厚生労働省コロナ情報サイトのドメイン名、投資関連に転用か - 日本経済新聞厚生労働省が新型コロナウイルスに関する情報を発信していたホームページのドメイン名が、外国為替証拠金(FX)取引への勧誘などを想起させるウェブサイトに転用されていることがわかった。厚労省は一切関係がないとして注意を促している。問題のドメイン名は「covid19-info.jp」。厚労省が2023年5月までコロナ関連情報を多言語で発信していた。有効期限が切れた後にGMOインターネットグループが取得
[合格体験記]Webセキュリティ基礎試験とWebセキュリティ実務試験を制覇したはなし
はじめに 昨今サイバー攻撃がニュースでもとりあげられているとおり多発する世の中になっており、ますますWebセキュリティについても重要事項となっています。 そんななか、セキュリティ本の名著「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(いわゆる徳丸本)をもとにした資格試験があることを知りました。 基礎試験は、合格率7割越え、実務試験も合格率6割越えなので、資格試験的にみると取りやすい資格のではないかと思います! 自分のWebセキュリティの知見を深めるため、早速わたしもこの資格試験を受けて、無事両方合格しました!(ほっ) ということで、今回はこれから徳丸試験受けてみようって方向けに、わたしなりの勉強法を書いてご参考にしていただけたらと思います! 試験については下記をご参照ください Webセキュリティ基礎試験(徳丸基礎試験) Webセキュリティ実務知識試験(徳丸実務試験) 勉強法
マルカワみそで個人情報約9万人分が流出、原因は決済アプリの改ざん
老舗味噌メーカーのマルカワみそは2024年4月2日、自社が運営する「マルカワみそ公式サイト」に第三者の不正アクセスがあり、顧客のクレジットカード情報5447件分、個人情報8万9673人分が漏洩した可能性があると発表した。原因は第三者からの不正アクセスによるペイメントアプリケーションの改ざんだったという。 クレジットカード情報が漏洩した可能性があるのは、2023年3月11日~11月13日の間、公式サイトでクレジットカード決済した顧客およびサイトのマイページでクレジットカード情報を登録・変更した顧客4851人(5447件)。カード名義人名やクレジットカード番号、有効期限、セキュリティーコードの情報が漏洩した可能性があるという。また個人情報が漏洩した可能性があるのは、公式サイトの立ち上げから2023年11月13日までの間、同サイトで購入した顧客またはサイトのマイページに登録した顧客8万9673人
OWASP Data Breach Notification | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Andrew van der Stock Friday, March 29, 2024 In late February 2024, after receiving a few support requests, the OWASP Foundation became aware of a misconfiguration of OWASP’s old Wiki web server, leading to a data breach involving decade+-old member resumes. Who is affected? If you w
免許センターで一時障害 徳島全域、誤入力が原因
徳島県警で2日午前、運転者管理システムに障害が発生し、県内全ての免許センターで運転免許証の更新や交付が一時できなくなったが、間もなく復旧した。同県警によると、140人に影響が出た。1日の業務終了後に、新しい担当者をシステムに登録する際、誤ったコードを入力したことが障害の原因という。 業務を開始した午前8時半から、県内3カ所のセンターで障害が発生したが、午前9時50分に復旧した。1日には19都府県警で回線の容量超過によるシステム障害が発生したが、徳島県警によると同県の場合は容量超過ではないとみられるという。
Tesla共同創業者 元CTO、「LeanとDevOpsの科学」の著者来日! 開発生産性Conference 2024
ファインディ株式会社が主催する開発生産性Conference 2024の特設サイトです。開発生産性Conferenceは、開発生産性に関する最新の知見が集まる場になっています。
「はじめて学ぶ最新サイバーセキュリティ講義」の監訳を担当しました
日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。 本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and Misconceptions」で、米国Amazonのレビューでは4.6の高評価を得ています。また、「インターネットの父」ことヴィントン・サーフ氏が本書に前書きを寄せています(後述)。 はじめにサイバーセキュリティは、その短い歴史にも関わらず、神話や都市伝説に満ちています。古典的なものとして、本書の冒頭では、「ウイルス対策企業が自社製品を売るためにマルウェアを作って拡散した」が紹介されています。 本書は、このようなセキュリティの都市伝説や神話をとりあげ
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話
徳島県立高タブレット故障 高温下で保管が原因か 納入業者調査 | 毎日新聞
徳島県立高校などに配備されたタブレット端末に電池膨張などの故障が大量発生している問題で、端末納入業者の「四電工」(高松市)は29日までに、第三者機関に依頼した電池調査の結果などを踏まえた見解をまとめ、県教育委員会に提出した。同社が公表した資料によると、電池の不良は認められなかった。同社が学校現場を調べたところ、空調を切った放課後の教室や風通しの悪い場所など、温度が高くなる環境下で端末を保管していたことが電池膨張の原因として考えられると結論付けた。 四電工は2023年11月、電子部品の故障の分析などを手がける「沖エンジニアリング」(東京都)に調査を依頼し、同社が故障機の電池を内部分解した。その結果、高温の環境下で加速する電解液の「ガス化」が生じており、電池膨張につながったと判断した。端末は充電可能なリチウムイオン電池を採用している。電池メーカーなどでつくる一般社団法人「電池工業会」(東京都)
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び - Workstyle Tech
2024年3月29日 お客様各位 ワークスタイルテック株式会社 弊社サービスをご利用いただいているお客様への重要なご報告とお詫び このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。 お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。 1. 本件の概要 本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。 当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっ
意図せず開設された本人名義の口座を悪用した特殊詐欺についてまとめてみた - piyolog
2024年3月10日、北海道警は札幌市内で約1400万円の特殊詐欺による被害が発生したと3月8日に発表しました。また3月18日には千葉県警が同様の事案の発生について発表しました。ここでは関連する情報をまとめます。 勝手に開設した本人名義の口座へ送金指示か 2024年3月8日に札幌市内で約1,400万円の詐欺被害が発生したと発表したのは北海道警察 札幌厚別署。*1 今回確認された新たな特殊詐欺の手口として、被害者名義の口座を詐欺実行犯が勝手に開設し、これを送金先に指定するもの。被害者は詐欺実行犯から連絡を受けた際に、スマートフォンのビデオ通話を通じて自身の顔とマイナンバーカードを映しており、ここで取得した情報などを用いて勝手に口座を開設していたとみられている。 被害者は自身の口座が勝手に作成されていた事実を把握しておらず、また被害者が利用していた金融機関の窓口でも職員は被害者が特殊詐欺にあっ
【セキュリティ ニュース】「クレジットカード・セキュリティガイドライン5.0版」が公開(1ページ目 / 全1ページ):Security NEXT
クレジット取引セキュリティ対策協議会は3月15日、約1年ぶりの改訂版となる「クレジットカード・セキュリティガイドライン5.0版」を公開した。EC加盟店では2025年3月末までにチェックリストに示されたセキュリティ対策を講じる必要がある。 同ガイドラインは、クレジットカード会社、加盟店、決済サービス事業者(Payment Service Provider)などクレジットカード取引に関わる事業者が実施すべきセキュリティ対策について定めたもの。 2020年に初版が公開され、以降は毎年改定を重ねており、今回で「5.0版」となった。割賦販売法にあるセキュリティ対策義務の「実務上の指針」にあたる。 今回の改定では、「クレジットカード情報保護対策」として2025年4月以降、すべてのEC加盟店が「セキュリティ・チェックリスト」にあるセキュリティ対策を実施することを定めた。アクワイアラーやPSPからも準拠す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
徳丸さんがサプライズでご登場「セキュリティワークショップ~徳丸さんのBad Todo Listで脆弱性について学ぼう~」 | ラテラル・シンキング株式会社
はじめに:『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』
気付かぬ間に家庭のWi-Fiルーターを狙う「ボットネット」の対策を広めたい! 総務省がセキュリティ冊子を更新 
北朝鮮、サイバー攻撃が「外貨収入の半分」 国連報告書 - 日本経済新聞
再現から修正までわかりやすい診断レポートで、 セキュリティに自信を持った安全性の高いサービス提供を実現 | 株式会社クラッソーネ | EGセキュアソリューションズ株式会社
どんなバケーションも向上させる賢いホテルハック
