サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
日本証券業協会(日証協)は2025年7月15日、「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案を公表した。相次ぐ証券口座乗っ取り被害を受け、「フィッシングに耐性のある多要素認証」を必須とする項目などを新たに盛り込んだ。 現状、多くの証券会社が採用する一般的なワンタイムパスワードを組み合わせる多要素認証は、攻撃者がID、パスワードと同時にワンタイムパスワードも窃取して認証を突破する「リアルタイムフィッシング」という手口で破られるリスクがある。そのため、今回の案がそのまま成立すれば原則的に対策として認められなくなり、より強固な仕組みの導入が求められる。 同日には金融庁も「金融商品取引業者等向けの総合的な監督指針」の一部改正案を公表した。日証協と同じく、証券口座への不正アクセス被害を受けての動きだ。指針の改正案は日証協のガイドラインを踏まえた適切なセキュリティー対策
パソコンなどにあるデータを暗号化するランサムウェア(身代金ウイルス)を使ったサイバー攻撃は深刻な被害をもたらす。警察庁は17日、被害に遭い暗号化されたデータを元に戻すツール(ソフト)を開発したと発表…
※この記事は以下記事を読んだ前提で書いてます。 ※あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです。 この記事を読んで、QRコードを読み取るだけでお金抜かれるなんてことがあるのか?と思ったら、実際あまりに簡単に抜けるような構成であることがわかったので、検証結果を置いておきます。 WINTICKET連携はQRコード2連続読込方式正規のログイン・連携機能のUIを先に確認します。PCブラウザでWINTICKETを操作、スマホでPayPayアプリを操作する場合の流れです。 競輪投票のWINTICKETでアカウント作成、ログイン後、 ポイント残高右側の「+」ボタンでチャージ画面に遷移します。 遷移後、入金手段としてPayPayを選択します。 オレンジの+ボタンでポイントをチャージする ※ポイント残高は出金できないが、投票結果の払戻金は出金できる仕様すると
同社は6月1日、IDやパスワードを入力した後にメールで届く「ワンタイムパスワード」による多要素認証を必須化した。当初はワンタイムパスワードとして絵文字2種類を順に選ぶ仕様だったが、6月8日にはセキュリティー強化のため絵文字と数字から4種類を選ぶように変えた。ログインしづらい状態になった原因については「仕様変更した件も含め、サーバーに負荷がかかったためだ」(広報)とする。絵文字を使った多要素認証を停止しているものの、「リスクベース認証は引き続き提供しているため、安全性に大きな影響はない」(広報)という。リスクベース認証とは、ユーザーの行動パターンや利用環境を基に認証レベルを変更する認証方式のこと。絵文字を使った多要素認証機能は、「2025年6月9日中に再開させる予定」(広報)とする。
証券口座を乗っ取られ、株を勝手に売買される被害が急増している。 不正な取り引きによる売買はこの4か月で3000億円を超えた。 なぜ被害が拡大しているのか。NHKは今回デジタル調査を行う会社と共同で、「デジタルフォレンジック」という技術を使って被害者のパソコンを解析。 そこから見えてきたのは、従来のパスワードだけでは、資産を守ることが難しくなってきている実態だった。 「証券会社から電話があって、『株を全部売却されましたか』と聞かれて、慌てて資産内容を見たら株式がゼロになっていました」大阪に住む80代の男性は先月14日、ネット証券の口座を何者かに乗っ取られ、300回以上にわたって身に覚えのない株の売買を繰り返された。 大手企業の株を中心に3600万円余りの資産を保有していたが、わずか1日で870万円ほどになり、2700万円の損失が出ていたという。 何者かがIDとパスワードを盗み出して男性の
JCB デジタルソリューション開発部DXテックグループの村井です。 アプリチームではJCBが提供する様々なサービスの開発・運用をしています。 今回は非対面のクレジットカード決済で導入が進んでいる3Dセキュア(本人認証サービス)について、 その概要と3Dセキュアを構成するDSシステムの開発についてざっくりと紹介します。 3Dセキュアって何? 3Dセキュアは、インターネットショッピング(非対面決済)でのクレジットカード決済における、本人認証(不正対策)サービスの仕様でありフレームワークです。クレジットカードでネットショッピングを利用する際は通常、クレジットカードの「カード番号」「有効期限」「セキュリティコード」「氏名」といった、カードに記載された情報を入力すれば商品を購入できます。 しかし、上記の情報で商品を購入できるということは、悪意ある者にカードを盗まれて使われた場合、決済する人が正規
本稿はJCB Advent Calendar 2024の12月14日の記事です。 3-Dセキュアにおける認証取引の仕組み解説 JCB デジタルソリューション開発部 アプリチームの村井です。 アプリチームではJCBが提供する様々なサービスの開発・運用をしています。 今回は非対面のクレジットカード決済で導入が進んでいる3-Dセキュア(本人認証サービス)について、 各システムの動きにフォーカスして認証取引の主な仕組みを紹介します。 3-Dセキュアの認証取引の仕組みは、提唱元であるEMVCoのサイトから公式ドキュメントをダウンロードできます。本記事では公式ドキュメントの内容を噛み砕いて解説します。 そもそも3-Dセキュアって何?という方は過去の記事もご覧ください。 認証取引 認証取引の概要を図示します。 JCBではDSシステムを運用しています。 また、アクワイアラドメインで稼働するシステムが3D
奈良県の斑鳩町立図書館は2024年9月30日、ランサムウエア被害に見舞われた。攻撃を受けたのは、翌日に本番稼働を控えていた新図書館システムだった。氏名や住所など利用者2万2000人分の個人情報が流出の危険にさらされた。原因は構築ベンダーのセキュリティー設定の不備だった。安易なパスワード設定や、不十分なセキュリティー設計があだとなった。 「斑鳩町立図書館をご利用のみなさまには多大なるご迷惑とご心配をおかけすることになりましたことを深くおわび申し上げます」 京セラ子会社の京セラコミュニケーションシステム(KCCS)は2024年10月2日、構築中の斑鳩町立図書館向けシステムがランサムウエアの被害に遭い、サービスの延期と利用者2万2000人分の個人情報が流出した可能性について、こう謝罪した。 同社はその後も続報、調査結果と計3度にわたってトラブルの状況や経緯を報告しており、ITベンダーが顧客システ
自治体や企業から印刷・発送業務などを委託されている「イセトー」(京都市)がランサムウェア(身代金ウイルス)によるサイバー攻撃を受け、個人情報が流出した問題で、流出が確認されたか流出の恐れがある情報が…
出版大手のKADOKAWAが大規模なサイバー攻撃を受けた。ランサムウエアによって複数サーバーのデータが暗号化。子会社のドワンゴが運営する「ニコニコ動画」などがサービス停止に追い込まれた。KADOKAWAの業務サーバーも使えなくなり、業務に影響が出た。取引先や従業員の情報漏洩も確認されている。KADOKAWAへの大規模なサイバー攻撃が分かったのは、2024年6月8日土曜日の午前3時30分ごろ。グループ内の複数サーバーにアクセスできない障害が発生していることが検知された。 子会社のドワンゴが運営する動画配信サービス「ニコニコ動画」「ニコニコ生放送」をはじめとする一連の「ニコニコ」サービスのほか、チケット販売の「ドワンゴチケット」などが提供不能になった。 8日午前8時ごろには、不具合の原因がランサムウエアを含むサイバー攻撃であることを確認。グループ企業のデータセンター内におけるサーバー間通信の
Linux DailyTopics xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ
Mac とWindows に無償で付属してくる日本語フォントに「游ゴシック」があります。両環境で共通して利用できる希少な「日本語」のデバイスフォントであることから重宝され、ウェブサイトでもCSSのローカルフォント参照で利用されるケースがありました。 「サイトの書体に “游ゴシック” を適用させるCSS記述方法」のような記事は最近になっても大変多く、あたかもMac・Windowsの全てのブラウザで表示可能と錯覚してしまいがちなのですが、 結論から言うとMac の Safari・Brave・Firefox(プライベートウィンドウ)ではもうローカルフォントとしての「游ゴシック」をウェブサイトの表示に使うことはできません。(Safariにおいては5年前のmacOS Mojave 以降から使えなくなっているはず…。) フィンガープリントなぜそんな事態になっているかと言うと、最近のブラウザ界隈の
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-based Timerless Speculative Execution Attacks onApple Devices」は、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告である。 この攻撃は、最近発売されたM3チップを搭載した新型MacBook Proでも成功し、ソフトウェアの更新状況に関わらず、Apple製品にとって依然として脅威であることを示した。 「iLeakage」
個人情報保護委員会への報告は済ませた。積水ハウスは今後「委託先の情報セキュリティに関する監督強化を行うとともに、個人情報の取り扱いの一層の厳格化に取り組む」としている。 事態が発覚したのは6日。外部からの不審なアクセスを検知したため、サーバを停止し、詳細を調べたところ、10日に漏えいの可能性と原因が分かったという。 関連記事 カプコン、最大35万件の個人情報が流出した恐れ 11月2日の不正アクセスで カプコンが、第三者からの不正アクセスで最大35万件の個人情報が流出した可能性があると発表。国内外の顧客情報や株主名簿などの情報が含まれるという。 沖縄のスーパーで個人情報など計6000件以上が流出した可能性 商品の予約情報も 沖縄県でスーパーマーケットを展開するリウボウストアは、オンラインストアを管理するサーバに不正アクセスを受け、個人情報が一部流出した可能性があると発表。うなぎやワインの店頭
ランサムウエア攻撃を受けてコンテナ搬出入作業の停止を余儀なくされた名古屋港。ログも全て暗号化され、感染経路をいまだに特定できていないことが分かった。復旧優先で2日後には作業再開に至ったが、証拠保全が全くできていなかった。重要なシステムにもかかわらず、セキュリティー専任者も不在だった。ひとまず収束した格好だが、緊急対応や対策の難しさが改めて浮き彫りとなった。 「プリンターが動き出し、ランサムウエアに感染しているという通告が勝手に印刷されてきたと聞いている。10枚やそこらではない、相当な数だったようだ」――。2023年7月4日、名古屋港はサイバー攻撃の被害に見舞われた。冒頭の通告文の内容などから、ロシア系とみられる攻撃者集団「LockBit」による犯行と考えられている。標的となったのは港内に5つあるコンテナターミナルを一元的に管理する「名古屋港統一ターミナルシステム(NUTS)」。ランサムウ
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 2段階認証を設定したアカウントで不正アクセス被害が報告2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
