Security

「Paper Enigma Machine」

・たった1枚の紙でナチス・ドイツの傑作暗号機エニグマを再現できる「Paper Enigma Machine」を使ってみた - GIGAZINE

Clamtk の導入

Clamtk の不具合修正Clamtk の不具合を修正します。もしかしたら Clamtk をアップデートするたびに修正する必要があるかもしれません。 「脅威の検出」はできるが「駆除」ができない問題を修正テキストエディタで clamtk ファイルを編集します。$ sudo nano …

スマホのSIMにPINを設定するのは要注意

関連 ・PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) - ITmedia NEWS

1.1.1.1 for Families

・1.1.1.1 for Familiesのご紹介IPv4の場合: マルウェアブロックのみ プライマリDNS: 1.1.1.2 セカンダリDNS: 1.0.0.2ル−タ−の設定を替えた。 関連: ・DNS で簡易ペアレンタルコントロール | yabe.jp

Zoom使用を禁止したほうが

オンラインビデオ会議サービスのZoomが、Windowsクライアントのアンインストール時にブラウザのCookieを読み書きしていると、サイバーセキュリティ企業のThreatSpikeが報告しました。書き込んだCookieの有効期間は10年に設定されており、EUにおいてインター…

SSHの公開鍵暗号には「RSA」「EdDSA」

Mody氏は最終的に、実装や互換性を重視する場合は公開鍵の鍵長が2048bitもしくは4096bitのRSAを、パフォーマンスやセキュリティを重視する場合はEdDSAを推奨。 DSAやECDSAは使わないように呼びかけています。 ソ−ス:SSHの公開鍵暗号には「RSA」「DSA」「ECD…

9月1日から、最大13か月間(398日間)を超えるSSL/TLS証明書は信頼性を失う

2020年9月1日以降、SSL/TLS証明書の購入を考えているのであれば注意が必要だ。SSL/TLS証明書は有効期間が長いほうがディスカウント率が高い。管理の手間を考えても、できるだけ長い有効期間のSSL/TLS証明書を購入するのはロジカルな選択肢だ。しかし、2020年…

「利用者はカードの明細を毎月確かめてほしい」

アカマイ・テクノロジーズの中西一博さんは「プロでも見抜くのが難しいほど攻撃が高度化している。新型コロナウイルスの影響で通販サイトを利用する人が多いと思うが、事業者は対策をするとともに利用者はカードの明細を毎月確かめてほしい」と話しています…

Intel CPUの脆弱性「LVI (Load Value Injection)」

・ソフトウェアによる修正が困難なIntel CPUの脆弱性「LVI」 - PC Watchもう Intel CPU は止めよう。関連: ・Intel SGX入門 - SGX基礎知識編 - Qiita ・Intel SGXのデメリットとは | どすらぼ ・Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すこと…

X.509 証明書

・図解 X.509 証明書 - Qiita

Flash Playerを2020年12月31日に終了

・AdobeがFlash Playerの配布と更新を2020年12月31日に終了、期限後はFlashコンテンツ実行をブロック - GIGAZINE

冷却ファンの振動を介してデータを盗み出される可能性がある

グリ氏は「最大消費電力モードでCPUを常にフル稼働させるか、CPUとGPUの冷却ファンの回転速度を一定に固定するか、CPUの周波数を固定するかすれば、AiR-ViBeRに対策することは可能」と論じています。 ソ−ス:「冷却ファンの振動」からPCの機密データを盗み出…

オンライン会議システムの「Zoom」

・利用者が爆増「Zoom」を使うと何が危ないのか | インターネット | 東洋経済オンライン | 経済ニュースの新基準FBIはZoomのハッキング対策として、 1. 会議や教室を「公開」しない。Zoomでの会議を「非公開」にするには、会議参加者にパスワードを発行する、…

私物PCを使った在宅勤務

課題は全従業員のITリテラシー問題私物PCの利用で懸念されるセキュリティリスク ――新型コロナウイルス感染症の拡大防止策としてテレワーク/在宅勤務による働き方が注目されています。在宅で仕事をする上でBYOD(私物端末の業務利用)など、私物PCで仕事をす…

「パスワードは複雑さより長さが大切」

・「パスワードは複雑さより長さが大切」 FBIが指南 - ITmedia NEWS

JPRSが「WebTrust」を取得

株式会社日本レジストリサービス(JPRS)は、サーバー証明書の認証局を保証する監査プログラム「WebTrust」を1月21日に取得したと発表した。WebTrustは、米国公認会計士協会とカナダ勅許会計士協会が共同で開発。現在は、カナダ公認会計士協会が管理している…

Wi-Fi端末に通信を傍受される脆弱性「Kr00k」が存在する

・iPhoneやGalaxyなど10億を超えるWi-Fi端末に通信を傍受される脆弱性「Kr00k」が存在すると判明 - GIGAZINE

「Wi-Fiルーターをより安全に使うための方法」とは

今使っているWSR-1166DHP3-BK : Wi-Fiルーター : AirStation | バッファローが販売終了となっている。 バッファロー 品質・技術部長 小幡真也氏「『サポート』という区切り方をしてしまうと、窓口対応やハードウェアの耐用年数などもありますので、そういう…

DoH(DNS over HTTPS)を使用すべきか?

筆者は、日本国内に限れば、現状で一番安全なのはISPが提供するフルサービスリゾルバーを利用することであろうと考える。なぜなら、ユーザー宅内にあるホームルーターからISPのフルサービスリゾルバーまでの通信経路は実質的にISPが提供するネットワークの内…

「iPhoneがSafariのセーフブラウジング機能を通じてデータを中国に送信している」と指摘

AppleがGoogleだけでなくTencentにもデータを送信していることについても、前述の中国企業に対するiCloudのデータ移管が中国の法律にのっとった結果だという点に触れて、グリーン氏は「Appleにはそうするより他に選択肢がなかったようです」と一定の理解を示…

Firefoxなどのブラウザで閲覧した場合、PDFの暗号化を突破されてしまう

以下の表のうち、「Attack A」がDirect Exfiltration、BがCBC Gadgetsを指しています。また、「〇」の記号は被害が発生しないこと、「●」の記号はユーザーが何もしなくても被害が発生すること、半円のみ黒い記号はユーザーの操作を起点に被害が発生すること…

通信事業者を騙るスミッシング詐欺

ソ-ス:・注意情報|一般財団法人日本サイバー犯罪対策センター 関連: ・SMSで送信元を偽装したメッセージを送る · Akaki I/O

「サービスに関するお知らせ」のこの項は

・インターネット版官報 「サービスに関するお知らせ」 いらないのでは?

政府認証基盤(GPKI)のサービス停止について

・政府認証基盤(GPKI)のサービス停止について 「2019年8月24日(土)8:00~8月25日(日)21:00の間、保守のために統合リポジトリ及び政府共用証明書検証サーバへのアクセスを停止します。」関連: ・政府認証基盤(GPKI)について ・次期LGPKIへの移行について

MozillaとGoogleがカザフスタン政府によるルート証明書をブロックすることを表明

具体的には以下のハッシュを持つルート証明書がブロックされます。 Googleは、Chromiumプロジェクトの一環でGoogleが独自に作成した失効証明書リスト「CRL Sets」にカザフスタン政府のルート証明書を追加したとのこと。 また、Firefoxは該当するルート証明書…

Chrome でEV証明書の組織名表示がなくなる

Google Chrome EV表示の終焉 - ぼちぼち日記

間違いだらけのセキュリティー用語

・暗号化とハッシュ化の違いは? 間違うと赤面のセキュリティー用語 - 間違いだらけのセキュリティー用語:日経 xTECH Active・無償は信用できない? サーバー証明書を巡る誤解 - 間違いだらけのセキュリティー用語:日経 xTECH Active

「JWordプラグイン」

・【悲報】JWORD Plugin、E START アプリに名前を変えて存続することが判明 - Windows 2000 Blog

インターネットに接続された「IoT機器」の中からセキュリティー対策が不十分な機器

問題が見つかった利用者には、週明けから契約するインターネットの接続事業者を通して連絡をとり、サイバー攻撃に悪用されるおそれがあることを知らせて注意を呼びかけます。 ソ-ス:悪質なソフトウエアに感染の機器を特定 注意喚起へ 総務省 | NHKニュース…

アプリケーション認証局2の運営に関する情報

アプリケーション認証局2は、2019年6月28日までに認証業務を終了し、認証局を廃止します。 認証業務終了後、アプリケーション認証局2のアーカイブデータ等は、政府共用認証局において保管します。 アーカイブデータ等の開示は、行政文書の開示手続きによる…