セキュリティ

ログインウィンドウがポップアップする方式でログイン情報を盗む詐欺方法が見つかったそうです。 グーグルやFacebookなど外部アカウントを使ってログインするウェブサービスはたくさんあります。 その時、

えきねっとのフィッシングメールが届きました。 送り主はえきねっとを装っていますが、 eki-net.jp というアドレスで、 中国のドメインなので明らかにフェイクです。

いまアメリカではランサムウェイ入りUSBメモリを送りつける事件が続発しているとFBIが警告を出しました。 日本厚生省を装って新型コロナの情報が入ってると偽装したり、 Amazonギフト券が貰えると偽装しているそうです。

Facebookはリンクをクリックする瞬間に上書きして、 違うURLにすり替えているのを告発する動画がバズっていました。 右クリックでコピーなどメニューを出すのも同様に上書きされます。

イギリスのノースイースタン大学の研究で、 AmazonEchoは初期化してから売らないと 記録されている情報から個人情報を追跡できると判明。

著名なアンチウイルスの1つKasperskyのKaspersky Password Managerはパスワードを自動生成するプログラムですが、 パスワード生成アルゴリズムが元にするSeed値が

ツイッターが投げ銭機能「Tip Jar」が公開され、順次適用されているそうです。 私はまだですが。 投げ銭にPaypalを使う場合、送金側の住所氏名など個人情報が相手に筒抜けとなります。 これは

LINEが利用規約に個人情報を韓国とベトナムの従業員が見ることがあると明記しました。 今まで裏でずっと見てたのだろうけど、これで利用者は自分の情報を見ても良いと承認して使っていることになります。

エムアイカードのログイン情報を盗もうとする詐欺メールが出回っています。 私にも届きました。 「カードの利用を一部制限した」とURLを開かせて、

ドコモ口座に対応している銀行で、不正引き出しが相次いでいるそうです。 対応銀行は新規登録を停止しました。 不正引き出しに遭った銀行は

ファーウェイが自社機器を使って、世界中で諜報活動をしていたと米政府高官が語っているそうです。 米独だってスイスの企業のふりをして諜報してたので、ファーウェイもやってるでしょうねえ。

米独政府が協力して諜報企業をスイスに作り、スパイ活動していた事が判明。 諜報の結果は両国で山分けしたんだそうです。 そのスイス企業とは

オランダのあるユーザーが、シャオミ製ホームセキュリティカメラ「Mi Home Security Camera Basic 1080p」に グーグル・ネスト・ハブというスマートディスプレイで接続して自宅映像を見ようとすると、

ツイッターでは今「ONLY FOR YOU」というメッセージが流行っているそうです。 このメッセージを開くと、ツイッターアカウントが乗っ取られるとのこと。 正確には、メッセージに載ってる

セブンイレブンのスマホ決済アプリ「7Pay」で30万円不正決済されたツイートがバズってました。 原因は、総当たりでパスワードを取得できるシステム。 具体的には

ドイツ連邦政府の連邦電子情報保安局(BSI)が、VLCにPC乗っ取りの脆弱性を発見したようです。 アメリカの国立標準技術研究所(NIST)の脆弱性スコアは、10ランク中9.8という高度に脅威と分類しています。 今回見つかったVLCの脆弱...

クロネコヤマトのメンバーサイトのログイン不正ログインが発覚。 7月23日に気付いて、不正ログイン分はアクセス停止にしたとのこと。 ただし、クロネコから流出したのではなく

宅配業者からの宅配通知や不在通知を装ってSMSを送信し、スマホの情報を盗む詐欺が増えているそうです。 SMS詐欺の手口は、

いまAmazonのパスワード入力ミスを通知する詐欺メールが流行っているようです。 そのメールでは、

Internet Explolerにゼロデイ脆弱性が発覚。 ゼロデイ脆弱性とは、修正プログラム配布前に攻撃される脆弱性のこと。 今回見付かった脆弱性とは、

ASUS Live UpdateとはASUS製品のドライバやアプリケーション更新用のプログラムですが、 バックドアが存在していた為にマルウェアが大規模に配布されたそうです。

WinRARに悪意あるプログラムを勝手に保存する脆弱性が見付かったらしいんですが、 その脆弱性は何と19年前から存在していたとのこと。 この脆弱性が発生するのは

クラウドでファイルを保存できるサービスの「宅ファイル便」で、個人情報を約480万件流出。 「宅ふぁいる便」不正アクセス、「郵便番号」も漏えい 運営元のオージス総研はメールアドレスとパスワード、生年月日、性別、郵便番号や県名、氏名、職業、...

イランのハッカー集団「Charming kitten」が2段階認証を突破できるフィッシングを既に実行しているそうです。 その手法は、

リファラースパムっぽいドメインのメモ。 .htaccessでアクセス不可にした方がいいでしょうね。

ニューヨーク大学とミシガン州立大学の研究グループが指紋認証を突破できる「マスター指紋」を開発。 この指紋はマスターキーのように1つの指紋で色んな指紋認証を突破できるそうです。 Fake fingerprints can imitate ...

Supermicroというマザーボード供給会社が、米国企業約30社の電子機器に小型のスパイウェアを実装していたそうです。 Supermicroは中国で製品を作っていて、中国の人民解放軍関係者がスパイウェアを仕込むように指示していたようです...

中国政府はハッカーを大規模に雇用し、ハッキングを仕掛けている疑いがあるようです。 標的は主に日本と米国と欧州。

LenovoのCTO「Peter Hortensius」がバックドアの質問に答えたところ、 バックドアの存在を匂わせる返答をしたそうです。

というリファラーがアクセス解析に残ってた。

FAXにはITU-Tが定めたFAX通信規格「T.30」が使われています。 この通信規格に脆弱性があり、電話番号を知ってるだけでそのFAXを乗っ取り可能とのこと。 もしもFAXと他のデジタル機器が繋がっているなら、その機器も乗っ取り可能ら...

ドコモオンラインショップで不正アクセスによるiPhoneの購入が多発しているそうです。 不正購入が発生し始めたのは8月に入ってからとのこと。

Cryptojackingとは、仮想通貨のマインニングの為にウェブサイトにプログラムを設置する事。

redditの従業員のアカウントが乗っ取られたらしいです。

偽の佐川急便の不在通知ショートメールで個人情報を抜き出す詐欺が流行しているそうです。 その発信源は中国とのこと。

安全なパスワードを作るには、とにかく長いものにすること。 パスワードルールは誤りだった 英単語を適当に選んで64字以上にすると破られにくいらしいけど、 私の場合は以下の方法でパスワードを作って、 ウェブサイト側の流出を除いて破ら...

Web Application Firewall(WAF)とは、サーバーサイドでウェブサイトを守るFirewallの事。 通常のFirewallはポートスキャンを防ぐだけ。 WAFはアプリケーションの脆弱性を利用した攻撃も防げます。...

ダークパターンとはウェブサイトでユーザーが退会しにくいよう手続きを複雑化したり アカウント削除フォームをわかりづらい場所に設置するパターンの事。 WHAT ARE DARK PATTERNS? 例えばXboxLiveでは...

ブルーノートとは振動を利用してHDDを破壊する攻撃の事。 パソコンに内蔵のスピーカーから出た超音波や可聴域の音が、 HDDの読み取りヘッドを振動させる事で、HDDを物理的に破壊可能らしいです。 2016年にルーマニアの銀行でシステ...

00000JAPAN(ファイブゼロジャパン)は災害時統一SSIDと呼ばれる公衆無線LAN。 災害時に各通信会社が開放する無料WiFiですがパスワードがなく、誰でもアクセス可能。普通の公衆無線LANと同じで、当然セキュリティはザル。 誰で...

米朝会議の場で無料のUSB扇風機が記者達に配られたそうです。 その扇風機は恐らくスパイウェアが仕掛けられているだろうとの事。 『無料のUSB扇風機を貰っても絶対に自分のPCに刺しこまないで』セキュリティに関するお話に「スパイ映画みた...

米政府が航空機がハッキングでハイジャックされる時代が来ると警告。

解凍圧縮の著名な規格であるZIPに任意コードが実行される脆弱性があったそうです。 発覚は今年の4月で非公開でHP、Amazon、Apache、Pivotalなど対策が実施済みとのこと。 と言うことはサーバーサイドの脆弱性なんですかね。 ...

マイクロソフトのWindows defenderのウイルス(脅威)発見率は、95.5～98.8％らしいです。 これは2017年2月～6月、7月～11月までの期間に実際に発見されたウイルスが対象。 AV-comparativeというサ...

以下の中国製のネットワークカメラの機種(恵安のVSTARCAM C7823WIP)は、 中国人に勝手に乗っ取られるようです。 【KEIAN/恵安】 VSTARCAM Mini WIFI IP Camera 技術基準適合認定済み有線/...

WiFiで使われているWPA2という暗号規格に 仕様レベルでの脆弱性があったと判明。 Wi-Fiを暗号化するWPA2に脆弱性発見 暗号化キーの再インストールを利用して端末を乗っ取れるようです。 ただしベンダーがパッチを当...