お客様各位 平素は「駿河屋」をご利用いただき、誠にありがとうございます。 このたび、弊社が運営するECサイト「駿河屋.JP(suruga-ya.jp)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報を含む個人情報が漏えいした事実を確認いたしました。 お客様ならびに関係者の皆様に、多大なるご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。 なお、さらなる影響拡大を防ぐため、2025年8月8日より、クレジットカード決済のご利用を一時停止いたしました。 現在判明している状況と弊社の対応につきまして、以下の通りご報告いたします。 1. 経緯 2025年8月4日、弊社ECサイトのシステムの一部が第三者によって不正に改ざんされていることを確認いたしました。調査の結果、この改ざんにより、お客様が決済時にご入力された情報が外部に流出する状態となっていたこ
HTTP/1 Must Die It's time to acknowledge HTTP/1.1 is insecure Upstream HTTP/1.1 is inherently insecure, and routinely exposes millions of websites to hostile takeover. Vendors have spent six years deploying mitigations, and researchers have consistently bypassed them. In PortSwigger's latest research, we introduce several novel classes of HTTP desync attack, and showcase critical vulnerabilities w
背景 近年、企業システムに対するサイバー攻撃は多様化・高度化しており、企業は日々新たな脅威への対応を迫られています。さらに、脆弱性の発見件数も年々増加傾向にあり、システムのリリース前後を問わず、潜在的な脆弱性をいかに早期に発見し適切に対策を講じるかが、事業継続や信頼性維持の観点からますます重要になっています。 一方で、脆弱性診断については多くの企業が外部ベンダーへ発注するケースが一般的ですが、脆弱性の増加やリリースサイクルの高速化により対応しきれないケースが増えつつあり、内製化への関心も高まっています。 こうした背景を踏まえ、当プロジェクトでは「脆弱性診断内製化ガイド」を作成しました。ガイドの作成にあたり、まず複数のツールを用いた技術検証で脆弱性診断の概要や概念、自動・手動診断の違いを整理し、それぞれの特性や有効性を明らかにしました。そのうえで、文献調査やアンケート、有識者・内製企業へのヒ
パスキーによる認証を開発したとき、パスキーの安全性をどう評価するのが妥当なのか検討していた。もちろんフィッシング耐性が高いというような特性については把握していて、サービス利用者にとって便益の多い認証であることはわかっている。ただそれが、例えばパスワードとTOTPを組み合わせた多要素認証に対して、どちらがより安全と言えるのか。これを一言に表すのはあまり簡単ではない。 パスキーは多要素認証なのか 多要素認証というのは、something you know、something you have、something you are の3種類の要素のうち複数を組み合わせる認証を言う語だ。 多要素認証は単一種類の要素による認証と較べて飛躍的に安全である。例えば、物理的な鍵は something you have であるが、それが盗まれてしまえば安全ではない。鍵が複数あっても、一度に盗まれてしまうかもし
※この記事は以下記事を読んだ前提で書いてます。 ※あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです。 この記事を読んで、QRコードを読み取るだけでお金抜かれるなんてことがあるのか?と思ったら、実際あまりに簡単に抜けるような構成であることがわかったので、検証結果を置いておきます。 WINTICKET連携はQRコード2連続読込方式正規のログイン・連携機能のUIを先に確認します。 PCブラウザでWINTICKETを操作、スマホでPayPayアプリを操作する場合の流れです。 競輪投票のWINTICKETでアカウント作成、ログイン後、 ポイント残高右側の「+」ボタンでチャージ画面に遷移します。 遷移後、入金手段としてPayPayを選択します。 オレンジの+ボタンでポイントをチャージする ※ポイント残高は出金できないが、投票結果の払戻金は出金できる仕様すると
デジタルトラスト製品/サービス一覧: エンタープライズ IT、PKI、ID DigiCert® Trust Lifecycle Manager プライベート/社内PKI ウェブサイト&サーバー DigiCert CertCentral TLS/SSL Manager コード&ソフトウェア DigiCert® Software Trust Manager 文書&署名 DigiCert® Document Trust Manager IoT&コネクテッドデバイス DigiCert® Device Trust Manager Matter による IoT デバイス認証 DigiCert® TrustCore SDK
ある日、Web会議に“勝手に誰か”が入ってきた。しかも、そいつは消しても消えないAIだった——。 今回は、ウェブ会議の議事録ツール「tl;dv」を試してみたら、ホラーな目に遭った話をします。 最初は「おっ、いいじゃん」と思った「議事録ツール」としてWeb上で評判がよさげに見えたtl;dv。実際に試してみたら、最初の印象は悪くなかったんですよね。 文字起こしとは別に、サマリーを自動的に作ってくれる クラウド保存でローカルのストレージを圧迫しない サマリーのテキストにリンクが張っており、該当部分の動画・音声を即再生できる サマリーのURLを共有すれば、出席者全員が議事録を確認可能 文字起こしの精度は「まあまあ」。ちょいちょい間違いはあるけど、編集すれば使えそうだなと。 えっ、ちょっ…勝手に会議に入ってくるんだけど!?ところが、しばらく使っていたら、「これはヤバいぞ…?」と思う事案が発生。 ・M
https://togetter.com/li/2460034 数年前同じような被害にあったので、ここに書いてみる 発覚の経緯当時マンション購入を検討していて、ARUHIのクイック事前審査を申込んだところ即否決される。 クレカも携帯も税金も滞納したことなかったので、気になってCICに照会したところクレジットカード(百人隊長の外資系)で150万、消費者金融(銀行系)で200万申込まれていて事故になっていることが発覚。 更に否決されていたものの別のクレジットカード(百貨店系)も申込まれていた。 免許証は紛失しておらず手元にある。考えられるのは数年前に賃貸契約した際に免許証をコピーした時か、 以前在籍していた会社で付き合いでクレジットカードを申込みしたときのコピーか。 その時の会社の担当者が、クレカ申込後数週間後に謎の退職していて(挨拶もなく社報にものっていなかった。借金?失踪した?)、そいつが
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 イスラエルのネゲヴ・ベン・グリオン大学に所属するMordechai Guriさんが発表した論文「Mind The Gap: Can Air-Gaps Keep Your Private Data Secure?」は、インターネットに接続していない物理的に隔離したコンピュータから機密データを盗む攻撃をまとめた研究報告である。 現代において、個人情報は価値のある資産の一つとなっている。これには個人識別情報、医療記録、法的情報、生体認証データ、私的通信などが含まれる。こうした機密データを保護するため、多くの組織が「エアギャップ」と呼ばれる物理的に隔離されたネ
中国系ハッカー、“FBIのバックドア”から米通信大手をハッキング投稿者: heatwave_p2p 投稿日: 2024/10/82024/10/8 中国政府と繋がりのあるハッカー集団がAT&T、Verizon、Lumenなどの大手通信会社に侵入した。彼らはこれらの企業のネットワークに潜り込み、数ヶ月にわたって米国内の通信を傍受していたのだ。対象は個人から企業、果ては政府関係者にまで及んでいた。驚くべきことに、彼らはコードの脆弱性を突く必要すらなかった。代わりに使ったのは、FBIが全ての通信事業者に設置を義務づけているバックドアだった。 https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc63b?st=C5ywbp&reflink=desktopwebsha
Webサーバーで使うサーバー証明書の発行数が世界最多の認証局Let's Encrypt(レッツエンクリプト)は2024年7月23日、衝撃的な声明を発表した。サーバー証明書の有効性を確認するメジャーなプロトコル「OCSP(Online Certificate Status Protocol)」のサポートを終了する意向を示したのだ。
出版大手KADOKAWAが大規模なサイバー攻撃により、システム障害や個人情報漏えいの被害を受けた問題で、犯行声明を出したロシア系ハッカー犯罪集団が27日までに共同通信の取材に応じ、「交渉は決裂した」と主張した。「KADOKAWAに800万ドル(約11億円)を要求したが、支払いに応じなかった」とコメントした。 KADOKAWAの情報システムに対し、現在も侵入経路を確保しているとほのめかした。「復旧した後も、同じ問題に繰り返し直面するだろう」と再攻撃を予告した。 セキュリティー企業、トレンドマイクロの岡本勝之氏は「虚言かもしれないが、最悪の事態に備えてシステムの再点検が必要だ」と指摘。KADOKAWAは「警察捜査中の事案で、コメントできない」としている。 ブラックスーツは2023年に活動を開始。身代金要求型ウイルス「ランサムウエア」を使ってデータを盗み、システムを暗号化して使用できなくするハッ
2024年6月9日、KADOKAWAやニコニコ動画などを運営するドワンゴは、同グループの複数のWebサイトが6月8日未明より利用できない事象が発生と公表しました。システム障害の原因はランサムウエアによるもので、ニコニコ動画は復旧まで約2か月を要しました。またリークサイトから盗まれたとみられる情報を取得してSNSへ公開するなど悪質な情報拡散が確認されました。ここでは関連する情報をまとめます。 1.KADOKAWAグループのデータセンターでランサムウエア被害 公式及び報道より、データ暗号化の被害にあったのはKADOKAWAグループ企業 KADOKAWA Connectedのデータセンター(DC6)で運用されていたプライベートクラウドやそのクラウド上で稼働していたドワンゴ専用サーバー。またドワンゴの認証基盤であったActive Direcotryサーバーも攻撃者の制御下に置かれた。 侵害活動の拡
無線LAN(Local Area Network)を利用する全てのパソコンやスマートフォン(Wi-Fiクライアント)が影響を受ける新しい脆弱性が報告された。悪用すれば、ユーザーが本来接続しようとしていたネットワークよりも安全性が低いネットワークに誘導できる。Wi-FiクライアントのVPN(Virtual Private Network:仮想閉域網)機能を無効にされる場合もある。一体、どのような脆弱性なのか。 原因はWi-Fiの標準規格 今回の脆弱性は、VPN製品などを評価するサイト「Top10VPN」が2024年5月14日に公表した*1。脆弱性の識別番号は「CVE-2023-52424」だ。 原因は、Wi-Fiの標準規格「IEEE 802.11」に存在する。そのためOS(Operating System)やメーカーによらず全てのWi-Fiクライアントが影響を受ける。 IEEE 802.11
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く