こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
1兆年以上かかるとされていた1409次元の暗号、KDDIなどが29.6時間で解読に成功
KDDIとKDDI総合研究所は12月26日、次世代暗号(耐量子暗号)として標準化が進められている「Classic McEliece」方式において、これまでは総当たりによる探索での解読には1兆年以上要するとされてきた1409次元の暗号を、わずか29.6時間で解読に成功し、2023年11月13日に世界記録を更新したことを共同で発表した。詳細は、2024年1月23~26日に長崎で開催される「2024年 暗号と情報セキュリティシンポジウム(SCIS2024)」で発表される予定。 量子コンピュータの性能が向上した将来、現在の方式では暗号強度が不足することが指摘されており、アメリカ国立標準技術研究所(NIST)は2030年ごろに向けて、将来の量子コンピュータの性能にも耐えうる耐量子暗号の検討を進めている。NISTは2022年7月に、耐量子暗号の標準として4つの暗号方式を選定しており、さらに現在はCla
パスキーの基本とそれにまつわる誤解を解きほぐす
2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
絶対に画像をダウンロード&スクレイピングさせないWebページを本気で作ってみた - blog.potproject.net
巷で話題になっているこの話題、画像をスクレイピングやダウンロードされたくないということで騒がれています。その話に関しては色々な意見があると思ってますがここでは置いておくとして・・・ 技術的にやるとしたら実際どれくらい対策できるの?ということが気になったので、自分の知識で出来る限り対策したものを作ってみることにしました。 最初に 賢い方はわかると思いますが、タイトルは釣りです。 絶対に画像をダウンロード&スクレイピングさせないページは存在しません。ソフトウェアにおいて絶対と言う言葉はまず存在しないのです。ブラウザで表示している以上、仕組みさえわかれば技術的には可能です。 そのため、 「元画像のダウンロードとスクレイピングを非常に困難にしたWebページを本気で作ってみた」 が実際のタイトルかなとなります。 とはいえ、この仕組みであれば大多数の人は機械的にスクレイピングすることを諦めるレベルの作
Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表
Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表:この頃、セキュリティ界隈で(1/2 ページ) 安全性とプライバシー重視の姿勢を強調するApple。ところがそのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイ(未知・未解決)の脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。 セキュリティ研究者のillusionofchaosことデニス・トカレフ氏は9月24日のブログで、AppleのiOSに存在する4件の脆弱性に関する詳細を公表した。いずれもAppleのセキュリティバウンティプログラム(脆弱性情報に賞金を支払う制度)を通じて2021年3月10日~5月4日に報告した脆弱性だった。 ところがトカレフ氏によると、そのうち3件は最新バージョンのiOS 15.0でもまだ修正されないままだという。1件は14.7で修正
“テンペスト” それは都市伝説なのか | NHK | WEB特集
冒頭に紹介した文章は、2007年に機密解除された、アメリカのNSA=国家安全保障局が発行した通信傍受担当者向けの文章の一部だ。 もう少し詳しく見ると次のような記述がある。 「時は、1962年。日本に駐留していた米軍将校が、軍の機密情報を扱う暗号センターの周囲をパトロールしていた。ある日、通りの向かいにある病院の車庫の壁にはわせて配線された不審なアンテナを見つけた。すぐに陸軍を通じてNSA=国家安全保障局に連絡したところ調査するよう指示された。しかし、翌日、そのアンテナは消えていた。病院の屋上には、テレビアンテナがたくさんあったが、そのアンテナだけが明らかに暗号センターを向いていた」 この論文が書かれたのは、東西冷戦下の1972年。明確にはなっていないが、米軍の暗号センターに向けられた不審なアンテナは、敵国が通信機器などから発する電磁波を読み取って通信の中身を傍受する目的だったと見られた。
「私はロボットではありません」はワンクリックでなぜ人間を判別できる? 仕組みとその限界を聞いてきた
2021.02.16 「私はロボットではありません」はワンクリックでなぜ人間を判別できる? 仕組みとその限界を聞いてきた WebサイトにIDとパスワードを入力するとき、ときどき「私はロボットではありません」にチェックを求められることがあります。 僕はロボットではないので、当然チェックを入れて認証を進めるわけですが……。でもちょっと待ってください。なぜクリックひとつで、人間かロボットかを判断できるんでしょう。 これはきっと、人間ではないなんらかの不正アクセスを防ぐ仕組みのはず。でもチェックを入れるくらい、プログラムを作ってなんやかんやすれば、シュッとできるのでは? 「私はロボットではありません」は、どんな仕組みで人間とロボットを判別しているのか。もっといい方法はないのか。これまでの歴史的経緯も含め、情報セキュリティ大学院大学の大久保隆夫教授に聞きました。 気づかないうちに「人間かロボットか」
GitHubに関する対応とお願い | CSAJ 一般社団法人コンピュータソフトウェア協会
2021.02.02 一般社団法人コンピュータソフトウェア協会(CSAJ) 一般社団法人コンピュータソフトウェア協会(略称「CSAJ」、東京都港区赤坂)は、各種メディアで報道されている、クラウドサービス「GitHub」について、正しい理解と対応に向けた文書を発表いたしました。 はじめに 各種報道のとおり、ソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」において、大手金融機関の業務システムのソースコードの一部が公開されていた事象が発生しました。クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。その上で、クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要
東証の障害、富士通はケシカラン!
品質どうなってんだ。 全然関係ないですが、cf.takeover.on_panicというパラメータについてNetApp社のサイトを調べました。 すると、リリース日が違うけどタイトルが同じな2つのマニュアルを見つけました。 富士通や東証の人が信じていた挙動https://megalodon.jp/2020-1021-2016-08/https://library.netapp.com:443/ecm/ecm_download_file/ECMP1210206 Data ONTAP(R) 8.2 High Availability and MetroCluster Configuration Guide For 7-Mode Part number: 215-07985_A0 May 2013 Enable or disable automatic takeover on panic by e
あいつ、セキュリティエンジニアやめるってよ - 俺より凄いやつしかいない。
「やめるってよ」というか、2019年9月からセキュリティエンジニアをやめてデータサイエンティストになりました。 振り返りとセキュリティ対する成仏の意味を含めたポエムになります。 いままでのキャリア 大手携帯通信会社(非IT業務) ↓ IT系中小企業(情シス→社内セキュリティ担当:SIRT/SOC) ↓ 大手製造業(社内セキュリティ担当→データサイエンティスト) セキュリティエンジニアをやめた理由 一言にセキュリティエンジニアと言っても様々な職種※があります。 私は世間一般的に情報セキュリティ部やCSIRT/SOCのような自社の社内向けセキュリティ業務全般を担当してました。 ※参考 https://www.liber.co.jp/knowhow/careerlab/se/002.html 昔セキュリティエンジニアをめざしたわけ セキュリティエンジニアになりたいと思っていた一番大きな要素は、
「ウイルス罪」適用範囲、全都道府県警に開示請求 エンジニアが進ちょく公開、議員に陳情も……いたずらURL事件受け
「ウイルス罪」適用範囲、全都道府県警に開示請求 エンジニアが進ちょく公開、議員に陳情も……いたずらURL事件受け いたずらURLを掲示板に書き込んだ3人がウイルス供用未遂の疑いで摘発。エンジニアの間で「何がアウトかセーフか分からない」と不安が広がる中、ウイルス罪の適用範囲を明らかにするよう求める情報公開請求を行うエンジニアが現れた。 JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ3人が不正指令電磁的記録(ウイルス)供用未遂の疑いで摘発されたり、Coinhiveをサイトに設置した複数のユーザーがウイルス取得・保管の疑いで摘発されるといった事態を受け、「何をすればウイルス罪に当たるのか、セーフとアウトのラインが分からない」とエンジニアの間で不安が広がっている。 そんな中、全都道府県警に対して、ウイルス罪の適用範囲を明らかにするよう求める情報公開請求を行うエンジニア
ファーウェイのスマホは“危険”なのか 「5G」到来で増す中国の脅威 (1/5) - ITmedia ビジネスオンライン
ファーウェイのスマホは“危険”なのか 「5G」到来で増す中国の脅威:世界を読み解くニュース・サロン(1/5 ページ) 米国が中国・ファーウェイの通信機器を使わないように友好国に要請していると報じられた。なぜファーウェイを排除しようとするのか。本当に「危険」なのか。その背景には、次世代移動通信「5G」時代到来によって増大する、中国の脅威があった。 米紙The Wall Street Journal(ウォールストリート・ジャーナル)は先日、米国が中国の通信機器大手「華為技術(ファーウェイ)」の製品を使わないよう友好国に要請していると報じた。日本でもこのニュースは大きく取り上げられた。 実はこの問題、欧米の情報機関関係者やサイバーセキュリティ関係者の間で、以前から取り沙汰されてきた。筆者もこのニュースについては注視しており、これまでもさまざまな媒体で何度も記事を書いてきた経緯がある。 国内外の知
仮想通貨の入出金停止に関するご報告、及び弊社対応について
弊社が運営する仮想通貨取引所Zaifで現在発生している仮想通貨の入出金停止に関して、これまでの経緯と今後の対応について以下の通りご報告いたします。 報道関係者各位 弊社が運営する仮想通貨取引所Zaifで現在発生している仮想通貨の入出金停止に関して、これまでの経緯と今後の対応について以下の通りご報告いたします。 1.はじめに 平成30年9月14日頃以降、弊社サービスにおいて、仮想通貨の入出金等の一部のサービスが稼働しておらず、お客様には大変なご迷惑をおかけしております。 弊社における調査の結果、入出金用ホットウォレットの一部が外部からの不正アクセスによりハッキング被害を受け、弊社が管理する仮想通貨のうちの一部が外部に不正流出させられたことが判明しました。 このような事態は、弊社を信頼して大切な資産をお預けになられている全てのお客様の信頼を裏切る結果となり、伏してお詫び申し上げる次第です。 当
iPhoneが「47年間」ロック解除できなくなった女性 - iPhone Mania
iPhoneをこれからも問題なく使いたいなら、いたずら盛りの幼児に持たせるべきではなさそうです。 47.5年間ロック解除できない 中国・上海在住の女性の2歳の息子が、iPhoneに繰り返し間違ったパスコードを入力し続けた結果、47.5年間に相当する時間、ロック解除できなくなってしまいました。地元メディアが報じています。 問題が起きたのは今年1月で、女性は息子に教育ビデオをオンラインで見せるために、iPhoneを預けていたとのことです。 2歳の息子が繰り返し間違ったパスコードを入力 ある日女性が自宅に戻ってiPhoneをチェックすると、間違ったパスコードが繰り返し入力されたために、2,500万分間使用できない状態となっていました。 女性が上海のApple Storeに問い合わせたところ、47.5年間待つか、中身をすべて消去してインストールし直すしかないとアドバイスされました。 上海店の技術者
CoinCheckとNemの騒動から暗号通貨について思うこと
何から語ろうか。まずCoinCheckにしよう。CoinCheckという暗号通貨の取引所が、NEMを大量に盗まれたという事件だ。私の法と技術の理解では、盗むというのは物理的な物が伴うので映画泥棒という言葉が法的に正しくないのと同様に違うのではないかと思うんだが、まあそこは置いておこう。ここでは単に悪意としておく。 これについて、自分のNEMが悪意されたのでCoinCheckに金を返せと叫んでいる人間のほとんどは、そもそも筋が悪い。もし、Bitcoinが花開いた暗号通貨が技術的に正しく運用されていたならば、そんなことは起こりようがなかったのだ。つまり、しっかり自分の手元の信頼できる環境でフルノードを実行し、物理的なコンピューターの前には武装した警備員を配備するべきだったのだ。自分でフルノードの実行もせずに、秘密鍵すらCoinCheckに知らせ、やれ盗まれたのなくなったのというのは、紙に印刷し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
本当にあった怖い脆弱性の話
7pay緊急記者会見担当者、二段階認証を知らない
自民、サイバー捜査の強化提言へ ウイルス活用も | 共同通信
