タグ

セキュリティに関するnamiskのブックマーク (181)

  • 「Lhasa」と「Lhaplus」に脆弱性--任意のコードを実行される可能性

    情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は10月12日、「Lhasa」と「Lhaplus」に脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。 竹村喜人氏が提供するLhasaは、LZHとZIPの形式で圧縮されたファイルを展開するソフトウェア。0.19以前のバージョンに、実行ファイルを読み込む際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んでしまう脆弱性が存在する。 Schezoが提供するLhaplusは、複数の圧縮ファイル形式に対応した圧縮・展開を行うソフトウェア。1.57以前のバージョンに、DLLを読み込む際のDLL検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が存在する。 これらの脆弱性により、ともにプログラムを実行している権限

    「Lhasa」と「Lhaplus」に脆弱性--任意のコードを実行される可能性
  • 車がハッキングされる危険性、米上院議員が報告書で警告

    スマートカーでは安全性や性能の向上が進められ、スマートフォンのメリットを取り入れる仕組みがダッシュボードに組み込まれている。しかし、ハッカーが車載コンピュータをいかに悪用できるかについては、自動車メーカーの認識に遅れが見られると最新の報告書が指摘した。 米上院議員のEdward Markey氏(民主党、マサチューセッツ州選出)が米国時間2月9日に発表した報告書では、自動車メーカーがわれわれの運転に関する傾向や癖に関するデータ収集を進める中、サイバーセキュリティ対策の甘さから、自動車はハッキングの可能性に、そして、ドライバーはプライバシー侵害の危険性にさらされていることが詳細に解説されている。 Markey氏の事務所は1年以上前、報告書をまとめる目的で自動車メーカー20社にアンケートを送付しており、16社から回答を得ている。このアンケートでは、対象となった自動車メーカーの大部分が過去に発生し

    車がハッキングされる危険性、米上院議員が報告書で警告
    namisk
    namisk 2015/02/11
    たしか船の航法システムにハッキング実証した事例があったと思うので、車にも同様に脆弱性あると考えるのが自然かなぁ。
  • OCN利用者はメールソフトのSSL設定をオンにしてください パスワードが漏洩します

    Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 2014-12-09 03:40:07 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 2014-12-09 03:45:03 Hiromitsu Ta

    OCN利用者はメールソフトのSSL設定をオンにしてください パスワードが漏洩します
    namisk
    namisk 2014/12/09
    OCNのISPメール(ほぼ使ってないけど一応)設定した時に、私も気になった。サポートページの基本ルートだとSSL使わないのよねぇ。リテラシーの低い利用者が多いからこそ安全側なほう案内すべきなのに。
  • ベネッセの報告書を読んで浮かんだ違和感

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 報告書の概要 7月に発覚したベネッセコーポレーション(コーポレーション)の情報漏えいについての再発防止策を含む調査報告書(報告書)が公開されました。 報告書は9月12日にコーポレーションからベネッセホールディングス(ホールディングス)に提出されたものを公開用にまとめたもので、一般の方にベネッセの取組を紹介する目的で公開されたものです。 報告書で記載されていることは概ねこれまでに公開されていたもので、調査結果については特段新しいものはありません。ただ、情報が二転三転している部分があったのと、多くの情報が公開される中でソースがわからなくなっているものがありましたので、それをまとめて読めるという点で良い報告書となっています。 報告書の内容と

    ベネッセの報告書を読んで浮かんだ違和感
    namisk
    namisk 2014/10/07
    納得感ある。
  • インターネットの根幹「DNS」に根本的欠陥が見つかる(dragoner) - 個人 - Yahoo!ニュース

    このJPRSの発表に対し、この欠陥を発見した中京大学の鈴木常彦教授、前野年紀氏は「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」を懸念し、下記のブログ記事等でこの問題の危険性を訴えています。 この問題はインターネットの根幹に関わるものですが、どんな問題を孕んでいるのでしょうか。それを理解するために、まずはDNSの仕組みから見て行きましょう。 DNSの仕組みとDNSキャッシュサーバDNSとはインターネットの根幹に関わる仕組みで、目的のサーバにアクセスする為の重要な役割を持ちます。簡単に説明すると、"http://www.example.jp"というURLのサイトを見たい場合、それを管理するサーバのインターネット上の住所(IPアドレス)が必要になります。そこで、DNSサーバに上記URLのラベル(ドメイン)に相当する"www.example.jp"を管理するサー

    インターネットの根幹「DNS」に根本的欠陥が見つかる(dragoner) - 個人 - Yahoo!ニュース
    namisk
    namisk 2014/04/16
    こりゃいかんね。
  • 個人情報、運用する時代へ 東大で「銀行」構想:朝日新聞デジタル

    【神崎ちひろ】個人情報を勝手に取られ、使われているなんて気持ち悪い……。利用者にそう思われることは企業にとっても大きなリスクだ。個人の情報をきちんと管理し、不安をなくす一方で、ビジネスチャンスに結びつける計画が進んでいる。その名も「情報銀行」だ。 情報銀行コンソーシアム代表の柴崎亮介・東京大学教授(55)によると、構想の発端は、個人情報をめぐる利用者側の不安と企業側のリスクだ。購買履歴や移動履歴、年収といった個人情報の収集と分析は新たなサービス創出の可能性を秘める。だが、利用者に「だまされた」という感覚を持たれたら、企業にとって致命傷になりかねない。 例えば、今年7月、JR東日がICカード「Suica(スイカ)」の乗降履歴などを市場調査用データとして販売した。名前と連絡先は除かれていたが、事前に説明がなかったため、利用者から苦情が相次ぐ事態となった。

    個人情報、運用する時代へ 東大で「銀行」構想:朝日新聞デジタル
    namisk
    namisk 2013/12/27
    うーん、スケジュール情報なんかは、現状は各サービス個別で連携してるけど、一箇所で管理すると何が劇的に改善するかな?
  • アリスとボブ - Wikipedia

    アリス、ボブ、マロリーのイメージ図 アリスとボブ(英: Alice and Bob)は、暗号通信などの分野で、プロトコル等を説明する際に想定上の当事者として登場する典型的なキャラクター。"当事者Aが当事者Bに情報を送信するとして"のような説明文では、段階の増えた体系になるにつれ追いにくくなる。そのため、こういった具体的人名が好んで使われる。 暗号やコンピュータセキュリティでは、さまざまなプロトコルの説明や議論に登場する当事者の名前として広く使われる名前が数多くある。こういう名前は慣用的、暗示的で、ときとしてユーモアに富み、事実上メタ構文変数のように振る舞う。 典型的なプロトコル実装においては、アリスやボブのあらわす実体が自然人であるとはかぎらない。むしろコンピュータプログラムのように、信頼され自動化された代行者であることが多い。 この一覧のほとんどは、ブルース・シュナイアーの暗号技術大全[

    アリスとボブ - Wikipedia
    namisk
    namisk 2013/12/25
    設定いろいろ。腐の人なら幾つかカップリングしてくれそうだ。
  • 米、世界の指導者35人の通話を監視か 英紙

    (CNN) 米国家安全保障局(NSA)がドイツのメルケル首相の電話を盗聴していたと伝えられた問題を巡り、メルケル首相は欧州連合(EU)首脳会議出席のため到着したベルギーのブリュッセルで24日、欧州と米国との信頼関係を「再構築」しなければならないと語った。 一方、英紙ガーディアンは同日、かつてNSAの活動にかかわっていたエドワード・スノーデン容疑者が流出させた資料を根拠として、NSAが世界の指導者35人の通話を監視していたと伝えた。この資料はオバマ大統領が就任する以前の2006年のもので、盗聴されていたとする指導者の氏名は明らかにしていない。 この資料によれば、指導者の電話番号は、米当局者がNSAに提供した200件の一部だったという。 NSAによる同盟国の監視疑惑が相次いで浮上する中で、EU首脳会議では米国に対する各国の怒りが噴出する可能性もある。メルケル首相は「友人間でのスパイ行為は許され

    米、世界の指導者35人の通話を監視か 英紙
    namisk
    namisk 2013/10/25
    信頼関係はどうあれ、盗聴技術が存在していればそれを使われる可能性は常に考慮にいれなくてはいけない。それなりの立場の人は、暗号化や符牒を利用して自衛するしかないのでは。
  • 2025年までに自動車の60%がインターネット接続対応に--IEEE予測

    米国電気電子学会(IEEE)によると、2025年までに、走行中の車の60%がインターネットに接続されている見通しだという。 IEEEが米国時間8月30日に発表した声明によると、インターネット接続機能によって、自動車の安全機能の向上と自律走行車の改良が促進されるが、同時にソフトウェアによるハッキングも受けやすくなるという。 IEEE会員のJeffrey Miller氏は声明で、車両にBluetoothやモバイル機器との通信機能を装備することで、コネクテッドカー技術を実現している自動車メーカーは既に複数存在すると指摘している。 「コネクテッドカーの広範な普及は、消費者に対して、自分が運転する車をもう1つのデバイスとして扱うことを可能にする。将来的には、モバイルOSをホスティングしたり、無線プロバイダーからデータパッケージを購入したりすることが普通に行われるようになるだろう」(Miller氏)

    2025年までに自動車の60%がインターネット接続対応に--IEEE予測
    namisk
    namisk 2013/09/03
    車載システムの防御について、真面目に考える時期が既にきてると思う。日本のメーカーはどう取り組んでるんだろう。こんな記事も→ http://gigaom.com/2013/08/06/ciscos-remedy-for-connected-car-security-treat-the-car-like-an-enterprise/
  • Cisco’s remedy for connected car security: Treat the car like an enterprise – Old GigaOm

    namisk
    namisk 2013/08/08
    ヨットのGPSに介入・誘導する実験も成功してたし、民生用の乗り物のシステム防御について真面目に検討する時期がきているのかも。
  • 米政府、主要インターネット企業にユーザーパスワード開示を要請か

    米政府は主要なインターネット企業各社に対し、保管しているユーザーのパスワードの開示を要求したという。これらの開示命令の事情に詳しい2人の業界情報筋が明かした。これは、今まで明かされてこなかった、さらに深刻な監視手法である。 もし米政府がユーザーのパスワード(通常は暗号化された状態で保管されている)を特定できるのであれば、その認証情報を使ってアカウントにログインし、秘密の通信内容を詳細に調べたり、さらには、そのユーザーになりすましたりすることさえ可能だ。パスワードを入手すると、暗号化されたデバイスのロック解除にパスワードが必要な場合にも、それを利用することができる。 インターネット業界情報筋の1人は匿名を条件に「米政府がパスワードの開示を要請する事例を私は確認したことがある」と述べた。「われわれは抵抗している」(同情報筋) シリコンバレーの大企業に勤務するもう1人の業界情報筋は、保管されたパ

    米政府、主要インターネット企業にユーザーパスワード開示を要請か
    namisk
    namisk 2013/07/26
    もはやローカル端末で暗号化をかけるしか…。
  • 10 tips to better secure your privacy on an Apple device – Old GigaOm

    namisk
    namisk 2013/07/21
    ここまでやってれば完璧なんだろうけど。ファームウェア・パスワードのことは知らなかったなー
  • Suica情報分析し販売 戸惑いも NHKニュース

    JR東日のICカード乗車券Suicaで得られた駅の利用情報などを分析し、企業などに販売するサービスが今月から始まりました。 いわゆるビッグデータの新たな利用法として注目を集める一方で、Suica利用者への十分な説明がないままでのサービス開始に、戸惑いの声も広がっています。 JR東日のICカード乗車券Suicaは現在、およそ4300万枚が発行され、このうち、定期券などで使われているものは、利用者の年齢や性別などの情報も分かっています。 このSuicaで得られた情報について大手メーカーの日立製作所は、JR東日から有償で提供を受けて分析を行い、駅周辺への出店や広告掲載を検討している企業などに販売するサービスを今月から新たに始めました。 分析するデータは、名前や連絡先などといった個人情報を除いた利用者の年齢、性別、乗り降りする駅などで、これにより、首都圏のおよそ1800の駅がどのように利用さ

    namisk
    namisk 2013/07/15
    個人情報を渡すようなフォームに書き込むときいつも思うけど、個人が特定されないような形でデータを販売しているかを監査して認証するような、第三者機関が必要でしょ。国か業界団体は早くしろ、と。
  • 内部メール誰でも閲覧「グーグルグループ」利用 : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)

    インターネット上でメールを共有できる米グーグルの無料サービス「グーグルグループ」で、個人情報や中央官庁の内部情報など少なくとも6000件以上が、誰でも閲覧できる状態になっていることが分かった。 確認できただけで4省庁の職員が業務に関するメールを公開しており、このうち環境省の幹部らは、今年1月に合意された国際条約の交渉過程を流出させていた。他国との会談内容も明かしており、同省は「セキュリティー意識が甘かった」としている。 グーグルグループは、登録者の間で同時にメールを配信できるサービス。ただ、初期設定のままだと閲覧制限がかからないため、気づかないまま情報を誰でも見られる状態にしているケースが多いとみられる。 読売新聞が調べたところ、全国の七つの医療機関や介護施設のメールで300人以上の病状が掲載されたカルテなどが公開状態になっていた。このほか、高校生の健康診断や中学生の家庭環境、政党の支持者

    namisk
    namisk 2013/07/10
    ちゃんと有料のグループウェアを使いましょうね。HDDレベルでロックと暗号化のかかった公用ノートPCを用意し、VPN経由でアクセスするようにしましょうね。当たり前すぎのことだが。
  • Engadget | Technology News & Reviews

    The Polaris Dawn crew is back on Earth after a historic mission

    Engadget | Technology News & Reviews
    namisk
    namisk 2013/07/08
    ふむ。気持ち悪いのでブラウザの「Do Not Track」有効にした。Twitter設定の「閲覧したウェブサイトをもとにカスタマイズ」は元からOFFしてる。
  • 米紙、「PRISM」に関する新たなスライドを公開--電子メールなどリアルタイムで監視か

    The Washington Postは「PRISM」に関する新しいスライド集を公開し、論争を呼んでいる米国家安全保障局(NSA)の監視プログラムとその運用の実態について、さらに多くの詳細を明らかにした。 NSAの元職員であるEdward Snowden氏が同プログラムに関する機密文書を報道機関にリークしてから約1カ月後に公開された新しいスライドは、NSAと米連邦捜査局(FBI)が電子メールや保存されたコンテンツをリアルタイムで監視する能力を備えていることを証明しているようだ。 GoogleApple、米YahooMicrosoftといったテクノロジ企業は同プログラムにおける自社の関与の度合いについて否定したが、スライドの内容はそれと矛盾するようだ。The Washington Postの報道によると、同プログラムは「民間企業内に設置された政府の機器を使って、MicrosoftやYah

    米紙、「PRISM」に関する新たなスライドを公開--電子メールなどリアルタイムで監視か
    namisk
    namisk 2013/07/03
    あれは誤報だったかと思ってたが、また何か出てきたぞ??
  • そろそろ「ZIPで暗号化」の謎文化をなくしたい - teruyastarはかく語りき

    Twitter / dnobori: ファイルをZIPで暗号化し、まずZIPをメールで送り、しばら ... https://twitter.com/dnobori/status/346488232537632768 Daiyuu Nobori ファイルをZIPで暗号化し、まずZIPをメールで送り、しばらくして別メールで8文字程度の乱数パスワードを送るという謎のプロトコルが日企業で流行っているが、ZIPのパスワードは総当たりでかなり高速に解析できるし、そもそもパスワードをメールで送っているので効果が疑問。 僕も昔そのように送られてきて同じ疑問もったことあります。 はてブコメントみると、 2度送ることであて先ミスによる添付からの情報漏れを防ぐという効果はそこそこ期待できる。 誤送信による一撃死を免れるためのプロトコル。 まぁでも実際メールやFAXの誤爆とかよくある事なわけで。 暗号の強度では

    そろそろ「ZIPで暗号化」の謎文化をなくしたい - teruyastarはかく語りき
    namisk
    namisk 2013/06/24
    弊社では専用の暗号化ツールで自己解凍可能ファイルを作成して、パスワードを別メールで送っています。ツール入れた後は外部記憶媒体への書き出しを全て暗号化しないといけなくなるのが面倒だけど。
  • IT企業数社、顧客データの提供でNSAに協力か--社内チームを組んで対応の可能性

    米国家安全保障局(NSA)とシリコンバレーに拠点を置く企業の少なくとも数社は、主張しているよりも緊密なつながりを持っているようだ。 「業界関係者」(元関係者も含む)らの話としてThe New York Times(NYT)が米国時間6月20日に報じたところによると、企業名は不明だが、シリコンバレーに拠点を置く企業数社では秘密の従業員チームを結成し、顧客データをNSAからアクセスしやすくする任に当たらせているという。企業側はどのような形でデータをNSAに引き渡すかを管理するためにチームを組んだとされているが、NSAの側からも職員が簡単にデータにアクセスできるようにせよという圧力がかかっているという。 NYTは過去にこのようなチームを組んだ企業を1社特定することができている。それはSkypeだ。現在Microsoft傘下にあるSkypeは、NSAおよびその他の法執行機関に「Skype通話を簡単

    IT企業数社、顧客データの提供でNSAに協力か--社内チームを組んで対応の可能性
    namisk
    namisk 2013/06/21
    Google や Facebook や Apple も、公表している程度よりもっとNSAに協力してきてたんじゃないですかね。やだやだ。
  • 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について

    2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー

    namisk
    namisk 2013/06/11
    皮肉がきいておる。 "最後に、皆様は最新のOSですべてのパッチが当たっている状態でパソコンをご利用ください、ハッカーに容易に侵入されることなく安全に利用できます。"
  • Expired

    Expired:掲載期限切れです この記事は,産経デジタル との契約の掲載期限(6ヶ月間)を過ぎましたのでサーバから削除しました。 このページは20秒後にITmedia ニュース トップページに自動的に切り替わります。

    namisk
    namisk 2013/06/10
    「ウイルス対策ソフト会社の調査では、電力やガスなど管理者550人の約半数が「対策方法がわからない」とさじを投げるありさま」。おお、ひどい。