フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
大規模接種予約サイトが架空番号でも予約可能に、対象期間外に予約できる不具合も
防衛省が2021年5月17日に開設した新型コロナウイルスワクチンの大規模接種会場向けの予約サイトが、「0000000000」といった架空の接種券番号で予約を受け付けることが分かった。加えて、何度でも予約できる状況になっている。防衛省は日経クロステックの問い合わせに対し「不具合かどうかを含めて状況を確認中」(報道室)としている。 自治体番号は「000000」、接種券番号は「0000000000」、生年月日は年齢が対象外の51歳となる「1970年1月1日」で認証を通過し、予約まで完了した 大規模接種会場向けの予約サイトは、地方自治体が対象者に郵送した接種券に記載された「自治体番号」(6桁)と「接種券番号」(10桁)に加えて、接種を受ける本人の生年月日を入力して予約する。現在の接種対象者は65歳以上の高齢者だ。 日経クロステックが実際に予約サイトで確認したところ、2つの番号とも実在しないとみられ
ワクチン予約接種関連のシステムトラブルについてまとめてみた - piyolog
2021年3月以降、政府や各自治体による新型コロナウイルス感染症のワクチン接種予約や管理を行うシステムが稼働を始め、住民への予約受付が開始されています。しかし、アクセス過多による接続障害など複数の自治体でトラブルが発生しています。ここではこれまでに発表や報道されたトラブルについて関連する情報をまとめます。 1.複数の自治体で起きた予約システムのトラブル 事例① アクセス過多による接続障害 予約開始直後など、急増するアクセスに耐え切れずにシステムに接続できない、しにくくなるなどの事象が発生した(あるいは関連性のある)事例は以下の通り。 自治体 発生/報道日 概要 沖縄県糸満市 4月15日 市が利用する予約受付システムが全国複数の自治体で利用されており、同日複数から大量アクセスを受けたことで受付不可となった。 兵庫県神戸市 4月21日 20日に不適切な設定によるものとみられる内部起因の障害によ
twitterアカウント@yanmaが乗っ取られた - yanma
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。 字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
大量出現したニセ通販サイトを探る - 午前7時のしなもんぶろぐ
こんにちは! しなもんです。 ふとしたきっかけから、日本語のニセ通販サイトが大量に作られたことが判明しましたので、注意喚起を兼ねて調査結果を公開します。 こうした偽サイトに個人情報や金融情報などを入力しないようにご注意ください。 はじめに 偽サイトの発見 ニセサイト群の特定 ドメインを分析 実際のサイトの様子 運営会社の身元 画像の出所 ソースの分析 注文してみた 評価サイトでの扱い 攻撃を仕掛けているのは何者なのか ニセサイトは平然と存在している 調査に使用したサービス 付録 調査対象のドメイン一覧 更新履歴 はじめに 調査はしなもんが自力で実施しましたが、ニセ通販サイトの存在自体は I 氏から教えてもらいました。 調査上の重要なアイデアのいくつかも I 氏によるものです。 この場を借りてお礼を申し上げます。 以下、不用意なアクセスの防止のために、URL や IP アドレスを 「hxxp
何故お役所ってオワコンIEが大好きなの?|楠 正憲(デジタル庁統括官)
普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。 この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え?単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。 もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」
「世界最悪級の流出」ブロードリンク社の2chスレを見ると事件は起こるべくして起こったことがわかる - アンテナ開発者ブログ
株式会社ブロードリンク ってどうのな??https://egg.5ch.net/test/read.cgi/hikari/1441107873/ 1底値さん2015/09/01(火) 20:44:33.04 http://www.broadlink.co.jp/ 〒103-0022 東京都中央区日本橋室町4-3-18 東京建物室町ビル8F TEL:03-3516-8777 面接受けて即日内定したんだが情報求む! 顧問に電子遊技機工業協同組合最高顧問とあるのだがこれパチンコの組合? パソコン業界では有名なの? 9底値さん2015/09/07(月) 00:17:25.17 テクニカルセンターは産廃を整理するところです。やめたがいい 今クレームの嵐 15底値さん2015/09/08(火) 01:25:48.20 ここの給料は基本給23万~と 書いてあるけどその中に 残業代80時間が含まれてる だ
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
NTT東、「社員の個人PCに検閲ソフトを導入」SNS投稿を「事実と異なる」と否定
NTT東日本が社員の個人PCに検閲ソフトを導入させて、特定操作を妨害している」とするSNS投稿が一部で話題になっています。実際にそのような取り組みが行われているのか、NTT東日本に聞きました。 「個人情報保護のため社員PCを検閲」は本当? 当該のSNS投稿では、業務利用していない社員の個人PCでも検閲ソフトでファイルを検査し、OSを書き換えて特定の操作を妨害するらしいとして、情報漏えい対策とはいえ、財産権やプライバシーの侵害ではないかと問題を提起していました。 編集部がNTT東日本の広報に問い合わせたところ、「投稿の内容は事実ではない」とのこと。同社では実際、年に1回、情報漏えい対策として全社員の個人所有PCのチェックを行っていますが、投稿にあるような内容ではないとしています。 この点検は、2007年に同社元社員の個人所有PCからファイル交換ソフトを経由して顧客情報が流出したことを契機に実
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その3) - ろば電子が詰まつてゐる
先日、2019年3月11日、以下の「不正指令電磁的記録に関する罪」に関する公文書公開請求を行いました前回の記事参照。 ここで請求した文書は、「兵庫県警において刑法第百六十八条の二又は第百六十八条の三(不正指令電磁的記録に関する罪)に基づく取締りその他の運用を行うにあたり、どのような内容をもって犯罪行為とするかの構成要件等を記載した文書(具体例を含む)」です。 これに対し、2019年3月27日に回答が郵送で届きましたので報告します。回答は以下の通り「4月10日までの期間延長」でした。 これは公開を延長するという意味ではなく、「公開するか非公開とするかの判断を含めて延長する」ということに注意してください。 また延長理由は、「請求内容が複雑であり、公文書の特定が困難であるため、15日以内に公開決定等をすることが困難である。」でした。 考察 期間延長が来ることは予想していたので、そこは特になんとも
11年間勤めた会社を退職しました。 - S-Owl
一生に何度あるか分からない折角の機会なので、流れにのって退職エントリを書こうと思います。 11年間勤めた会社を辞めました。 金融系のグループIT会社でした。 会社の主な業務はSIということになっていますが、 親会社の要望を聞いて要件にしてベンダーに発注し管理をするというもの。 レビューはしても設計やコーディングはしない、そういうのを彼らは開発と呼んでいました。 その中で、自分は珍しいことにずっと技術者として手を動かす仕事をしていました。 セキュリティを業務としたのは最後の3年間で、 その殆どはプライベートSOCの立ち上げ、発展に関わることでした。 業務の半分くらいは企画や調整、もう半分はアラートの分析やSIEMのルール検討や分析力向上のための+αの何か、でした。 それ以外にだんだん趣味としてセキュリティをやるようになり、 特にこの1年は不審メールのばらまきを追っかけたり、ハニーポットを始め
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
「今後、機密情報は紙で」文科省のメール誤送信対策に驚きの声、話を聞いてみた
Japan's Education Minister Hirokazu Matsuno speaks at a news conference at Prime Minister Shinzo Abe's official residence in Tokyo, Japan, August 3, 2016. REUTERS/Kim Kyung-Hoon 文部科学省は1月10日、職員約30人分の人事異動案を誤って約1700人の全職員に送信していたことを公表した。人事課の職員が4日夕、今月中旬に発令予定だった管理職や若手職員の人事案を部下にメールで送ろうとしたところ、誤って全職員に送信してしまったという。 一方でこの問題について、全職員に誤送信しかねないシステムや、再発防止策として同省が公表した「人事情報は今後は紙や口頭でやりとり」との報道には、ネット上などで「時代に逆行するのでは」と驚きの声
母親はどこまで息子のTwitterを監視しているのか? | オモコロ
中学生・高校生のオモコロ読者のみなさん、こんにちは! セブ山おじさんだよ! みなさんは、物心ついた時からすでに身近な場所に「インターネット」が存在していて、水道や電気と同じように、ライフラインのひとつとして「ネット環境」が整っていた世代ですよね。 成人してから初めて「インターネット」というものに触れたセブ山おじさんからしてみると、君たちはすごく恵まれていて、とっても羨ましいよ。いいなぁ。 でもね、「インターネットが身近にある」っていうのは、「親バレ」というもっとも恐ろしいことと隣り合わせだと僕は思うんだ。 友だちの前で調子コイてる姿とか、夜中に書いたポエムとか絶対に、親にバレたくないよね? この記事を読んでいる君は「ウチの親はパソコンに疎いから大丈夫ッスよw」と思っているかもしれないけど、それって本当かな? あなたのネット上での活動や発言なんて「親は何も知らないし、何も見てもいない」って果
セキュリティエンジニアを将来の夢にしているのですが現在高2なのですが現在大学選びに悩んでいて、セキュリティエンジニアは自分が... - Yahoo!知恵袋
徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。 セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ
まさにプロの犯行!? Twitterの鍵アカを自在に開けさせる達人女子にその手口を聞いてきた
背景に合わせてこんばんは、ひにしです。本日は、とある達人との待ち合わせで渋谷に来ています。 ところで、この「トゥギャッチ」はTwitterの旬な話題をお届けしているメディアなわけで、その読者であるみなさんなら、1度はあるのではないでしょうか? 「この鍵アカを覗き見してええええ!」 と思ったことが…! ちなみに、鍵アカとは非公開Twitterアカウントのこと。フォロワーしかツイートを閲覧できないアカウントをこう呼びます。 今日は、合コンなどで知り合った男のTwitterアカウントの特定や、鍵アカを約8割の確率で開けさせてきた「鍵アカ解除の達人女子」がどんなテクニックを使っているのかを惜しみなく披露してくれるとのことなので、パリピの巣窟・渋谷までのこのこやってきたというわけです。 鍵アカ解除の達人はこんな女子! こじあけさん(24歳) 都内在住の会社員。合コンなどで知り合った男性に“興味ありま
ネットエージェント最終面接問題 Write-up エクストリームCTF編
ネットエージェントのいきなり最終面接問題を解いたのでWrite-upです。 2016年度 新卒採用|ネットエージェント株式会社 これまでmondai1からmondai9までは、mondaiとOS XやLinux、Windowsマシンが手元にあれば解く事ができていました。 しかしmondai10はそうはいきません。mondaiが手元にないのです。mondaiを入手しなければいけないのです。 某所で10分で解けたと言っていた人は、きっと某せんせーみたいにマッハ20で移動できるのでしょう。 ところで、こんな楽しい体験をさせてくれたmondaiを少しでもたくさんの人に知ってもらおうと、学内のLT大会で以下のように発表してきました。 この発表では、この記事の内容から抜粋する形で、最後のmondai10を解く楽しさと、それによって得た経験を紹介してきました。 よろしければご覧になってみてください。 さ
新千歳空港の検査すり抜け、なぜ? 女性客の責任は:朝日新聞デジタル
北海道の新千歳空港で5日、女性客が金属探知機の検査を受けずに飛行機に乗った。この影響で乗客約1千人が検査をやり直し、空港は大混乱。なぜ、女性はすり抜けられたのか。 国土交通省などによると、5日正午過ぎ、エア・ドゥ(本社・札幌市)の羽田便に乗る女性が、新千歳空港の国内線ビル保安検査場Aで、搭乗券を読み取る機械に携帯電話をかざした。搭乗に必要な二次元バーコード画面がうまく読み取れずエラーがでた。 女性はその場にいた警備担当者に「必要なの?」と問いかけた。関係者によると、女性は搭乗までに時間がなく急いでいる様子だったという。 警備担当者はエア・ドゥの担当者に連絡をとるのに手間取り、数分間、女性から目を離した。女性はその間に、金属探知機の横にある車いすやペースメーカーの人たちが通るレーン(幅約1メートル)を通って保安区域に入った。 女性はすり抜けた後、飛行機に乗る直前の手続きでは「チケットを無くし
総務省|非常勤職員採用情報 情報流通行政局(情報流通振興課情報セキュリティ対策室)
以下に掲げる事項について高い専門性や十分な知見を有している者 情報通信ネットワークの構築・運用に関する専門的知識、実務経験を有すること。 情報通信技術の動向に関する情報収集・分析に必要な知識、経験を有すること。 情報セキュリティに関する情報収集・分析に必要な知識、経験を有すること。 パソコン操作(EXCEL、WORD等による資料作成)ができること。 なお、以下に該当する方は、応募できませんので御了承ください。 日本国籍を有しない者 国家公務員法第38条の規定により国家公務員になることができない者 成年被後見人、被保佐人 禁錮以上の刑に処せられ、その執行を終わるまで又は執行を受けることがなくなるまでの者 一般職の国家公務員として懲戒免職の処分を受け、当該処分の日から2年を経過しない者 日本国憲法又はその下に成立した政府を暴力で破壊することを主張する政党その他の団体を結成し、又はこれに加入した
ファイルの拡張子がどんどん .vvv になっていくという怖い話 | 大工の息子は大工
弊社の取引先の方から何やら奇妙な内容の電話がありました。 それは「お客様のサーバーの共有フォルダのファイルの拡張子がどんどん .vvv になり開けなくなっている」というものでした。 真っ先に、これはウィルスの仕業だな・・・と思いながらネットで検索・・・ 有名会社のウィルスレポートを見るが、なかなかこういう事象からの検索では見つからない。。 ようやくみつけたのが半日ほど前の新しい書き込みで、教えて!goo: 質問&回答 (Q&A) コミュニティの中に同じ現象がありました。 ただ、対処方法としてはOS入れ直しや、バックアップから戻すというようなものしかなく・・・ 取引先の方がお客様のところに直行して確認してもらいましたが、これ以上被害が及ばないようにサーバー自体をシャットダウンするという方法をしてもらいました。 それから全てのPCのウィルス対策ソフトをスキャンしてもらいましたが検出せず。。 と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
