ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
女子高生に流行中の「タイムラプス勉強法」はなぜ効果的?
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。 ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。 ガイドラインの内容 ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。 本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施する
私のセキュリティ情報収集法を整理してみた(2020年版) - Fox on Security
新年あけましておめでとうございます。早いものでこの記事を書くのも3回目になります。毎年年頭に更新している「私の情報収集法」について、今年も更新UPします。 ※私の方法はpiyokangoさんが2013年に書かれた「私のセキュリティ情報共有術を整理してみた。」、およびその記事の元となった根岸さんの2011年の「私のセキュリティ情報収集術」の影響を強く受けて、自分なりに試行錯誤しているものです。必ずしも多くのセキュリティ担当の方に向いている情報収集のやり方ではないかも知れません。 ■インプットに使っている情報ツール 情報収集に使っているツールはそんなに変わってません。忙しいセキュリティ担当の方は、いかにRSSをうまく使いこなすかがカギになるのかと思います。 ツール キタきつね寸評 備考(リンク) RSS Reader 去年から海外ニュースを拾うのに使い勝手が良かったので、このソフトを使っていま
新型コロナに続き「世界的食料危機」の恐れ、国連とWTOが警告
商品がなくなったことを謝罪するメッセージが張られた英ロンドンのスーパーマーケットの陳列棚(2020年3月31日撮影)。(c)Isabel INFANTES / AFP 【4月2日 AFP】現在進行中の新型コロナウイルス危機に当局が適切に対応できなければ、世界的な食料不足が発生する恐れがあると、国連(UN)専門機関の国連食糧農業機関(FAO)と世界保健機関(WHO)、関連機関の世界貿易機関(WTO)の3機関のトップが1日、警告した。 世界の多くの政府がウイルス拡散を遅らせるためロックダウン(都市封鎖)に踏み切ったが、これにより国際貿易と食料品のサプライチェーンに深刻な影響が出ている。 多くの国で、ロックダウンの対象となった都市の住民がパニック買いに走り、スーパーマーケットの陳列棚が空になった。これは食料品のサプライチェーンの脆弱(ぜいじゃく)さを示している。 FAOの屈冬玉(Qu Dongy
CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection
PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f ※ Authorizationヘッダーを利用したBearerトークン等の活用については言及していません。
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
三菱UFJ銀行など10金融機関で約250万件の送金が滞った全国銀行データ通信システム(全銀システム)の障害は、各金融機関と同システムをつなぐ機器の容量(メモリー)不足が要因だったことがわかった。機器の更新で処理量が増え、想定の容量を超えてパンクした。事前のテストが不十分だった可能性もあり、検証が求められる。 全銀システムを構築するNTTデータなどは16日までに中継コンピューターのメモリー不足が
サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。 本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。 重要事項説明 本書の監修者の一人(洲崎俊氏)と評者は知人関係にある 評者が読んだ書
Googleの無料新サービス「ダークウェブレポート」を試したら想像以上の情報流出が判明…操作はカンタン、危険性の見極め方は? | 文春オンライン
【極秘文書】ハッカーが要求する「身代金」の全容
23新卒技術研修で実施したセキュリティ研修の講義資料です。 資料の利用について 公開している資料は勉強会や企業の研修などで自由にご利用頂いて大丈夫ですが、以下の形での利用だけご遠慮ください。 ・受講者から参加費や授業料などを集める形での利用(会場費や飲食費など…
富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた - piyolog
2023年3月以降、富士通Japanが提供する地方公共団体向けの住民情報ソリューションである「MICJET」(ミックジェット)において、プログラム不具合に起因するシステム障害によりコンビニ交付サービスで他人の証明書が出力されるなどの誤交付が相次ぎ発生しています。ここでは関連する情報をまとめます。 証明書の誤交付が発生した地方公共団体 富士通Japanが提供する住民情報ソリューション「MICJET」に関連した誤交付が生じたのはこれまでに8つの地方公共団体。MICJETのコンビニ交付サービスにおいて住民票の写し、印鑑登録証明書などで誤交付が発生した。MICJETを導入している地方公共団体は全国で123。*1 誤交付を行った地方公共団体 誤交付された対象 誤交付を行っていた時期 横浜市 他人の住民票(個人番号あり)の写し1件(1名) 他人の住民票(個人番号無し)の写し5件(11名) 住民票記載事
定期的に更新・追加していきます。 セキュリティガイドライン、フレームワーク集 サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。 ただ、これらの文書の要件を満たすような施策を実施するためには、 1. 自組織が適用(組織・技術的に対策)したい各種ガイドラインやフレームワーク等を選定する 2. これら文書における抽象的な要件を具体的な要件へ落とし込む 3. 具体的な要件を満たすために最適なセキュリティ策を実施する のような流れを踏む必要があります。 2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。 また、業界や技術等の軸で存在感のある
ある意味、終わっていると思う情報処理技術者試験 情報処理技術者試験は今年春の開催が中止となりました。振り込んだお金は7月に返還されるようです。こちらにその詳細が記載されています。 さて、情報処理技術者試験なんて何の役にも立たないなんて言う記事が話題となっておりますが・・。 anond.hatelabo.jp 情報処理技術者試験の本質を言えば、まだその効力はあると思います。ですが、運営側がまだ、新しい生活様式(?)に全然適応できていない。という意味で情報処理技術者試験は終わった、と書かせていただきます。 私が今「情報処理安全確保支援士」という類似の資格を持っていることもあり、具体的に何が終わっているのかご説明させていただきます。 それはないだろう 情報処理安全確保支援士の運用が今年からガラっと変わったんです。 www.ipa.go.jp 2020年5月15日(金)に情報処理の促進に関する法律
若い世代を中心に人気の位置情報共有アプリ「NauNau」で、一時、少なくとも200万人以上のユーザーの位置情報やチャットなどが外部から閲覧できる状態になっていたことがわかりました。 会社側は事実を認め、アプリのサービス提供を21日から一時、停止するとともに、今後、第三者機関による調査を行う考えを示しました。 230万人分以上の位置情報やチャット履歴が 友人などの居場所をリアルタイムで共有し、チャット機能なども利用できる位置情報共有アプリ「NauNau」は、去年9月にサービスを開始し、開発した会社の「Suishow」によりますと、現在はダウンロード数が450万件を超える若い世代などに人気のアプリです。 しかし、複数の関係者によりますと、このアプリはサービス開始の時点からセキュリティー対策が不十分で、少なくとも230万人分以上のユーザーの位置情報やチャット上のやりとりの履歴などが一時、一定のI
systemdにバグ./home以下のファイルが全削除される可能性あり - pyopyopyo - Linuxとかプログラミングの覚え書き -
systemdのバージョン256に /homeディレクトリ以下のファイルを削除してしまうバグがあったそうで,修正版の 256.1 がリリースされています. systemdのissuesによると,一時ファイルを一括削除する systemd-tmpfiles --purge コマンドが /home以下を不要ファイルと誤判定して削除するそうです tmpファイルを消すだけのコマンドと見せかけて,home以下も消すという邪悪なバグなので注意が必要です. 心配な人は systemd のバージョンを確認しておきましょう systemdのバージョンの確認方法 以下のコマンドを実行してsystemdのバージョンを確認します $ systemctl --version バグ有り,/homeが消える可能性がある場合 1行目にsystemd 256 (256-1)と表示されます.バグあり版です.何かの拍子に/ho
人工知能(AI)などに続く革新的技術として期待される量子コンピューターが「スーパーコンピューターを超える日」が近づいてきた。米グーグルは、理論上の概念だった性能を実証し、最先端のスパコンで1万年かかる問題を瞬時に解く実験に成功したもようだ。米IBMなども研究に力を入れる。急速な進歩はいずれ人類にこれまでにない計算パワーをもたらす。AIの活用や金融市場のリスク予測などを通じ、社会にディスラプション(創造的破壊)を起こす可能性を秘める。【関連記事】スパコンで1万年分の計算、3分で Google「量子超越」発表グーグルが「量子超越」を達成したもようだ――。英フィナンシャル・タイムズは9月、こう報じた。日本経済新聞が入手した資料によると、
社内で検知された悪性通信を調査したらドメインパーキングだった話 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの冨樫です。Network Analytics for Security プロジェクトに所属しています。 突然ですが皆さんはドメインパーキングというサービスを知っているでしょうか?詳細については後述しますが、以前イノベーションセンターの検証網でマルウェアに関する悪性通信が検知されたため通信先を調査したところ、ドメインパーキングだったことがあります。本記事ではこの調査を通して得られたドメインパーキングに関する知見とその調査過程を紹介します。また、今回紹介するドメインパーキングの悪用事例や外部インテリジェンスを活用した調査は基礎的な内容ですので、本記事は主に初学者の方の知見にしてもらうことを目的としています。 ドメインパーキングについて アラートの概要 Ursnif について 接続先についての調査 検知されたアラートの危険性について さいごに ドメインパーキン
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
パスワード変更用のURLを明示すためのwell-known URL for Changing Passwordsという仕様について
作成日 2023-05-31 更新日 2023-06-02 author @bokken_ tag well-known, appsec はじめに パスワード変更のためのURLを示すための、A Well-Known URL for Changing Passwords という仕様が存在する。¶ この仕様は主にクライアントサイドのパスワード管理ツールで使われる想定の仕様だ。¶ 本記事ではこの仕様がどういうものか、どういった利点があるのかについてまとめる。¶ パスワード管理ソフトとその課題 パスワード管理ツールはクロスサイトでのパスワードの再利用を防いだり、オートフィルをしてユーザビリティを高めてくれる良いツールだ。 ブラウザにもパスワード管理ツールが搭載されていたり、有名どころでは1PasswordやBitwardenのようなツールがある。¶ これらのツールの中にはパスワードの強度を教えてく
米UIUC(イリノイ大学アーバナ・シャンペーン校)に所属する研究者らが発表した論文「LLM Agents can Autonomously Hack Websites」は、大規模言語モデル(LLM)を用いたAIエージェントに、自律的にWebサイトをハッキングさせる攻撃手法を提案した研究報告である。LLMエージェントがWebサイトに存在する脆弱性を事前に知らなくても、自動検知してのハッキングが可能となる。 ▲自律型LLMエージェントを使ったWebサイトのハッキングの模式図 keyboard_arrow_down 研究内容 keyboard_arrow_down 研究結果 Webサイトを自律的にハッキングするようLLMエージェントを活用するには、エージェントのセットアップと、目標に向けてのプロンプトによる指示という2つのステップが必要である。エージェントによるハッキングでは、関数呼び出し、文書
富士通Japanは2023年3月30日、3月27日に横浜市で発生した、コンビニの証明書交付サービスで別人の住民票が発行されるトラブルについて原因を明らかにした。システムへのアクセス集中により印刷処理の待ちが生じた結果、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまったという。 具体的にはコンビニで証明書交付を申請すると、富士通Japanが手掛けるコンビニ証明書交付サービス「Fujitsu MICJET コンビニ交付」上で、住民票などの印刷イメージファイルが生成される。当該ファイルは申請者しか印刷できないようロックがかかるが、システムにはタイムアウトの上限が設定されていたため、アクセス集中で処理が遅れた際にタイムアウトとなってロックが解除された。同時期に申請した別の利用者が当該ファイルをつかめる状態にあったため、別人の住民票が印刷される
2023年3月30日、名刺管理サービスを提供するSansanは、同社になりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。その後、この注意喚起に関連して実際に被害に遭ったとみられる企業が名刺管理システムからの情報流出の公表を行っています。ここでは関連する情報をまとめます。 運営会社になりすました人物から電話後にフィッシングメール 不正アクセス被害を公表したのは川崎設備工業。名刺管理システム上に登録された名刺情報6万6214件が流出した。名刺情報には氏名、会社名、役職、会社住所、電話番号、メールアドレス等が含まれていたが、公表時点では流出した情報の悪用(営業メールや電話等の発生)は確認されていない。 不正アクセスは2月13日の同社従業員への電話連絡から始まった。電話をかけてきた人物は、Sansanの従業員になりすまし、川崎設備工業からその従業員に対して2
スクールカウンセラー配置3万件も不登校減少つながらず
さまざまな理由で学校に通えない小中学生をケアしようと学校を起点に子供や保護者の心理的なサポートを担う「スクールカウンセラー(SC)」の配置が全国の自治体で広がっている。一方で、令和2年度の不登校の児童生徒の数が19万6127人と過去最多となり、SCの増加が不登校の減少に必ずしもつながっていない。財務省も国の事業の改善点を探る調査でSCの資質向上の必要性を指摘するなど、SCの制度自体の改善を求める声も上がる。 文部科学省は平成7年度からSCの配置を始め、その職務を「不登校や、いじめなどの問題行動の未然防止、早期発見および対応」などとした。配置件数はほぼ毎年増え、令和2年度に計画された配置は3万件超。一方、同省の調査では不登校の小中学生は平成24年度から毎年増え続けている。 不登校増加の背景には、無理をして登校しないことも選択肢の一つと捉える社会認識の変化もある。だが、いじめの認知件数も25年
「Amazon.co.jpを不正利用された」──X(元Twitter)では9月上旬からそんな投稿が相次いでいる。「Amazonギフトカードを大量購入された」「二段階認証を設定していたのに、それを突破された」などの報告が上がっている。 Xでは「(アカウントに)二段階認証を設定していたにもかかわらず不正アクセスされ、Amazonギフトカードを大量に購入された」と被害を訴える声が多く見られる。特に話題になっているユーザーの投稿によると「注文履歴を非表示にされ、不正利用に気が付かないままクレジットカードの請求が来た」と語っている。 このユーザーがAmazonのサポートに問い合わせしたところ「同様の案件が多発している」「現状では手口が分からないのでどうやって侵入してるのか調査中」などと返事があったという。その後、被害額は全て返金してもらったとしている。 Amazonではサイバーセキュリティ対策の一環
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 東海大学に所属する研究者らが発表した論文「不可視光レーザ照射を利用した動的偽装QRコード」は、QRコードへのレーザー照射により、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する方法を提案した研究報告である。QRコードを撮影しているときだけ、遠くからレーザー光で照射して別の悪意あるサイトへ誘導する。
注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
ドコモは現在、各サービスのドメインを「docomo.ne.jp」へ統合する作業を進めており、現在使用しているもの、すでに使用をやめたものを含め同社の専門部署で一括管理しているという。そのうえで「docomokouza.jp」については、社内管理の不手際により、一時的にドコモの保有ではなくなっていたとしている。 今回の「docomokouza.jp」はドコモが取り戻したため不正利用される心配はなくなったが、こうしたドコモ保有のドメインを失った場合はどういった対応を取るのだろうか。同社は「弊社の商号、商標を含むドメインが第三者に取得されて不正に利用された場合は、JP-DRP(JPドメイン名紛争処理方針)という公的な指針によって必要な措置をすみやかに取る」としている。 JP-DRPは、ドメインにまつわる商標権者とドメイン登録者の紛争処理に関する規約を定めたもの。ドメイン名の不正登録・使用を回避す
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
By Ruian Duan and Daiping Liu October 16, 2023 at 1:38 AM Category: Malware Tags: Advanced URL Filtering, Cobalt Strike, Cortex XDR, Decoy Dog malware, DNS security, dns tunneling, DNSTT, FinCounter, next-generation firewall, VPN This post is also available in: English (英語) 概要 本稿は、DNS (ドメイン ネーム システム) のトンネリング技術が野生で (in the wild) どのような理由と方法で利用されているのかに関する研究をご紹介します。またこの研究結果に基づいて、トンネリング ドメインをツールやキャンペーン
エン・ジャパンは3月30日、転職情報サイト「エン転職」のWebサーバに不正アクセスを受け、25万5765人分の履歴書が漏えいした可能性があると発表した。外部で取得したID・パスワードを悪用して総当たりで不正ログインする「リスト型攻撃」を受けた可能性があるという。 漏えいした可能性があるのは、2000年以降にエン転職に登録した人のうち、Web上に登録した履歴書25万5765人分。すでに退会した人のデータが漏えいした可能性はないとしている他、履歴書や企業側が利用する管理画面の改ざんなども確認していないという。 問題を受け、エン・ジャパンは30日午後3時に、不正ログインされたユーザーのパスワードをリセット。不正にログインしていた通信元のIPアドレスもブロック。被害の拡大を防ぐため、他のユーザーのパスワードもリセットし、再設定するようメールで連絡したという。現在は警察への通報や個人情報委員会への報
ウェブブラウザのバージョン間の違いを無効化するJavaScriptライブラリ「Polyfill.io」が、2024年2月のプロジェクトオーナー変更後、マルウェアが混入されてサプライチェーン攻撃に利用され、10万以上のサイトに影響が出ています。 Polyfill supply chain attack hits 100K+ sites https://sansec.io/research/polyfill-supply-chain-attack 「Polyfill.io(polyfill.js)」はアンドリュー・ベッツ氏が開発したJavaScriptライブラリです。ウェブブラウザのバージョン間で機能の違いがあると開発時に苦労しますが、Polyfill.ioを利用すれば、新しいバージョンにしかない機能を古いバージョンで利用できるようになるため、バージョンの違いを気にすることなく開発を進めること
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
全銀ネット障害、メモリー不足が要因 事前テスト甘く - 日本経済新聞
[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
セキュリティ研修【MIXI 23新卒技術研修】
サイバーセキュリティ情報インプット集 第1.0版 - Qiita
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
情報処理技術者試験は終わった - orangeitems’s diary
「NauNau」230万人以上 位置情報など外部から閲覧可能な状態に | NHK
Wi-Fiルーターのサポート期間 - Qiita
「超計算」人類の手中に グーグル実証か 【イブニングスクープ】 - 日本経済新聞
「Fujitsu MICJET コンビニ交付」サービスで発生した印刷障害について
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
GPT-4にWebサイトを“自律的に”ハッキングさせる方法 AI自身が脆弱性を検出、成功率70%以上【研究紹介】
コンビニ交付で別人の住民票が発行されるバグ、富士通Japanが原因を説明
電話後にメールを送ってくるフィッシング攻撃についてまとめてみた - piyolog
「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も
QRコードにレーザーを当てて「偽装QRコード」に変える攻撃 悪性サイトに誘導 東海大が発表
「ドコモ口座」のドメイン、ドコモが取り戻す 出品の経緯をGMO含め聞いた
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
最近観測されている DNS トンネリングのトラフィック
「エン転職」に不正アクセス、履歴書25万人分が漏えいした可能性 リスト型攻撃で
JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響
tretoymagazine.com
chiwawatan.hatenablog.com
www.chukei-news.co.jp
clinic-first-aid.com
news.yahoo.co.jp
kofukutrading.com