pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米国の研究機関であるAperture Internet Laboratoryは、Linuxで動作する中国のインターネット検閲システム「グレートファイアウォール」(Great Firewall、GFW、金盾)をオープンソースで実装したシステム「OpenGFW」を発表した。このシステムは家庭用ルーターで使用可能なほど柔軟で使いやすく、GFWを個人レベルで実現することを目指している。 OpenGFWは、IPとTCPのデータを完全に再構築する能力を持ち、HTTP、TLS、DNS、SSHなどのネットワークプロトコルを解析できる。特に、Shadowso
西日本高速道路(NEXCO西日本)は3月15日、個人情報191人分を保存していた可能性があるUSBメモリを紛失したと発表した。データは暗号化していたものの、メモリ本体にパスワードを貼り付けていたという。 保存していた可能性のある情報は、191人分の氏名、住所など。いずれも、道路を損傷させた人に復旧費用の負担を求める「原因者負担金」に関する情報という。 紛失は2月13日に判明。社員が気づき、捜索したが見つからなかったという。個人情報保護委員会への報告は3月11日に済ませた。情報を保存していた可能性がある人には個別に連絡するという。 関連記事 元日限定「JR西日本乗り放題きっぷ」発売 新幹線も利用可能 2017年の元日限定で、JR西日本と智頭急行の全線が乗り放題になる「元日・JR西日本乗り放題きっぷ2017」が登場。 USBメモリ、メモ、ノートPC……紛失事案が目立った10月セキュリティまとめ
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
2024年5月31日(金)13時26分頃に、当社ウォレットからビットコイン(BTC)の不正流出を検知しました。 被害状況の詳細は引き続き調査中となりますが、現段階で判明しているものは下記の通りです。また、不正流出への対策はすでに行いましたが、追加の安全確保を行うべく一部サービスの利用制限を実施いたしました。 お客様にはご不便をおかけいたしますことを深くお詫び申し上げます。 ■暗号資産の流出状況について 当社ウォレットより、不正流出したビットコイン(BTC)の数量は、4,502.9BTC(約482億円相当)と判明いたしました。 ■お客様の預りビットコイン(BTC)について お客様の預りビットコイン(BTC)全量については、流出相当分のBTCを、グループ会社からの支援のもと調達を行い、全額保証いたしますのでご安心ください。 ■サービスの利用制限について 以下のサービスの利用を制限させていただき
HTTPSは安全なのか? - Qiita
いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか? コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ (編集履歴はqiitaの機能で見れると思います) 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え
旧日本海軍、乱数表を使い回し 山本巡視電は指示に反する運用 米が暗号解読、長官機撃墜・機密解除史料 2023年08月04日08時00分配信 旧日本海軍の山本五十六連合艦隊司令長官(AFP時事) 太平洋戦争中の1943年4月18日、前線巡視に向かう山本五十六連合艦隊司令長官の搭乗機が撃墜され、長官が戦死した事件で、その2カ月前に旧日本海軍が異なる暗号書の間で乱数表の使い回しを命じていたことが分かった。機密解除された米軍史料を収集した戦史研究家の原勝洋さん(81)が、時事通信の取材に明らかにした。長官の行動予定を記した暗号電が、乱数表変更の指示に反する形で作成されたことも判明。暗号は米側に正確に解読され、撃墜を招く結果となった。 長官の死から80年、真実が今 機密情報、日米で懸け離れた認識 旧海軍の暗号を巡り、機密保全上、極めて問題のある使用法を中央が命じ、出先も不適切に運用したことが文書で裏
鍵生成には暗号論的に安全な乱数を使おう
SSHの鍵生成には暗号論的に安全な疑似乱数を使おうという話。 暗号論的に安全ではない疑似乱数がどれだけ危険かというのを、簡単なCTFを解くことで検証してみました。 背景 SSH公開鍵に自分の好きな文字列を入れる、という記事を読みました。 かっこいいSSH鍵が欲しい 例えばこのSSH公開鍵、末尾に私の名前(akiym)が入っています。 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFC90x6FIu8iKzJzvGOYOn2WIrCPTbUYOE+eGi/akiym そんなかっこいいssh鍵が欲しいと思いませんか? かっこいい!真似してみたい! そこまではいいんですが、問題は実装です。 秘密鍵を生成する際の乱数生成には高速化のために Goのmath/randを使っていますが、乱数が用いられるのは公開しない秘密鍵自体であり、このアルゴリズム自体はLagged Fib
青かんぱち @tasorito 大人しく慎重派の息子6歳👦とよく喋るオテンバ娘4歳👧に囲まれたアラフォー👨👩👧👦育児ツイート多めですがどうでもいいことも色々呟きます💫たまに一眼レフで撮影📸妻はツンデレで共働き🏢無言フォロー大歓迎💕自分も失礼します🙇♂️通知オフのためリプ返遅いです💦副業やエロは🆖
パケットキャプチャで理解する TLS1.3
TLS は Transport Layer Security の略で、盗聴、あるいは通信相手のなりすましの可能性がある通信路において、安全に通信を行うための暗号通信プロトコルです。 本書では、Go 言語を使って TLS サーバ・クライアントを用意し、その通信を Wireshark で観察しながら、TLS のプロトコルについて説明します。 本書を読むことで、TLS の通信で実際にどのようなパケットが送受信されているかが確認でき、TLS の学習の助けになると思います。 また、TLS には複数のバージョンがありますが、本記事では、最も広く使われており、かつ最新である TLS1.3 に焦点を当てます。
元記事 元記事を読んで恐くなり、災害用公衆無線LANの00000JAPANを含むFree Wi-Fiの使用を躊躇してしまった一般利用者個人のためにこの記事を書きました。 本記事では大雑把に元記事がどのようなリスクを指摘しているのか、そしてなぜそれを考えなくて良いのかを説明した後、情報セキュリティについて持論を述べる前に理解しておくべき点に触れます。 結論 正しくスマホやPCを使う限りFree Wi-Fiは危険ではありません。00000JAPANをぜひ活用してください。 これに同意した方とネタが嫌いな人はセキュリティクラスタは口が悪いまで読み飛ばしてください。 まだ心配な人のために暗号化の重要性を知っている専門家の見解を紹介します。 災害時無料公衆無線LANの利用がNHKで紹介され、Wi-Fi暗号化がされていないことから「クレジットカード情報やパスワードなどの入力は極力、避けるよう」と呼び掛
まずは、1件のツイートをご覧いただきたい。 ナンジャモ#ポケモンSV pic.twitter.com/szszszr7hp — 𝑆𝐼𝐴𝑁 @ C103(日)t115-b76 (@SIAN_FKP_37) December 30, 2023 よくあるファンアートのツイートだ。 あなたはこのイラストに、どんな印象を抱くだろうか? 実は先日あるDiscordサーバーでこのツイートが話題になった。 「何かがある」と思った人が取り上げていたのだ。 一見、何の変哲もないこのオタクツイートに、何かがあると感じるのか。 その理由を探った先に、恐ろしい事実が待ち受けていた。 ナンジャイモ2023年も終わりの頃、知人とDiscordサーバーで雑談をしていた。 その知人は狭犬(せまいぬ)という名前で活動しているネタツイアカウントだ。 ちょうど猫ひろしの対義語である。 彼(彼女?分からないので彼とする)と
納税者に個人住民税(地方税)の税額を知らせる「住民税決定通知書」の電子化が2024年度から始まる。これまでは勤務先の企業が、従業員の給与から住民税を差し引いて納税し、納税額を知らせる通知書を従業員に紙で配っていた。2024年度からは電子データ形式での配布も選択できるようになる。配布時期は2024年5~6月になる予定だ。 しかし新たに採用される電子配布の方法に、企業の人事担当者らからは「紙よりも不便だ」「この方法は採用できず、紙を続けるしかない」との指摘が相次いでいる。政府が採用したのは、通知書本体のPDFファイルをZIP形式で圧縮・暗号化したうえで、復号用パスワードの取得方法を記した別のPDFファイルとともに従業員に社内システムを使って配布するという方法だったためだ。配布や閲覧するうえで非常に不便だ。 政府が廃止宣言したはずの「PPAP」、国民向けサービスでは採用 しかもZIPの暗号化に強
プログラマのための公開鍵による暗号化と署名の話
初めに 公開鍵による暗号化と署名をプログラマ向け(?)に書いてみました。ちまたによくある暗号化と署名の話はインタフェースと実装がごちゃまぜになっていることが分かり、暗号化と署名の理解が進めば幸いです(と思って書いたけど、余計分からんといわれたらすんません)。登場する言語は架空ですが、多分容易に理解できると思います。 公開鍵による暗号化PKE 早速、公開鍵による暗号化(PKE : Public Key Encryption)を紹介します。登場するのは暗号化したいデータのクラスPlainText, 暗号文クラスCipherText, 秘密鍵クラスPrivateKeyと公開鍵クラスPublicKeyです。PKEは次の3個のインタフェースを提供しています。 abstract class PKE { abstract keyGenerator(): [PrivateKey, PublicKey];
以下の文章は、電子フロンティア財団の「The U.K. Government Is Very Close To Eroding Encryption Worldwide」という記事を翻訳したものである。 Electronic Frontier Foundation 英国議会が世界のプライバシーを崩壊させかねないインターネット規制法案を推進している。現在、貴族院での可決を目前に控えた「オンライン安全法案」は、メッセージングサービスにバックドアを強制する権限を英国政府に与え、エンド・ツー・エンド暗号化を破壊するものとなる。法案の最も危険視されている部分を軽減する修正案は全く受け入れられていない。 オンライン安全法案が可決されれば、世界のプライバシー、そして民主主義そのものを後退させることになるだろう。我々が使用するメッセージングサービスに政府承認ソフトウェアの導入を義務づける悪しき前例を生み出
![英国政府が全世界のエンドツーエンド暗号化を破壊する | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/171668db90a0ff80748b8fd9ae1136bc54446b0d/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2023%2F08%2Fdefend-encryption-cyan-1_0.png)
在華坊 @zaikabou 横浜そごうにいたら、ロッキーのテーマ→ラデツキー行進曲→ドラえもんのうた、と続けてBGMが流れたけど、これ絶対、エマージェンシー的な何かだよね… 2023-12-27 19:26:58
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが,それを応用していくには技術に関する理論の理解が必須になります。しかしSSL
認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
KDDIとKDDI総合研究所は12月26日、次世代暗号(耐量子暗号)として標準化が進められている「Classic McEliece」方式において、これまでは総当たりによる探索での解読には1兆年以上要するとされてきた1409次元の暗号を、わずか29.6時間で解読に成功し、2023年11月13日に世界記録を更新したことを共同で発表した。詳細は、2024年1月23~26日に長崎で開催される「2024年 暗号と情報セキュリティシンポジウム(SCIS2024)」で発表される予定。 量子コンピュータの性能が向上した将来、現在の方式では暗号強度が不足することが指摘されており、アメリカ国立標準技術研究所(NIST)は2030年ごろに向けて、将来の量子コンピュータの性能にも耐えうる耐量子暗号の検討を進めている。NISTは2022年7月に、耐量子暗号の標準として4つの暗号方式を選定しており、さらに現在はCla
私は決して世界レベルで優秀なエンジニアではない。ただ、幸いなことにグローバルに活躍するエンジニアの方々と一緒に仕事をする機会には恵まれてきた。 エンジニアとしてだけでなくビジネスマンとしても、彼らからたくさんのことを学ばせてもらってた。 今日は彼らから学んだ成長するための立ち回りについて紹介しようと思う。 質問力が高い彼らと働いていて驚かされたことがある。 それは「これほど優秀な人がこんな基本的なことを質問するのか?」という場面に何度も出くわしたことだ。 知らないことが罪のように感じていたグローバル人材と働く前はゴリゴリの日系Webベンチャーで働いていた。その際は、簡単なことを質問することに対する抵抗感が大きかった。 「基本的なことを聞いてしまって申し訳ないのですが。。。」といった言葉を頻繁に聞いたことはないだろうか? これは私だけかもしれないが、日本コミュニティにいると基本的なことを知ら
『暗号学園のいろは』公式 @angou_iroha 【『暗号学園のいろは』最新4巻本日発売!】 勝者総取りクラス対抗暗号バトル勃発!学年大将への道、知恵の矛を突き立てろ!! コミックス限定、描き下ろしおまけ漫画『裸眼!享楽教室』を豪華10ページ掲載! 書店では、暗号学園模擬試験第一期を開催!いろは達になった気持ちでお楽しみ下さい!! pic.twitter.com/Yv2d9LKp5i 2023-10-04 12:06:46 『暗号学園のいろは』公式 @angou_iroha 【最新コミックス4巻(10/4〜)発売記念!】 暗号学園模擬試験第一期、開催決定!暗号を解いて特別プレゼントをゲット!! 是非書店に足を運んで、お楽しみ下さい! 開催書店リストはこちら shu-sales.box.com/s/jtvrdo3oa8op… 解答用紙等の配布方法は書店により異なります。 配布物はなくなり次
知られざる王小雲。米国の暗号学的ハッシュ関数MD5、SHA-1を過去に葬り去った女性研究者 - 中華IT最新事情
第4回未来科学大賞で多額の賞金が、数学者、王小雲に授与され、彼女の名前がにわかにメディアに注目をされた。王小雲は2004年に米国のハッシュ関数「MD5」の脆弱性を発見した研究者だったと資訊咖が報じた。 ネット社会に必須のハッシュ関数 デジタル時代、ハッシュ関数はさまざまなところで使われる。最もよく知られているのは、パスワードの保管や書類の改竄検知などだ。 ハッシュとは「混ぜこぜ」という意味で、元のデータを混ぜこぜにして、まったく別のデータに変換をしてしまうというものだ。例えば、「元の数値を2倍にして1を引く」という単純なアルゴリズムでもハッシュ関数に近いことができる。2であれば3になるし、7であれば13になる。元の数字とは異なったものになる。 しかし、これでは何かの役に立つことはできないため、暗号学者、数学者たちは、複雑なアルゴリズムを考案し、ハッシュ関数としてさまざまな応用をしてきた。こ
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
VPN経由で行われるはずだった通信を直接インターネットに送信させ、暗号化やIPアドレスの隠匿などVPNを経由するメリットを失わせる攻撃手法が発見されました。どういう攻撃なのかについてセキュリティ企業のLeviathan Security Groupが解説しています。 CVE-2024-3661: TunnelVision - How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak — Leviathan Security Group - Penetration Testing, Security Assessment, Risk Advisory https://www.leviathansecurity.com/blog/tunnelvision TunnelVision - CVE-2024-3661 - De
2024年4月の半減期への期待感からか、ビットコインは同年3月には1,000万円を越える価格帯で推移する場面が多く見られました。話題に事欠かなかったこの時期、ビットコインはニュースサイトなどで取り上げ...
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を改訂し、新たに「暗号化消去」という用語を追加した。記録媒体を含む情報機器を廃棄する場合やリースの返却をする際にデータを復元できなくする手法だ。 時間がかからず媒体の再利用が可能 従来は記録装置の物理的な破壊やデータ消去ソフトウエアによる上書き消去といった手法を列挙していた。暗号化消去とは、記録媒体にデータを書き込む時点で暗号化して記録しておき、データの抹消が必要になった際に復号に用いる鍵を抹消することでデータの復号を不可能にする手法だ。記録媒体の一部領域のデータを抹消する場合にも利用できる。 通常の消去(上書き消去)とは何が違うのか。実は現在の記録媒体は容量が大きいため、通常の消去作業には膨大な時間がかかる。1テラバイト(TB)のHDD(ハード・ディスク・ドライブ)を1回上書きするのに数時間かかるとされる。確実に消去するため
セキュリティで保護されていないネットワークと通じてコンピューターに安全にコマンドを送信する「Secure Shell(SSH)」プロトコルにおいてハンドシェイクプロセス中にシーケンス番号を操作してSSHプロトコルの整合性を破る「Terrapin Attack」という攻撃が発見されました。この操作で、攻撃者は通信チャネルを通じて交換されるメッセージを削除あるいは変更できるようになり、さまざまな攻撃が可能になります。 Terrapin Attack https://terrapin-attack.com/ Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation (PDFファイル)https://terrapin-attack.com/TerrapinAttack.pdf Terrapin a
AWS 認定トレーニング「Advanced Architecting on AWS」を受講してみた | DevelopersIO
お疲れ様です。AWS 事業本部のヒラネです。 AWS 認定トレーニング「Advanced Architecting on AWS」を受講してきたので内容のご紹介や感想をお伝えしたいと思います。 お疲れ様です。AWS 事業本部の平根です。 AWS 認定トレーニング「Advanced Architecting on AWS」を受講してきたので内容のご紹介や感想をお伝えしたいと思います。 AWS トレーニングとは AWS トレーニングとは、AWS の利用方法の知識とスキルを身に付けるための公式教育プログラムです。 クラスメソッドのメンバーズプレミアムサービスにご加入いただいているお客様の場合は、 特別割引価格で受講いただけます! 提供トレーニングの詳細やお申込みは以下 URL をご参照ください。 今回は、トレーニングの中でも「Advanced Architecting on AWS」を受講しまし
中国では国内のインターネット通信を監視するために国家規模の検閲システム「グレートファイアウォール(金盾)」が配備されています。グレートファイアウォールの仕組みを調査している「Great Firewall Report」は、2021年から始まった「暗号化された通信を対象とした検閲」の解析結果を分析し、検閲の回避策を編みだしました。 How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic https://gfw.report/publications/usenixsecurity23/en/ Our joint work at #USENIXSecurity23 exposed & bypassed the Great Firewall of China's latest censorship wea
Lockbitへ行われた共同捜査 Operation Cronos についてまとめてみた - piyolog
2024年2月20日、日本を含む複数の司法機関の共同捜査により、Lockbitランサムグループの関係者2名の逮捕とリークサイトなどのインフラのテイクダウンが行われました。ここでは関連する情報をまとめます。 共同捜査の成果 Lockbitランサムグループに対して10か国の法執行機関が参加した共同捜査はEUROPOLなどが調整を行っていたもので、作戦名はOperation Cronos。フランスからの要請を受け開始された。EUROPOLや英国NCA、米国司法省などが共同捜査に関連した情報について公表を行っており、そこではこの捜査を通じた主な成果として次の5つが上げられている。 Lockbit関係者の摘発や起訴 フランス司法機関の要請を受け、ポーランド、ウクライナの両国において関係者2名が逮捕された。またフランスおよび米国司法機関より、3件の国際逮捕状および5件の起訴状の発行が行われた。米国はL
※本ブログは2024/2に執筆されています。そのため、アップデートによってここに記載されている内容が現状と乖離する可能性があります。記載する内容を参照する場合は自己責任でお願いします。 はじめに こんにちは! ドワンゴでエンジニアをやっている小林と申します。競技プログラミングを趣味にしています。 今回は業務には関係ありませんが、個人的に興味のあるトピックであるセキュリティーについて執筆します。 対象読者: 以下のどれかを満たす人 AtCoder で青色〜黄色以上、あるいは意欲のある水色以上 暗号理論に興味のある人 数学が好きな人 また、簡単な群論の知識を仮定します。(群の定義など) まとめ セキュリティーの強さはセキュリティーレベルと呼ばれる尺度で測ることができます。 \(k\) ビットセキュリティーはおよそ \(2^k\) 回の計算を要するレベルです。 \(n\) ビットの楕円曲線暗号方
株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が外部に流出した可能性があることを確認しましたので、お知らせいたします。 お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。 1. 今回の不正アクセスによる情報流出の状況(下線部を10月26日に更新) お客様のログインID(3,798ID)※1 *このうち、RICOH DriveのログインID(3,429ID)、RICOH SnapChamberに係る解約済みのログインID(369ID)※2※3 *このうち、ログインIDにメールアドレスを設定しているお客様が606件あります。 *お客様の保存ファイル、パスワードなどの流出はございません。(以下に記載する「暗号化したパスワード」を除く) *IDはリコーグループ内での利用を除いた数となります。 ※
ランサムウェアの感染事案 2023年の6月上旬に、社労士向けのクラウドサービス「社労夢」を提供する、エムケイシステムがランサムウェア攻撃を受けたことを発表したことが記憶に新しい。 www.itmedia.co.jp www.nikkei.com エムケイシステムのWebサイトによると、「社労夢」は826万人以上のユーザ情報を保管・管理するクラウドサービスであり、この情報が仮に漏洩したとなれば2023年のセキュリティインシデントとして残念ながら歴史に名を残しかねない大惨事の一つとなるであろう・・・!! 実際に私もStartup(B to B向けSaaS販売)で勤務しながら、本事案について耳にすることがあった。お客様によってはサービスリプレイスを検討しているとのことであった。 セキュリティの専門家 × Startupの事業推進という、やや異色なキャリアを歩んできた私にとっても改めて気が引き締ま
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
中国のネット監視・検閲「グレートファイアウォール」を個人で再現 オープンソース「OpenGFW」公開中
NEXCO西日本がUSBメモリ紛失 データは暗号化済……ただしパスワードは本体に貼り付け
「認証」を整理する | IIJ Engineers Blog
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
【重要】暗号資産の不正流出発生に関するご報告(第一報) - DMMビットコイン(2024/05/31)
旧日本海軍、乱数表を使い回し 山本巡視電は指示に反する運用 米が暗号解読、長官機撃墜・機密解除史料:時事ドットコム
【育児】「娘の書いた手紙が難解」とツイしたらガチの幼児手紙解読士がやってきた。え、すごすぎ!
Free Wi-Fi(00000JAPAN)は安全なのか? - Qiita
東大、これまでに解かれたことのない次元の暗号解読を実現
ナンジャモのイラストに暗号が隠されていた話 : 日記
住民税決定通知書の電子化はまさかの暗号化ZIPファイル配布、「紙より不便」の声
英国政府が全世界のエンドツーエンド暗号化を破壊する | p2ptk[.]org
百貨店にいたら、何かのメッセージとしか思えない意味深な曲順でBGMが流れた「こういうのマジなんだ」
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
1兆年以上かかるとされていた1409次元の暗号、KDDIなどが29.6時間で解読に成功
優秀なエンジニアと働いてわかった成長するための立ち回り|Yossy@英語とプログラミング
暗号学園模擬試験がいろはのいじゃ済まないハンター試験並み難度だった件
NTT、データを暗号化したまま処理する「秘密計算」国際標準化
12月4日に新刊『プロフェッショナルTLS&PKI 改題第2版』発売予定
VPNを経由するはずだった通信を直接インターネットに送信させる攻撃手法「TunnelVision」が発見される
【最大55%】仮想通貨(暗号資産)の税金がやばい仕組みとは?高すぎる理由と節税対策を紹介
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
記録媒体の廃棄はドリルよりも「暗号化消去」、ルール整備で認知高まるか
SSH接続への中間者攻撃を可能にするエクスプロイト「Terrapin Attack」が発見される
【Ubuntu日和】 【第37回】UbuntuでもBitLockerのようなストレージ暗号化を実現してみよう
中国のネット検閲「グレートファイアウォール」による「暗号化された通信の検閲」を回避する試み
楕円曲線暗号方式の強度について - dwango on GitHub
不正アクセスによる情報流出に関するお知らせとお詫び | リコーグループ 企業・IR | リコー
826万人の在職者情報を管理する「社労夢」のランサムウェア事件から思うこと