証券口座が乗っ取られ、株を勝手に取引される被害が相次いでいる。これまでに楽天、SBI、野村、マネックス、SMBC日興証券など9社で不正アクセスによる株の売買が確認されている。セキュリティーソフト大手のトレンドマイクロによると、以前から証券会社のフィッシングサイト(偽サイト)は確認されていたが、主な目的は個人情報の転売と見られていた。しかし、今回は口座乗っ取りで特定の個別株を大量に購入する新たな
米Microsoftは5月1日の「ワールドパスキーデー」を記念して、アカウントサインインにおけるパスワード依存からの脱却をさらに加速させる新たな取り組みを発表した。今後、新規作成のMicrosoftアカウントではパスワードが不要となる。 Microsoftは10年前からWindowsへのサインインに、パスワードではなく顔認証、指紋認証、PINを使う「Windows Hello」を提供してきた。現在では、MicrosoftアカウントでWindowsデバイスへサインインするユーザーの99%以上がWindows Helloを利用しているという。 こうした流れを受け、Microsoftは2025年に入ってから、サインインおよびサインアッププロセスを簡素化する新しいユーザーインタフェースを導入した。この新しいデザインでは、パスワードレスなサインイン方法を優先している。 この新しいUIの一部として、新
マイクロソフトのパスワードにいったい何が起きているのか。多くの人がそう疑問に思うだろう。パスワードに関する発表が立て続けに行われているからだ。パスキーを利用したMicrosoft アカウントのパスワードレスのサインイン、Windowsのリモートデスクトッププロトコル(RDP)では期限切れのパスワードでもアカウントを解除できるという状況が起こり、攻撃者はパスワードスプレー攻撃を用いて2要素認証(2FA)を設定していないMicrosoft アカウントを侵害している。それに加えて、マイクロソフトは認証アプリ『Microsoft Authenticator』利用者に対し、6月1日以降は新たなパスワードを保存できなくなると明らかにした。では、その「いったい何が起きているのか」という問いの答を見ていこう。 Microsoft Authenticatorアプリに何が起きているのかMicrosoft Au
たいしょう @taisho__ そういや胸ポケットにiPhoneをカメラが表に出る形で入れて電車乗ってたら、盗撮されてると通報されて電車から降ろされる事故に先日遭ったからみんな気をつけたほうがいいよ。 2025-04-21 15:24:57 たいしょう @taisho__ iPhoneをカメラが表に出る形で胸ポケに入れつつ、ソシャゲやってたら、警察の方が乗ってきて、そのスマホで何をしてますか?と聞かれ、はい、いま信長の野望出陣という位置ゲーをやってますと答えたところ、胸ポケットは!?といわれ、これは会社の携帯ですねと答えたところ警官の顔が曇る。 x.com/taisho__/statu… 2025-04-21 20:12:38 たいしょう @taisho__ 中身見せてくださいと言われるので、それは構いませんがこのスマホは会社貸与です警官に中身を見せたとなると多分インシデント報告しないとい
3kidsmam @3kidsmam18 先程トイザらスにロケット団の栄光抽選当たったもの受け取りに行ったら既に受取済みとのこと。 は、、、? ポイントカードと名前も一致していたから販売したと。 私の前に受取来た人も同じ現象だったらしい。 受取きた時間私が違う場所にいたことも証拠とれてるしトイザらス個人情報漏れてるかも 2025-04-20 21:10:20
なぜ作成したのか 識別が困難そうな事案なのでちょっと調べてみる この事件と発信者番号スプーフィング(Caller ID Spoofing)の関連性について分析し、どのような手口が使われた可能性があるのか、技術的な背景や防止策も含めて詳しく論じます。結果がまとまり次第、お知らせします。 新宿署番号を悪用した詐欺電話事件の分析 事件の概要と発信者番号スプーフィングとの関係 2025年3月、警視庁は 新宿警察署の実在する代表電話番号(03-3347-0110) が表示された不審電話が全国で多数発生しているとして注意を呼びかけました 。 わずか3日間で全国から400件以上もの報告があり、新たな特殊詐欺の手口とみられています。 着信画面には本物の警察署の番号が表示されるため、受け取った側は正規の警察からの電話だと信じ込んでしまいやすい状況です。 実際、新宿署だけでなく警視庁本部や他県の警察署番号を表
物騒な世の中です。皆様お気をつけください。 3行でまとめ 自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました 偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした GitHub に通報したところ、偽物を作ったアカウントはbanされたようです 経緯 2024年末に、さくらのAppRun用デプロイツール apprun-cli という OSS を公開しました。 github.com 2025年2月10日 12時過ぎのこと、謎の人物が X で apprun-cli を宣伝しているのを見つけました。 どう見ても自分の物と同じ(コピー)なのですが、妙にスターが多い。リポジトリをのぞいてみると、fork ではなくコードがすべて commit 履歴を引き継がない状態でコピーされ、スター
しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問題はIPAを通して開発者に報告し、報告から2年の年月を経て影響する全ホテルへの改修が完了し、公表されました。 本記事ではキオスクアプリ開発者がよりセキュアなシステムを構成できるように、発見した脆弱性の原因と対策を解説します。 客室に設置されていた脆弱性を有するタブレット ※今回は稼働中システムに対する調査という背景を鑑み、他者の情報・資産を侵害しないよう細心の注意をもって調査しており、他者の情報が関連するセンシティブな問題についてはアクセスなどの実際の検証を行わず、複数の間接的な証跡をもって報告し
数億人のウェブユーザーが、新たに発見された危険なサイバー攻撃について警告を受けている。この攻撃はブラウザの種類を問わず、「ダブルクリック」さえすれば成立してしまう。以下に、「ダブルクリックジャッキング(ダブルクリックジャック攻撃)」について知っておくべきポイントをまとめる。 ダブルクリックは危険、新たなハック攻撃が確認される アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。 このまった
2024年12月26日、日本航空は同社のネットワーク機器に対して大量のデータ送付を受けたことによるネットワーク障害が発生し、一部運航に影響が及んだことを明らかにしました。障害は同日14時までに復旧しています。また関連は不明ですが、その後も金融機関において大量のデータ送信に起因したとみられる障害が発生しています。ここでは関連する情報をまとめます。 大量データ受信でネットワーク機器障害 障害が発生したのは日本航空で社内外接続に使用されるネットワーク機器(ルーター)。この障害により社外通信を必要とする社内のシステム(国土交通省に飛行計画を報告する飛行情報管理システムや貨物重量を計算するシステムなど)が通信不能により使えなくなり*1、一部の航空機の運航等に影響が及ぶ不具合が生じた。 www.youtube.com 機器障害の原因について、日本航空は初報でサイバー攻撃によるものと説明*2。その後表現
三菱UFJ銀行は、元行員が、貸金庫から客の資産を窃取する事案が発生したと発表した。 本人への聞き取りの結果、被害総額は時価十数億円程度とみられる。 窃盗は2020年4月から10月の4年半にもわたって行われていて、店舗は都内の練馬支店(旧江古田支店を含む)と玉川支店。およそ60人の客の貸金庫から盗んでいたとみられる。 元行員は自身の行為を認めていて、既に懲戒解雇されている。 元行員は支店の貸金庫の管理責任を担う立場にあり、その立場を利用し、客の金庫を無断で開扉し、資産を窃取したもの。 三菱UFJ銀行は、「事案の全容解明に向け、警察にも相談しながら、事実関係の調査を進めるとともに、監督官庁などに報告を行っている」としている。
タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(Content Security Policy)やintegrity属性(サブリソース完全性)の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が
あらおじ @ojigunma すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は4段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st… 2024-10-04 13:15:14 Niishi Kubo | GitLab,Limeboard @n11sh1_ クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定さ
Sophosは8月22日(英国時間)、「Qilin ransomware caught stealing credentials stored in Google Chrome – Sophos News」において、ランサムウェア「Qilin」による侵害を調査する中で、Google Chromeに保存された認証情報を大量に窃取する攻撃を確認したと伝えた。2024年7月に確認されたこの事案では、Active Directoryのドメインコントローラからグループポリシーオブジェクト(GPO: Group Policy Object)を使用して悪意のあるスクリプトをドメイン参加端末すべてに配布して実行したとされる。 Qilin ransomware caught stealing credentials stored in Google Chrome – Sophos News 侵害経路 初期ア
【パリ五輪】東京五輪優勝の女子カナダ代表チームに大スキャンダル!ドローンで対戦相手を偵察していたことが発覚し勝ち点6剥奪&監督・関係者は追放 Twitter: 79 Facebook LINEでおくる B! Bookmark 更新通知を受ける カナダの国営公共放送局CBCなどの報道によると、パリ五輪の女子サッカーに出場しているカナダ代表チームが、FIFAからグループリーグの勝ち点6を剥奪し、プリーストマン監督と関与したスタッフが1年間の資格停止となる処分を受けたそうです。 女子カナダ代表チームには、初戦の相手だったニュージーランド代表の練習をドローンによって偵察していたことが発覚し、物議を醸していました。 [CBC]ドローンによるスパイ事件で、FIFAはカナダの勝ち点6点を剥奪、監督のプリーストマンを1年間の資格停止処分に https://www.cbc.ca/sports/olympic
米Microsoftは7月20日(現地時間)、米CrowdStrikeのサービス更新が原因で世界同時多発的に発生したWindowsのブルースクリーン問題の影響を受けたPCが、世界で850万台と推定した。すべてのWindows端末の1%未満に当たるという。 同社は公式ブログで、この問題はMicrosoft側のインシデントではないが、Microsoftのエコシステムに影響を与えるので、24時間体制で作業し、サポートを提供していると説明した。 CrowdStrikeによる回避策、Windowsエンドポイントで状況を改善するための手順、手動修復ドキュメントとスクリプトなど、復旧に役立つ各種リンクも提示している。また、Azure顧客のためのインシデントの最新ステータスをダッシュボードで通知している。 CrowdStrikeは同日、この問題の原因と経緯を公式ブログで説明した。 Microsoftは、米
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く