【累計4000部突破(商業版含む)🎉】 SAMLaiの道は果てしなく険しい。 本書では、SAML2.0で一般的に多く使用されるフローであるWeb Browser SSOのSP-initiatedとIdP-initiatedと呼ばれるものを中心に、SP側の目線でなるべく簡潔に解説します。 SAML認証に対応してほしいと言われても、もう頭を抱える必要はありません。 筆者自身も何もわからない状態からもがき苦しみながらSAML SPを実装し、数年間サービスを運用してきました。 そのつらい経験を踏まえて、SPを実装する上で今まで触れられることのなかった ・どういう設計が必要か? ・何を気をつけなければならないか? のエッセンスを詰め込みました。 SAMLはエンタープライズ用途では求められることが非常に多く、歴史もそれなりに長いものですが、実装する上で必要な体系的な情報はなぜかほとんどありません。
当社開発のウェブブラウザ「Smooz」におけるユーザーデータの取り扱いについて、ご利用者の皆様、関係者の皆様に、多大なるご迷惑とご心配をお掛けしておりますことを深くお詫び申し上げます。当社では2020年12月23日に「Smoozのサービス終了」についてブログにてご案内させていただきました。その後Smoozにおけるユーザーデータの取り扱いに関して、外部専門家とともに調査を実施しましたので、その結果についてご報告申し上げます。 記 Smoozで取得していたユーザーデータについてユーザーデータの取扱いにおける問題点(1) ユーザーデータの容易照合性(2) 本文における個人情報の混入可能性(3) 第三者への行動履歴情報の提供(4) 適切な情報開示の不足本件の対応と再発防止策(1) サービスの終了とデータの削除(2) 外部専門家による監査 1.Smoozで取得していたユーザーデータについて Smoo
添付ファイル分離配送機能のセキュリティを強化 パスワード通知メールの別経路での配送を開始 パスワード付きZip送付「PPAP」方式のセキュリティリスクを低減 法人向けソフトウェアの開発、販売を行うサイバーソリューションズ株式会社(所在地:東京都港区、代表取締役社長:秋田健太郎、以下当社)は、Microsoft 365・ Google Workspace のメールセキュリティ強化サービス『Cloud Mail SECURITYSUITE』など、提供するクラウドメールサービスやクラウドメールセキュリティサービスに実装している添付ファイル分離配送機能における、パスワード通知メールの別経路での配送を2月1日(月)より開始することをお知らせいたします。 ■PPAPの代替方法の採用が急務 2020年11月に平井卓也デジタル改革担当大臣が、パスワード付きzipファイルを送り、その後、パスワードを同一経路
アスツール社からSmoozのサービス終了が発表されました。 Smoozのサービス終了のお知らせ | Smooz Blog さて、問題を拡大解釈する人がとても多いので、改めて書いておきますが、私が指摘したのは主に以下の点です。 ・プライバシーポリシーが非常に大雑把で、アプリを使う上でのユーザーの情報は企業側が柔軟に使えてしまうようなものだったこと ・何に利用するために、どのような情報を送信しているかが明確ではないこと ・サービス利用データの提供をオフにしても、ユーザーIDと紐付けた情報の外部送信が止まらないこと ・どのようなユーザー情報が記録保存されているか明確になっていないこと ちゃんと説明をして、送られる情報の範囲を線引きし、ユーザーに対して提示することが必要だと言っているんです。 情報を提供することに対して見合った対価が得られるのであればユーザーは使うだろうということも書いてきたように
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
いつも、ヌーラボサービス(Backlog, Cacoo, Typetalk)をご利用いただきありがとうございます。 この度、ヌーラボアカウントにおいて、第三者によって不正にログインが試みられるという事象を検知しました。 本事象は、攻撃者がなんらかの方法でアカウント情報(メールアドレスとパスワードの組み合わせ)を入手し、それを用いてヌーラボアカウントへのログインを試みたパスワードリスト攻撃と推定しています。 なお、ヌーラボからパスワードを含む顧客情報が流出した事実はありません。 本記事では、お客様への注意喚起を目的として、被害状況についての公表及び、被害に遭わないための対応方法についてご案内します。 1. 被害状況について 攻撃を検知した期間 2020年12月5日から8日にかけて 不正アクセスを受けたお客様の数 攻撃者がログインを試みた回数: 約 100,000 回 ログインを試みられたメー
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。 プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。 プライバシーマーク付与事業者におかれましては、個人情報を含むファイルをメールで送受信する場合、送信先や取り扱う情報等を踏まえ、リスク分析を行ったうえで、必要かつ適切な安全管理措置を講じていただきますようお願いいたします。 この件に関するお問合せ先 プライバシーマーク推進センター 電話:03-5860-7563 公開日 2020年11月18日
IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現 2020 年 11 月 3 日 (火) 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室 登 大遊 独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室は、このたび、できるだけ多くの日本全国の地方自治体 (市町村・県等) の方々が、LGWAN を通じて、迅速に画面転送型テレワークを利用できるようにすることを目的に、J-LIS (地方公共団体情報システム機構) と共同で、新たに「自治体テレワークシステム for LGWAN」を開発・構築いたしました。 本システムは、すでに 8 万ユーザー以上の実績と極めて高い安定性 を有する NTT 東日本 - IPA 「シン・テレワークシステム」をもとに、LGWAN
昨今、一部オンラインショップ等のサーバーに対する外部からの不正アクセスにより、クレジットカード情報やログインID・パスワードを含む個人情報が漏洩する事案が発生しております。 複数のサイトで同一のID・パスワードを使用されている場合、悪意のある第三者が外部のインターネットサービス等から不正に取得したID・パスワードを使用し、お客さまになりすまし、弊社サービスに不正ログインを行うことで、思わぬ被害に遭ってしまう危険性があります。 このような被害を減らすため、より安全なパスワード管理についてご案内させていただきます。弊社サービスのパスワードと他のインターネットサービス等のログイン用パスワードを兼用されている場合は、弊社サービスのログイン用パスワードを変更されることをお勧めいたします。 パスワードの変更はこちらを参考に行なってください。 なお弊社では、より安心してサービスをご利用いただく試みとして
2020年10月13日までに、Windows 7、Windows Server 2008、Windows Server 2008R2、Office 2010、Office 2016 for Mac の サポートが終了しました。 サポート終了後はセキュリティ更新プログラムの提供が無くなり、セキュリティリスクが高まります。 同ソフトウェア製品の利用者においては、サポートが継続している後継製品、または代替製品への移行検討が望まれます。 またOSだけでなくアプリケーションもサポートが順次終了していくため、あわせて対策が必要です。 概要 2020年に複数のMicrosoft社ソフトウェア製品のサポートが終了します。 一般的にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行われません。 よって、脆弱性を悪用した攻撃による情報漏洩や意図しないサービス停止などの被害を受ける可能性が高く
しかも、取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反だよ。何回言ったらわかるの? たかがドメイン名(笑)とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る(「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報)くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ
私(安岡孝一)の昨日の日記は、Orarioに対する営業妨害だ、との御意見をいただいた。まあ、そうだろう。来月30日以降Orarioが、学生の所属大学、所属学部・学科、性別、卒業年度、登録時間割の匿名加工情報を、第三者に販売営業するつもりなら、私の昨日の日記はOrarioに対する営業妨害だ。Orarioのプライバシーポリシーにおいて、「(4)統計データの作成および当該データの第三者への提供」の具体的利用態様がどうなっているか見てみよう。 当社は、左に記載の情報を以下の目的のために利用します。 ・左記情報を利用者が識別できないように加工した上で、利用者の利用形態等の統計データを作成するため。 当社から右記情報に関する統計データの提供を受けた第三者は、当該情報を以下の目的のために利用します。 ・当社または第三者の商品またはサービスの広告の開発または提供のため ・マーケティング調査、統計、分析のた
Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。 大学が提供する情報が散在していることによる情報の取りこぼしや、スマホ最適化が行われていないことによる不便さを解消すべく、誰もが使いやすいシームレスな大学情報と連動した仕組みを作ろうと弊社メンバーが大学在学中に開発したアプリが「Orario」です。 ふざけるな。京都大学には全学生共通ポータルがあるだろう。あれを見て「情報の取りこぼしや、スマホ最適化が行われていない」などと主張するのは、いったい全体どういう料簡なんだ? それともOrarioは、京都大学のKUMOIやMyKULINEもサポートできるのか? Orarioアプリでは「
どうも、情弱です。 いやー、やられました。 先程見事にLINEを乗っ取られてしまいました。 今まではLINEで「今ひま?ちょっと手伝ってもらっていい?」というプリカをねだるメッセージが来る度に「情www弱www乙www」と笑っていたのですが、今日からぼくもそちら側です、よろしくお願いいたします。 今回の件で、やはり一番怖いのは機械的なハッキングでなくて心の隙を突かれるソーシャル・エンジニアリングだなと実感しました。 騙されちゃったらもう説得力ありませんが、僕は昔からネットのエロサイトで鍛えた眼力があって、そうそうネットのフィッシングなどには引っかかったことが無いのですが、それでもちょっと気が緩めばネットでは死んでしまうというよい事例です。 めっちょ恥ずかしいですが、自分の恥が誰かを助けるかもということでここは一発状況を共有しておきましょう。 LINE詐欺はLINE以外のメッセージで来た 僕
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
[これは Mozilla のセキュリティエンジニア Tanvi Vyas 氏のブログ記事 No More Passwords over HTTP, Please! を同氏の許可を得て翻訳したものです] Firefox 46 Developer Edition は、HTTP ページ上でログイン情報の入力を求められた場合、開発者に警告を行います。 ユーザ名とパスワードの組み合わせは、ユーザの個人データへのアクセスを管理する手段です。Web サイトはこうした情報を注意深く扱い、パスワードは HTTPS のような安全な (認証、暗号化された) 接続を通じてのみ要求すべきです。しかし残念なことに、HTTP のような安全でない接続でユーザのパスワードが扱われている例が 非常に多く 見られます。このプライバシーとセキュリティの脆弱性を開発者の皆さんに知らせるため、最新の Firefox Develope
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
この記事は脆弱性"&'<<>\ Advent Calendar 2014の17日目の記事です。今日は少し昔話をしようと思います。がはは。 かつて、日本製TwitterのようなWassrというサービスがありました。当時、Twitterは数日に一度くらいはサービスが落ちていて、Twitterユーザーも「またか」と思いながら我慢して使うようなサービスであり、Twitterが落ちるたびにWassrはユーザーを増やすとともに、画像の添付のように当時Twitterにはまだなかった機能をどんどんアグレッシブに取り入れていく、使っていて楽しいサービスでした。 さて、そんなWassrがある日絵文字機能を導入しました。当時はUnicode絵文字もなくスマートフォンも普及しておらず、主にレガシーな携帯電話で使える絵文字をなんとかWeb上でも使えるようにしたという感じのものでした。 絵文字をパレットから選択すると
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く