スマートフォンなどの個人認証で利用が広がる指紋がインターネット上で狙われている。投稿された手の画像(写真)から指紋の模様を読み取り、個人情報として悪用することが可能だからだ。国立情報学研究所(東京)はこうした指紋の盗撮を防ぐ新技術を開発しており、犯罪防止に向け2年後の実用化を目指している。 指紋認証は人によって模様が違うことを利用した個人認証システム。IDやパスワードを使用せず、指一本で本人と確認できる利点があり、スマホやパソコン、マンションのドアロック解除、金融サービスなどに利用が拡大している。 その一方、スマホの普及でネット上に大量の画像が投稿されるようになったことでリスクも増大している。過去にはドイツで記者会見の画像などを基に「国防相の指紋を盗み取った」とある人物がネット上で発表し、衝撃を与えた事例がある。第三者に指紋のデータを読み取られた場合、プライバシーの侵害や金銭的な被害を受け
最近お腹まわりのお肉が気になってきたキタムラです。こんにちは。秋って食べ物美味しくてやばいですね! さて、今回はWordpressのセキュリティについてのおハナシです。 実は、WordPressで運営されているウェブサイトやブログの多くは、そのユーザー名を誰でも簡単に調べることができちゃいます。 かといって、Twitter や Instagram なんかはユーザー名が公開されているので、それと同じ感覚なら問題ないっちゃ問題ないのかもしれません。 ぼくは、隠せるなら隠したいタイプなので対処しています。 気になった方はスクロールして読んで下さい。特に気にならない方はそのまま記事を閉じてくださいね。 試しにユーザー名が「わかるのか」かやってみよう自分のウェブサイトやブログのトップページを表示させて、アドレスバーのURLの末尾に /?author=1 をコピペして「Enter / Return」を
DEFCONにセキュキャン… 夏の日差しのように若きセキュリティ人材の活躍が眩しい今日この頃、職場や家族の冷ややかな視線を背中に受けながら、冷房いらずでフラグを探している社会人趣味CTF初心者の皆様、いかがお過ごしでしょうか。 通勤時間を使いスマホの小さな画面でwriteupを読み、なんとなく理解したようでも、いざ実戦となると歯も立たず…。 鬼の居ぬ間に過去問を解いてみても、それが直接得点になるわけではないのでモチベーションが続かない…。 だからといって、易々と教えを乞うのはプライドが許さない…。 社会人趣味CTF初心者が、小さな小さな人権と、問題を解いた大きな喜びを得るには、当然ながら「自分で問題を解く」しかありません。 そこで、社会人でもスキマ時間を使って参加でき、さらにランキングがあってモチベーションが維持しやすい常時開催されているタイプのCTFを、私の主観を交えてまとめてみました。
2015年6月1日、職員PCがマルウェアに感染したことにより、情報漏えいが発生したことを日本年金機構が発表しました。ここでは関連情報をまとめます。 公式発表 日本年金機構 2015年6月1日 (PDF) 日本年金機構の個人情報流出について 2015年6月3日 (PDF) 個人情報流出のお詫び - 日本年金機構 理事長 水島藤一郎 (平成27年6月2日) 2015年6月3日 (PDF) 個人情報流出の報道発表を悪用した不審な電話等にご注意ください! 2015年6月3日 (PDF) 日本年金機構の個人情報が流出したお客様へのお詫びについて 2015年6月6日 (PDF) 日本年金機構ホームページの一時停止について 2015年6月8日 (PDF) 日本年金機構ホームページの暫定対応について 2015年6月22日 (PDF) 日本年金機構の個人情報が流出したお客様へのお詫びについて 2015年6月
前記事の「年金漏れちゃった詐欺」に要注意!からの続きです。本日、日本年金機構は、約125万件もの個人情報が流出したと発表しました。 システム的に気になるのは、「原因は何か」「なぜ125万件も流出してしまったのか」です。原因は何かについては、最初に発表があったとおり、「ウィルス入り添付ファイル付きのメールを開いてしまった」ことです。ただ、怪しい添付ファイルを開いてしまうことは、人間である以上いつでも起こり得ます。そういう人的ミスは、いつ起きてもおかしくありません。 問題なのは、怪しい添付ファイルを開いただけで、なぜ125万件もの個人情報が流出してしまったのか、ということです。今回の件だけで、日本人全体の100人に1人の情報が漏れたことになります。 例えば、個人情報を扱う場合は、セキュリティ対策が何重にも施されます。適当に4つくらいあげてみます。 1. 電子メールに添付された怪しいファイルは開
情けない話ですが、自分の大チョンボで AWS の個人アカウントが第三者にアクセスされた結果 190万円相当のリソースが使われ、最終的に AWS さんに免除を頂きました。反省込みで本件のまとめを書きます。 自分が馬鹿を幾つも重ねた結果であって、AWS 自体は怖くないというのが伝われば幸いです はじめにまとめ S3 実験してた時に SECRET KEY を見える場所に貼っていた事があり、第三者がそれでアクセスし大量の高性能インスタンスを全力で回す (恐らくBitCoin採掘) AWS さんから不正アクセスの連絡があり、急いで ACCESS KEY 無効&パスワード変更、インスタンス全停止、イメージ削除、ネットワーク削除 免除の承認フェーズを進めて、クレジットカードの引き落とし前に完了して助かる AWS さんのサポート AWS さんは最大限サポートしてくれました 承認フェーズが進まない時もあまり
フォームローラーでほぐし続けた結果...ようやくわかった効果とメリット3つ #Amazonプライムデー
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
ゼラチンで指の複製を作成し、iPhoneの指紋認証「Touch ID」を通るか試してみました。 こちらの記事を参考に、次のものを用意しました、 食用のゼラチンパウダー おゆまる 「おゆまる」はお湯に入れると柔らかくなるプラスチック粘土で、100円ショップで購入しました。 まずは「おゆまる」で指の型を取ります。 80°以上のお湯に「おゆまる」をしばらく浸けておくと柔らかくなるので、触れることができる程度に冷ましてから指を押しつけます。 そのまま室温で放置しておくと固まります。 写真ではよく見えませんがが、内側にはしっかりと指紋の凹凸ができています。 次に、おゆまるで作った指の型にゼラチンを流し込みます。 しっかりとした指(?)を作るために、ゼリー等の10分の1くらいのお湯の量でゼラチンパウダーを溶かしました。 あとは冷蔵庫で30分くらい冷やして固まらせます。 出来上がったのがこちら。 本物の
世界中のジャーナリストやセキュリティ関連に敏感な人、さらにはエドワード・スノーデン氏のような内部告発者までもが使用している、無料のメール暗号化ソフトウェアが「GNU Privacy Guard(GPG)」です。この暗号化ソフトを1997年からたった一人で開発してきたのがヴェルナー・コッホ氏で、彼が置かれている厳しい現状をProPublicaが明かしています。 The World’s Email Encryption Software Relies on One Guy, Who is Going Broke - ProPublica http://www.propublica.org/article/the-worlds-email-encryption-software-relies-on-one-guy-who-is-going-broke ソフトウェアエンジニアのコッホ氏がGPGの開
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
ソニーはパスワード数千個を「パスワード」というフォルダに保管していた2014.12.05 12:305,620 satomi それはあまりにも当たり前の場所だった。 北朝鮮(?)のハックで、社員6800人の給与がリークし年収1億円超えの経営陣が白人男性ばっかり(9割弱)なことが判明したソニー・ピクチャーズ・エンターテイメント。 ITの中の人かわいそうに…今ごろ死んでるだろうな…と心底同情していたら、こんなものが出てきました。 大事なパスワード保管庫の名前が「Password」って…壁に何発か頭ぶつけてよしだよ! どうりで昨日第2弾のデータの山がリークされたら、あっという間にBuzzfeedがFacebook、MySpace、YouTube、Twitterの「映画大作の公式アカウントのユーザー名とパスワード」を探し当ててしまったわけですよ。仕事早いと思ったらなんのことはない。「Passwor
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く