タグ

anonymousdiaryとsecurityに関するnatu3kanのブックマーク (20)

  • NEC Atermのサポート期限に疑問

    NECのAtermルーターに脆弱性が見つかったのに、販売中の製品の一部でファームウエアが修正されない。 NEC公式に書いてあるatermのサポート期限・Atermは販売終了から約3年間がサポート期間。 ・必要に応じて、新しいファームウェアを公開します。 今回の問題このニュースを見て、修正対象外に比較的最近の製品も入ってるなあと思って調べたら意外な事実がわかりました。 ASCI jp I NEC「Aterm」シリーズに複数の脆弱性 アップデートまたは買い換えを推奨 https://ascii.jp/elem/000/004/387/4387155/ サポート期限内でも、ファームウエアが提供されない機種が多数ある。 新製品がAmazonで売られている状況でも修正されない製品がある サポート期限内なのにファームウエアが提供されない商品リスト。全て新品販売中 品名 型番 サポート状況 価格com販

    NEC Atermのサポート期限に疑問
    natu3kan
    natu3kan 2026/04/04
    ハード設計古いと最新よソフト入れられなかったりするからなあ。
  • 【doda】転職中、在籍企業から丸見えのブロック不具合(5回)を続ける1つの理由

    パーソルキャリアは「doda」という転職サイトで、在籍中の企業から参照されないようにする「ブロック機能」を提供している(つもりだ)が、 不具合により機能していなかったことが今までに何度も発覚し、その都度、修正を行ってきた。 都度都度、(その場しのぎの)修正・対処アナウンスを出してきたものの、今回(5回目?もっとあるかも) サービス開始時から2025/2/2までブロックが機能していなかったことが発覚。 ・転職希望社にとって「在籍中の企業に転職活動がバレ」るのは死活問題であり、サービスとしては致命的 ・一番ヤバいのが、何度も何度も「修正した」ことにしながら、実態は修正されていない(軽くググっただけで5回出てくる有り様)事実 ・下記リストには記載していないが、「ブロック不具合」以外にも、情報漏洩なども起こしている ・ここまで来ると総務省案件としか思えないんだが、そもそも何をやったらこうなるのか?

    【doda】転職中、在籍企業から丸見えのブロック不具合(5回)を続ける1つの理由
  • ワイ「端末壊れたんでeSIM再発行頼むで」楽天モバイル「契約中の番号でSMS認証せよ」ワイ「は?」

    バッカじゃねーのかな。 この仕組みを考えた奴何も考えてねえだろ。 こう言う頭のいいふりしたバカにシステムを作らせてはいけない。 詳細eSIMを設定したモバイルルータが死んだので、楽手モバイルでeSIMの再発行手続きをしたところ、二段階認証の表示が出た。 SMSまたは登録のメールでコードを送ったのでみてね、だそうである。 しかし待てど暮らせどメルアドにコードが送られてこない。なんだこれは。 で、楽天モバイルのfaqを漁るとこんなことが書いてあった。 https://network.mobile.rakuten.co.jp/faq/detail/00001914/ 継続的にセキュリティー対策を強化しており、5月下旬より一部のお手続きについてワンタイムパスワードの送信方法をメールからSMSに変更しました。は? ばっかじゃねーの? ホテルで部屋のパスワードを忘れたので新しく発行してくれと言ったら、

    ワイ「端末壊れたんでeSIM再発行頼むで」楽天モバイル「契約中の番号でSMS認証せよ」ワイ「は?」
    natu3kan
    natu3kan 2024/11/08
    例外処理は電話で全部やる運用。
  • 子供の友達にWi-Fiパスワードを教えないといけない風潮がある

    子の友達が家に来ると、Wi-Fiのパスワードを聞かれることが多い。 もっぱらSwitchのためであるが、昭和生まれの私は「Wi-Fiのパスワードを教えたらなんかヤバそう…」と考えており教えてない。 具体的にはわからないけど、パスワード漏洩ってリスクがありそうな気がして教える気が全くしない。 しかし、今の御時世は「損がないから教えてる」ご家庭もあるらしい。もしかしてそちらのほうが多いのかもしれない。 ゲスト用パスワードを用意できるルータもあるらしい。 へえへえへえ。 もしかして、今のデフォはこの選択肢なのか。 確かに隣近所じゃなければ通信に影響はないのかもしれないけど…なんか…やだ…

    子供の友達にWi-Fiパスワードを教えないといけない風潮がある
    natu3kan
    natu3kan 2024/10/28
    ゲスト用SSID用意するかゲスト用に別のルータをブリッジとかで用意するとかも気軽そう。子供がハッカーだったら諦めよう。
  • KADOKAWAのハッキングの話チョットワカルので書く

    私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ

    KADOKAWAのハッキングの話チョットワカルので書く
    natu3kan
    natu3kan 2024/07/03
    破られる前提で破られても被害が最小限になるようにシステム組まないとならない感じなんだな。大人数いると全員がセキュリティを徹底するの難しいよな。
  • 「詐欺電話は名指しで来るよ」という注意喚起

    [B! 詐欺] 電話番号の末尾「0110」に注意、警察装う詐欺相次ぐ…番号表示技術を悪用か 注意喚起のため、こちらに自分にかかってきた電話の手口を書く 突然の電話 「増田さんですか?」 「はい」(名前は合っていた) 「今から警視庁に来られますか?」 「無理だ」と答える 「警視庁のXXと言いますが」 「詐欺事件の捜査中、犯人の一人の自宅から、あなたの口座のカードが見つかった」 「心当たりはあるか?」 「こころあたりはない」と答える 「おそらく個人情報が盗まれて詐欺に使われたのだと思うが」 「はい」 「あなた名義の口座で4000万円ほどの取引がされていた」 「これは詐欺の被害額ということになる」 「今の段階ではあなたも詐欺集団の一員である疑いがあり、捜査しなくてはならない」 「私は無関係なのですが」 「こちらもそう思っているので、逮捕や強制捜査のようなことはしたくない」 「できる限り協力してほ

    「詐欺電話は名指しで来るよ」という注意喚起
    natu3kan
    natu3kan 2024/05/20
    こう言うやつのせいで知らない電話番号取りにくくなって緊急連絡の確認が遅れちゃうのよな
  • 対策とセットで公開しろよボケが まずサンプルは https://www.neo-blood.co.jp/ を見..

    対策とセットで公開しろよボケが まずサンプルは https://www.neo-blood.co.jp/ を見れば大体わかる こういう詐欺サイトにはひっかからないようにしような で、対策 見分け方としては https://www.ccj.kokusen.go.jp/jri_sysi?page=sgSite あたりが参考になる 最初から騙されずに買わないのが一番いい。このサイトで予習すればだまされる率も減るだろう で残念ながら騙されてしまった場合。 汎用的な対処法については https://www.ccj.kokusen.go.jp/chatbot_answer?page=mhuhn&ksi=credit の3.クレジットカード会社への相談についてを見ろ 追記を見たが銀行振り込みの場合は https://www.ccj.kokusen.go.jp/chatbot_answer?page=mh

    対策とセットで公開しろよボケが まずサンプルは https://www.neo-blood.co.jp/ を見..
    natu3kan
    natu3kan 2024/02/06
    体験談は参考になる。結局カード会社に証拠と共に問い合わせになるのね。
  • 【特集】女性の帯刀解禁から一年――社会はどう変わったか 昨年4月1日、政..

    【特集】女性の帯刀解禁から一年――社会はどう変わったか 昨年4月1日、政府は女性に対しても帯刀を認める法律を施行した。これは、痴漢や盗撮などのセクシュアルハラスメントや、職場や家庭でのパワーハラスメントなどの被害に苦しむ女性たちを守るための措置だとされている。帯刀解禁から一年が経った今、社会はどう変わったのだろうか。 まず、警察庁によると、昨年度中に発生した痴漢や盗撮などのセクシュアル珊犯罪は前年度比で約9割減少したという。また、厚生労働省によると、昨年度中に受理されたパワーハラスメント関連の相談件数も前年度比で約8割減少したという。これらの数字は、女性が帯刀することで自分を守れるという自信や意識が高まり、加害者側も抑止効果を感じて暴力的な行為を控えるようになったことを示している。 一方で、帯刀解禁に伴って発生した問題もある。例えば、昨年度中に発生した殺人事件では、被害者が男性で加害者が女

    【特集】女性の帯刀解禁から一年――社会はどう変わったか 昨年4月1日、政..
    natu3kan
    natu3kan 2023/02/25
    日本の銃規制の都合で役所やヤクザの用心棒として訓練された女性を使う武装集団や女性帯刀強盗団が出来そう。現状の法律的に新々刀の製法でしか日本刀つくれないから、もし帯刀礼が解禁されたら古刀の製法も解禁して
  • 3大イラッとくる入力フォーム

    ペースト出来ないID/パスワード欄 4つに分割されてるクレジットカード番号入力欄 入力した後で記号は使えませんとか言ってくるパスワード欄 あと一つは?

    3大イラッとくる入力フォーム
    natu3kan
    natu3kan 2022/12/21
    たしかに、長時間経過してから決定して画面遷移しようとして失敗したら、タイムアウトで入力が全部消えるのありましたな。
  • ワクチン予約のシステム、納期ありきのクソプロジェクトあるあるすぎ

    https://anond.hatelabo.jp/20210517201151 あれさ、少なくとも東京会場側のサイトは、最初のボタンに「認証」って書いてあんだよね。 端的に言って、認証も何もしてないんだから嘘なんだよね。 んで、取れる手立てはいくつもあると思うんだけどさ、 ドメインについて(なんでmrso.jpのドメインなのよ、厚労省のドメインじゃだめなんか)市区町村コードについて(6桁だけど、これは既知の情報で無効な番号は弾ける)誕生日について(なんで1歳でも予約できんだよ、これは後述するが弾いてるものもある)一番下のコピーライトについて(自衛隊東京 予約システムというタイトルなら、一番下にも入れとけよ)最初に書いとくと、できるチェックはしてるんだよ。 例えば、「現在の入力桁数:4桁」みたいなチェックはしてんだよ。これはわかりやすい。頑張ってる。 んでな、2月31日みたいな存在しない日

    ワクチン予約のシステム、納期ありきのクソプロジェクトあるあるすぎ
    natu3kan
    natu3kan 2021/05/18
    何処と連携するか、満足に仕様が決まってないし、納期も厳しいと初心者の手習いみたいなテストプログラムのまま正式運用されるって事?
  • ワクチン予約のクソシステムについての私見

    5/18 追記色々情報が出てきたので答え合わせ。 前提として、 接種番号は自治体が発番する。そのため、このシステムは、入力された接種番号が正しく存在する番号かどうかさえ確認するすべはない(形式的に間違っている番号はわかる)。 接種番号は自治体が発番するため、接種番号と接種者の情報を紐付けられるのは自治体のみ。接種番号に対応する郵便番号や生年月日も、このシステムはわからない。 接種券は、このシステムが開発着手する前から印刷されていた。チェックディジットやハッシュは、その時点で接種番号の仕様に含まれていなかった。 大規模接種会場の予約システムなんて話が裏で進められ始めたのが今年の1月。接種券の印刷・送付の通達が出たのは去年の12月。 その通達では、券番号として、自治体内で一意であることしか定められていなかった。 このシステム、ひいては大規模接種の目的は、早期にワクチン接種を完了させること。 し

    ワクチン予約のクソシステムについての私見
    natu3kan
    natu3kan 2021/05/18
    選挙ハガキ方式にするくらい完全にアナログに振ってもいいのかもね、登録側だけデジタルでやって。追記:先に接種日を決めて皆に割り振って、都合がつかない人は電話連絡やネットで変更とかの方が良かったのかもね。
  • 「政府機関等の情報セキュリティ対策のための統一基準群」について

    https://togetter.com/li/1714221 高木浩光氏による「デジタル庁によるnote発信における問題点の指摘」が話題になっているが、この焦点となっている 「政府機関等の情報セキュリティ対策のための統一基準群」(通称:統一基準群)について、誤解を前提としたブコメがあまりに多いので簡単に概要説明。 あくまで「統一基準群って何?」という大前提についての話で、高木氏の指摘内容自体は説明しない。 ●原はここ https://www.nisc.go.jp/active/general/kijun30.html 現在令和3年度版策定中なのでこれが現行。全文が公開されている。 「群」と言われている通り、規範-指針-基準及び基準策定ガイドライン、という階層構造の文書群。 専門家でなくても判るよう噛み砕いた文章にはなっているが、規定である以上正確性を担保した文章で、読み飛ばせないゆえに

    「政府機関等の情報セキュリティ対策のための統一基準群」について
    natu3kan
    natu3kan 2021/05/15
    結構、ルールがしっかり考えられてるが故に煩雑になって、読み解いて対策する専門知識がいるみたいな感じになってる訳な。
  • サイボウズ青野社長のマイナンバーカード批判に指摘する

    元記事はこれです https://note.com/yoshiaono/n/n4cd37820faf0 ・そもそもマイナンバーカードの目的がよくわからない。身分証明のためなら運転免許証や健康保険証でよくね?そもそも何が問題なの? 身分証明だけなら運転免許証で良いが(健康保険証は顔写真が無い)、誰でも取得出来る顔写真付き身分証明書は必要(追記) マイナンバーカードのICチップによる身分証明と正しいマイナンバーの検証が同時に確認できるのが肝 ・カードに書かれたマイナンバーが漏れるとまずいらしい。漏れるとまずいのに印刷するの?みんなで便利に使うための番号じゃないの? ここは政府の雑な説明がほぼ悪いのだが、青野社長レベルで「漏れるとまずいらしい」という認識なのか… 「みんなで便利に使うための番号じゃないの?」その議論もあったがマイナンバー法で目的外利用が厳しく制限された。アメリカでのSocial

    サイボウズ青野社長のマイナンバーカード批判に指摘する
    natu3kan
    natu3kan 2020/09/22
    関連:総務省|住基ネット|住基ネットでできるようになったことは?(https://www.soumu.go.jp/main_sosiki/jichi_gyousei/c-gyousei/daityo/juuki03.html)
  • オンラインゲームのチート対策の話

    オンラインゲームの開発してるんだけどチート対策が大変だという愚痴 愚痴なのでふーん大変だねと読み流してくだせえ なんでかわからんけどチーターはどのオンラインゲームにもいる、奴らだけは過疎ってるゲームも見放さない みんなチーターBANしろよ糞運営って怒るんだけど、BANしてもBANしても奴らは帰ってくるんだ 自分がいちプレイヤーのときはチートとか防いどけよwと思ってたけど、凄腕のハッカーに対抗するのは荷が重い 奴らアップデートから数時間後には実装した俺たちより詳しく仕様を把握してやがる、勘弁してくれ お前らみたいな人間がウチに入ってチート対策してくれよ、ゲームが好きでふらっとゲーム会社に入った一般ピーポーをイジメないでくれ 朝会社行くと「おいおい、これこれこういう風にすればこんなことができちまうぜ、俺ならこうやって穴を塞ぐけどな」みたいなありがたい英文メールが届いてたりする 良い奴だと思うだ

    オンラインゲームのチート対策の話
    natu3kan
    natu3kan 2018/11/29
    チートやる側も技術の披露だったり、金稼ぎ目的だったりいろいろだよなあって思った。チートやる側の方が仕様を熟知してるテストエンジニアよりゲームの仕様やバグに詳しかったりするしな。
  • JINS はマジでやばい

    https://twitter.com/piyokango/status/844361226767380481 という話があり、その現物なのだが、 http://www.freezepage.com/1490165400GAZZVSXBDT である。キャッシュの freezepage ですまんが、まあいいだろ。 これ自体はハセカラ界隈のスクリプトキディが show tables かなんかを実行する jsp 一枚仕込んだというだけの話なのだと思うが、問題は JINS の対応だ。 t_jins_gmo_brandtoken_cancel_if_rireki t_jins_gmo_brandtoken_change_if_rireki t_jins_gmo_brandtoken_entry_if_rireki t_jins_gmo_brandtoken_exec_if_rireki などといった

    JINS はマジでやばい
  • 標的型攻撃の訓練がうざい・・・

    最近、会社で標的型攻撃の訓練が多くて非常にうざい。 メール添付形式でのエクセルファイルを開くかメールで送られてきたURLを開くか? で、両方引っかかった。 また、両者のセキュリティーリスクはさほど高くないと思ってる。 エクセルの場合、問題なのはマクロの実行であって通常エクセルのマクロは実行時に確認が出るので、ファイルのオープン自体のリスクはそこまで高くない。URLオープンの場合、chrome最新版、flashの実行禁止等を知れていれば、リンクを開くことのリスクは低。なお、情報の入力のリスクは別。 のよう認識している。 自分の中で気を付けるべき行為だと思ってる行為としては、下記のような感じ。 exe実行(RLO 拡張子偽装など含む)マクロ等を含むデーターファイルの取り扱い(主にoffice系ファイル)ソフトのパッチ、バージョン管理不備情報入力を要求される場合、ドメイン、証明書状態の確認参照系

    標的型攻撃の訓練がうざい・・・
  • 「銀行から1万4000件の情報流出」を当事者目線で解説したい

    出会い系サイト運営者と繋がりのある方より直接話を聞くことができました。 文才がないながらも出来るだけ当事者側からの目線で解説したいと思います。 先に言いますが、件は出会い系サイト自身が被害者でもありますので、「出会い系サイトなんて全部サクラサイトだろ?」みたいな先入観をお持ちの方は一旦捨てて頂くと理解しやすいかと思います。真っ当に運営されている出会い系サイトが被害者です。 まず流出したであろう情報とは何なのか?「残高照会ダイヤル」は、契約者が持つ口座の残高や、通帳に「印字されうる」取引明細も音声で知ることができます。例えば 「27-11-27 振込 フグタマスオ *30,000」 「27-11-30 振込 イソノカツオ *10,000」 このような入出金の取引を、音声で知ることができます。 もちろん契約者(契約団体)自身しかアクセスできないはずの情報なわけですが、この残高照会ダイヤルの操

    「銀行から1万4000件の情報流出」を当事者目線で解説したい
    natu3kan
    natu3kan 2015/12/01
    にしても、そういう使い方があったのかあ。頭いいなあ
  • Webサービスを常時SSL化しようとして諦めた話

    弊社の新規事業でWebサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。 世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiやニコニコなどの大手もやってないようだ。ニコニコのURLを試しにhttpsにしてみたら繋がらず、mixiはhttpにリダイレクトされる。 うちは新規だから最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttpをhttpsにリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。 つづく。 続き。 弊サービスではユーザーがYouTubeなどの動画を貼り付ける機能が重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードがhttpなせいで、さらに最近のブ

    Webサービスを常時SSL化しようとして諦めた話
  • ゲーム内チャットが諜報機関にとって悪夢である理由

    テロリストがゲーム機(PS4)のゲーム内チャット機能を使ってるかも、っていう報道が出ている。 この件でPS4を叩いても仕方が無い。というのはPS4に限らずゲーム内のチャットはテロリストが会話を行うのに適した理由がこんなにも多いからだ ① 膨大なチャネル会話経路がゲームの数だけ、星の数ほどある。NW的にはPSNを利用していても、プロトコルや暗号化方法はゲーム毎に異なるのでPSNの根っこで監視をしても結局各ゲーム毎に解析方法を作らなければならない。『釣天使』とかかわり合いたいと思うほど諜報機関は暇では無いだろう。 そして、ゲームの数はアーキテクチャの数であり、それぞれ異なる方式で情報が伝達されている。あるゲームではメッセージサーバ集中管理でも、また別のゲームではP2P通信だったりする。それらを複合的に扱っている場合もあるだろう。テロリストとは無関係な第三者のゲーム機をホストとして会話が行われ、

    ゲーム内チャットが諜報機関にとって悪夢である理由
    natu3kan
    natu3kan 2015/11/18
    対戦ゲームのチャットでゲームの作戦の会話だと思ってた会話がテロの計画の暗号ってこともありうるよなあ。ゲームの中に入って諜報する時代なのかもね
  • 県警でサイバー犯罪を担当している人から話を聞いた時のメモ

    県警でサイバー犯罪を担当している人から話を聞いた時のメモが出てきたので下記にまとめる。 メモは2年ほど前のもので、現在の警察の見解とは異なっている可能性がある。 IDとパスワードの管理について 同じIDとパスワードを複数のWebサービスで使い回している人は非常に多い。 定期的にパスワードを変更することは使い回しの温床になるので推奨していない。 IDとパスワードの使い回しを狙って、不正取得したIDとパスワードを複数のサービスに1回ずつ入力して侵入を試みる手口が増えている。1回ずつしか試みられないので不正検知が難しい。 フィッシングやスパイウェア等によるtechnicalな不正アクセス事案は全体の4割程度であり、残り6割はパスワード設定管理の甘さや知人・友人にパスワードを漏らしたことによるソーシャルな手口である。 10代のオンラインゲームの不正操作事案が急増傾向にある。 不正アクセス禁止法につ

    県警でサイバー犯罪を担当している人から話を聞いた時のメモ
  • 1