月別アーカイブ: 2019年8月

AWS 東京リージョンで発生した大規模障害についてまとめてみた – piyolog

AWS 東京リージョンで発生した大規模障害についてまとめてみた - piyolog

AWS 東京リージョンで発生した大規模障害についてまとめてみた - piyolog

2019年8月23日 13時頃からAmazon AWS 東京リージョン でシステム障害が発生し、EC2インスタンスに接続できない等の影響が発生しています。ここでは関連する情報をまとめます。 AWS障害の状況 2019年8月23日昼頃より、Amazon EC2、Amaozn RDSの2つで障害発生。 発生リージョンは東京。東京近郊4データセンター群の内、1...

はてなブックマーク - AWS 東京リージョンで発生した大規模障害についてまとめてみた - piyolog はてなブックマークに追加

Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処

Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている(GIGAZINEITmediaZDNet Japan)。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

すべて読む | アップルセクション | 検閲 | Chrome | セキュリティ | Firefox | Safari | インターネット | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
HTTPS監視装置にセキュリティ低下の危険性 2017年03月24日
Lenovoが中間者攻撃的な挙動をするアドウェアをプリインストールしていたことが明らかに 2015年02月20日
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 2019年08月13日
Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 2017年09月16日

ChromiumベースのMicrosoft Edge、ベータ版の提供が始まる

headless曰く、

Microsoftは20日、Chromiumベースの新Microsoft Edge初のベータ版を提供開始した(Windows Experience BlogMicrosoft Tech Communityダウンロードページ)。

対応OSは既にCanary/Dev版が提供されているWindows 7~10およびmacOS。新機能はCanary/Dev版での品質テストが完了したものだけが追加され、メジャーアップデートの間隔は約6週間おきとなる。これとは別にバグやセキュリティ修正のためのマイナーアップデートも提供される。現在提供されているバージョンは77.0.235.9で、Canary/Dev版(現在バージョン78.0.2xx.x)では1か月ほど前のバージョンになる。新Microsoft Edgeはまだプレビューの段階ではあるものの、ベータ版は日常の使用に耐えるものになっているとのこと。

ベータ版の提供開始に合わせ、Microsoftでは新Microsoft Edgeの脆弱性発見に対する新報奨金プログラム「Microsoft Edge Insider Bounty Program」を発表している。新報奨金プログラムはChrome Vulnerability Reward Programを補完するのが目的とのことで、最新のパッチがすべて適用されたWindows(Windows 7 SP1/8.1/10)またはmacOS上の最新版Microsoft Edge(Dev/Beta)でのみ再現し、Google Chromeでは再現しない脆弱性が報奨金(最高30,000ドル)の対象となる。なお、Windows 10 Insider Preview上の現行版Microsoft Edge(EdgeHTML)を対象としたMicrosoft Edge(EdgeHTML)on Windows Insider Preview Bounty Program(報奨金最高15,000ドル)も引き続き実施されるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | Chromium | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 バージョン1903、プレビュー版Edgeをインストールすると現行版Edgeがスタートメニューで非表示に 2019年07月28日
Microsoft Edge Devビルド、Windows 10上でIEモードが利用可能に 2019年07月13日
ChromiumベースのMicrosoft Edge for macOS、プレビュービルドが提供開始 2019年05月24日
Google Docs、ChromiumベースのEdgeにサポートが終了したバージョンだと表示 2019年05月03日
Mozilla、EdgeがChromiumベースになることに対しGoogleの独占を危惧 2018年12月12日
Microsoft、EdgeブラウザをChromiumベースにすることを発表 2018年12月07日

1万6000件不正ログインか 三井住友カードのアプリ(共同通信) – Yahoo!ニュース

1万6000件不正ログインか 三井住友カードのアプリ(共同通信) - Yahoo!ニュース

1万6000件不正ログインか 三井住友カードのアプリ(共同通信) - Yahoo!ニュース

三井住友カードは23日、会員向けのスマートフォンアプリ「Vpassアプリ」が外部から不正アクセスを受け、1万6756件の顧客IDで不正なログインがあった可能性があると発表した。クレジットカードの番号漏えいや悪用の被害はないが、氏名や利用明細などが閲覧された恐れがあるという。 同社によると、8月19日に実施した通常...

はてなブックマーク - 1万6000件不正ログインか 三井住友カードのアプリ(共同通信) - Yahoo!ニュース はてなブックマークに追加

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

クレジットカード大手の三井住友カードは、会員向けのスマートフォンアプリに不正なアクセスがあり、およそ1万6700件で不正なログインがあった可能性があると発表しました。 クレジットカードが悪用されるなどの被害は確認されていませんが、利用者の氏名や利用明細が閲覧された可能性があるということです。

はてなブックマーク - 三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース はてなブックマークに追加

AWSで大規模障害が発生中 『アズレン』で通信障害を報告 『アナデン』『ダンメモ』『シノアリス』などにも影響 | Social Game Info

AWSで大規模障害が発生中 『アズレン』で通信障害を報告 『アナデン』『ダンメモ』『シノアリス』などにも影響 | Social Game Info

AWSで大規模障害が発生中 『アズレン』で通信障害を報告 『アナデン』『ダンメモ』『シノアリス』などにも影響 | Social Game Info

AMAZONのクラウドコンピューティングサービス「AWS」で8月23日13時頃から障害が発生しているようだ。 現在、その影響で『アズールレーン』で接続障害が発生しているとのアナウンスを行なっており、サーバーが復旧され次第、ゲームサーバーの復旧対応を行う、としている。このほか、『アナザーエデン 時空を超える猫』、...

はてなブックマーク - AWSで大規模障害が発生中 『アズレン』で通信障害を報告 『アナデン』『ダンメモ』『シノアリス』などにも影響 | Social Game Info はてなブックマークに追加

複数の脆弱性を利用してルータやデバイスを狙うボット型マルウェアの新亜種を確認

2019年7月22日から2019年8月6日の間、トレンドマイクロが設置したハニーポットから注目すべき3つのボット型マルウェア「Neko」、「Mirai」、「Bashlite」の新しい亜種を確認しました。2019年7月22日に、Nekoの検体を確認して解析を開始し、翌週の2019年7月29日には利用する脆弱性が追加された亜種を確認しました。また、2019年7月30日にMiraiの亜種「Asher」、さらに翌週の2019年8月6日にはBashliteの亜種「Ayedz」が確認されました。 これらのマルウェアに感染したルータは、分散型サービス拒否(Distributed Denial of Service, DDoS)攻撃を実行するボットネットの一部として機能します。

■ボット型マルウェア「Neko」について解説

2019年7月22日、トレンドマイクロが設置したハニーポットからボット型マルウェアの検体「x86.neko」(「Backdoor.Linux.NEKO.AB」として検出)が確認されました。 この検体は、以下のコマンドを発行します。

コマンド

弊社が実施した調査から、このボット型マルウェア「Neko」は複数のアーキテクチャに対応したバージョンを持つことがわかりました。

解析の結果、Nekoはいくつかのバックドアコマンドを実行できることが判明しました。シェルコマンドだけでなく、ルータが情報を適切に処理して応答できなくするUDPフラッド攻撃およびUPD-HEXフラッド攻撃を実行可能です。

また、実行中のプロセスを終了させる「Killer」関数を備えています。Nekoのコードには、終了させる対象である自身以外のマルウェアに関連したプロセスの広範な一覧が存在します。

Nekoのコードをさらに調べたところ、複数の脆弱性をスキャンする機能を持っていることが分かりました。これにより、このマルウェアが他の脆弱なデバイスに拡散してしまう可能性があります。以下は関連する脆弱性の一覧です。

上述の脆弱性とは別に、Nekoは脆弱なAfrico製デバイスもスキャンすることが判明しました。しかし、本記事執筆時点でNekoがどのAfrico製デバイスをスキャンするのかを特定することはできませんでした。したがって、Africo製デバイスを使用するユーザは特定の脆弱性のみが影響を受けるわけではないことに留意してください。 ただし、弊社は、Africo製デバイスが持つ脆弱性の構造がNetgear 製DGNデバイス上の認証されていないRCEを可能にするNetgear製のルータ「Netgear DGN1000 / DGN2200」が持つ脆弱性に類似していることを確認しました。

図1:Africo デバイスをスキャンする「Neko」のコード
図1:Africo デバイスをスキャンする「Neko」のコード

2019年7月29日、弊社が設置したハニーポットから、アップデートされたNekoの亜種(「Backdoor.Linux.NEKO.AC」として検出)が確認されました。今回確認されたNekoは、UPXでパックされていました。ただし、アンパックを防ぐためにマジックナンバ「UPX!)は変更されていました。

図2: UPXを利用して圧縮された「Neko」のコード、マジックナンバーが変更されている
図2: UPXを利用して圧縮された「Neko」のコード、マジックナンバーが変更されている

この新しい検体にはスキャナ機能は拡張されており、拡散手法としてさらなる脆弱性を利用することが判明しました。 興味深いことに、この亜種が利用する脆弱性一覧にはNetgear製のルータ「Netgear DGN1000 / DGN2200」が持つ脆弱性が含まれていました。これは、脆弱なAfrico製デバイスのスキャンと同様の構造を持つ脆弱性です。

図3: ルータ「Netgear DGN1000 / DGN2200」が持つ脆弱性をスキャンする「Neko」のコード
図3: ルータ「Netgear DGN1000 / DGN2200」が持つ脆弱性をスキャンする「Neko」のコード

このアップデートされたNekoの亜種は、複数のベンダが提供するCCTV-DVRやNetgear製のルータ「Netgear R7000およびR64002016-6277)」が持つ脆弱性もスキャンします。

図4:複数のCCTV-DVRが持つ脆弱性をスキャンする「Neko」のコード
図4:複数のCCTV-DVRが持つ脆弱性をスキャンする「Neko」のコード
図5:Netgear製ルータ「Netgear R7000およびR6400」が持つ脆弱性をスキャンする「Neko」のコード
図5:Netgear製ルータ「Netgear R7000およびR6400」が持つ脆弱性をスキャンする「Neko」のコード

このNekoの亜種は、Vacron製ネットワークビデオレコーダが持つRCE脆弱性と同様の脆弱性構造を持つ防犯カメラであると見られる製品に関連した文字列「awsec」もスキャンします。

図6:文字列「awsec」をスキャンする「Neko」のコード
図6:文字列「awsec」をスキャンする「Neko」のコード

さらに、Nekoは文字列「cisco」と「wap54g」のスキャンも試みます。ただし、弊社の解析結果から、両方のコマンドはどのような脆弱性も利用不可であることが判明しました。以下の図7の「cisco」をスキャンするコードは脆弱性「CVE-2018-15379」を利用しようとしていると見受けられます。この脆弱性は、ルータ、スイッチ、無線LANデバイスを統合管理・監視するエンタープライズネットワーク向け製品「Cisco Prime Infrastructure」が提供するHTTP Webサーバにおいて、ディレクトリのパーミッションが制限されていないことに起因するRCEを可能とします。ただし、この攻撃で利用されるペイロードは正しいURIパスを使用しないため、この脆弱性を突く攻撃による影響はないと考えられます。

図7:文字列「cisco」をスキャンする「Neko」のコード
図7:文字列「cisco」をスキャンする「Neko」のコード

一方、文字列「wap54g」をスキャンするコードのペイロードに含まれたHTTPヘッダとメッセージボディは不適切にフォーマットされていたため、ルータ「WAP54Gv3」のRCE脆弱性の利用に失敗する可能性があります。

図8:文字列「wap54g」をスキャンする「Neko」のコード
図8:文字列「wap54g」をスキャンする「Neko」のコード

■Miraiの亜種「Asher」について解説

2019年7月30日、トレンドマイクロが設置するハニーポットから別のルータを利用するマルウェアであるMiraiの亜種「Asher」(「Backdoor.Linux.MIRAI.VWIRC」として検出)が確認されました。典型的なMiraiの亜種の特徴を持つAsherは、Unix系ユーティリティを提供するソフトウェア「BusyBox」を利用してデバイスに感染します。 まず、Asherはコマンド「/bin/busybox<任意の文字列>」を実行してBusyBoxの存在を確認します。 対象となるデバイスのシステムが「<任意の文字列>applet not found」と応答した場合、Asherは操作を続行します。 この亜種の作成者は、「<任意の文字列>」部分を使用してマルウェアに「名前を付け」ました。 今回の事例では、「Asher」という名前が使用されました。

図9:「BusyBox」の存在を確認するコマンド
図9:「BusyBox」の存在を確認するコマンド

Miraiの亜種「Asher」は、以下の「telnet」ログイン認証情報を使用して辞書攻撃でルータに侵入します。

  • 12345
  • 2011vsta
  • 2601hx
  • 4321
  • admin
  • daemon
  • default
  • guest
  • OxhlwSG8
  • pass
  • password
  • root
  • S2fGqNFs
  • support D13hh[
  • synnet
  • t0talc0ntr0l4!
  • taZz@23495859
  • tlJwpbo6
  • vizxv
  • xc3511

トレンドマイクロは以下の図10に示されているルータの脆弱性をスキャンすることで、Asherが拡散することを確認しました。 また、Asherが狙う脆弱性2つがNekoが狙う脆弱性と類似することがわかりました。

図10:ボット型マルウェア「Asher」がスキャンするルータの脆弱性
図10:ボット型マルウェア「Asher」がスキャンするルータの脆弱性

図11:ボット型マルウェア「Asher」がDASAN製家庭用GPONルータの脆弱性「CVE-2018-10561」および「CVE-2018-10562」をスキャンするコード
図11:ボット型マルウェア「Asher」がDASAN製家庭用GPONルータの脆弱性「CVE-2018-10561」および「CVE-2018-10562」をスキャンするコード

図12:ボット型マルウェア「Asher」がDVR「MVPower」でシェルコマンドの実行が可能になる脆弱性をスキャンするコード図12:ボット型マルウェア「Asher」がDVR「MVPower」でシェルコマンドの実行が可能になる脆弱性をスキャンするコード

図13:ボットネット「Asher」がRealtek製 SDK搭載のデバイスが持つ脆弱性「CVE-2014-8361」をスキャンするコード図13:ボットネット「Asher」がRealtek製 SDK搭載のデバイスが持つ脆弱性「CVE-2014-8361」をスキャンするコード

■Bashlite の亜種「Ayedz」について解説

2019年8月6日、弊社のハニーポットはルータに感染するさらに別のボット型マルウェアBashliteの亜種「Ayedz」の検体(「Backdoor.Linux.BASHLITE.SMJC」、「Backdoor.Linux.BASHLITE.SMJC8」、および「Backdoor.Linux.BASHLITE.SMJC4」として検出)を確認しました。このBashliteの亜種は、ファイル名に「Ayedz」という文字列を使用していることから、自身を「Ayedz」と呼称していると見られています。 このマルウェアが実行されると、Ayedzは46216番ポートを介してホストIPアドレス「167[.]<省略> [.]231」に、感染デバイスに関する以下の情報を送り返します。

図14:Bashliteの亜種「Ayedz」がホストに情報を送信するために使用するコマンド
図14:Bashliteの亜種「Ayedz」がホストに情報を送信するために使用するコマンド

以下は送信される情報の内容です。

  • Device –「getDevice」関数は、「/usr/sbin/telnetd」にファイルが存在する場合は文字列「SSH」を返し、そうでない場合は文字列「Uknown Device」を返す。
  • Files – 対象となるデバイスが以下のファイルを保持するかどうかを返す。
  • /usr/bin/python
    • /usr/bin/python
    • /usr/bin/python3
    • /usr/bin/perl
  • distro(Linuxディストリビューション) – 感染したデバイスのLinuxディストリビューションが「openSUSE」、「Red Hat Enterprise Linux(REHL)」、「CentOS」、「Gentoo Linux」、「Ubuntu」、「Debian」、または不明であることを返す。
  • Port – 上記の4つのファイルが見つかった場合、「getPorz」関数は文字列「22」を返す。 それ以外の場合は、文字列「Unknown Device」を返す。

このAyedzの検体の解析により、Ayedz はDDoS攻撃のためのいくつかのバックドアコマンドを実行可能であることが判明しました。また、弊社はAyedzが以下のようなコマンドを持つことを確認しました。

  • CLOUDFLARE – CloudFlareによるDDoS保護を回避するHTTPフラッド攻撃
  • CNC – コマンド&コントロール(C&C)サーバを設定
  • HTTP – HTTP フラッド攻撃
  • RAID – STD + TCP フラッド攻撃
  • STD – STD フラッド攻撃
  • STOMP – STD + UDPフラッド攻撃
  • STOP – ボットの動作を停止
  • TCP – TCP SYNフラッド攻撃
  • UDP – UDPフラッド攻撃
  • UPDATE – コマンド&コントロールサーバから更新されたバイナリをダウンロード

■被害に遭わないためには

デバイスの製造を行うメーカーはルータやその他のデバイスを保護する上で重要な役割を果たしますが、ユーザや企業もまた、本記事で紹介したMirai、Neko、Bashliteなどのマルウェアの脅威を防ぐために以下のようなベストプラクティスを講じることが大切です。

  • 製品に一貫してパッチを提供する信頼できるメーカーを選択する。
  • ルータなどのデバイスのファームウェアとソフトウェア、およびそれにアクセスするために使用される認証情報を定期的に更新する。
  • デバイスが使用する接続の暗号化とセキュリティ保護
  • 侵入に対する耐性を高めるようにルータを設定する
  • デバイスの古いもしくは不要なコンポーネントを無効にし、信頼できるソースを介した正当なアプリケーションのみを使用する。
  • ホームネットワークとそれに接続されたデバイスに追加のセキュリティを提供する製品を利用する。

■トレンドマイクロの対策

Trend Micro Smart Home Network™」をご利用のお客様は以下のルールによって本記事で解説した脅威から守られています。

■侵入の痕跡(Indicators of Compromise 、IoCs)

侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。

Asher

REALTEK Rule 2575: Command Injection via UPnP SOAP Interface – HTTP (Request)
JAWS Rule 2544: JAWS Remote Code Execution Exploit – HTTP (Request), Rule 2639: CVE-2018-10562 – GPON Remote Code Execution – HTTP (Request)

Ayedz

Linux Beta Rule 3272: BASHLITE – TCP (Request) – Beta
Official Rule 4180: BASHLITE – TCP (Request) 
ペイロード ルール
Netgear Official Rule 2547: NETGEAR DGN1000/DGN2200 Remote Code Execution – HTTP (Request)
NetgearR7064 Official Rule 4103: Daemon DD-WRT Unauthenticated RCE Exploit – HTTP (Request)
Crossweb Beta Rule 3268: CCTV-DVR Remote Code Execution – HTTP (Request)
Official Rule 2485: CCTV-DVR Remote Code Execution – HTTP (Request)
Cisco Official Rule 2452: Wget Commandline Injection
Beta Rule 3269: CVE-2018-15379 Cisco Prime Infrastructure Remote Command Execution – HTTP (Request)
Official Rule 4168: CVE-2018-15379 Cisco Prime Infrastructure Remote Command Execution – HTTP (Request)
Awsec/Vacron Official Rule 2543: VACRON Remote Code Execution Exploit- HTTP (Request)
WAP54G Beta Rule 3270: Linksys Remote Debug Root Shell- HTTP (Request)
Official Rule 4169: Linksys Remote Debug Root Shell- HTTP (Request)

参考記事:

翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)

「添付ファイルをzipに圧縮してパスワードをかけて,パスワードは別メールで送信」そんな“常識”,本当に今も必要ですか?:新刊ピックアップ|技術評論社

「添付ファイルをzipに圧縮してパスワードをかけて,パスワードは別メールで送信」そんな“常識”,本当に今も必要ですか?:新刊ピックアップ|技術評論社

「添付ファイルをzipに圧縮してパスワードをかけて,パスワードは別メールで送信」そんな“常識”,本当に今も必要ですか?:新刊ピックアップ|技術評論社

「メールに圧縮されたファイルが添付されてきた。中を開こうと思ったけど,スマホじゃうまく開けない。会社に戻ってパソコンでファイルを開けようとしたら,パスワードが必要とのこと。別メールでパスワードが送られてきたので,めんどくさいけど入力して開けてみたら,とくに秘密にしなくてもいいような,どうでもいい...

はてなブックマーク - 「添付ファイルをzipに圧縮してパスワードをかけて,パスワードは別メールで送信」そんな“常識”,本当に今も必要ですか?:新刊ピックアップ|技術評論社 はてなブックマークに追加

ValveがSteamのゼロデイ脆弱性報告を無視したのは「間違いだった」と全面的に認める – GIGAZINE

ValveがSteamのゼロデイ脆弱性報告を無視したのは「間違いだった」と全面的に認める - GIGAZINE

ValveがSteamのゼロデイ脆弱性報告を無視したのは「間違いだった」と全面的に認める - GIGAZINE

ゲーム販売プラットフォーム「Steam」のWindows版でゼロデイ脆弱性が報告されていたにも関わらず、運営会社のValveがこの報告を無視した上に、脆弱性を発見したホワイトハッカーをSteamのバグ報奨金プログラムから排斥した件について、Valveは「間違いだった」と認め、バグ報奨金プログラムのポリシー変更を発表しました...

はてなブックマーク - ValveがSteamのゼロデイ脆弱性報告を無視したのは「間違いだった」と全面的に認める - GIGAZINE はてなブックマークに追加

Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 – Flatt Security Tech Blog

Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Tech Blog

Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Tech Blog

はじめに BlackHat USA 2019 株式会社 Flatt Security でセキュリティエンジニアをしている米内(@lmt_swallow)です。私は 2019/8/3 から 2019/8/8 で開催された Black Hat USA 2019 と、続いて開催された DEFCON 27 に参加してきました。本記事では、特に Black Hat USA 2019 で印象的だった以下の 4 つの発表について、...

はてなブックマーク - Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Tech Blog はてなブックマークに追加

GitHubがWebAuthn対応を開始。MacのTouch IDやWindows Helloの指紋認証などを使いパスワードレスでログイン可能に - Publickey

GitHubがWebAuthn対応を開始。MacのTouch IDやWindows Helloの指紋認証などを使いパスワードレスでログイン可能に - Publickey

GitHubがWebAuthn対応を開始。MacのTouch IDやWindows Helloの指紋認証などを使いパスワードレスでログイン可能に - Publickey

GitHubがWebAuthn対応を開始。MacのTouch IDやWindows Helloの指紋認証などを使いパスワードレスでログイン可能に GitHubは、パスワード不要でログインを実現するWeb標準仕様「WebAuthn」への対応開始を発表しました。 Remember when fingerprint authentication seemed like the future? Starting today, secure access...

はてなブックマーク - GitHubがWebAuthn対応を開始。MacのTouch IDやWindows Helloの指紋認証などを使いパスワードレスでログイン可能に - Publickey はてなブックマークに追加

パスワードリセットを要請された英ISP、なぜか元のパスワードを郵送する

headless曰く、

英セキュリティ企業Cygenta共同設立者のFC氏(Freakyclown)が英プロバイダーVirgin Mediaのアカウント情報を思い出せず、パスワードリセットを要請したところ、なぜか元のパスワードが郵送されてきたそうだ(FC氏のツイートThe Next Web)。

FC氏は数年前にVirgin Mediaでアカウントを設定したまま一度もサインインしたことがなかったため、アカウントの詳細を忘れてしまったという。コールセンターとの通話中にようやく電子メールアドレスだけは思い出し、パスワードリセットを要請。パスワードを郵送するという担当者の言葉を妙だとは思ったものの、FC氏は受け入れたそうだ。しかし、郵送されてきたパスワードを見た途端、自分が設定したパスワードだということを思い出したとのこと。

どのようなパスワードだったのかは説明されていないが、偶然に一致するようなものではなかったようだ。FC氏はVirgin Mediaがパスワードを平文で保存していたことと、パスワードをリセットせずに郵送したことを批判する。この批判に対しVirgin Mediaでは、他人の郵便物を開封するのは違法なので(パスワードの)郵送は安全だ、とTwitterで返信している。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 変なモノ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
Slack、2015年の不正アクセスに関連してアカウントの約1%でパスワードをリセット 2019年07月21日
英AA、パスワードリセット通知の誤送信でサーバーに障害発生 2017年07月01日
秘密の質問の答えはパスワードのように扱うべき? 2016年10月01日

政府、20年度に「宇宙作戦隊」を新設 概算要求に計上 – 毎日新聞

政府、20年度に「宇宙作戦隊」を新設 概算要求に計上 - 毎日新聞

政府、20年度に「宇宙作戦隊」を新設 概算要求に計上 - 毎日新聞

政府は2020年度、安全保障上の重要性が高まっている宇宙分野での能力向上に向け、自衛隊に「宇宙作戦隊」を新設する方針だ。他国の人工衛星からの電波妨害などで自衛隊の活動が影響を受けないよう宇宙空間を常時監視することなどが任務となる。防衛省が20年度予算の概算要求に関連経費を計上する。 米国や中国、ロシアな...

はてなブックマーク - 政府、20年度に「宇宙作戦隊」を新設 概算要求に計上 - 毎日新聞 はてなブックマークに追加

PHP 7.4.0beta4 released!

The PHP team is glad to announce the third and last beta release of PHP 7.4: PHP 7.4.0beta4. This continues the PHP 7.4 release cycle, the rough outline of which is specified in the PHP Wiki.

For source downloads of PHP 7.4.0beta4 please visit the download page.

Please carefully test this version and report any issues found in the bug reporting system.

Please DO NOT use this version in production, it is an early test version.

For more information on the new features and other changes, you can read the NEWS file, or the UPGRADING file for a complete list of upgrading notes. These files can also be found in the release archive.

The next release would be RC 1, planned for September 5th.

The signatures for the release can be found in the manifest or on the QA site.

Thank you for helping us make PHP better.

iPhoneの名前を「猫の画像ください」にしたら電車内で知らない人からAirDropで大量の猫画像をもらえた – Togetter

iPhoneの名前を「猫の画像ください」にしたら電車内で知らない人からAirDropで大量の猫画像をもらえた - Togetter

iPhoneの名前を「猫の画像ください」にしたら電車内で知らない人からAirDropで大量の猫画像をもらえた - Togetter

『猫の画像ください』を端末の名前ににし 知らない人からエアドロップで猫画像もらう危険な遊びをしてます。 電車内で沢山くれた人、 ありがとうw pic.twitter.com/ZcsPzhV4QK

はてなブックマーク - iPhoneの名前を「猫の画像ください」にしたら電車内で知らない人からAirDropで大量の猫画像をもらえた - Togetter はてなブックマークに追加

GoogleやMicrosoftも出資!CDN提供ユニコーン「Cloudflare」新規上場 | Stockclip

GoogleやMicrosoftも出資!CDN提供ユニコーン「Cloudflare」新規上場 | Stockclip

GoogleやMicrosoftも出資!CDN提供ユニコーン「Cloudflare」新規上場 | Stockclip

Webサービスの負荷分散などを実現するCDNを無料で提供 大口顧客が倍々ゲームで増加し、リテンションレート113% 90カ国193都市にサーバーを配置 有形資産が資産の3割 CloudflareのTAMは50兆円規模 クラウド時代に欠かせないITインフラを提供する「Cloudflare」が上場申請書類(Form S-1)を公開しました。 Cloudflareの...

はてなブックマーク - GoogleやMicrosoftも出資!CDN提供ユニコーン「Cloudflare」新規上場 | Stockclip はてなブックマークに追加

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた – r-weblife

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということです。 forest.watch.impress.co.jp 将来的には“Windows Hello”...

はてなブックマーク - GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife はてなブックマークに追加

偽サイトに偽の電話番号を掲載することでデジタルアシスタントに偽コールセンターへの電話をかけさせる詐欺手法

headless曰く、

SiriやAlexaといったデジタルアシスタントをだまして偽コールセンターへ電話をかけさせる、という詐欺手法があるそうだ(Better Business BureauのニュースリリースSlashGearMashable)。

デジタルアシスタントは使用者の要求に応じてWeb検索の結果から企業などの電話番号を抽出し、連絡先に登録されていない相手に電話をかけることができる。しかし、見つけた電話番号が本物かどうかをデジタルアシスタントは確認できないため、詐欺師は偽サイトを検索結果に紛れ込ませたり、偽広告を検索結果に表示させたりすることで、偽コールセンターへ電話をかけさせることが可能になるという。

偽コールセンターはいわゆるテクニカルサポート詐欺のほか、航空会社のカスタマーサービスを偽って予約変更料金を送金させようとするようなものもあるそうだ。Better Business Bureauでは偽コールセンター詐欺の被害を回避するためのアドバイスとして、Web検索やデジタルアシスタント任せではなく正規のWebサイトで連絡先を確認すること、偽広告に注意すること、支払いには後で拒否しやすいクレジットカードを使うことを推奨している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 人工知能 | 携帯電話 | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、チャットボットとの会話中に入る「変な間」を解消 2018年04月07日
SiriとAlexaがセクハラ質問に毅然とした態度をとるよう、プログラム変更を求める署名運動 2017年12月10日
Amazon、Echoへの通話機能導入を目指す 2017年10月21日
超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃 2017年09月10日
Microsoft、チャットボットとの会話中に入る「変な間」を解消 2018年04月07日
SiriとAlexaがセクハラ質問に毅然とした態度をとるよう、プログラム変更を求める署名運動 2017年12月10日
Amazon、Echoへの通話機能導入を目指す 2017年10月21日
超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃 2017年09月10日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日

9600万人以上に影響を与えうるWindows版Steamのゼロデイ脆弱性をホワイトハッカーが一般公開した理由とは? – GIGAZINE

9600万人以上に影響を与えうるWindows版Steamのゼロデイ脆弱性をホワイトハッカーが一般公開した理由とは? - GIGAZINE

9600万人以上に影響を与えうるWindows版Steamのゼロデイ脆弱性をホワイトハッカーが一般公開した理由とは? - GIGAZINE

Windows版Steamのゼロデイ脆弱性をホワイトハッカーが誰でも閲覧できる形式で詳しく公開しています。このゼロデイ脆弱性に関して、発表に至るまでの経緯やValveの対応に注目が集まっています。 One more Steam Windows Client Local Privilege Escalation 0day https://amonitoring.ru/article/onemore_steam_eop_0day/ ...

はてなブックマーク - 9600万人以上に影響を与えうるWindows版Steamのゼロデイ脆弱性をホワイトハッカーが一般公開した理由とは? - GIGAZINE はてなブックマークに追加

政府が市民監視に利用か、主要ブラウザがカザフスタンの証明書をブロック – ITmedia エンタープライズ

政府が市民監視に利用か、主要ブラウザがカザフスタンの証明書をブロック - ITmedia エンタープライズ

政府が市民監視に利用か、主要ブラウザがカザフスタンの証明書をブロック - ITmedia エンタープライズ

Webブラウザ大手のMozillaとGoogleは2019年8月21日、カザフスタン共和国政府によるインターネットトラフィックの傍受を阻止するため、技術的な対策を講じたと発表した。同国のユーザー向けに「セキュリティとプライバシーを守るための措置」と説明している。 両社が今回の対応の根拠としている報告書によれば、カザフス...

はてなブックマーク - 政府が市民監視に利用か、主要ブラウザがカザフスタンの証明書をブロック - ITmedia エンタープライズ はてなブックマークに追加

GitHubがWebAuthn対応で物理セキュリティキーによる二段階認証を正式にサポート – GIGAZINE

GitHubがWebAuthn対応で物理セキュリティキーによる二段階認証を正式にサポート - GIGAZINE

GitHubがWebAuthn対応で物理セキュリティキーによる二段階認証を正式にサポート - GIGAZINE

by Ben Scholzen ソフトウェア開発のオンラインプラットフォームであるGitHubは2019年8月21日付けで、多要素セキュリティ認証をブラウザ上で行うためのウェブ標準であるWebAuthnに対応したことを発表しました。GitHubはこれまで部分的に物理セキュリティキーによる二段階認証をサポートしていましたが、WebAuthnへの対応...

はてなブックマーク - GitHubがWebAuthn対応で物理セキュリティキーによる二段階認証を正式にサポート - GIGAZINE はてなブックマークに追加

Microsoft、Linux Foundation、Alibabaなどがクラウドセキュリティ業界団体設立 – ITmedia NEWS

Microsoft、Linux Foundation、Alibabaなどがクラウドセキュリティ業界団体設立 - ITmedia NEWS

Microsoft、Linux Foundation、Alibabaなどがクラウドセキュリティ業界団体設立 - ITmedia NEWS

Microsoft、Linux Foundation、Alibabaなどがクラウドセキュリティ業界団体設立 MicrosoftやAlibaba、Googleなどのクラウド大手がLinux Foundationと新たな業界横断プロジェクト「Confidential Computing Consortium」を立ち上げた。「コンフィデンシャルコンピューティング」の採用と促進を目指す。 Linux Foundationは...

はてなブックマーク - Microsoft、Linux Foundation、Alibabaなどがクラウドセキュリティ業界団体設立 - ITmedia NEWS はてなブックマークに追加

GoogleとMozillaが独裁国家の認証するルート証明書をブロックすると発表 – GIGAZINE

GoogleとMozillaが独裁国家の認証するルート証明書をブロックすると発表 - GIGAZINE

GoogleとMozillaが独裁国家の認証するルート証明書をブロックすると発表 - GIGAZINE

独裁政治が続くカザフスタンでは、政府が認証したルート証明書のインストールが国民に強制されています。このルート証明書を導入してしまうとHTTPSプロトコルの暗号化通信が政府に傍受される可能性がある、という強い批判を受けて、MozillaとGoogleがカザフスタン政府によるルート証明書をブロックすることを表明しまし...

はてなブックマーク - GoogleとMozillaが独裁国家の認証するルート証明書をブロックすると発表 - GIGAZINE はてなブックマークに追加

オンプレとクラウドのネットワークの話 – Technology of DeNA

オンプレとクラウドのネットワークの話 - Technology of DeNA

オンプレとクラウドのネットワークの話 - Technology of DeNA

IT基盤部エンジニアブログリレー第4回目。 こんにちは、IT基盤部ネットワークG torigoe です。 オンプレとクラウドのネットワークをどう繋げるのか、クラウド内のネットワークをどうするのか考えた話を書きます。 多くの内部サービスを持っていて、オンプレからクラウドに移行を検討しているネットワークエンジニアの人...

はてなブックマーク - オンプレとクラウドのネットワークの話 - Technology of DeNA はてなブックマークに追加

【レポート】Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ | DevelopersIO

【レポート】Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ | DevelopersIO

【レポート】Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ | DevelopersIO

本記事は、2019年8月21日に行われたmerpay社の主催するイベント、「Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~」の参加レポートです。 Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ レポート セッションの概要 メルペイ社の認証基盤チームの担当している 外部向けに提供...

はてなブックマーク - 【レポート】Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ | DevelopersIO はてなブックマークに追加

GitHub supports Web Authentication (WebAuthn) for security keys – The GitHub Blog

GitHub supports Web Authentication (WebAuthn) for security keys - The GitHub Blog

GitHub supports Web Authentication (WebAuthn) for security keys - The GitHub Blog

GitHub now supports Web Authentication (WebAuthn) for security keys—the new standard for secure authentication on the web. Starting today, you can use security keys for two-factor authentication on GitHub with even more browsers and devices. And, since many browsers are actively working on WebAut...

はてなブックマーク - GitHub supports Web Authentication (WebAuthn) for security keys - The GitHub Blog はてなブックマークに追加

高度だった日本軍の情報収集能力、なぜ負けたのか? 戦前から続く日本の「インテリジェンスの扱い方」の問題点(1/5) | JBpress(Japan Business Press)

高度だった日本軍の情報収集能力、なぜ負けたのか? 戦前から続く日本の「インテリジェンスの扱い方」の問題点(1/5) | JBpress(Japan Business Press)

高度だった日本軍の情報収集能力、なぜ負けたのか? 戦前から続く日本の「インテリジェンスの扱い方」の問題点(1/5) | JBpress(Japan Business Press)

作戦に参加した日本兵のほとんどが死に、史上最悪といわれる「インパール作戦」。 画像は日本軍を撃退しに向かうグルカ兵。(Wikipediaより) 太平洋戦争に突入した直後の戦況は、たしかに日本が優勢であった。それは、当時の日本軍が世界有数の高度な情報収集能力を有していたからだという。戦前の日本では一体どのよう...

はてなブックマーク - 高度だった日本軍の情報収集能力、なぜ負けたのか? 戦前から続く日本の「インテリジェンスの扱い方」の問題点(1/5) | JBpress(Japan Business Press) はてなブックマークに追加

「韓国外交の孤立」に緊迫のソウル…日韓情報協定の破棄でトドメ(高英起) – 個人 – Yahoo!ニュース

「韓国外交の孤立」に緊迫のソウル…日韓情報協定の破棄でトドメ(高英起) - 個人 - Yahoo!ニュース

「韓国外交の孤立」に緊迫のソウル…日韓情報協定の破棄でトドメ(高英起) - 個人 - Yahoo!ニュース

日韓軍事情報包括保護協定(GSOMIA)が延長されるかどうかが決まる期限が、24日に迫っている。徴用工問題を巡り、日本から輸出規制の報復を受けた韓国政府は、再報復として協定を破棄するかどうかで悩んでいる。 しかし実際のところ、GSOMIAを破棄したところで日本に対する報復の効果はなさそうだ。 GSOMIAの効果として...

はてなブックマーク - 「韓国外交の孤立」に緊迫のソウル…日韓情報協定の破棄でトドメ(高英起) - 個人 - Yahoo!ニュース はてなブックマークに追加

Apple Card、米国の全ユーザーに提供開始。カード番号は暗号化してセキュリティ強化 – Engadget 日本版

Apple Card、米国の全ユーザーに提供開始。カード番号は暗号化してセキュリティ強化 - Engadget 日本版

Apple Card、米国の全ユーザーに提供開始。カード番号は暗号化してセキュリティ強化 - Engadget 日本版

米大手金融機関ゴールドマン・サックスと提携して発行されるApple Cardは、年会費や国際手数料、延滞金なども一切かからず、最大3%のキャッシュバック(Apple Storeでの買い物)を受けられるなど顧客のメリットの大きさが謳われたキャッシュカード。基本的にはApple Payから使用されますが、非対応の店向けにチタン製の...

はてなブックマーク - Apple Card、米国の全ユーザーに提供開始。カード番号は暗号化してセキュリティ強化 - Engadget 日本版 はてなブックマークに追加

「ルーター」でゲスト/ホストネットワーク分離の危険性を発見、イスラエルの研究者:共有チャネルが悪用される恐れ – @IT

「ルーター」でゲスト/ホストネットワーク分離の危険性を発見、イスラエルの研究者:共有チャネルが悪用される恐れ - @IT

「ルーター」でゲスト/ホストネットワーク分離の危険性を発見、イスラエルの研究者:共有チャネルが悪用される恐れ - @IT

イスラエルのネゲブ・ベングリオン大学の研究チームは、ルーターで2つのネットワーク(ゲストネットワークとホストネットワーク)を運用している企業や家庭が、ハッキング攻撃やデータ流出の被害に遭いやすいことを発見した。 同大学のAdar Ovasdya氏は、「われわれが調査したルーターは全て、ブランドや価格帯にかかわ...

はてなブックマーク - 「ルーター」でゲスト/ホストネットワーク分離の危険性を発見、イスラエルの研究者:共有チャネルが悪用される恐れ - @IT はてなブックマークに追加

アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売 | TechCrunch Japan

アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売 | TechCrunch Japan

アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売 | TechCrunch Japan

発表から2カ月近くも経った米国時間8月20日、YubicoがYubiKey 5Ciを発売した。これは、iPhoneやMacと、そのほかのUSB-C対応デバイスの両方をサポートするセキュリティキーだ。 最新のYubiKeyは、対応機種を広げようとしている同社の努力の一環でもある。その最初の成果は、1つのデバイスでApple(アップル)のiPhoneとiP...

はてなブックマーク - アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売 | TechCrunch Japan はてなブックマークに追加

ファーウェイ「会社存亡の機」 社員に戦時の覚悟要求:朝日新聞デジタル

ファーウェイ「会社存亡の機」 社員に戦時の覚悟要求:朝日新聞デジタル

ファーウェイ「会社存亡の機」 社員に戦時の覚悟要求:朝日新聞デジタル

中国通信機器大手、華為技術(ファーウェイ)の任正非・最高経営責任者(CEO)が「会社は存亡の機を迎えている」との認識を示し、社員に「戦時」の覚悟を呼びかけていることが、同社が公開した社内文書で明らかになった。 任氏は7月19~20日の講話で、「戦場に行きたいならば、縄で身をくくりつけて戦車を引け。...

はてなブックマーク - ファーウェイ「会社存亡の機」 社員に戦時の覚悟要求:朝日新聞デジタル はてなブックマークに追加

週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか

週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか

週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか

こんにちは、hachi8833です。Macbook Pro 2019のメモリ、やっぱり32GBにしとけばよかったと思い始めてます。 各記事冒頭にはでパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です 毎月第一...

はてなブックマーク - 週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか はてなブックマークに追加

タッチ操作は使いにくかった? 米海軍が駆逐艦の操作を“アナログ”に戻す決断の教訓|WIRED.jp

タッチ操作は使いにくかった? 米海軍が駆逐艦の操作を“アナログ”に戻す決断の教訓|WIRED.jp

タッチ操作は使いにくかった? 米海軍が駆逐艦の操作を“アナログ”に戻す決断の教訓|WIRED.jp

PHOTOGRAPH BY US NAVY 駆逐艦の制御にタッチスクリーンを導入していた米海軍が、昔ながらの物理的なスロットル操作に戻すことを決断した。 米海軍海洋システム司令部が8月9日に発表した今回の決定は、駆逐艦を操縦する船員らがタッチスクリーン式の統合船橋・航海システムを十分に理解していなかったという調査結果に基...

はてなブックマーク - タッチ操作は使いにくかった? 米海軍が駆逐艦の操作を“アナログ”に戻す決断の教訓|WIRED.jp はてなブックマークに追加

「rest-client」など11のRubyライブラリにバックドアが発見される – ZDNet Japan

「rest-client」など11のRubyライブラリにバックドアが発見される - ZDNet Japan

「rest-client」など11のRubyライブラリにバックドアが発見される - ZDNet Japan

RubyGemsパッケージリポジトリのメンテナーは、11のRubyライブラリから、バックドアが仕込まれた18のバージョンを削除した。 これらの悪質なコードは、米国時間8月19日に極めて人気の高いRubyライブラリである「rest-client」の4つのバージョンで最初に発見された。 オランダ人Ruby開発者であるJan Dintel氏の分析によれ...

はてなブックマーク - 「rest-client」など11のRubyライブラリにバックドアが発見される - ZDNet Japan はてなブックマークに追加

Google Chrome、FTPサポートを削除する計画

headless曰く、

Google ChromeでFTPサポートを削除する計画が進められている(Chrome Platform StatusGoogleドキュメント— Intent to Deprecate: FTP SupportgHacksBleeping Computer)。

Google Chromeの現在のFTP実装では暗号化された接続(FTPS)もプロキシもサポートしていないが、FTPの使用率が低いこともあって機能向上のための投資は不可能だという。影響を受けるすべてのプラットフォームでより高機能なFTPクライアントが利用可能なことも理由に挙げられている。

GoogleはChrome 59でHTTP/HTTPSページでのFTPサブリソース読み込みを廃止するなど、ChromeのFTPサポート機能を徐々に削減している。Chrome 72以降ではFTPサイトでのリソースレンダリングが廃止されており、ディレクトリリスト表示とダウンロードのみが可能となっている。

今後の計画としては、2019年第4四半期にChrome 78でFTPサポートをコントロールするフラグとエンタープライズ向けのポリシーを追加し、プリリリースチャンネルではFTPサポートを無効化する。2020年第1四半期のChrome 80では安定版で順次FTPサポートを無効化していき、第2四半期のChrome 82でFTP関連のコードとリソースをすべて削除するとのこと。

FTPサポート無効化後、Google Chromeは「ftp://」URLを解決できなくなり、既定のハンドラーでURLを開こうとする。Google Chromeが既定のハンドラーに指定されている場合の対応は今後検討するという。プロキシ自動設定(PAC)スクリプトをFTPでダウンロードすることは不可能となるため、ユーザーは別の手段に移行する必要がある。

なお、Chrome Canaryは既にバージョン78だが、現在のところFTP関連のフラグは追加されていないようだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | ソフトウェア | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 2018年04月15日
FFFTP、新たな開発者がバージョン3.0リリース 2018年04月05日
Chrome 63以降ではFTPでのアクセスに対し警告が表示されるようになる 2017年09月19日

警備員が常に張り付き、呼びかけたりして『エスカレーターの片側を空ける習慣』の改善に力を入れている施設…その結果がこちら – Togetter

警備員が常に張り付き、呼びかけたりして『エスカレーターの片側を空ける習慣』の改善に力を入れている施設…その結果がこちら - Togetter

警備員が常に張り付き、呼びかけたりして『エスカレーターの片側を空ける習慣』の改善に力を入れている施設…その結果がこちら - Togetter

職場近くのエスカレーターは「片側を空ける習慣」の改善にめちゃめちゃ力を入れていて、入り口で警備員さんが常に張り付いて呼びかけてるんだけど、さっき右側乗ってたら後ろから肩叩かれて「すみません、通りたいんですけど」と言われ、わざわざ声かけてでも歩く人間がいることにびっくりしてしまった

はてなブックマーク - 警備員が常に張り付き、呼びかけたりして『エスカレーターの片側を空ける習慣』の改善に力を入れている施設…その結果がこちら - Togetter はてなブックマークに追加

ユーザー企業における情報システムとセキュリティ #seccamp2019 – Speaker Deck

ユーザー企業における情報システムとセキュリティ #seccamp2019 - Speaker Deck

ユーザー企業における情報システムとセキュリティ #seccamp2019 - Speaker Deck

ユーザー企業ではユーザーとビジネスを守る(Protect)ため、様々なリスク管理を実施しています。それ自体の変化はありませんが、業務システムやサービスをホスティングする環境が多様化するかたわら、新しいリスクが生まれてきているのも事実です。 本講義では、ビジネスを継続成長させていく中で、経営的なお話、新し...

はてなブックマーク - ユーザー企業における情報システムとセキュリティ #seccamp2019 - Speaker Deck はてなブックマークに追加

高梨陣平 on Twitter: “Rubyの人気ライブラリrest-client 1.6.13にウクライナへURLと環境変数、クッキーを送る改竄が発見された。RubyGemsのスタッフが調査を開始、マイニングコードの挿入の悪用を発見。また他の 10プロジェクトにも… https://t.co/NeAfV2Wu5P”

高梨陣平 on Twitter: "Rubyの人気ライブラリrest-client 1.6.13にウクライナへURLと環境変数、クッキーを送る改竄が発見された。RubyGemsのスタッフが調査を開始、マイニングコードの挿入の悪用を発見。また他の 10プロジェクトにも… https://t.co/NeAfV2Wu5P"

高梨陣平 on Twitter: "Rubyの人気ライブラリrest-client 1.6.13にウクライナへURLと環境変数、クッキーを送る改竄が発見された。RubyGemsのスタッフが調査を開始、マイニングコードの挿入の悪用を発見。また他の 10プロジェクトにも… https://t.co/NeAfV2Wu5P"

Rubyの人気ライブラリrest-client 1.6.13にウクライナへURLと環境変数、クッキーを送る改竄が発見された。RubyGemsのスタッフが調査を開始、マイニングコードの挿入の悪用を発見。また他の 10プロジェクトにも… https://t.co/NeAfV2Wu5P

はてなブックマーク - 高梨陣平 on Twitter: "Rubyの人気ライブラリrest-client 1.6.13にウクライナへURLと環境変数、クッキーを送る改竄が発見された。RubyGemsのスタッフが調査を開始、マイニングコードの挿入の悪用を発見。また他の 10プロジェクトにも… https://t.co/NeAfV2Wu5P" はてなブックマークに追加

超常現象!凄いぞぼくらのパイプテクター!

超常現象!凄いぞぼくらのパイプテクター!

超常現象!凄いぞぼくらのパイプテクター!

巷で噂のパイプテクターについてまとめたブログです。詐欺だとかインチキだとか言われていますが、そんなことは無いんです!常人に理解できないだけで、未知のすごい技術がたくさん詰まっているんです! by サイコキネシス

はてなブックマーク - 超常現象!凄いぞぼくらのパイプテクター! はてなブックマークに追加

巧妙すぎて防げるわけがない!ビジネスメール詐欺はここまで来た | 日経 xTECH(クロステック)

巧妙すぎて防げるわけがない!ビジネスメール詐欺はここまで来た | 日経 xTECH(クロステック)

巧妙すぎて防げるわけがない!ビジネスメール詐欺はここまで来た | 日経 xTECH(クロステック)

「ビジネスメール詐欺(BEC)」の被害が後を絶たない。ビジネスメール詐欺は企業版の振り込め詐欺。取引先などをかたった偽のメールを企業の経理担当者に送付し、攻撃者の口座に金銭を振り込ませる。 2013年ごろから米国などで確認され、その後被害件数が増大。2017年には国内でも大きな被害が出始めた。例えば日本航空...

はてなブックマーク - 巧妙すぎて防げるわけがない!ビジネスメール詐欺はここまで来た | 日経 xTECH(クロステック) はてなブックマークに追加

Black Hat USA 2019参加者、麻疹ウイルス曝露の可能性

headless曰く、

8月3日~8日に米国・ラスベガスで開催されたBlack Hat USA 2019だが、参加者は麻疹ウイルス曝露の可能性があるようだ(MashableSouthern Nevada Health District)。

Southern Nevada Health Districtの発表によると、麻疹感染が確認された人物が8月1日~6日にBlack Hat会場付近を訪れており、3日夜と5日夜にはBlack Hat会場となったMandalay Bay内のレストランを利用している。Black Hat会場からは少し離れているが、DEF CON 27などのイベントも同時期にラスベガスで開催されており、参加者に注意が呼びかけられている。

すべて読む | セキュリティセクション | セキュリティ | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国各地の保健当局、麻疹に感染した可能性のある人の旅客機利用を止めるため搭乗禁止リストも活用 2019年05月29日
UCLA、麻疹発生で学生や職員を隔離 2019年05月01日
大阪府の高槻赤十字病院、麻疹感染が疑われる患者の診察を「お断り」 2019年03月08日
信仰上の理由から予防接種をしていない信徒の多い宗教団体で麻疹の大量感染 2019年01月29日
「反ワクチン運動」が世界の健康に対する脅威ワースト10入り 2019年01月21日

PCの「キー入力」をスマホで傍受する手法を発見、米SMU大:キー入力の内容を検知 – @IT

PCの「キー入力」をスマホで傍受する手法を発見、米SMU大:キー入力の内容を検知 - @IT

PCの「キー入力」をスマホで傍受する手法を発見、米SMU大:キー入力の内容を検知 - @IT

米国サザンメソジスト大学(SMU)の研究チームは、PCでキーボードをタイプしたときに発生する振動をスマートフォンで拾い上げ、どのキーをタイプしたか、タイプした内容は何かを検知することに成功した。現実と似た騒々しい会議室であっても情報を取得できたという。 米国サザンメソジスト大学(SMU)ダーウィン・ディー...

はてなブックマーク - PCの「キー入力」をスマホで傍受する手法を発見、米SMU大:キー入力の内容を検知 - @IT はてなブックマークに追加

Announcing the Microsoft Edge Insider Bounty

This week, we released the first Beta preview of the next version of Microsoft Edge. Alongside this, Microsoft is excited to announce the launch of the Microsoft Edge Insider Bounty Program. We welcome researchers to seek out and disclose any high impact vulnerabilities they may find in the next version of Microsoft Edge, based on …

Announcing the Microsoft Edge Insider Bounty Read More »

再び可能になったiOSの“脱獄”から、アップルが抱えるセキュリティ面での課題が見えてきた|WIRED.jp

再び可能になったiOSの“脱獄”から、アップルが抱えるセキュリティ面での課題が見えてきた|WIRED.jp

再び可能になったiOSの“脱獄”から、アップルが抱えるセキュリティ面での課題が見えてきた|WIRED.jp

DANIEL FUNG/SOPA IMAGES/LIGHTROCKET/GETTY IMAGES 現在のiOSは、アップルによって厳重に守られている。このため完全なるジェイルブレイク(脱獄)、すなわち端末のロックを解除して好きなアプリをインストールできる状態にすることは、最新版のOSではほとんど起こりえない。そんな機能があったとしても一般には知らさ...

はてなブックマーク - 再び可能になったiOSの“脱獄”から、アップルが抱えるセキュリティ面での課題が見えてきた|WIRED.jp はてなブックマークに追加

「京アニ」犠牲者の実名公表、警察が異例のアンケート 遺族が語る公表への思い(デイリー新潮) – Yahoo!ニュース

「京アニ」犠牲者の実名公表、警察が異例のアンケート 遺族が語る公表への思い(デイリー新潮) - Yahoo!ニュース

「京アニ」犠牲者の実名公表、警察が異例のアンケート 遺族が語る公表への思い(デイリー新潮) - Yahoo!ニュース

異例の事態なのである。35人の命が奪われた「京都アニメーション」(京アニ)放火殺人事件。発生から2週間も経ってようやく京都府警が公表したのは、10人の犠牲者名のみだった。その背景には、府警が遺族に対して行った前代未聞の「アンケート」があった――。 太平洋戦争末期、血で血を洗う凄惨な地上戦が繰り広げられた...

はてなブックマーク - 「京アニ」犠牲者の実名公表、警察が異例のアンケート 遺族が語る公表への思い(デイリー新潮) - Yahoo!ニュース はてなブックマークに追加

Appleは間もなくオンライン上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる – GIGAZINE

Appleは間もなくオンライン上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる - GIGAZINE

Appleは間もなくオンライン上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる - GIGAZINE

by FirmBee Appleが中心となって開発しているオープンソースのHTMLレンダリングエンジンの「WebKit」が、公式ブログ上で新しい追跡防止ポリシーの「WebKit Tracking Prevention Policy」を発表しました。この追跡防止ポリシーにより、Appleはオンライン上で使用されているトラッキングツールの多くをセキュリティ上の脆...

はてなブックマーク - Appleは間もなくオンライン上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる - GIGAZINE はてなブックマークに追加

国産OSS脆弱性スキャナ「Trivy」、競合企業に買収され開発者も同社に雇用されることに

趣味でセキュリティ関連ソフトウェアを開発しオープンソースとして公開したエンジニアの下に、海外のセキュリティ企業からソフトウェアの譲渡や雇用のオファーが来たそうだ。このエンジニアがブログでその経緯を説明している(knqyf263's blog)。

このソフトウェアは「Trivy」という、「コンテナ」と呼ばれる仮想化システム向けの脆弱性スキャンツール。簡単に指定したコンテナ内の脆弱性をスキャンでき、精度も既存のものと比較して高いとされ、公開後国内外で話題となった。

今回このTrivyを買収したのは、米国やイスラエルに拠点を持つAqua Securityという企業。Trivyの比較対象になるようなツールを提供している企業であるが、この企業のCTOから作者の元に連絡が来て、その後ソフトウェアの買収や、同社での雇用がオファーされたという。

最終的にTrivyはAqua Securityに売却されることとなり、作者も同社に雇用されることになったとのこと。Aqua Securityではこのソフトウェアのメンテナンスやそのほかオープンソースソフトウェアの開発を行うことになるという。

すべて読む | オープンソースセクション | オープンソース | ビジネス | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ドワンゴが「C++の啓蒙」専門の社員を雇う 2014年02月14日
アニメ制作会社カラー、Blenderへの移行を推進。理由はコスト的な問題 2019年08月15日
OSS開発プロジェクトの多くは持続可能なほどの収入を得られていないとの指摘 2019年06月19日

WordPress記事中のCVE/JVN/WPVDB各IDを自動的にリンクさせる | Jトラストシステム株式会社

WordPress記事中のCVE/JVN/WPVDB各IDを自動的にリンクさせる | Jトラストシステム株式会社

WordPress記事中のCVE/JVN/WPVDB各IDを自動的にリンクさせる | Jトラストシステム株式会社

残暑の続く中、いかがお過ごしでしょうか。 ここのところのWordPressプラグイン脆弱性大量発生でCVE識別子等をゴリゴリとブログ記事に記載していたので、これをリンクにしたら便利かなあと、WordPressの簡単ハックをしてみました。 やりたいこと WordPressのブログで、本文に「CVE-YYYY-NNNN」「JVNDB-YYYY-NNNNNN」「WP...

はてなブックマーク - WordPress記事中のCVE/JVN/WPVDB各IDを自動的にリンクさせる | Jトラストシステム株式会社 はてなブックマークに追加

「通知が止まらず、退会できない」 LINE「OpenChat」でトラブル 運営元は「機内モード」で通知ストップ推奨 – ITmedia NEWS

「通知が止まらず、退会できない」 LINE「OpenChat」でトラブル 運営元は「機内モード」で通知ストップ推奨 - ITmedia NEWS

「通知が止まらず、退会できない」 LINE「OpenChat」でトラブル 運営元は「機内モード」で通知ストップ推奨 - ITmedia NEWS

「通知が止まらず、ルームの設定画面に移れなくてグループから退会できない」――LINEが8月19日に公開した「OpenChat」機能について、ネット上でそんな報告が上がっている。同社はこうしたユーザーに対し、スマートフォンの機内モードを使って一時的に通知を止め、退会手続きを行うよう推奨している。 OpenChatは、共通の...

はてなブックマーク - 「通知が止まらず、退会できない」 LINE「OpenChat」でトラブル 運営元は「機内モード」で通知ストップ推奨 - ITmedia NEWS はてなブックマークに追加

匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出 | TechCrunch Japan

匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出 | TechCrunch Japan

匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出 | TechCrunch Japan

匿名制の人気 「hentai」 ポルノサイトが、110万人ぶんのユーザーデータベースを誤って公開し、誰もがメールアドレスから個人を特定できる状態にした。 Luscious.netのことは、hentaiやmangaポルノにハマっている人でなければなじみがないかもしれないが、米国で人気のウェブサイトの1つで、Alexaのランキングでトラフィ...

はてなブックマーク - 匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出 | TechCrunch Japan はてなブックマークに追加

GitHub – aquasecurity/trivy: A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI

GitHub - aquasecurity/trivy: A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI

GitHub - aquasecurity/trivy: A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI

This repository was transferred from knqyf263/trivy to aquasecurity/trivy. If you have previously installed Trivy, please check the Migration section in case you have any scripts or package managers that need to be updated. We apologise for any inconvenience. A Simple and Comprehensive Vulnerabil...

はてなブックマーク - GitHub - aquasecurity/trivy: A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI はてなブックマークに追加

ハッカーが数年ぶりにiPhoneを脱獄。修正済み脆弱性がiOS 12.4で再発 – Engadget 日本版

ハッカーが数年ぶりにiPhoneを脱獄。修正済み脆弱性がiOS 12.4で再発 - Engadget 日本版

ハッカーが数年ぶりにiPhoneを脱獄。修正済み脆弱性がiOS 12.4で再発 - Engadget 日本版

iOS 12.4では、すでに修正されたはずの脆弱性に関わる部分が再度修正されたことで、一旦は閉じていた脆弱性の穴がまた開いてしまったようです。好奇心旺盛なハッカーはいち早くその脆弱性に気づき、しばらくぶりとなる脱獄版iOSを公開しました。

はてなブックマーク - ハッカーが数年ぶりにiPhoneを脱獄。修正済み脆弱性がiOS 12.4で再発 - Engadget 日本版 はてなブックマークに追加

趣味で作ったソフトウェアが海外企業に買われるまでの話 – knqyf263’s blog

趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog

趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog

今回はソフトウェアエンジニアじゃない人や学生にも、ソフトウェアエンジニアという職業には夢があるかもしれないと思ってもらうために書いています。そのため既に詳しい方からすると回りくどい説明も多いと思いますがご容赦下さい。 基本的に記事とかには技術的なことしか書かないスタンスでやってきましたが、今回の件...

はてなブックマーク - 趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog はてなブックマークに追加

MS、Windows向け更新プログラムで月例パッチ後の「VB」関連の問題修正 – ZDNet Japan

MS、Windows向け更新プログラムで月例パッチ後の「VB」関連の問題修正 - ZDNet Japan

MS、Windows向け更新プログラムで月例パッチ後の「VB」関連の問題修正 - ZDNet Japan

先週の月例セキュリティパッチ(「Patch Tuesday」)に続いて、Microsoftはバージョン1903を除くすべてのバージョンの「Windows 10」向けに、非セキュリティの累積的な更新プログラムをリリースした。 これらの更新プログラムはすべて、一部ユーザーの環境で「Visual Basic」を使用するアプリやマクロ、スクリプトに障害...

はてなブックマーク - MS、Windows向け更新プログラムで月例パッチ後の「VB」関連の問題修正 - ZDNet Japan はてなブックマークに追加

マルウェアがオートコンプリートで記憶されたデータをブラウザーから盗む手口 | カスペルスキー公式ブログ

マルウェアがオートコンプリートで記憶されたデータをブラウザーから盗む手口 | カスペルスキー公式ブログ

マルウェアがオートコンプリートで記憶されたデータをブラウザーから盗む手口 | カスペルスキー公式ブログ

ほとんどのブラウザーは、入力したデータを保存してくれます。アカウントの認証情報、オンラインショッピングで使うクレジットカードの情報、請求書送付先住所や名前、旅行サイトではパスポート番号などをブラウザーに記憶させておけば、同じフォームに同じことを何回も入力する手間が省けますし、パスワードを忘れる心...

はてなブックマーク - マルウェアがオートコンプリートで記憶されたデータをブラウザーから盗む手口 | カスペルスキー公式ブログ はてなブックマークに追加

「エコポイント」競売に=ドメイン、悪用恐れも-複数省庁サイトにリンク:時事ドットコム

「エコポイント」競売に=ドメイン、悪用恐れも-複数省庁サイトにリンク:時事ドットコム

「エコポイント」競売に=ドメイン、悪用恐れも-複数省庁サイトにリンク:時事ドットコム

「エコポイント」競売に=ドメイン、悪用恐れも-複数省庁サイトにリンク 2019年08月20日07時12分 大手オークションサイトに出品されたエコポイントのドメイン 環境省などが実施していた「エコポイント制度」のドメイン(インターネット上の住所)がネットオークションに出品されていることが19日、分かった。制度を紹...

はてなブックマーク - 「エコポイント」競売に=ドメイン、悪用恐れも-複数省庁サイトにリンク:時事ドットコム はてなブックマークに追加

「サイバー攻撃による株価下落は序章にすぎない」―エフセキュアの警鐘 (1/2):EnterpriseZine(エンタープライズジン)

「サイバー攻撃による株価下落は序章にすぎない」―エフセキュアの警鐘 (1/2):EnterpriseZine(エンタープライズジン)

「サイバー攻撃による株価下落は序章にすぎない」―エフセキュアの警鐘 (1/2):EnterpriseZine(エンタープライズジン)

サイバー攻撃による情報流出で株価が暴落は、短期的な損失にすぎない。攻撃者の本当の狙いは、ビジネスの根幹となるすべての知的財産だと警戒すべきだ―。こう指摘するのは、エフセキュアコーポレーションでディレクターを務めるピーター・コーエン(Peter Cohen)氏だ。同氏は、「ガートナー セキュリティ&リスク・マネ...

はてなブックマーク - 「サイバー攻撃による株価下落は序章にすぎない」―エフセキュアの警鐘 (1/2):EnterpriseZine(エンタープライズジン) はてなブックマークに追加

URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方 (1/3) – ITmedia エンタープライズ

URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方 (1/3) - ITmedia エンタープライズ

URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方 (1/3) - ITmedia エンタープライズ

半径300メートルのIT:URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方 (1/3) フィッシング詐欺サイトを見抜く方法として何度も紹介してきた「EV SSL証明書」に、大きな変化が起きようとしています。「鍵マークさえあれば安心」「組織名が表示されていれば安全」という先入観に付け入る悪意...

はてなブックマーク - URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方 (1/3) - ITmedia エンタープライズ はてなブックマークに追加

日本年金機構を騙る不審メールについてまとめてみた – piyolog

日本年金機構を騙る不審メールについてまとめてみた - piyolog

日本年金機構を騙る不審メールについてまとめてみた - piyolog

2019年8月19日、日本年金機構は機構を騙る不審なメールが発生しているとして注意喚起を発表しました。ここでは関連する情報をまとめます。 日本年金機構の注意喚起 www.nenkin.go.jp 名前入りで届く偽通知メール 仕事用に使っているメールアドレスにこんなメールが来ました。 普通、こういうのは「名字 様」で来る場合...

はてなブックマーク - 日本年金機構を騙る不審メールについてまとめてみた - piyolog はてなブックマークに追加

香港デモ「中国政府が情報操作」 ツイッターが公表  :日本経済新聞

香港デモ「中国政府が情報操作」 ツイッターが公表  :日本経済新聞

香港デモ「中国政府が情報操作」 ツイッターが公表  :日本経済新聞

【シリコンバレー=白石武志】米ツイッターは19日、中国政府の関与が疑われる936件の不正アカウントとツイート内容を開示した。「逃亡犯条例」の改正案をきっかけにした香港の抗議活動を標的とし、活動の正当性を損なう情報などを流したと指摘した。米フェイスブックも同日、ツイッターから共有された情報に基づき、5つの...

はてなブックマーク - 香港デモ「中国政府が情報操作」 ツイッターが公表  :日本経済新聞 はてなブックマークに追加

ホンダの社内システムが丸見えに、「社長のログイン時間まで分かった」 | 日経 xTECH(クロステック)

ホンダの社内システムが丸見えに、「社長のログイン時間まで分かった」 | 日経 xTECH(クロステック)

ホンダの社内システムが丸見えに、「社長のログイン時間まで分かった」 | 日経 xTECH(クロステック)

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年7月末前後の注目ニュースは3件。最初はホンダのセキュリティー事故を取り上げる。 社内システム情報の検索が認証無しでアクセス可能(7月31日) ホンダの社内システム情報が第三者から閲覧できる状態...

はてなブックマーク - ホンダの社内システムが丸見えに、「社長のログイン時間まで分かった」 | 日経 xTECH(クロステック) はてなブックマークに追加

「リスト型攻撃が原因」「二段階認証なら安全」は本当か? (1/3):セキュリティクラスタ まとめのまとめ 2019年7月版 – @IT

「リスト型攻撃が原因」「二段階認証なら安全」は本当か? (1/3):セキュリティクラスタ まとめのまとめ 2019年7月版 - @IT

「リスト型攻撃が原因」「二段階認証なら安全」は本当か? (1/3):セキュリティクラスタ まとめのまとめ 2019年7月版 - @IT

セキュリティクラスタ まとめのまとめ 2019年7月版:「リスト型攻撃が原因」「二段階認証なら安全」は本当か? (1/3) 2019年7月のセキュリティクラスタは、「7pay」が大きな話題となりました。スタートしてすぐに攻撃され、登録者のカード情報が悪用され、あっという間にサービスは中止。その短い間にたくさんのセキュリ...

はてなブックマーク - 「リスト型攻撃が原因」「二段階認証なら安全」は本当か? (1/3):セキュリティクラスタ まとめのまとめ 2019年7月版 - @IT はてなブックマークに追加

やまもといちろう 公式ブログ – 【告知】9月9日、リクルート内定辞退予測問題を受けて、JILISでセミナーをやります – Powered by LINE

やまもといちろう 公式ブログ - 【告知】9月9日、リクルート内定辞退予測問題を受けて、JILISでセミナーをやります - Powered by LINE

やまもといちろう 公式ブログ - 【告知】9月9日、リクルート内定辞退予測問題を受けて、JILISでセミナーをやります - Powered by LINE

ということで、ご案内です。 リクルートで学生さんの就職活動において内定辞退する可能性を採用候補企業にデータ販売していた件が大変な問題になりましたが、現行法とその改正を睨んだ個人情報保護法、また、経済法・経済論と、データサイエンス全盛時代における労働法までをカバーするセミナーを緊急開催することになり...

はてなブックマーク - やまもといちろう 公式ブログ - 【告知】9月9日、リクルート内定辞退予測問題を受けて、JILISでセミナーをやります - Powered by LINE はてなブックマークに追加