サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
数億人のウェブユーザーが、新たに発見された危険なサイバー攻撃について警告を受けている。この攻撃はブラウザの種類を問わず、「ダブルクリック」さえすれば成立してしまう。以下に、「ダブルクリックジャッキング(ダブルクリックジャック攻撃)」について知っておくべきポイントをまとめる。 ダブルクリックは危険、新たなハック攻撃が確認される アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。 このまった
1.はじめに 2.インプットで参照している情報源(海外) 3.インプットで参照している情報源(国内) 4.調査によく使っている便利ツール 5.アウトプットも忘れてはいけない 偉大な先人達へ敬意を表して・・・ 新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2025年版)」を今年も公開します。 1.はじめに サイバー攻撃は国境を越えて発生しています。ランサムウェアやフィッシング、DDoS攻撃などの手法を用いる脅威アクターの多くは、日本ではなく海外に拠点を置いています。このため、日本の警察が国内拠点や協力者を摘発するケースは一部あるものの、脅威アクターの首謀者(コアメンバー)を、特に日本で逮捕まで至る事は極めて少ないのが現状です。 このため世界の脅威動向を、可能な限り正確に把握することは、日本組織にとってますます重要になってきています。 しかし、その役割を担うべ
コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能(広告ブロック機能を持つ拡張機能等)を無効にしてページを再読み込みしてください。 ✕
最近Sassを使ってないなぁって話初学者向けの記事やSNSの投稿で「Sassはマジで必須!」なんて書いているのを見かけますが、私の場合、そういえば最近は素のCSSばかりでSassは使っていないなーと思ったので記事にしてみます。私自身Sassが大好きでずっとお世話になっていましたが、CSSの進化も著しく、使い所があまりなくなってきているんですよね。 変数やネスト、計算はCSS だけで OK過去記事「Sass 不要!CSS だけでも変数やネスト、演算子が使えるよ!」でも書いたとおり、Sass のメリットでもある変数やネスト、数値の計算はCSS だけでも可能です。 変数は過去記事「CSS で変数(カスタムプロパティ)を使ってみよう」で紹介したように、メディアクエリーによって柔軟に変化させたい時は、Sass よりもCSS のカスタム変数の方が便利です。計算式を使いたいときも、CSS なら異な
スマホを狙う新しい手口の「SIMスワップ」も怖い。SIMとは契約情報が記録された小型のICカード。携帯電話番号を乗っ取る手法で、その流れは図1の通りだ。 図1SIMスワップの手口は、犯人が事前に個人情報を入手してこれを基に身分証明書を偽造。携帯ショップに赴いてSIMを再発行したり、MNPで電話番号を引き継いだりする。攻撃者が手に入れたSIMは被害者の電話番号なので、SMSの確認コードは犯人のスマホに届く。つまり2段階認証も突破されてしまう。すでに国内でもネットバンキングの不正送金の被害が出ている まず攻撃者はフィッシング詐欺などでターゲットの個人情報やログイン情報を取得し、個人情報を基に身分証を偽造。次に携帯ショップで偽の身分証を提示して本人になりすます。あとは、SIMの紛失を名目に再発行したり、MNP(携帯番号ポータビリティ)を悪用して別のSIMに電話番号を移したりして乗っ取る。こうや
Webブラウザと拡張機能の組み合わせは便利だが、セキュリティホールを生み出してしまうこともある。Amazon.comやGmailのパスワードを第三者が盗む方法を研究チームが発見した。 Webブラウザと拡張機能を組み合わせることで利便性が増す一方で、セキュリティホールを生む原因にもなり得る。 あまりにも簡単にパスワードが手に入る ウィスコンシン大学マディソン校の研究チームが2023年8月30日に発表した論文によれば、Amazon.comやgmail.comが入力されたパスワードを一時的に保持する方法に欠陥があり、あるWebブラウザの拡張機能を使うと、第三者がパスワードを読み取れる可能性があるという。これは現実的な危険なのだろうか。 結論から言えば現実的な危険だ。理由は2つある。理由の一つはトラフィックの多いWebサイトの一部にセキュリティ設計が甘いものがあること。もう一つの理由は、悪意のある
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドラインセキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価システム (CVSS) ISMS適合性評価制度 政府情報システムのためのセキュリティ評価制度 (ISMAP) CSIRT Services Framework PSIRT Services Framewo
日本のIT化を推進する情報処理推進機構(IPA)が2023年3月、Webサイトを刷新した。しかし直後から「必要な情報が見られない」といった批判がSNSなどで殺到。WebサイトのURLを変更した上にリダイレクトも設定していなかったことが原因だ。利用者がどうサイトを使っているかを理解せず、プロジェクト中に複数の判断ミスを重ねた。半月後には使い勝手を改善させたものの、IPAのずさんな刷新計画は、IT関係者に衝撃を与えた。 以前からブックマークしていた情報処理推進機構(IPA)のWebサイトにアクセスすると、「404 Not Found」が表示される――。IPAがWebサイトを刷新した2023年3月31日以降、TwitterなどのSNS(ソーシャル・ネットワーキング・サービス)で、このような投稿が相次いだ。「404 Not Found」とは、Webサイトが既に存在しないことを示すステータスメッセ
著書に『宇宙世紀の政治経済学』(宝島社)、『ガンダムと日本人』(文春新書)、『教養としてのゲーム史』(ちくま新書)、『PS3はなぜ失敗したのか』(晋遊舎)、共著に『超クソゲー2』『超アーケード』『超ファミコン』『PCエンジン大全』(以上、太田出版)、『ゲーム制作 現場の新戦略 企画と運営のノウハウ』(MdN)など。Googleは現地時間5月2日、ChromeがURLが「https://」から始まるサイトを読み込むとき、アドレスバーに表示される鍵アイコンを新たな「調整(tune)」アイコンに置き換える方針を発表しました。 まずデスクトップ版の全般的なデザイン刷新の一環として、2023年9月初旬にリリースされるChrome 117で登場。それと同時にAndroid版の鍵アイコンも置き換えられる予定です。 HTTPSとは、ブラウザがウェブサーバから情報を取得する際に使うプロトコル「HTTP」を
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2023年版)」を今年も公開します。 ■インプットで参照している情報源(海外) ランサムウェア攻撃やフィッシング攻撃等、サイバー攻撃インシデントの多くでは、出し子、買い子、送り子といった犯罪活動の協力者などを除き、日本の警察に逮捕された容疑者はそれほど多くない事が、ニュース等の報道を見ていると分かるかと思います。海外から日本の組織が攻撃を受けているケースが多いと推定される中、自己防衛が重要であり、最近は脅威インテリジェンスを活用して攻撃の初期段階、初期兆候を重要視する企業も増えてきています。海外の主要セキュリティサイトの情報をいち早く把握する事で、脅威インテリジェンス並とまでは言えないかも知れませんが、国内サイトで報じられるまでの時差を稼ぐ事が可能になるケースもあり、当ブログでも有力海外ソースの発信情報をチェッ
平素は、電子マネー「nanaco」をご利用いただき、誠にありがとうございます。 このたび、お客様により安心・安全にnanacoのサービスをご利用いただくため、本日、nanaco会員メニューのログイン方法の変更と 一部サービスに二要素認証の導入をいたしました。 ① nanaco会員メニューのログイン方法の変更について ・ nanacoカードをお持ちの方は、本日以降、nanacoカード裏面の7桁の番号はnanaco会員メニューへの初回ログインのみ利用可能となります。 ・ 初回ログイン時に、会員メニュー用パスワードの設定画面が表示されますので、案内に従い、パスワードの設定をお願いいたします。 ・ nanacoモバイルforAndroid、Apple Payのnanacoをお持ちの方は、ログイン方法の変更はございません。 ・ 設定した会員メニュー用パスワードは大切に保管してください。 ・ すでに
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
はじめに プリンターやキーボードなどの周辺機器が正しく動作しなくなった原因として、デバイスドライバーの破損などが考えられます。 この場合、いったんデバイスマネージャーからドライバーを削除し、新たにドライバーをインストールすることで、問題を改善できるか確認することができます。 サウンドドライバーやネットワークドライバーなどほかのドライバーも、ここで案内している操作手順で入れ直しを行うことができます。 ここで案内している手順でドライバーを削除すると、パソコンに内蔵されているドライバーは再起動時に再インストールされますが、増設した機器などのドライバーは別途インストールが必要な場合があります。 ドライバーの追加や削除、デバイスの設定を変更する場合は、管理者アカウントでサインインしてください。 管理者アカウントについては、以下の情報を参照してください。Windows 10のユーザーアカウントの種類
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回はシステムトラブルに関するトピックを3つを取り上げる。セキュリティーソフトが銀行アプリを「危険」と判定する不具合、UUUMが認証キーを誤って公開していたトラブル、日本栄養士連盟の不正アクセス被害である。 山陰合同銀行や荘内銀行など6行での不具合を確認 山陰合同銀行と荘内銀行はそれぞれ2022年11月7日に、オンラインバンキングに利用するアプリ(銀行アプリ)がセキュリティーソフト「ノートン360」によって起動できなくなる不具合を確認したと公表した。iPhone上で銀行アプリ起動しようとすると、ノートン360が「危険サイト このサイトは使用しないことをお勧めします」という警告を表示するという。 両行はこの警告が出たときの対処方法として、同じ方法を示している。まず警告部分をク
液晶タブレットの製造販売を手掛けるワコムは11月21日、同社ECサイト「ワコムストア」で最大14万7545人分の個人情報と約2000件のクレジットカード情報が漏えいした可能性があると発表した。一部のカード情報は不正利用された可能性もあるとしている。 漏えいした可能性がある個人情報は、22年2月19日から4月19日正午までにワコムストアを利用した消費者の氏名や住所、会員情報、勤務先など14万7545人分。同期間に商品を購入した消費者のカード番号やセキュリティコードなどのカード情報1938件も漏えいした恐れがある。 4月19日まで利用していた旧システムの脆弱性を突かれ、不正アクセスと決済システムの改ざんを受けたのが原因。第三者機関の調査により、決済時に入力された情報が外部に直接送信されていたことが分かった。ワコムはカード情報を保持していなかったとしている。 旧システムの運用は停止済み。カード決
アジアやアフリカ、中南米の辺境地帯での探検的活動のために25カ国語以上という驚異的な数の言語を学んだ著者は、やがて語学(言語)そのものを探検の対象にするようになる。本書は、著者のすこぶる面白い、いわば「サバイバル言語学習記」あるいは「語学探検記」であり、外国語と聞くだけで苦手意識に苛まれてしまうという人こそぜひ読んでほしい。学部時代に山登りと海外旅行に明け暮れ、タンザニアで足かけ20年以上調査をして文化人類学者になった評者にも身に覚えがある、「生きた」言語を獲得する秘訣が満載なのだ。 インドで知りあった自称マレーシア人に身ぐるみ剝がされるという窮地で「切実に話したいことがあれば、話せるようになる」という語学の真実に目覚め、謎の珍獣を探しに出かけたコンゴで、コミュニケーションをとる言語(公用語)と仲良くなるための言語(リンガラ語などの現地語)の二刀流を使いこなす快感を知り、言語ビッグバンが到
前回の記事で見たように、現在の分散識別子(Decentralized Identifier、DID)の機能の多くを、あるいはDIDを超えるものを20年前に実現していたXRI(eXtensible Resource Identifier)であるが、一般的に使われるのにはあまりにも早すぎた。筆者が知っている実用事例としては、米軍関係のABACシステム*および野村総合研究所における研究開発システムくらいのものであった。 *ABAC(Attribute Based Access Control):属性ベースアクセス制御。役割ベースアクセス制御 (RBAC)を一般化したもので、米軍が開発した。2020年ごろからAmazon Web Services(AWS)など民生用でも少しずつ採用されるようになってきた。 「自己主権」「自主独立」を体現するOpenIDの思想 一方、XRIと並行して立ち上がったのが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
