セキュリティ

UEFIセキュリティブートのプラットフォームキーが使い回されていた問題 Windows

UEFIセキュリティブートのプラットフォームキーが使い回されていた問題

複数の大手コンピューターメーカーの製品で、UEFIセキュアブートのプラットフォームキーが漏洩していたことが判明しました。この問題は、テスト用のプラットフォームキーが複数のメーカーで共有され、実際の製品にそのまま使用されていたことが原因です。この脆弱性により、攻撃者はセキュアブートをバイパスし、起動プロセス中に不正なコードを実行できる可能性があります。ただし、この脆弱性を実際に悪用するには高度な技術が必要で、一般ユーザーが日常的な使用で即座に被害を受ける可能性は低いと考えられま...
2024.07.27
Windowsとりあえずのメモセキュリティニュースから考える
WordPressサイトに二要素認証を追加した(Two-FactorプラグインとGoogle Authenticator) とりあえずのメモ

WordPressサイトに二要素認証を追加した(Two-FactorプラグインとGoogle Authenticator)

WordPressの安全性を高めるために、二要素認証を導入しました。Two-Factorプラグインを使用し、Google Authenticatorアプリと連携させて設定しました。ログイン時には、IDとパスワードの入力後に、アプリで生成されたコードも入力する必要があります。(参考)Two-Factor – WordPress プラグイン | WordPress.org 日本語WordPressに二要素認証を導入する最近、WordPressプラグインの改ざん被害に間一髪で逃れま...
2024.07.26
とりあえずのメモアカウントセキュリティホームページ運用
偽メール内の短縮URLで「調査中」の警告が表示された(is.gd) とりあえずのメモ

偽メール内の短縮URLで「調査中」の警告が表示された(is.gd)

「Amazon注文を出荷できません」?Amazonを騙るメールが届きました。「【緊急】Amazon注文を出荷できません」という件名で、「注文の支払い方法に問題が発生している」と書かれていました。「支払方法を更新する」というボタンのリンクを見てみると、「〜」という短縮URLでした。短縮URLの警告が表示されたところが、このリンクを押すと、「WARNING: A user has reported this shortened URL to us as being in viol...
2024.07.24
とりあえずのメモスマホ基礎セキュリティ
「迷惑メールを開いただけ」のリスクを考える(ゼロデイ脆弱性とトラップピクセル) スマホ基礎

「迷惑メールを開いただけ」のリスクを考える(ゼロデイ脆弱性とトラップピクセル)

一般的に、メールを単に開いただけでは「大きなセキュリティリスク」は考えにくいです。ただ、セキュリティやプライバシーの問題が全くないわけではないので、件名で迷惑メールだと気付いたときには開かずに削除した方が無難です。メール見ただけでセキュリティ上リスクを心配する必要はない?ヤフーメール宛に不審なメールが届きました。 タイトルだけで怪しいメールかとは思いましたが、いったん開きました。 本文を読むといかにも迷惑メールと確定したので削除しました。もちろん本文にあるリンクはクリックして...
2024.07.23 2024.07.24
スマホ基礎セキュリティ相談と回答
大量のWindows PCで同時にブルースクリーンエラーになった(CrowdStrikeの更新不具合) Windows

大量のWindows PCで同時にブルースクリーンエラーになった(CrowdStrikeの更新不具合)

CrowdStrike社のセキュリティソフト更新に不具合があり、多くのWindows PCが起動不能になり、広範囲の産業に影響が出ました。セーフモードやMicrosoftが提供する修復用USBツールで、不具合の原因になっているシステムファイルを削除すると起動できるようになります。起動オプションとセーフモード一般的なWindows PCでは、電源を入れて起動画面が表示されたときに F8キーを繰り返し押すと「起動オプション」が表示され、セーフモードを選択できます。(機種によっては...
2024.07.22
Windowsセキュリティニュースから考える操作には要注意
ネット広告と広告ブロッカーの難しさ(権限の強さとビジネスの脆弱性) インターネット小話

ネット広告と広告ブロッカーの難しさ(権限の強さとビジネスの脆弱性)

インターネットを閲覧していると「詐欺まがいの悪質な広告」が増えています。対策の1つとして「広告ブロッカー」がありますが、どの広告ブロッカーを選ぶかは難問です。広告ブロッカーの要求するアプリ権限は大きいため、開発元が不審な動作を加えないかチェックする必要があるからです。広告ブロッカーの技術的なアプローチ広告ブロッカーには、大きく2通りのやり方があります。広告ブロッカーの種類コンテンツフィルタリングブラウザ内で動作するページ内の特定の要素を消すDNSフィルタリングネットワークレベ...
2024.07.20 2024.11.07
インターネット小話スマホ基礎セキュリティニュースから考えるプライバシー
MetaMaskを偽装する詐欺メールが届いた(シークレットリカバリーフレーズ) とりあえずのメモ

MetaMaskを偽装する詐欺メールが届いた(シークレットリカバリーフレーズ)

暗号通貨ウォレットを装った詐欺メールも出回っているようです。ウォレットの停止を装い、個人情報を盗もうとしていました。偽サイトでは、シークレットリカバリーフレーズの入力を求め、外部サーバーに送信する危険な仕組みが仕込まれていました。【偽】「Your MetaMask wallet will be suspended.」「MetaMaskウォレットが停止されます」というメールが届きました。そもそもMetaMaskを使っていないので、もちろんこれは詐欺メールです。件名:Your M...
2024.07.20 2024.07.22
とりあえずのメモインターネット小話スマホ基礎セキュリティ
不審なサイトとLINE Notifyの連携をしてしまったので解除した アカウント

不審なサイトとLINE Notifyの連携をしてしまったので解除した

迷惑メールのリンク先の不審なサイトを開くと、「LINE Notify」との連携を求められました。連携すると、LINE Notifyのトークルームに迷惑メッセージが送られるようになりました。不要な連携を解除するには、LINE Notifyの管理ページから操作します。LINE Notifyは主に開発者向けのサービスで、GitHubやIFTTTなどのウェブサービスと連携して利用されます。「これは不審なサイトです」と表示された「早急に設定をお願いします。」という件名のメールが届きまし...
2024.07.17 2024.07.18
アカウントスマホ基礎セキュリティ
FWとVPNを一体化させる利点・欠点(UTM) いろんな周辺機器

FWとVPNを一体化させる利点・欠点(UTM)

ファイアウォールにVPN機能を組み込むことは、一見便利ですが問題もあります。ファイアウォールとVPNを分けて、それぞれに特化したシステムを使った方が管理しやすいことも多いのです。特に、大規模な組織やクラウドサービスを主に使う場合、UTM(統合脅威管理)は適していません。「Keep It Simple and Stupid」ということかぁ。外部から社内システムにリモートアクセスするより、直接クラウドサービスを利用するようにした方が安全なんだね。FWにVPNを組み込む運用とは?「...
2024.07.09 2024.07.10
いろんな周辺機器とりあえずのメモセキュリティパソコン基礎知識
本当にVPNじゃないと危ないの?(スマホ用の必要性) とりあえずのメモ

本当にVPNじゃないと危ないの?(スマホ用の必要性)

社外から社内システムにリモートアクセスするようなケースで VPNは役立ちます。しかし、個人のスマートフォンなら、使い方によっては必要はないことが多いです。VPNはインターネット通信の途中に入る処理なので、通信がつながりにくくなったり、遅くなることもあります。もちろん、フリーWi-Fiを利用したいとか、外国で通信情報を秘匿したいなどの理由があれば別です。しかし、セキュリティを重視する人は、そもそも公衆Wi-Fiを利用しないように心がけていることが多いので、「セキュリティ対策」と...
2024.07.09 2024.08.28
とりあえずのメモインターネット小話スマホ基礎セキュリティ追記予定の話
VPNがオンだとサインインできない? Windows

VPNがオンだとサインインできない?

結局、VPNは何をしているセキュリティなのでしょうか?仕事用PCで使う場合と、個人用スマホで使う場合には区別して考えましょう。「VPN」はインターネット通信の間に入る仕組みです。また、VPNアプリは、同時にファイアウォールや詐欺サイト検出などのセキュリティ機能もセットになっていることが多いです。自宅のWi-Fi(パスワード保護あり)で Microsoftアカウントにサインインしようとすると失敗しました(常にではない)。仕事用パソコンでVPNアプリ(Cisco AnyConne...
2024.07.08 2024.07.21
Windowsセキュリティ追記予定の話
[WordPress]Ad Invalid Click Protectorのマルウェア感染と修復(バージョン 1.2.9) とりあえずのメモ

[WordPress]Ad Invalid Click Protectorのマルウェア感染と修復(バージョン 1.2.9)

WordPressプラグイン「Ad Invalid Click Protector 1.2.9」で不正アクセスの被害があったそうです。開発者のアカウントがハッキングされ、一時的にではありますが「悪意のあるコード」を埋め込まれたことが原因です。すでに問題は最新バージョンでは修正されています。たまたまプラグイン更新のタイミングで被害を免れましたが、すぐに更新していたり、プラグインレビューチームの迅速な対応がなかったらと思うとゾッとします。「Ad Invalid Click Pro...
2024.07.06 2024.07.26
とりあえずのメモセキュリティホームページ運用
[iPhone]クイックスタートで移行できない設定とは? iPhone

[iPhone]クイックスタートで移行できない設定とは?

iPhoneの「クイックスタート」は、多くのデータを新しい端末に移行できます。しかし、完全ではなく、セキュリティ関連の設定や他社サービスの情報などは自動的に移行されないことがあります。移行後は、Bluetooth機器の接続確認やアプリの再認証など、個別の設定が必要な場合があるのです。クイックスタートのデータ移行は完全ではない移行されるもの移行されないもの● 個人データ: 基本的な個人データやメディアファイル● セキュリティ: 個人認証やペイメント情報● クラウドストレージ: ...
2024.07.04 2024.09.30
iPhoneアカウントセキュリティ
[iPhone] パスワードが流出した恐れがある?チェック機能 iPhone

[iPhone] パスワードが流出した恐れがある?チェック機能

iPhoneの設定には「パスワード」項目があり、保存済みパスワードを管理できます。パスワードのセキュリティチェック機能があり、漏洩の可能性があるパスワードを検出し、自動生成機能で安全なパスワードを作成できます。iCloudキーチェーン機能を使うと、パスワードをクラウド上で安全に管理し、複数のAppleデバイスで共有できます。YouTube動画でも話しています。(参考)iPhone で保存済みのパスワードやパスキーを調べる - Apple サポート (日本)iPhoneのパスワ...
2024.07.03 2024.07.18
iPhoneアカウントインターネット小話セキュリティ動画解説あり
ハッシュ化とは?(かんたんな実装から) とりあえずのメモ

ハッシュ化とは?(かんたんな実装から)

「ハッシュ化」とは、単語や文章などを数値に変換する方法です。ハッシュ値を索引にデータを保存すると、長い情報も短い数字で表せるのでたくさんの情報を小さなスペースで管理できます。また、元の文字列には戻せない一方通行の変換ですが、同じ文字列からは同じハッシュ値になるので「照合」に使えます。ハッシュ関数とハッシュ化、ハッシュ値「ハッシュ化」とは、'apple'や'password123'といった文字列を、「10」や「63」のような数値に変換する方法です。長い文字列を短い数字で表現でき...
2024.07.03 2024.07.18
とりあえずのメモインターネット小話セキュリティプログラミング
Xのセッションの「web」とは? iPhone

Xのセッションの「web」とは?

iOSアプリしか使っていないのに「web」セッションがある?Xの設定を見ると、「アプリとセッション」内の「セッション」に「web」と表示されていました。iPhoneの公式アプリだけを利用しているのに、「web」があるのは乗っ取られているのでしょうか。確認してみると、新規ログインの通知や身に覚えのない連携アプリなどはなく、アカウントアクセス履歴にあるのも iPhoneのみです。たまにアカウントのアクセス履歴を確認する程度でパスワード入力していますが、これが関係しているのでしょう...
2024.06.26
SNSiPhoneインターネット小話セキュリティ相談と回答
間違って「アプリで共有」をタップしたけど大丈夫?(インテントとアプリ連携) SNS

間違って「アプリで共有」をタップしたけど大丈夫?(インテントとアプリ連携)

「アプリで共有」機能は、閲覧している情報をほかのアプリに引き継ぐための機能です。うっかり誤って触れると、個人情報やプライバシーに関わる情報を送ってしまう可能性もあります。しかし、すぐに閉じてキャンセルすれば問題ありません。スマートフォンには、かんたんに情報共有する機能があります。特にプライベートな情報を扱う時には慎重に操作し、送信履歴を確認するなどの注意が必要です。YouTube動画でも話しています。うっかり「アプリで共有」を触ってしまった?先日、スマートフォンを使っていて「...
2024.06.23 2024.06.28
SNSスマホ基礎セキュリティプライバシー
「二段階認証」と「二要素認証」の微妙な違いについて インターネット小話

「二段階認証」と「二要素認証」の微妙な違いについて

「二段階認証」と「二要素認証」は、本来の意味が少し違います。しかし、私たちが使う時はほとんど同じと考えても構いません。というのも、私たちが普段「二段階認証」と呼んでいるものは、多くの場合、正確には「二要素認証」のことを指しているからです。
2024.06.17 2024.07.04
インターネット小話セキュリティ
仕事の迷惑メール対策をした(二要素認証とスパムフィルター) とりあえずのメモ

仕事の迷惑メール対策をした(二要素認証とスパムフィルター)

迷惑メールが増加し、不正アクセスのリスクが高まっています。2要素認証の設定とアカウント登録用メールアドレスの分離が、パスワード漏洩の被害を防ぐ有効な対策です。迷惑メールフィルターの強化とメールクライアントの設定変更、セキュリティソフトの導入、利用者教育が、迷惑メール対策に役立ちます。迷惑メールの増加とリスク対策いったん不正アクセスの侵入を許してしまうと大きな被害になります。金銭的な被害だけでなく、重要なデータにアクセスできなくなると多くの人に迷惑をかけてしまいます。フィッシン...
2024.06.16 2024.07.26
とりあえずのメモスマホ基礎セキュリティパソコン基礎知識
ベイジアンフィルタとは?(ベイズの定理とスパム判定) とりあえずのメモ

ベイジアンフィルタとは?(ベイズの定理とスパム判定)

「ベイジアンフィルタ」は、条件付き確率の考え方(ベイズの定理)をもとに迷惑メールである確率を計算する、古典的な手法です。過去のスパムメールと非スパムメールから単語の出現頻度の違いを学習して、新しく受信メール内の単語の組み合わせからスパム確率を計算するのが特徴です。ただし、判断材料が単語の出現頻度に依存しているため、正しいメールに似せた文章だとスパムと見分けられないことがあります。たとえば、「高額なプレゼントに当選しました!」などのような、独特のスパムメールには有効です。ベイジ...
2024.06.16 2024.06.18
とりあえずのメモセキュリティ
次のページ