtronicは対策としてインターネット経由のアップデート配布を無効化しており、アップデートが必要な場合は同社の担当者がUSB経由でインストールする。脆弱性自体を修正するアップデートは現在のところ開発されていないようだ。CIEDのプログラム設定にネットワーク接続は必要なく、そのほかのネットワーク接続が必要な機能は今回の脆弱性の影響を受けないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | プログラミング | バグ | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
IoTが引き起こす問題は誰が責任を負うべきか 2017年09月01日
ワイヤレス医療機器のハッキングを防ぐための事前審査、米国で議論される 2012年04月26日

Microsoft Authenticatorアプリを復元する | ブチザッキ

Microsoft Authenticatorアプリを復元する | ブチザッキ

Microsoft Authenticatorアプリを復元する | ブチザッキ

Office 365やAzureの管理者アカウントで多要素認証(MFA)が利用できますが、多要素の1つとしてMicrosoft Authenticatorアプリが利用できます。 Microsoft AuthenticatorアプリをiOSやAndroid上で構成すると単にMFA用のコードを表示するだけではなく、対応していればPush通知で知らせてくれるのでいちいちコードを入力し...

はてなブックマーク - Microsoft Authenticatorアプリを復元する | ブチザッキ はてなブックマークに追加

最新のiOS12.0.1でVoiceOver機能を利用してパスコード入力をバイパスして写真データにアクセスできるバグ – GIGAZINE

最新のiOS12.0.1でVoiceOver機能を利用してパスコード入力をバイパスして写真データにアクセスできるバグ - GIGAZINE

最新のiOS12.0.1でVoiceOver機能を利用してパスコード入力をバイパスして写真データにアクセスできるバグ - GIGAZINE

iOS 12にはパスコードを入力せずに端末内にアクセスできる脆弱性が発見されていましたが、最新のiOS 12.0.1でもなお「VoiceOver」機能を使って、パスコードロックをバイパスし、端末内の写真にアクセスするバグが発見され、YouTubeムービーで公開されました。 Passcode Bypass iOS 12 - 12.0.1 - YouTube 上記ムービーの...

はてなブックマーク - 最新のiOS12.0.1でVoiceOver機能を利用してパスコード入力をバイパスして写真データにアクセスできるバグ - GIGAZINE はてなブックマークに追加

5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり – GIGAZINE

5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE

5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE

5000万人分のFacebookアカウントのアクセストークンが盗まれてアクセスし放題になった件について、Facebookが調査結果を公表しました。 An Update on the Security Issue | Facebook Newsroom https://newsroom.fb.com/news/2018/10/update-on-security-issue/ Facebookは2018年9月25日、約5000万人ものユーザーに影響を...

はてなブックマーク - 5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE はてなブックマークに追加

【docker buildのマニアックすぎる狂宴】Container Build Meetup #1に参加してきた #container_build | DevelopersIO

【docker buildのマニアックすぎる狂宴】Container Build Meetup #1に参加してきた #container_build | DevelopersIO

【docker buildのマニアックすぎる狂宴】Container Build Meetup #1に参加してきた #container_build | DevelopersIO

「あぁ、この人たち、すっごい楽しそうにマニアックな話するなぁ」 このイベントに参加しながら、ハマコーずっとそんなことを考えてました。 Container Build Meetup #1 - connpass Docker […]

はてなブックマーク - 【docker buildのマニアックすぎる狂宴】Container Build Meetup #1に参加してきた #container_build | DevelopersIO はてなブックマークに追加

ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記

ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記

ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記

エグゼクティブサマリ聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに今年...

はてなブックマーク - ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記 はてなブックマークに追加

macOS 10.14 Mojaveでは新しいプライバシー保護機能のため、ホームディレクトリ以下でもターミナルからアクセスするさいには「フルディスクアクセス」設定が必要に。 | AAPL Ch.

macOS 10.14 Mojaveでは新しいプライバシー保護機能のため、ホームディレクトリ以下でもターミナルからアクセスするさいには「フルディスクアクセス」設定が必要に。 | AAPL Ch.

macOS 10.14 Mojaveでは新しいプライバシー保護機能のため、ホームディレクトリ以下でもターミナルからアクセスするさいには「フルディスクアクセス」設定が必要に。 | AAPL Ch.

macOS 10.14 Mojaveでは新しいプライバシー保護機能のため、ホームディレクトリ以下でもターミナルからアクセスするさいには「フルディスクアクセス」設定が必要になっています。詳細は以下から。  Appleは2

はてなブックマーク - macOS 10.14 Mojaveでは新しいプライバシー保護機能のため、ホームディレクトリ以下でもターミナルからアクセスするさいには「フルディスクアクセス」設定が必要に。 | AAPL Ch. はてなブックマークに追加

フリーツール Process Hacker を使って、他人のセキュリティコンテキストでアプリを起動

フリーツール Process Hacker を使って、他人のセキュリティコンテキストでアプリを起動

フリーツール Process Hacker を使って、他人のセキュリティコンテキストでアプリを起動

フリーツール Process Hacker を利用して、他人のセキュリティコンテキストでアプリを起動する方法を紹介します。 例えば、ドメイン管理者とローカル管理者がログインしているドメインメンバーサーバーで、そのローカル管理者がドメイン管理者のセキュリティコンテキストでコマンドプロンプトを起動することも可能です。...

はてなブックマーク - フリーツール Process Hacker を使って、他人のセキュリティコンテキストでアプリを起動 はてなブックマークに追加

フェイスブックの「バグ報奨金」制度拡大は、個人情報を今度こそ守れるか|WIRED.jp

フェイスブックの「バグ報奨金」制度拡大は、個人情報を今度こそ守れるか|WIRED.jp

フェイスブックの「バグ報奨金」制度拡大は、個人情報を今度こそ守れるか|WIRED.jp

IMAGE BY ALYSSA FOOTE フェイスブックはバグ報告報奨金制度、いわゆる「バグバウンティ」を比較的早くから取り入れてきた企業だ。2011年に制度をスタートして以来、同社は自社プラットフォームの脆弱性を発見したセキュリティーリサーチャーたちに総額600万ドル(約6億7,500万円)を超える報奨金を支払っている。 しか...

はてなブックマーク - フェイスブックの「バグ報奨金」制度拡大は、個人情報を今度こそ守れるか|WIRED.jp はてなブックマークに追加

電話番号を奪われメールやSNSのアカウントも丸ごと乗っ取られる「SIMハイジャック」 – GIGAZINE

電話番号を奪われメールやSNSのアカウントも丸ごと乗っ取られる「SIMハイジャック」 - GIGAZINE

電話番号を奪われメールやSNSのアカウントも丸ごと乗っ取られる「SIMハイジャック」 - GIGAZINE

by Mike Yukhtenko スマートフォンなどを使用するために必須のSIMカードを乗っ取る「SIMハイジャック」と呼ばれる攻撃が存在します。そんなSIMハイジャックを体験した人物が、その恐ろしい攻撃の詳細について告白しています。 'I Could Ruin Your Business Right Now': Listen to a SIM-Jacking, Account-Stealing Ranso...

はてなブックマーク - 電話番号を奪われメールやSNSのアカウントも丸ごと乗っ取られる「SIMハイジャック」 - GIGAZINE はてなブックマークに追加

「Google+」の閉鎖と情報流出問題は、大手テック企業の「矛盾」を浮き彫りにした|WIRED.jp

「Google+」の閉鎖と情報流出問題は、大手テック企業の「矛盾」を浮き彫りにした|WIRED.jp

「Google+」の閉鎖と情報流出問題は、大手テック企業の「矛盾」を浮き彫りにした|WIRED.jp

PHOTO: DAVID PAUL MORRIS/BLOOMBERG/GETTY IMAGES グーグルがSNS「グーグルプラス(Google+)」のサーヴィスを終了すると発表した。『ウォール・ストリート・ジャーナル』による10月8日の報道を受けたもので、記事によるとGoogle+にはバグが存在し、2015年以降で最大50万ユーザーの情報が流出する危険にさらされていた...

はてなブックマーク - 「Google+」の閉鎖と情報流出問題は、大手テック企業の「矛盾」を浮き彫りにした|WIRED.jp はてなブックマークに追加

「はてな」の認証機能っていつまでこのままなの?化石なの? – ぐだぐだわーくす

「はてな」の認証機能っていつまでこのままなの?化石なの? - ぐだぐだわーくす

「はてな」の認証機能っていつまでこのままなの?化石なの? - ぐだぐだわーくす

最近しつこい脅迫系のスパムメールを貰っています 結構前から使っているサブメールアドレスの転送先に以下のような文面が送られてくるようになりました。数打ちゃ当たるだろう系でばら撒いているのだろうけど、一番の特徴はしつこいということです。毎日毎日律儀に送付してきます。メールヘッダを見ても、ログイン履歴を...

はてなブックマーク - 「はてな」の認証機能っていつまでこのままなの?化石なの? - ぐだぐだわーくす はてなブックマークに追加

パソコン内に保存されたパスワードを調べる方法

パソコン内に保存されたパスワードを調べる方法

パソコン内に保存されたパスワードを調べる方法

パソコンを使っているとついパスワードの自動入力に頼りがち。何かの拍子でパスワードが自動入力されなくなって、思い出すのに一苦労したという人も多いでしょう。また、Wi-Fi機器を追加しようとセキュリティキーを探すのに苦労した人もいるはず。パソコン内に保存されたパスワードを調べる方法を紹介します。 パソコン...

はてなブックマーク - パソコン内に保存されたパスワードを調べる方法  はてなブックマークに追加

iPhone Xの画面は見るべからず〜捜査でのロック解除失敗回避のため – iPhone Mania

iPhone Xの画面は見るべからず〜捜査でのロック解除失敗回避のため - iPhone Mania

iPhone Xの画面は見るべからず〜捜査でのロック解除失敗回避のため - iPhone Mania

米連邦捜査局(FBI)は今年8月、捜査に必要な証拠を得るために、容疑者に対しiPhone Xでの顔認証を使ったロック解除を強制していたことが明らかになりました。一部ではこれで警察はiPhoneを簡単にロック解除できるようになるのではないか、との憶測が浮上しましたが、そう簡単にことは運ばないようです。 5回認証に失敗す...

はてなブックマーク - iPhone Xの画面は見るべからず〜捜査でのロック解除失敗回避のため - iPhone Mania はてなブックマークに追加

PS4で、受け取るだけで本体がクラッシュさせられてしまう凶悪なメッセージが蔓延中。解決されるまで対処推奨 | AUTOMATON

PS4で、受け取るだけで本体がクラッシュさせられてしまう凶悪なメッセージが蔓延中。解決されるまで対処推奨 | AUTOMATON

PS4で、受け取るだけで本体がクラッシュさせられてしまう凶悪なメッセージが蔓延中。解決されるまで対処推奨 | AUTOMATON

受け取っただけでPlayStation 4を機能不全に陥らせる凶悪なメッセージは、既にこの不具合を利用した悪質なユーザーによって相当数送られていると見られ、コミュニティ間では被害に遭ったユーザーの声が続出している。これ以上の被害が出ないためにも、以下にて一時的な対処方法を記しておく。また、PlayStation 4のシス...

はてなブックマーク - PS4で、受け取るだけで本体がクラッシュさせられてしまう凶悪なメッセージが蔓延中。解決されるまで対処推奨 | AUTOMATON はてなブックマークに追加

US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!! – セキュリティコンサルタントの日誌から

US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!! - セキュリティコンサルタントの日誌から

US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!! - セキュリティコンサルタントの日誌から

先日、US-CERTからサイバー犯罪に利用される公開ツールに関するアナウンスが出されました。 Publicly Available Tools Seen in Cyber Incidents Worldwide | US-CERT ITMediaにも取り上げられていますが、比較的面白い記事だったので勝手に翻訳してみました。(アメリカ合衆国政府機関の著作物はパブリックドメインとし...

はてなブックマーク - US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!! - セキュリティコンサルタントの日誌から はてなブックマークに追加

はてなブックマーク – AWSから120万円の高額請求が来た話

はてなブックマーク - AWSから120万円の高額請求が来た話

はてなブックマーク - AWSから120万円の高額請求が来た話

twitterアカウントが登録されていません。アカウントを紐づけて、ブックマークをtwitterにも投稿しよう! 登録する evernoteアカウントが登録されていません。アカウントを紐づけて、ブックマークをevernoteにも投稿しよう! 登録する

はてなブックマーク - はてなブックマーク - AWSから120万円の高額請求が来た話 はてなブックマークに追加

採掘できない暗号通貨にも対応する偽採掘アプリ

採掘のできない暗号通貨を含むAndroid向けの偽採掘アプリが多数発見されたとして、Fortinetが注意喚起している(Fortinetのブログ記事Softpediaの記事)。

膨大な計算が必要となる暗号通貨取引等の検証に協力することで報酬を得る採掘(マイニング)は、消費電力増大やWebサイトへのスクリプト埋め込みなどが話題になることも多い。ただし、暗号通貨の中にはRipple(XRP)やTether(USDT)のように採掘の仕組みを用意していないものもあり、こういった暗号通貨への対応をうたう採掘アプリは確実に偽物だ。Rippleの偽採掘アプリはESETが2月にGoogle Playで公開されているのを発見・報告しているが、今回の偽採掘アプリはGoogle Play以外でAPKを配布する、いわゆる野良アプリらしい。

偽採掘アプリの画面には、採掘した暗号通貨の金額とハッシュ値の計算速度表示、「START」ボタンが配置されている。STARTを押すと現在の計算速度が表示されるのだが、数字は単に乱数を生成して表示しているだけだという。また、暗号通貨の採掘量は関数が実行されるたびに一定の数値を加算するだけのようだ。メニューには採掘した暗号通貨を引き出すオプションも用意されているが、確認画面で「Yes」を選ぶとワレットのアドレスが正しくないといったエラーメッセージが必ず表示され、決して引き出すことはできない。

このアプリの開発者「lovecoin」は暗号通貨の名前部分を入れ替えた同様のアプリを複数公開しているという。アプリには広告を表示するコードが含まれており、広告収入を得ることが目的とみられる。そのため、Fortinetではこれらのアプリについて、ユーザーをだましてアドウェアをダウンロードさせるものだと述べている。

すべて読む | セキュリティセクション | セキュリティ | spam | 広告 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
バックグラウンドで秘密裏に仮想通貨のマイニングを実行するゲームが見つかる 2018年08月03日
Google Playで暗号通貨採掘アプリが禁止される 2018年07月29日
Apple、絵文字の使用や暗号通貨採掘の規定などを明記したApp Store審査ガイドライン改定 2018年06月09日
Ubuntu向けのパッケージ配信サービスでマイニングコード入りのパッケージが配信される 2018年05月16日
プレミアム機能と引き換えに暗号通貨を採掘する無料アプリがMac App Storeで公開されていた 2018年03月16日
仮想通貨の採掘をバックグラウンドで行うツールを同梱するフリーウェアが登場 2018年03月14日
アイスランドでは仮想通貨採掘に消費される電力量が家庭の消費量を超える見込みに 2018年02月15日
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日

AWSから120万円の高額請求が来た話

AWSから120万円の高額請求が来た話

AWSから120万円の高額請求が来た話

筆者は2018年の夏にAWSから高額請求を受けました。 とある開発合宿の夜、LaravelでS3に画像をあげ、CroudFront経由で表示させるための実装を行っていた時の出来事です。 AWSのコンソール画面とにらめっこしていた時に、ふと左サイドバーの履歴の項目に、気になる項目が目に付きました。 ん? 請求? 普段はこんな項目出...

はてなブックマーク - AWSから120万円の高額請求が来た話 はてなブックマークに追加

仮想通貨ウォレット開くのに「ユーザー名+パスワード」はもう古い? ブロックチェーンでパスワードいらずの1クリック認証実現へ【アラート】

仮想通貨ウォレット開くのに「ユーザー名+パスワード」はもう古い? ブロックチェーンでパスワードいらずの1クリック認証実現へ【アラート】

仮想通貨ウォレット開くのに「ユーザー名+パスワード」はもう古い? ブロックチェーンでパスワードいらずの1クリック認証実現へ【アラート】

仮想通貨ウォレット開くのに「ユーザー名+パスワード」はもう古い? ブロックチェーンでパスワードいらずの1クリック認証実現へ【アラート】 「ブロックチェーンを使ってパスワードのない世界をつくる」ことはできるのだろうか。 「ブロックチェーンを使ってパスワードのない世界をつくる」ことはできるのだろうか。 仮...

はてなブックマーク - 仮想通貨ウォレット開くのに「ユーザー名+パスワード」はもう古い? ブロックチェーンでパスワードいらずの1クリック認証実現へ【アラート】 はてなブックマークに追加

Windows 10 Creators Updateのサポートが終了

Windows 10 バージョン1703(Creators Update) Home/Proエディションのサポートが10月9日で終了した(WindowsライフサイクルのファクトシートComputerworldの記事Softpediaの記事Neowinの記事)。

Windows 10 バージョン1703のHome/Proエディションに対する更新プログラム提供は、9日にリリースされたKB4462937(OSビルド 15063.1387)が最後となる。一方、Enterprise/Educationエディションは2019年10月までバージョン1703のサポートが続く。また、Windows 10 Mobile バージョン1703は2019年6月までサポートされることになっている。

ただし、2016年8月にリリースされたWindows 10 Mobile バージョン1607(Anniversary Update)のサポートも10月9日で終了となっているが、こちらは4月の更新プログラムKB4093119(OSビルド 14393.2189)を最後に更新プログラムは提供されていないようだ。Home/Proエディションではバージョン1607のサポートが4月に終了しており、これに合わせて終了してしまった感じにも見える。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 MobileのInsider Programは終わるのか 2017年11月28日
Windows 10 バージョン1511のサポート期間が6か月延長 2017年11月18日
Microsoft、Windows 10のサービスモデル変更を発表 2017年07月29日
Windows 10 バージョン1507のサポートが終了 2017年05月11日
4月11日、Windows Vistaがサポート終了を迎える 2017年04月13日
Windows 10 RTMは3月26日でサービス終了 2017年01月23日
Windows 10 Anniversary UpdateがCurrent Branch for Businessに 2016年12月04日

論争を呼んだChromeの「自動ログイン」機能は、こうして“修正”に追い込まれた|WIRED.jp

論争を呼んだChromeの「自動ログイン」機能は、こうして“修正”に追い込まれた|WIRED.jp

論争を呼んだChromeの「自動ログイン」機能は、こうして“修正”に追い込まれた|WIRED.jp

PHOTO: GETTY IMAGES グーグルのウェブブラウザー「Chrome(クローム)」が登場したのは2008年だった。当時はマイクロソフトが開発した「インターネットエクスプローラー(IE)」が圧倒的なシェアを誇っていた。だがいまや、Chromeはデスクトップでもモバイルでもシェア60パーセントを超える圧倒的なウェブブラウザーに...

はてなブックマーク - 論争を呼んだChromeの「自動ログイン」機能は、こうして“修正”に追い込まれた|WIRED.jp はてなブックマークに追加

REST ClientのInsomniaがGraphQLにも対応していて便利 | DevelopersIO

REST ClientのInsomniaがGraphQLにも対応していて便利 | DevelopersIO

REST ClientのInsomniaがGraphQLにも対応していて便利 | DevelopersIO

はじめに AWS AppSyncを使ってGraphQL APIの開発をしています。動作確認などでAWSコンソールにあるQueries(GraphiQLベース)を使用していたのですが、開発ツールとして使用するには機能不足でした。他のGraphQL ClientもGraphiQLベースで作られているものがほとんどで、欲しい機能がなかったり、AppSyncの認証を通すの...

はてなブックマーク - REST ClientのInsomniaがGraphQLにも対応していて便利 | DevelopersIO はてなブックマークに追加

家族の絆を美化する「毒親ポルノ」の怖いワナ | 家庭 | 東洋経済オンライン | 経済ニュースの新基準

家族の絆を美化する「毒親ポルノ」の怖いワナ | 家庭 | 東洋経済オンライン | 経済ニュースの新基準

家族の絆を美化する「毒親ポルノ」の怖いワナ | 家庭 | 東洋経済オンライン | 経済ニュースの新基準

漫画家の菊池真理子さんは、穏やかな、けれども毅然とした口調でそう言い切る。菊池さんの2冊目の著書となる『毒親サバイバル』は、いわゆる「毒親」家庭で育った元・子どもたちの体験を描いたノンフィクションコミックだ。本書に登場する11人のサバイバーの中には、一般の会社員や子育て中の主婦のほか、WELQ問題の火付...

はてなブックマーク - 家族の絆を美化する「毒親ポルノ」の怖いワナ | 家庭 | 東洋経済オンライン | 経済ニュースの新基準 はてなブックマークに追加

リモートサーバの Jupyter Notebook を SSH Port Forwarding 経由で使う – CUBE SUGAR CONTAINER

リモートサーバの Jupyter Notebook を SSH Port Forwarding 経由で使う - CUBE SUGAR CONTAINER

リモートサーバの Jupyter Notebook を SSH Port Forwarding 経由で使う - CUBE SUGAR CONTAINER

一般的に Jupyter Notebook はローカルの環境にインストールして使うことが多い。 ただ、ローカルの環境は計算資源が乏しい場合もある。 そんなとは IaaS などリモートにあるサーバで Jupyter Notebook を使いたい場面が存在する。 ただ、セキュリティのことを考えると Jupyter Notebook の Web UI をインターネットに晒...

はてなブックマーク - リモートサーバの Jupyter Notebook を SSH Port Forwarding 経由で使う - CUBE SUGAR CONTAINER はてなブックマークに追加

An important update about Facebook’s recent security incident | Facebookヘルプセンター | Facebook

An important update about Facebook's recent security incident | Facebookヘルプセンター | Facebook

An important update about Facebook's recent security incident | Facebookヘルプセンター | Facebook

We previously announced a security incident on Facebook and want to provide an update on our investigation. We have now determined that attackers used access tokens to gain unauthorized access to account information from approximately 30 million Facebook accounts. We're very sorry this happened. ...

はてなブックマーク - An important update about Facebook's recent security incident | Facebookヘルプセンター | Facebook はてなブックマークに追加