【SSS】YubiKeyとは?使い方と対応サービスもよろしく!実はスマホに「アカウント情報」と「2段階認証アプリ」が揃っており、紛失時にスマホだけで侵入されるケースがある。 そこで、スマホを落としたとしてもYubiKey(ユビキー)という「業界No.1セキュリティキー」で解錠する設 […]
楽天の管理システムに日経記者が侵入、内部調査で発覚(NEWS ポストセブン) - Yahoo!ニュース
外出自粛ムードのなか、需要が増えているネット通販だが、国内大手「楽天」の通販サイト「楽天市場」は、送料無料化問題(※注)で揺れている。 【写真】楽天への緊急停止命令の申し立てを取り下げ、会見する公正取引委員会 反発した約200の出店者が「楽天ユニオン」を設立し、公正取引委員会が楽天の調査を続けるなど、動向が注目されている。そんな中、楽天内では、ある疑惑が浮上していた。楽天の関係者が語る。 「楽天には出店店舗などがIDとパスワードを使ってアクセスできる管理システムがあり、その店舗で購入したユーザーの個人情報を参照することが可能です。その管理システムに、不自然なログインの形跡がでてきたため内々に検証を進めると、不特定のIPアドレス(回線利用者の識別ができる番号)からのアクセスが確認されたのです」
USBポートに挿し込み数秒でPCに遠隔操作可能なバックドアを仕掛けてDNSまで書き換えてしまうハッキングデバイス「USBdriveby」
iPhoneやiPadをPCと初めて有線接続した際には「このコンピュータを信頼しますか」という警告が表示されますが、マウスやキーボードといったUSBデバイスをPCに接続する際は特に何らかの警告などが表示されることはなく、ユーザー自身も何の疑いもなくPCと接続してしまうものです。そんなUSBデバイスでもその気になれば恐ろしいツールに変貌してしまうのだということを示すべく、ハッカーのSamy Kamkarさんが開発したのが「USBdriveby」です。これはPCに挿し込むだけで、数秒でPC内にバックドアを密かに作成してしまい、さらにはDNSを書き換えてしまうというハッキング用デバイスです。 USBdriveby - exploiting USB in style http://samy.pl/usbdriveby/ これが「USBdriveby」。見た目は首からぶら下げるアクセサリ風ですが、P
三菱UFJ銀行が不正アクセスを受けた通信暗号化装置について調べてみた - piyolog
三菱UFJ銀行は法人顧客向けに提供するローカルキャッシュマネジメントサービスの認証システムで利用する通信暗号化装置が不正アクセスを受け、海外拠点の顧客の口座情報等が外部に流出したと発表しました。ここでは関連する情報と発表で言及があった「通信暗号化装置」についてpiyokangoが調べた情報をまとめます。 不正アクセス原因は通信暗号化装置の脆弱性 [PDF] ローカルキャッシュマネジメントサービスの通信暗号化装置への不正アクセスによる台湾拠点の一部お客さま情報および第三者情報の漏えいについて 通信暗号化装置の具体的な製品名は記載無し。 インターネット経由でLCMSに接続する際にユーザー認証し、通信を暗号化するための装置といった説明。 外部からの不正アクセスはこの装置に対して行われた。原因は脆弱性が存在したため。 通信暗号化装置の脆弱性はバージョンアップにて対応された。 タイムラインの整理 関
セブンペイ、踏み切らない利用停止 社長「利便性ある」:朝日新聞デジタル
セブン―イレブンが満を持して1日に始めたスマホ決済「セブンペイ」。多額の不正利用の被害が判明し、開始わずか4日目で新規登録の停止に追い込まれた。なぜ不正アクセスを許したのか。システムに問題はないのか。セブン側は原因を「調査中」として明らかにせず、利用者は不安を抱えたままだ。拡大しつつあったスマホ決済は、コンビニ最大手が起こした不正アクセス問題で冷や水を浴びせられた。 4日午後、東京都内で記者会見したセブン&アイ・ホールディングス(HD)の清水健デジタル戦略部シニアオフィサーは、「サービス開始前にセキュリティー審査をきちんとやっている。脆弱(ぜいじゃく)性は指摘されておらず、確認したうえでスタートした」と、何度も強調した。 ではなぜ、不正アクセスの被害が出たのか。システムの安全対策に不備があったかどうかについて、清水氏は「システムに不備があったのか、違うところなのかも調査している」。中国など
パスワードの再設定にサヨナラ。 便利ノート、キャンドゥで見つけた! - Peachy - ライブドアニュース
あれ? あのサイトで登録したパスワードなんだっけ? 過去に会員になったウェブサイトなどに久しぶりにログインしようとしたとき、IDやパスワードが思い出せないなんてことはないでしょうか。 そんなことがしばしばある東京バーゲンマニア記者は、SNSで「パスワード管理帳」なるアイテムを発見! どんなものかチェックすべく、購入してみました。 「いままで手帳とかに書いてたけど...」 「パスワード管理帳」(108円)はで、2018年11月から販売されています。 全30ページ、計60件のID・パスワードを記入できます。 サイズは横約9センチ×縦約14センチ。スマートフォン「iPhone 7 Plus」(5.5インチディスプレイ)とほぼ同じ大きさです。 もともとは、100円ショップの一般ユーザーが新商品のアイデアを投稿するウェブサイト「みんなの100円ショップ(みん100)」で商品化を望む声が多かったことで
IC旅券の公開鍵が公開されてない件について | forest of KIRIGAKURE
なにやら「公開鍵を公開しない病」なんてのが流行っているらしいですね。 パスポートのセキュリティ – AAA Blog https://www.osstech.co.jp/~hamano/posts/epassport-security/ 筆者はNFCを使用してIC旅券の真正性を確認できるAndroidアプリを開発したそうです。 その紹介の中でIC旅券のセキュリティについて、特に公開鍵について段落を分けるほどに熱心に語っています。 公開鍵を公開しない病い (中略) 不開示とした理由 旅券冊子の情報暗号化に関する情報であり,公にすることにより,旅券偽造のリスクが上がる等,犯罪の予防及び公共の安全と秩序の維持に支障を及ぼすおそれ並びに日本国旅券の安全性が損なわれ,法人の円滑な海外渡航に支障を来すことにつながる可能性がある等,旅券事務の適正な遂行に支障を及ぼすおそれがある。 また、当該情報は,国際
「ツタヤで借りたAV」は警察にモロバレ CCC、Tカード情報を警察に横流し
捜査対象者のプライバシー丸裸も「違法ではない」 今年に入り、検察当局が裁判所の許可を得ずに顧客情報を入手できる企業など計約290団体をリストアップしていたことが報道により明らかにされ、話題となった。 その団体には「主要な航空、鉄道、バスなど交通各社やクレジットカード会社、消費者金融、コンビニ、スーパー、家電量販店など」(1月4日東京新聞朝刊)が含まれるとされ、各社の情報をつなぎ合わせれば、裁判所の令状がなくても、捜査対象者のプライバシーを丸裸にできるという。 聞くだけで怖くなるが、この行為がなぜ許されるのか。城南中央法律事務所の野澤隆弁護士は「『捜査関係事項照会』に基づく捜査手続きで、厳密にいえば違法ではない」と指摘する。 「たしかに、憲法で定める令状主義に違反している可能性はあります。とはいえ、刑事訴訟法等では、捜査当局が官公庁や企業などに対し捜査上必要な事項の報告を求めることができると
8千回ボタン連打、システムに欠陥 仮想通貨の詐取事件:朝日新聞デジタル
仮想通貨「モナコイン」を顧客から預かるサービス「Monappy(モナッピー)」(営業停止中)に昨年、サイバー攻撃を仕掛け、運営会社からモナコイン約1500万円相当(当時のレート)を詐取したなどとして、警視庁は14日、宇都宮市の少年(18)を電子計算機使用詐欺と組織的犯罪処罰法違反(犯罪収益の隠匿)の疑いで書類送検し、発表した。容疑を認めているという。 仮想通貨をめぐっては、昨年1月に「コインチェック」で約580億円相当、同9月に「ザイフ」で約70億円相当(ともに当時)など、取扱業者からの不正流出が相次ぐ。同庁によると、仮想通貨流出事件の摘発は全国で初めて。 サイバー犯罪対策課によると、少年は昨年8~9月、モナッピーの送金システムの欠陥を悪用して誤作動させ、運営会社が管理していたモナコイン約9万7千モナ(約1500万円相当)を外部の口座に送金させて詐取。大半を海外の仮想通貨交換所の匿名アカウ
高木浩光@自宅の日記 - ワンタイムパスワードは何のためにあるのか
■ ワンタイムパスワードは何のためにあるのか 先月、ジャパンネット銀行から「SecurID」が送られてきた。RSAセキュリティのワンタイムパスワード生成器(以下「トークン」)だ。ジャパンネット銀行は全口座の利用者に対してこれを配布している。 届いた郵便物には図1の案内状が入っていた。 ここに書かれていることは事実でないので、信じてはいけない。 2. トークンはスパイウェアに監視されないので安全です。 トークンはパソコン、携帯電話などと一切の通信を行いません。万が一パソコンや携帯電話がスパイウェア(不正プログラム)に感染しても、トークンに表示されたワンタイムパスワードが監視されることがなく安心です。 これを読んだユーザは、「今後はダウンロードした .exe ファイルを安心して実行できる」と思ってしまうかもしれないが、トロイの木馬(不正プログラム)を実行してしまっては、たとえこのワンタイムパス
TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows Vista/XP, Mac OS X and Linux
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues This page exists only to help migrate existing data encrypted by TrueCrypt. The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on o
おさかなラボ - [CSRF]高木氏のエントリへの返答
CSRF対策に「ワンタイムトークン」方式を推奨しない理由 @ 高木浩光@自宅の日記 ものすごく遅くなってしまったが、高木氏の反論を読ませて頂いた。 ワンタイムトークン方式の欠陥 (拙作の)「ワンタイムトークン方式」では複数の画面遷移を実装できない、という点についてはまさにその通りで反論の余地はない。僕が提唱した方法では、同一セッションで2つ以上の画面遷移を平行して行った場合、先にワンタイムトークンを発行した方の処 理がエラーを起こしてしまう。 「ワンタイムトークンを変数で切り分ける」方式(僕が提唱したものではないが)についても、高木氏の言う通りで現実的ではないと思う。全く同じ画面の平行編集についても、同じ人へ複数のメッセージ(メール)を送る場合など必要と思われる場面はいくつか想定できる。 で、hiddenにSessionIDを入れるのは問題ないの? 高木氏やおおいわ氏の主張は
えび日記: CSRFの説明に追記 - こめんと (2006-03-30)
■ [Security] えび日記: CSRFの説明に追記 (4/2、この項に別記事で追記。) ええと、この議論はずっと続いていますね。こういう時間かかる話はできれば年度明けてからやろうよ(笑)。 ※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。 (「えび日記」より引用) この脆弱性の存在を根拠に「いわゆる高木方式は良くない、安全な他の方式にすべきである」という議論がよくあります。 いつも反論してるのですが、割と議論が噛み合わないのは、ひょっとしたら僕が「いや、高木方式で安全なんだ」と 主張しているように思われているのかなぁ、とふと感じました。 実はそうじゃないんですよね。僕の主張は、「い
KENJI
更新履歴 DNS拡張EDNS0の解析 Linuxカーネルをハッキングしてみよう Windowsシステムプログラミング Part 3 64ビット環境でのリバースエンジニアリング Windowsシステムプログラミング Part2 Windowsシステムプログラミング Part1 Contents インフォメーション 「TCP/IPの教科書」サポートページ 「アセンブリ言語の教科書」サポートページ 「ハッカー・プログラミング大全 攻撃編」サポートページ ブログ(はてな) BBS メール このサイトについて テキスト 暗号 詳解 RSA暗号化アルゴリズム 詳解 DES暗号化アルゴリズム crypt() アルゴリズム解析 MD5 メッセージダイジェストアルゴリズム crypt() アルゴリズム解析 (MD5バージョン) TCP/IP IP TCP UDP Header Format(IPv4) Ch
高木浩光@自宅の日記 - WinnyのDownフォルダをインターネットゾーンにする
■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。
セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
エンタープライズ:パスワード設定のホントとウソ(後編) (2/2)
パスワード設定のホントとウソ(後編) (2/2) <管理者編> ユーザーは、それぞれの組織で決められたポリシーにしたがってパスワードの運用を行う。しかし、ポリシーに従った運用を行おうにも、システムそのものがポリシーを満たさない仕組みになっていると、ポリシーを設定する意味が薄れてくる。管理者は、自分で管理しているシステムがポリシーを満たすものかどうかをチェックし、適切なシステム構築・設定を行わなければいけない。 パスワード強度を活かせるシステムにし、正しい指導を行う パスワードの強さは、どんなパスワードを付けるかだけでなく、システムがそのパスワードをどのように扱っているかにも依存している。管理者としては、ユーザーが考えた強いパスワードが活かされるようにシステムの設定を行う必要がある。 UNIXで古くから使われているDESという暗号アルゴリズムを用いたパスワードシステムでは、パスワードを8文字
なぜSSL利用をケチるのか
Eメールから,真正なサイトになりすましたWebサイトに誘導し,IDやパスワードなどの情報を盗み取るのがフィッシングだ。フィッシングによる金銭的な被害は,国内でも2004年9月には発生している(関連記事)。それから1年以上が経つ。Webサイトにとって基本的なフィッシング対策の一つは,SSLをログイン画面から使うこと。しかし,この基本対策をなおざりにしているWebサイトがまだ多い。 SSLならアクセス先を確認できる 一見,暗号化のためのSSLとフィッシング対策とは,関係ないようにも思える。でも実は,SSLには暗号化のほかに,電子証明書で身元を証明するという機能も備わっている。Internet ExplorerなどのWebブラウザで,SSLを使用していることを示す鍵(かぎ)マークをクリックすると,電子証明書が表示される。利用者が意識してこの証明書を確認すれば,アクセス先がどこであるかが判別できる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「取引先からパスワードが電話で連絡される」運用が始まってしまった人の話
パスワード管理ソフトはBitwardenが非常にオススメ!1PasswordからBitwardenへ乗り換えた話。 | ザクピカ