タグ

securityに関するtyoro1210のブックマーク (333)

  • 技術者には向いた職業 ~ 千葉県警 サイバー犯罪捜査官 インタビュー | ScanNetSecurity

    技術者には向いた職業 ~ 千葉県警 サイバー犯罪捜査官 インタビュー | ScanNetSecurity
    tyoro1210
    tyoro1210 2024/08/21
    『サイバーセキュリティ技術と向き合う、という点で、警察のサイバー犯罪捜査官ほど、ピュアにそれと対峙できる仕事も他にあるまい』『交番勤務の実習』『柔道または剣道いずれかが必修』
  • OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた | オタク総研

    OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた マイクロソフトがWindows上で提供するクラウドサービス「OneDrive」をめぐり、直近に行われたという仕様変更が国内外で話題に。「勝手に同期される」として批判的な意見が多数寄せられ、OneDriveが与える影響を不安視する声もみられている。 その仕様変更とは「Windows 11」に搭載されているOneDriveにおいて「フォルダバックアップ」機能が自動的に有効化されるという内容。6月末より告知され以降報告が海外で相次いでおり、当時に弊誌も紹介していた。フォルダバックアップとは、デスクトップ、ドキュメント、音楽、画像、ビデオなどのPC内にあるフォルダをクラウドに保存して、デバイス間で同期するOneDriveの機能の一つ。 同期が自動的に開始するように ここでの「自動的に有効

    OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた | オタク総研
    tyoro1210
    tyoro1210 2024/07/16
    容量1000倍にしてくれるなら別にいいよ
  • マイナンバー画像など15万人分漏えいのカオナビ子会社、サイバー保険に加入したと発表

    「保険に加入することで、より、クライアント、エンドユーザーの皆さまに安心してWelcomeHRをご利用してもらえる環境を提供できれば。件はその一つの施策だが、引き続き、再発防止とサービス品質の向上に努める」(ワークスタイルテック) ワークスタイルテックは3月、サーバの設定ミスにより個人情報などが漏えいしたと発表。顧客がWelcomeHRを通してクラウドストレージにアップロードしていた身分証のPDFや画像ファイルと、それらに含まれる氏名、住所、生年月日、性別、電話番号などの情報15万8929人の情報が、アクセス権限の誤設定によって外部から閲覧可能な状況になっていたことが分かっている。 15万445人のデータは第三者にダウンロードされた。さらに、4万6329人はマイナンバー情報が、8073人はクレジットカード情報やデビットカード情報が、2707人は健康診断や障害の情報が漏えいしたとしている。

    マイナンバー画像など15万人分漏えいのカオナビ子会社、サイバー保険に加入したと発表
    tyoro1210
    tyoro1210 2024/07/12
    保険会社が保険金払わずに済むようにするために、専用の調査員が付いてコンサル的な事したりするけど、セキュリティコンサル付きの保険とかあんのかな
  • 情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

    「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編] 104ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編] 94ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け) 72ページ(PDF:3.9 MB) 情報セキュリティ10大脅威 2024 [組織編](英語版) 104ページ(PDF:4.2 MB) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(ZIP:6.8 MB) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(ZIP:6.4 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利

    情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
    tyoro1210
    tyoro1210 2024/03/10
    セキュリティの脅威に「ネット上の誹謗・中傷・デマ」が入るのが渋い世界だな…… 攻撃者も唯一「情報モラル、情報リテラシーが低い人」とかになってて渋い
  • 【サイバーセキュリティ】SOCによる24時間365日監視は本当に必要なのか再考してみる - Qiita

    はじめに 近年、サイバーセキュリティに対する意識の高まりを感じている。 国会では「セキュリティ・クリアランス制度」なるものの検討が進んでおり、誰もが知っているような上場企業であれば当たり前のようにサイバーセキュリティ対策を専門で行う部門が設置されるようになってきた。 筆者が実際にクライアントと会話していても、以前のように「サイバーセキュリティ対策の必要性がわからない」というケースは減ってきており、「サイバーセキュリティ対策をとりあえずやりたい」という経営層が増えているようにも感じる。 そして、需要が高まれば供給側の企業も増えるのが資主義の性(さが)である。 大手SIerコンサルティング会社はこぞってサイバーセキュリティ分野への増員に力を入れている。 サイバーセキュリティ分野を得意としたベンチャー企業の上場事例も多数見受けられる。 そんな中、近年急速に拡大しているビジネスが24時間365

    【サイバーセキュリティ】SOCによる24時間365日監視は本当に必要なのか再考してみる - Qiita
    tyoro1210
    tyoro1210 2024/02/04
    通常業務をこなしてるインフラエンジニアが、pagerduty で叩き起されて対応するもんじゃないんですか?
  • 弊社が運営する「ソースネクストオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|ソースネクスト

    2023年2月14日 お客様各位 ソースネクスト株式会社 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ このたび、当サイト(www.sourcenext.com)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることが判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。 なお、個人情報120,982件が最大漏えい件数となりクレジットカード情報112,132件はこれに含まれております。 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じて

    tyoro1210
    tyoro1210 2023/02/14
    DBハックじゃなくサイト改竄だからその期間に利用した客だけ対象なのね。 / ソースネクストのオンラインショップ利用者、2ヶ月で11万人もいるんだなぁ
  • ツイッター、いったん解雇の従業員の一部に会社復帰を要請-関係者(Bloomberg) - Yahoo!ニュース

    (ブルームバーグ): イーロン・マスク氏が先に440億ドル(約6兆4700億円)での買収を完了したツイッターは、4日に人員の約半減にいったん踏み切った後、失職した何十人もの元従業員に連絡を取り、会社に戻るよう要請している。 非公開情報だとして事情に詳しい関係者2人が匿名で明らかにしたところでは、復帰要請を受けた人々の一部は誤ってレイオフされたほか、マスク氏が計画する新機能の構築に必要と考えられる職種や経験の持ち主であることを幹部が認識する前にレイオフされたケースもある。 ツイッターはコスト削減の一環として、電子メールを通じ約3700人を削減した。多くの従業員は、電子メールやビジネス用メッセージアプリのスラックといった全社システムへのアクセスが突然停止されたことで失職を知った。会社復帰の要請はレイオフのプロセスが大急ぎで進められ、混乱に満ちていたことを裏付けるものだ。

    ツイッター、いったん解雇の従業員の一部に会社復帰を要請-関係者(Bloomberg) - Yahoo!ニュース
    tyoro1210
    tyoro1210 2022/11/07
    優秀な人は引く手数多だろうし別に戻らなくていいか、待遇アップが必要で逆にコストかさみそう。
  • Phishing with Unicode Domains - Xudong Zheng

    Posted by Xudong Zheng on April 14, 2017 The site above is not the real Apple domain but rather a domain that I was able to purchase. You can see for yourself by visiting the proof-of-concept. The security issue has been fixed as of Chrome 59 though it still exists in all versions of Firefox. Punycode makes it possible to register domains with foreign characters. It works by converting individual

    tyoro1210
    tyoro1210 2022/11/02
    これ見るとモダンなブラウザは複数の異なる言語が含まれるpunycodeドメインは Unicode 形式で表示しない対策が入ってるようなので、全部キリル文字で書いても同じ見た目 とかじゃなければ大丈夫そう
  • 見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法

    Googleは独自のルールに従って検索結果の表示順位を決めていますが、Googleの広告枠を購入すれば任意のウェブサイトを検索結果の最上部に表示することができます。この広告枠を悪用して人気画像処理ソフト「GIMP」の公式サイトになりすました偽サイトが検索結果の最上部に表示されてしまう事態が発生しました。偽サイトはドメインの見た目までソックリで、インターネットに慣れている人でも見分けることは困難となっています。 Dangerous Google Ad Disguising Itself as www.gimp.org : GIMP https://www.reddit.com/r/GIMP/comments/ygbr4o/dangerous_google_ad_disguising_itself_as/ Dangerous Google Ad Disguising Itself as www

    見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法
    tyoro1210
    tyoro1210 2022/11/02
    Punycode URL だとリンクなりアドレスバーなりが光ったり色が変わって明示するようなブラウザ機能か拡張が欲しいなぁ / あるじゃん https://github.com/warpdesign/puny-phishing-detection
  • 全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 | NHK

    兵庫県尼崎市は、すべての市民46万人余りの個人情報が入ったUSBメモリーを紛失したと発表しました。住民税や生活保護の受給に関する情報などが含まれているということです。 尼崎市によりますとUSBメモリーは新型コロナの影響で生活に困窮した世帯に支給する給付金に関する給付業務を委託していた業者が、21日、紛失したということです。 USBメモリーには、46万人余りのすべての市民の、氏名や住所、生年月日などのほか、住民税を納めているかどうかや、生活保護の受給に関する情報などが含まれていました。 業者が市の許可を得ず、USBメモリーで個人情報を持ち運び、大阪・吹田市にあるコールセンターでのデータ移管作業を行ったということです。 作業の終了後もデータを消去せず、USBメモリーを持ったまま飲店で酒を飲んだ際に、USBメモリーが入ったかばんを紛失したということです。 業者が22日、警察に届け出るとともに市

    全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 | NHK
    tyoro1210
    tyoro1210 2022/06/23
    『業者が市の許可を得ず、USBメモリーで個人情報を持ち運び』『作業の終了後もデータを消去せず、USBメモリーを持ったまま飲食店で酒を飲んだ際に、USBメモリーが入ったかばんを紛失した』 cool
  • HomeShieldとAviraの通信について | TP-Link 日本

    Archer AX55 , Archer AX73 , Deco Voice X20 , Archer AX3000V , Archer AX4800 , Archer AX72 , Archer AXE5400V , Archer AX90 , Deco X90 , Deco X60( V3 ) 最近のアップデートにより、FAQで説明されている機能の利用範囲が拡大されている可能性があります。ご利用の製品のサポートページにアクセスし、正しいハードウェアバージョンを選択したうえで、「データシート」または「ファームウェア」セクションを確認し、製品に追加された最新の改善点をご確認ください。なお、製品の販売状況は地域によって異なり、一部のモデルはお住まいの地域で提供されていない場合があります。 ユーザー様からのご指摘により、TP-LinkルーターがAviraサブドメインへ頻繁にリクエストを送信し

    tyoro1210
    tyoro1210 2022/04/26
    『DNSリクエストロジックに問題を確認し、それにより今回のような多数のリクエストが行われたことが判明』 話題になってから10日後くらいだけど、日本語公式でも ちゃんとアナウンス出してたんだな。
  • AWS ALB+ACMの意外な落とし穴 | 外道父の匠

    全然たいした話ではないのですが、へーって思ったので記録しておきます。 ALB にて外部からの不正アクセスを塞いだ話になります。 はじめに注意 ※追記3 この記事は、知識不足な状態で始まり、知識不足なまま初出した未熟な内容であり、外部の助力によりそれが解決に向かう、という流れになっています。 調査環境がAWSだったために、タイトルがこうなっていますが、実際はALB+ACM単独の問題ではなく、SSL/TLS としての仕様の話になっている、 ということを念頭において、読んでいただければと思います。 ※追記3ここまで 構成と問題点 手動で作成された ALB → EC2 環境があって、ワイルドカードなACM を使って 0.0.0.0:443 のみ開いており、EC2 は Global からのアクセスは遮断してありました。 にも関わらず、不正系なHostヘッダでアクセスされた形跡があり、コイツどこから来

    AWS ALB+ACMの意外な落とし穴 | 外道父の匠
    tyoro1210
    tyoro1210 2022/04/05
    これ Chrome のアクセス時に警告出なかったんだろうか。 「警告を無視して無理やり繋ぐ」=「証明書の信頼性を無視してhttps通信を行う」みたいなのが何故成り立つのか 的な話しよね。
  • TP-Link製ルーター、無断でデータをAviraに送信。1日に8万件ものリクエスト | ニッチなPCゲーマーの環境構築Z

    TP-Linkルーターは、使用者に無断でデータをAviraに送信している模様です。海外メディアのTECH POWER UPが報じました。 近年のルーターは、単にルーティングをするだけでなく、ホームネットワークのセキュリティ機器としての役割も担っている。TrendMicroのアンチウイルス機能を使用するASUS AiProtectionや、BitDefenderの保護機能を使用するNETGEAR Armorといったサードパーティによるセキュリティサービスが急増している。 中国TP-Linkも同様に、一部のルーターTrendMicroやAviraと提携して同様のサービスを提供している。しかし、Redditでのユーザー報告によると、TP-LinkがAviraと提携しているHomeShieldサービスは、UI上から無効化していてもAviraにデータを送信しているという。 Aviraの機能は、

    TP-Link製ルーター、無断でデータをAviraに送信。1日に8万件ものリクエスト | ニッチなPCゲーマーの環境構築Z
    tyoro1210
    tyoro1210 2022/03/14
    設定の有効チェックだけなら「データ」は送信してないのでは? / 頻度に関して NTP 時の反省が何も活かされてない…… / 性能的な部分だと同価格帯のルーターに大きな差はなくて、UI が圧倒的に使いやすいんだよな。
  • 【楽天市場】ヘルプ・お問い合わせ 楽天グループの新しいログイン画面について

    楽天グループでは、セキュリティの向上を目的として、2021年7月以降、新しいログイン画面をご提供しております。 新しいログイン画面への切り替えは随時行われ、開始時期はサービスによって異なります。 下記は画面の一例です。サービスにより、背景画像やロゴ、画面遷移が異なる場合がございます。 新しいログイン画面は、iOS・Macのダークモードに対応しております。 新しいログイン画面では、セキュリティを強化しており、お客様に新しい基準でのパスワードへの更新や、電話番号の登録をお願いする場合がございます。 パスワードが登録できない場合には、以下をご覧ください。 <主な変更後の画面> ・ログイン画面 ・ダークモードのログイン画面 ・電話番号の追加登録画面 ・会員登録画面 ・パスワード再設定画面 また、楽天グループを装った詐欺サイトが多数存在しております。以下もご確認いただき、十分ご注意ください。 楽天

    tyoro1210
    tyoro1210 2022/02/17
    『楽天グループの新しいログイン画面について(2022年2月2日更新)』ドメインが変わる事についての明記がないけど rakuten.com は正しいドメインなのか不安しかねぇんだが……
  • 思ってたんと違う方向で視聴者戦慄…SNS特定スキルで意中の彼を射止めた"特定"が得意な人 #ねほりんぱほりん

    「“特定”が得意な人」 - ねほりんぱほりん モグラになった山里亮太とYOUが顔出しNGのゲストからねほりはほりする人形劇赤裸々トークショー。今回のゲストは「“特定”が得意な人」。 有名人の自宅を突き止めたい!同級生の裏アカを見つけ出したい!人にバレないようにSNSのアカウントを発見したい!そのためにネットやSNSで情報を集めて目的を果たす…。今回のゲストは、そんな“特定”と呼ばれる行為をする人。どうやって特定するの?特定した情報は何に使うの?特定されないために気をつけるべきことは?自分の情報が見知らぬ誰かに握られているかもしれない…その危うさと防 63 「“特定”が得意な人」 NHK ねほりんぱほりん @nhk_nehorin 【今夜は新作!】 「”特定”が得意な人」 何気なくSNSにアップした写真からあれやこれやと暴かれる… みなさんは、自分が知らぬ間に誰かに何かバレてたことあります

    思ってたんと違う方向で視聴者戦慄…SNS特定スキルで意中の彼を射止めた"特定"が得意な人 #ねほりんぱほりん
    tyoro1210
    tyoro1210 2022/02/13
    これで食っていけそうだな
  • 最高裁無罪判決のご報告|モロ

    こんにちは。モロ(@moro_is)です。 4年近く続いておりましたコインハイブに関する裁判について、昨日、最高裁にて「無罪」の判決を賜りました。 地裁、高裁と繰り返しになってしまいますが、非常に多くの方のご助力あってこそ勝ち取れた判決と感じております。 多大なるご支援、心からありがとうございました。 判決について 専門外となってしまうためあまり難しいことはいえませんが、地裁に続き、 ウェブサイトの運営者が閲覧を通じて利益を得る仕組みは、ウェブサイトによる情報の流通にとって重要である というクリエイターの目線に立った一文を添えていただけたことを非常に嬉しく思います。 また、無罪であったとはいえ私の方にも反省する点は多く、今後はよりユーザーの目線に立った制作者たるよう、肝に銘じて精進いたします。 若輩者ではございますが、引き続き何卒よろしくお願いいたします。 無罪のびろーんについて 「無罪」

    最高裁無罪判決のご報告|モロ
    tyoro1210
    tyoro1210 2022/01/22
    よかったよかった。 正直広告なしで計算リソース持ってってくれた方が体感的には快適だし そうなってほしいくらい(ならんやろうが) PCはともかく、スマホで動画広告とか、急な差し込み広告が出るのマジでダルいしな
  • 商店街に在留カード「偽造工場」 半年で3千枚以上印刷か:朝日新聞デジタル

    在留カードの偽造品1枚を所持したとして、愛知県警は、名古屋市南区内田橋1丁目、中国籍の無職孔繁森容疑者(25)を出入国管理法違反(偽造在留カード所持)の疑いで現行犯逮捕し、18日発表した。「半年前から始めて3千~4千枚作った。160万円ほどの利益があった」と容疑を認めているという。 在留カードは外国人の在留資格を証明するもの。県警は孔容疑者の自宅を16日に捜索。いずれも偽造とみられる在留カード約100枚や運転免許証、マイナンバーカード、学生証などのほか、印刷前の白無地のカード約3千枚も見つかった。 県警は、別の人物がSNSなどで外国人らから注文を受け、孔容疑者が自宅で偽造と発送をしていたとみている。 SNS上で偽造身分証の販売をうたった広告があり、捜査していた。 国際捜査課によると、孔容疑者は16日午後4時40分ごろ、自宅でベトナム人女性の顔写真が印刷された偽造在留カード1枚を所持した疑い

    商店街に在留カード「偽造工場」 半年で3千枚以上印刷か:朝日新聞デジタル
    tyoro1210
    tyoro1210 2021/11/19
    『「半年前から始めて3千~4千枚作った。160万円ほどの利益があった」』 こんだけリスク背負ってそれかぁ
  • AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜 #devio2021 | DevelopersIO

    ログ・モニタリングのやるべきこと AWS CloudTrail の設定 CloudTrail は AWS リソースを「誰が」「いつ」「何に」対して「どうような」操作をしたのかを記録するサービスです。 ログの長期保管の設定をしておくことで、トラブル発生時の解析等に利用できます。 有料です(無料利用枠もあります) [YouTube] AWS CloudTrailを触ってみた CloudTrail Insights を利用することで、機械学習により異常なアクティビティを検出することもできます。 ログは S3 と CloudWatch Logs に転送でき、S3 に保管しているログは Athena により検索することもできます。 Athena を利用する場合は、事前に CloudTrail 用のテーブルを作成しておき、検索方法を習熟しておきましょう。 インシデントが発生してから習熟では対応が遅くな

    AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜 #devio2021 | DevelopersIO
    tyoro1210
    tyoro1210 2021/10/15
    「業務でやる場合」と「勉強で触りはじめる場合」は別よな。 初学者は予算上限設定だけして 後は当たって砕けて覚えろでいいと思うんだけど、AWS 予算アラートだけで、予算越えで自動停止機能ねぇからなぁ
  • コインハイブ事件、最高裁で12月弁論 逆転有罪の二審判断見直しか - 弁護士ドットコムニュース

    コインハイブ事件、最高裁で12月弁論 逆転有罪の二審判断見直しか - 弁護士ドットコムニュース
    tyoro1210
    tyoro1210 2021/10/15
    正規の API を叩いて 動作してるスクリプトの「目的」によって、「意図しない動作」と線引きする事が無理筋すぎるよなぁ。 ユーザーの意図しない縁の下の動作にインターネットは支えられとるんや。
  • 「山奥で車のドアが開閉不能に」──トヨタの無人レンタカーでトラブル、“その場に置き去り”仕様に物議 トヨタ「案内ミスだった」

    「飛騨の山奥で突然ドアが開かなくなって詰んだ」──トヨタ自動車が提供するレンタカー無人貸し出しサービス「チョクノリ!」利用者のツイートが物議を醸している。投稿者で、米Quoraのエバンジェリストでもある江島健太郎(@kenn)さんは8月3日、同サービスでレンタカーを借りて飛騨の山奥を訪ねたところ、スマホと車のBluetooth接続が突然失われ、ドアの開閉ができなくなったという。 チョクノリ!は、スマホの専用アプリだけで車の予約やドアの開閉、精算ができるクルマの貸し出しサービス。ドアの解錠はBluetoothでスマホから行えるが、物理キーは各営業所で管理しているため貸し出されていない。このため、Bluetoothの接続が失われてしまうと利用者が自力では開閉できなくなる仕様だった。 江島さんはサポートセンターに問い合わせるも、遠隔操作でのドアの開閉も不可能だったという。「緊急用のリモート・アン

    「山奥で車のドアが開閉不能に」──トヨタの無人レンタカーでトラブル、“その場に置き去り”仕様に物議 トヨタ「案内ミスだった」
    tyoro1210
    tyoro1210 2021/08/05
    『飛騨山脈のど真ん中で放り出していただきました。』『全額返還の対応となることに。一件落着!』 完全に旅程ぶっこわされて山の中に放り出された時点で 返還程度で何の落着もしてなさそう。