[B! security] h-hiraiのブックマーク

「詐欺電話は名指しで来るよ」という注意喚起

[B! 詐欺] 電話番号の末尾「０１１０」に注意、警察装う詐欺相次ぐ…番号表示技術を悪用か注意喚起のため、こちらに自分にかかってきた電話の手口を書く突然の電話「増田さんですか？」「はい」（名前は合っていた）「今から警視庁に来られますか？」「無理だ」と答える「警視庁のXXと言いますが」「詐欺事件の捜査中、犯人の一人の自宅から、あなたの口座のカードが見つかった」「心当たりはあるか？」「こころあたりはない」と答える「おそらく個人情報が盗まれて詐欺に使われたのだと思うが」「はい」「あなた名義の口座で4000万円ほどの取引がされていた」「これは詐欺の被害額ということになる」「今の段階ではあなたも詐欺集団の一員である疑いがあり、捜査しなくてはならない」「私は無関係なのですが」「こちらもそう思っているので、逮捕や強制捜査のようなことはしたくない」「できる限り協力してほ

h-hirai 2024/05/20

情報共有ありがたい

リンク

ChatGPT授乳ハックという失われつつある技術について - 本しゃぶり

ChatGPTのDALL·E 3による画像生成は非常に強力だ。だがプロンプトエンジニアリングを駆使すれば、さらに限界を超えた表現が可能となる。ブックマーク保存をおすすめします。インフルエンサーたちが隠した技術11月7日にOpenAI DevDayが開催されてからというもの、生成AI系インフルエンサーたちが大騒ぎしている。発表された機能やAPIの数々を見れば、そうなるのも無理はない。俺のような一般ユーザーでさえ、できることが一気に増えたのだから。例えば自分だけのChatGPTを簡単に作成・共有できるGPTsだ。俺もさっそく触り、本しゃぶりの知識を全部突っ込んだAishabriを作ってみた*1。 https://chat.openai.com/g/g-x7GtBiqrn-aishabrichat.openai.com だが、インフルエンサーは新たに登場した機能ばかり口にし、その影で失

h-hirai 2023/11/13

諷刺

リンク

セキュリティ研修で「w6!j38?pa7J」と「CanYouCelebrate?」ではどっちが強力なパスワードなのかという問題の答えが後者だった

しんやさん☯️定時退社 @hangstuck 弊社セキュリティ研修問: 下記のどちらが強力なパスワードですか？ 1.「w6!j38?pa7J」 2.「CanYouCelebrate?」正解: 1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。 pic.twitter.com/b0ti95TjZ4 2023-03-14 12:15:06

h-hirai 2023/03/16

もうだいぶ前になっちゃうけど、十分に収録語数が大きい辞書から単語をランダムに数語選んで組み合わせるのがいいってひろみちゅせんせが言ってた気がする。

security

リンク

バンダイチャンネル“公式”から怪文書？　フィッシングメールっぽいと話題　送信範囲にも疑問の声

動画配信サービス「バンダイチャンネル」公式から突然怪文書のようなメールが送られてきたとTwitter上で話題になっている。運営会社のバンダイナムコフィルムワークスは2月13日、サービス加入者に対し、クレジットカード情報の更新を依頼するメールを送信した。しかし、その内容がフィッシングメールのようだと物議を醸している。メールが送られたのは13日の昼頃。メールの件名は「【バンダイチャンネル】クレジットカードのご登録情報更新のお願い」というもの。内容は、不正利用の増加を理由に、見放題サービス加入者に対してクレジットカードの登録情報を最新の状態に更新するよう促すものだった。メールにはURLも記載してあるが、個人情報を入力させるものではなく、問い合わせ先を示すものだった。一部のユーザーからは「見放題サービスに加入した覚えがない」などの反応もあり、メールの送信範囲も疑問視されている。ITmedia

h-hirai 2023/02/14

フィッシングだと思って検索してみたら公式だったんか。ずっと前に利用したことはあったかもしれないけどもうアカウントまわり覚えてないぞ。

security

リンク

アマゾンに行政指導個人情報11万件他人に表示の可能性で | NHKニュース

先月、ネット通販大手のアマゾンのサイトで個人情報が誤って表示された問題で、政府の個人情報保護委員会はアマゾンに対し、再発防止策の取りまとめと利用者からの問い合わせへの対応を確実に行うよう行政指導しました。これについて政府の個人情報保護委員会は、トラブルは１日で復旧したものの、およそ11万アカウントの利用者の個人情報がほかの利用者に表示された可能性があるとしています。そして個人情報の取り扱いに問題があったとして、11日付けでアマゾンに対し、再発防止策の取りまとめと利用者からの問い合わせへの対応を確実に行うよう行政指導しました。また個人情報保護委員会は今回の問題を受けて、ほかのサイトの運営事業者に対してもプログラムの修正やバージョンアップなどをした場合は動作試験を十分行うとともに、システムにぜい弱性がないか確認するよう注意喚起を行いました。

h-hirai 2019/10/11

やらかしたこと自体よりも、そのあとなんらまっとうな説明がないのが問題なんだよなあ

リンク

Amazonユーザーが震え上がった「注文履歴流出騒動」の恐ろしさ　解消報道後も「不誠実」と怒りの声やまず

Amazon.co.jp︵以下Amazon︶で9月26日～27日ごろにかけ発生していた﹁他人の注文履歴や氏名住所が見えてしまう不具合﹂︵関連記事︶を巡って、問題が解消したとされる今でも、一部のユーザーから﹁ありえない﹂﹁不誠実﹂と怒りの声があがっています。編集部ではAmazonに対し、不具合の詳細や情報流出の規模などを問い合わせていましたが、Amazon側からは﹁本事象は完全に解消しており、同様の事象が再発しないよう防止策をすでに講じています﹂との回答しか得られませんでした。今回発生していた不具合は、Amazonのサイトやアプリから﹁注文履歴﹂を見た際、自分以外のユーザーの注文履歴や氏名・住所などが表示されることがあった――というもの。氏名住所の流出はもちろん、加えて購入履歴から自分の趣味嗜好が丸裸にされてしまう可能性もあり、ネット上では﹁怖すぎる﹂﹁羞恥プレイ﹂﹁社会的に死ぬ﹂など、当

h-hirai 2019/10/04

リンク

高木浩光＠自宅の日記 - 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章）

■ 天動説設計から地動説設計へ‥7payアプリのパスワードリマインダはなぜ壊れていたのか︵序章︶ 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。そもそもスマホアプリの時代、もはやauthenticationですらないと思うのよね。︵何を言ってるかわからねえだろうと思うが。︶ — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。スマホ時代の﹁パスワード﹂のあり方を再考しよう高木浩光 2015年2

h-hirai 2019/07/09

リンク

兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました（その1） - ろば電子が詰まつてゐる

（追記）これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしましたはじめに先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った梅酒みりん様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます

h-hirai 2019/03/13

リンク

「悪魔のように賢い」とGoogleのエンジニアが舌を巻く「悪意あるハードウェア」が登場

by Bruce Guenter セキュリティ問題では「マルウェア(Malicious＋Software：悪意あるソフトウェア)」という語がよく出てきますが、ミシガン大学の研究チームによって「悪意あるハードウェア」の存在が指摘されています。 A2: Analog Malicious Hardware (PDFファイル)http://www.impedimenttoprogress.com/storage/publications/A2_SP_2016.pdf This ‘Demonically Clever’ Backdoor Hides In a Tiny Slice of a Computer Chip | WIRED https://www.wired.com/2016/06/demonically-clever-backdoor-hides-inside-computer-chip

h-hirai 2016/06/03

誰か論文読んで解説しておくれ。Verilogでバックドア仕込むとかいうレベルのおはなしじゃないよね、これ。

リンク

カルチュア・コンビニエンス・クラブのプライバシーマークが期限切れのまま一年以上経過する事態に : プライバシーマーク・ISMSナビ

プライバシーマーク・ISMSナビプライバシーザムライが、プライバシーマーク／個人情報保護、ISMS／情報セキュリティの最新情報をお届けします。（画面はJIPDECサイトより） Tポイントを運営しているカルチュア・コンビニエンス・クラブ株式会社（大阪府大阪市）が、プライバシーマークの有効期限が昨年の2月7日に切れたまま、一年以上が経過する異常事態になっています。プライバシーマーク制度は、有効期限が切れていても、審査が継続している間はマークの継続利用が許されることになっています。ですから同社の場合も審査が継続しているものと推測されます。 JIPDECのプライバシーマーク付与事業者リスト（か行） http://privacymark.jp/certification_info/list/kana/list_ka.html 私たちが大切にしていること（カルチュア・コンビニエンス・クラブ） h

h-hirai 2015/03/31

プライバシーマークって、ちゃんと意味があったんだなあ

security

リンク

違法素数 - Wikipedia

違法素数︵いほうそすう/英: illegal prime︶とは、素数のうち、違法となるような情報やコンピュータプログラムを含む数字。違法数︵英語版︶の一種である。 2001年、違法素数の1つが発見された。この数はある規則に従って変換すると、DVDのデジタル著作権管理を回避するコンピュータプログラムとして実行可能であり、そのプログラムはアメリカ合衆国のデジタルミレニアム著作権法で違法とされている[1]。経緯[編集] DVDのコピーガードを破るコンピュータプログラムDeCSSのソースコード 1999年、ヨン・レック・ヨハンセンはDVDのコピーガード (Content Scramble System; CSS)を破るコンピュータプログラム﹁DeCSS﹂を発表した。ところが2001年5月30日、アメリカ合衆国の裁判所は、このプログラムの使用を違法としただけではなく、ソースコードの公表も違法である

h-hirai 2013/07/23

「違法」っていう数学概念があるのかと思っちゃった。

リンク

「ほこ×たて」対決の功罪、ロシア人ホワイトハッカーに裏側を聞いた

なぜ、こうなった――フジテレビの人気番組﹁ほこ×たて﹂で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。﹁どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー﹂という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。﹁﹃ほこ×たて﹄といえど、やはりハッキング勝負の映像化は難しかったのか…﹂と考え込んでしまった。今回の﹁ほこ×たて﹂の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への

h-hirai 2013/07/10

リンク

ほこたて「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」防御側の裏話

よくわからない人のための事前知識イメージ的にはこんなかんじです。・銀行（パソコン）にお金（画像）が保管してあります・これを盗まれる（ハッキング）のを防ぐのが目的です・ところが番組側が用意した銀行の建物はボロボロ（バージョンが古い）です・そんな建物なので侵入経路（脆弱性・セキュリティホール）だらけです・セキュリティ的には補修工事（パッチをあてる）をしたかったものの、番組が面白くなくなるので不可・そこで、銀行自体に侵入されるのは諦めて、お金を保存する金庫を頑丈にしました(TrueCryptで暗号化) ・そして勝負開始、思ったより銀行に侵入するだけでも結構時間がかかっていたようです・とはいえ、そこは脆弱性を残したままのシステムであり、案の定銀行には侵入されてしまいました・金庫も見つかってしまいました・ところが金庫を破るのが非常に難しかったため、時間制限もありギブアップ …とい

h-hirai 2013/06/10

あ、昨日の、すごく分かりやすく更新されてる。

リンク

池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す - やまもといちろうBLOG（ブログ）

我らが池田信夫せんせが、またやらかしました。どうも池田信夫のgmailアカウントがパスワードハックされて乗っ取られたようで、恐らく愉快犯と思われるクラッカーさんが池田信夫を騙ってほうぼうに﹁金送ってくれ﹂のクソメールを配信している模様です。さすがは池田信夫、時代の最先端すぎます。もはやソーシャルオレオレ詐欺みたいな状態で、なぜこうも池田信夫はいちいち面白いのでしょう。＜起＞　googleからいきなりアカウントを停止され怒り狂う池田信夫 googleから信夫gmailアカウントを停止されたと勘違いした池田信夫、怒りの矛先を素直な心で真正面からgoogleに向けて怒りゲージMAX状態で真っ赤となっております。﹁これじゃ危なくてgmailは使えない﹂とか言ってますけど、危ないのはお前のパスワードだ池田信夫。＜承＞　池田信夫、対処方法が分からず途方に暮れるどうやらgmailを主力で使って

h-hirai 2012/10/03

まー、たしかに明日は我が身、ってやつだけど、笑ってしまうもんはしかたない。しかし、この人の文章で笑うたびに、あー、おれって品がないなぁ、と思ってしまう。 ●funny ●security

リンク

高木浩光さんへ、しっかりしてください - 最速転職研究会

技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに﹁多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう﹂とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい

h-hirai 2012/08/30

security

リンク

text.ssig33.com - ターゲティング広告の何が問題か？

ターゲティング広告の何が問題か？という話について書く。結論としては﹁プライバシーが広告主に渡るのが問題﹂ということになる。他にもいろいろ問題はあるがこれについて書く。技術的な問題については一切書かない。 Web におけるターケティング広告とは、特定の属性を持った人に対してのみ広告を表示する、というもので、例えば広告主は20代男性独身関東在住アニメに興味がある人物に対してのみ表示される広告を出稿することが出来る。このような属性を持った人物にアニメやゲームに関係する広告を出せばクリックしてもらえる可能性は高いだろう。ところでこうした属性を得る為にサードパーティークッキーを用いた行動追跡が行なわれているし、 Facebook ではユーザーが入力した情報をもとに広告が出たりする。この辺はマラが詳しいのでマラに聞いてください。ところでこうした広告において﹁東京都杉並区清水6丁目に住

h-hirai 2012/03/19

security

リンク

https://www.nantoka.com/~kei/diary/?20120312S1

h-hirai 2012/03/13

あー、やっちゃいけないことってこういうことなんだなぁ。(はてなでなく) サービス利用者がその閲覧者に対してお詫びしないといけない事態を作っちゃったんだ。……と、はてブでつぶやく。 ●security ●はてな

リンク

ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会

わたくしは立場上、実装がダメなことにはとやかく言いますがポリシーについてはとやかく言わないことをポリシーとしており、また個人的にも所属組織的にも付き合いがある企業様を痛烈に批判するというのはブーメランとか槍とか鉄砲玉とかソーシャルメディアガイドラインとか飛んできたりしてリスキーではあるのですが、どう見てもアウトだろこれ、と考えるに至りまして筆を取らせていただく次第です。これ http://d.hatena.ne.jp/kanose/20120306/hbmbutton http://blog.dtpwiki.jp/dtp/2011/09/post-9367.html どう見てもアウトだろ。理由は単純で、そういう目的で設置されたボタンではないし、はてなブックマークボタンが設置されているサイトは、はてなの管理してないサイトなのではてなの裁量でやってはいけないからです。いつから「はてな」は「は

h-hirai 2012/03/08

リンク

GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう - ただのにっき(2012-03-08)

■ GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう先日、Railsアプリにありがちなセキュリティホールがあることが判明したGitHub。詳細は@sora_hによる﹁github の mass assignment 脆弱性が突かれた件﹂が非常によくまとまっているので参照のこと。脆弱性の内容そのものもだけど、開発者として脆弱性指摘をどのように受容、対応すべきかを考えさせられる事例だった。で、これはようするに赤の他人が任意のリポジトリへのコミット権を取得できてしまうという事例だったのだけど、脆弱性の内容をみる限りその他のさまざまな入力もスルーされていた可能性がある。ということで、その対策が(おそらく)なされたのだろう、今朝になってGitHubから﹁SSH Keyの確認をせよ﹂というメールがいっせいにユーザに配信された。3日で修正とか、GitHubの中の人もずいぶん

h-hirai 2012/03/08

リンク

Togetter - 「#カレログ、メディアミックス展開を図っていた! しかし、そのムック本の内容は…!? そして、消えた「裏アプリ」とは? 高木浩光 @ HiromitsuTakagi が迫る!」

︻前振り︼カレログとウイルス罪の関係詳しくは、次のまとめを読んでいただきたいのです… #ウイルス罪高木浩光氏、成立後の報道を批評する & ウイルス罪クイズ彼氏追跡アプリ﹁#カレログ﹂は #ウイルス罪になるか!?高木浩光が解説する! …が、ちょっと読みこなすのはタイヘンかもしれません。それほどの分量があります。そこで、不正確な話になるのは覚悟の上で、ザックリとした説明を。︽ウイルス罪︾名前がよろしくない。﹁プログラム悪用罪﹂とでも呼んだ方が、しっくり来る。プログラムに対する信頼という社会的法益を守るための刑罰。ウイルス罪は、さらに細かく6つの罪に分けれらている。そのうちの3つを説明。供用罪: コンピューターの使用者が﹁なんじゃそりゃ～!? orz﹂となるような、意に沿わない動きをするプログラムを仕込むこと。 (保存前のデータが消える、パソコンがフリーズする、といった程度

h-hirai 2011/09/07

リンク

はてなブックマーク

タグ

関連タグで絞り込む (50)

securityに関するh-hiraiのブックマーク (134)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス