マイナンバーとマイナンバーカードの歴史 似て非なる2つの仕組みを理解する
政府向けシステムの話をするときの前提知識
政府向けシステムに関わったことがある身からすると、政府向けシステムの話をするときに前提として知っておいてほしいことは、住基ネット最高裁判決に「現行法上,本人確認情報の提供が認められている行政事務において取り扱われる個人情報を一元的に管理することができる機関又は主体は存在しない」という骨子があること。これによって政府向けシステムは個人情報を一元的に管理できず、個人情報は各自治体で分散管理しかできない。この文面でググれば政府がどれだけこの骨子を気にしているかは分かると思う。 今回の話は「国民マスターテーブルを持たずに認証するにはどうすべきか」という政府向けシステムで常に挙がる課題で、良いアイデアがある人は政府に提案しにいってほしい。個人情報保護法の目的外利用に違反しない上で。 はがき送りつけこれをできるのは自治体のみで防衛省はできない。防衛省は国民の住所氏名を知らないのではがきを送れない。防衛
FragAttacks: Security flaws in all Wi-Fi devices
Introduction 11 May 2021 — This website presents FragAttacks (fragmentation and aggregation attacks) which is a collection of new security vulnerabilities that affect Wi-Fi devices. An adversary that is within range of a victim's Wi-Fi network can abuse these vulnerabilities to steal user information or attack devices. Three of the discovered vulnerabilities are design flaws in the Wi-Fi standard
Security Certification Roadmap - Paul Jerimy Media
Update Plans August 13, 2022 – Paul Jerimy I have received a lot of feedback on this security certification roadmap. Much of it is discussions and opinions on where certifications fall on the chart, but many others are feature requests. I want to let you know I hear you loud and clear and have started working on converting this HTML chart to a Javascript chart so that I can add code for the featur
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?:徳丸浩氏×総務省サイバーセキュリティ統括官室 特別対談【前編】 あらゆるものがインターネットを介してつながり、これまでにない量の情報を多くの人が日々活用する――。そんな「Society 5.0」が現実的になりつつある中、多くの組織にとって課題になるのがセキュリティだ。そんな中、総務省は2019年にIoT機器の脆弱性をチェックする「NOTICE」を開始した。開始当時は一部で物議を呼んだ同施策だが、そもそもどのような効果を期待して始められたのか? NOTICEが始まった背景や現状について、セキュリティ専門家の徳丸浩氏が総務省のサイバーセキュリティ統括官室に切り込んだ。 あらゆるものがインターネットにつながるIoT(モノのインターネット)時代。SNSを通じた人々のつながりや購買経路、移動経路など、これまで見えなか
Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記
1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、この脆弱性の報告者がNSA(米国家安全保障局)だったことです。NSAはMicrosoftのアナウンスとは別により詳しい内容でこの脆弱性を警告するアナウンスを出しています。 「Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers」 これまで数々の諜報活動をインターネット上で行ってきたNSAが、この脆弱性を
Chinese Hackers Bypassing Two-Factor Authentication - Schneier on Security
Chinese Hackers Bypassing Two-Factor Authentication Interesting story of how a Chinese state-sponsored hacking group is bypassing the RSA SecurID two-factor authentication system. How they did it remains unclear; although, the Fox-IT team has their theory. They said APT20 stole an RSA SecurID software token from a hacked system, which the Chinese actor then used on its computers to generate valid
国連国際商取引法委員会におけるアイデンティティ・マネジメントおよびトラストサービスに関する検討の動向
本稿は2019年6月17日、KFC Hall Annex(東京都墨田区)で開催された「トラストサービス推進フォーラム設立1周年記念シンポジウム」において行われた学習院大学法学部の小出篤教授の講演内容を『日本データ通信』編集部で取りまとめたものである。 我が国においてトラストサービスに対する関心は急速な高まりを見せているが、海外に目を転じれば、この分野における議論や制度化の動きはかなり以前から活発に続けられており、2016年には欧州でeIDAS規則が施行されたのはご承知の通りである。 こうした動きはさらに前進しており、欧州の議論を受ける形で国連においても「国連国際商取引法委員会(略称:UNICITRAL)」がこうした分野のグローバルルールの在り方について検討を行っている最中である。記念フォーラムでは、日本代表としてこうした議論に参加している小出教授にUNCITRALにおける最新の議論の流れを
情報セキュリティワークショップin越後湯沢2019まとめ
Kyoko HANADA(花田 経子) @cchanabo #yuzawaws Day0スタート。 名古屋→越後湯沢まで移動。 設営準備。 20回記念祝賀会。 ご来場される皆さまは、どうぞご安全に。 2019-10-10 08:07:44
7pay問題、本質は「船頭不在」にあり セキュリティ専門家「最初から印象は変わらない」
スタートからわずか3か月で廃止することになったコード決済サービス「7pay」は、なぜ失敗したのか。1つの原因は、セブン&アイ・ホールディングス(HD)も2019年8月1日の会見で言及していた「ガバナンス」の問題にあると言える。 情報セキュリティの専門家は、7payがセブン&アイグループ共通のユーザーアカウント「7iD」に紐付いていることを踏まえ「本来やるべきリスク管理ができていなかった」と話す。さらにその背景として「判断できる船頭がいなかったのではないか」としてガバナンスの欠如を指摘する。 会見する(左から)田口広人氏(セブン&アイ・ネットメディア社長)、後藤克弘氏(セブン&アイHD代表取締役副社長)、清水健氏(セブン&アイHD執行役員、セキュリティ対策プロジェクトリーダー)、奥田裕康氏(セブン・ペイ取締役、営業部長) 「新たに発生するリスクを検討しないといけなかった」 鳴り物入りで7月1
Sign in With Apple の特徴分析 (2) - OAuth.jp
Sign in With Apple の特徴分析 (1) のつづき。 文章でつらつら書いても結局わかりづらいもんはわかりづらいんで、もう箇条書きで淡々と。 これだけそろってれば、あと最後の 要調査 ってとこを各自必要に応じて調べるなり、誰かがこの記事にコメントしてくれるなりすれば、一通りみなさんのサービスの設計に落とせるんでは無いかと思います。 ※ 落とせない人は 僕 (= YAuth.jp 合同会社) に仕事を依頼する という手もありますw 各種 ID とその対象 (?) 範囲 Developer が使う IDs 等 Team ID 個人向け Apple Developer Account では Developer Account に1つ Enterprise 向け Apple Developer Account での話はしらない App ID App Store に並べるアプリ毎に1つ
「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある | TechCrunch Japan
Kuva Space, a hyperspectral imagery startup founded in Finland, has closed a €16.6 million ($17.6 million) Series A funding round as it looks to deploy up to 100 satellites by the end of the decade. SBI Holdings, a Japanese financial services conglomerate and one of the largest venture capital firms in the East Asian country, has made a $40 million multi-fund commitment to anchor pan-African VC f
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トレンドマイクロ 製品 の最大の欠陥であるパッチの遅延リリースについてまとめてみた - Windows 2000 Blog