インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パス
ネットバンキング被害4倍に 「ワンタイムパス」破る - 日本経済新聞
インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パス
世界が震撼の「WannaCry」、支払われた身代金は意外と少なめ
世界が震撼の「WannaCry」、支払われた身代金は意外と少なめ2017.05.16 12:196,190 福田ミホ 騒動のわりに、ってことですけど。 先週末、ランサムウェア「WannaCry」とその仲間たちが世界中に広がり、あちこちの会社や病院、大学などなどをパニックに陥れました。これはWindowsの脆弱性を突いたマルウェアだったため、マイクロソフトがサポートを終了したはずのWindows XPにまで緊急パッチを配布する事態になりました。 ・世界パニックのランサムウェア「WannaCry」被害&対処まとめ 「WannaCry」はランサムウェア、つまり感染したコンピュータのユーザーに身代金支払いを要求するマルウェアです。それがここまで広がったんだから、犯人は数日で大もうけ…と思いきや、現在のところ集めた金額は意外と多くないみたいです。 セキュリティ専門家Brian Krebs氏の調査によ
「メリットが見えない」、盛り上がり欠ける情報処理安全確保支援士
情報処理推進機構(IPA)は2017年4月から、新しいセキュリティ国家資格「情報処理安全確保支援士」を開始する。新資格は「講習受講による知識のアップデートが義務付けられる」という、今までの情報処理技術者試験にはない特徴を持つ。「その手間を掛けるメリットがあるのか」「講習受講料(3年間で15万円)を支払う価値はあるのか」と話題になっている。 資格の開始は2017年4月としているが、実際には既に運用が始まっている。やや制度が複雑なので簡単に説明しておこう。情報処理安全確保支援士はペーパーテストに合格するだけでは取得できない。試験合格者がIPAに登録を申請し、資格保持者の一覧表「登録簿」に登録されてはじめて資格取得となる。初回の登録が2017年4月1日なわけだ。 現在は経過措置として、既存の「情報セキュリティスペシャリスト試験」と「テクニカルエンジニア(情報セキュリティ)試験」の合格者を登録対象
C++ における整数型の怪と "移植性のある" オーバーフローチェッカー (第1回 : 整数型の怪と対策の不足) - Qiita
はじめに 整数型の取り扱い (表現可能な値の範囲を超える "整数オーバーフロー" を防ぐなど) は、セキュリティ上の問題を避けるために、そうでなくとも予期しないバグを避けるために (頻繁に!) 注意しなければならないことだと言えるでしょう。 整数オーバーフローは、特に C/C++ においては深刻な脆弱性の原因になりがちです。昨年界隈を騒がせた Android の Stagefright としてくくられている複数の脆弱性のうち大部分は、この整数オーバーフローが原因となっています。 ただ、C++ における整数型は、実に奇妙です。その奇妙さの結果、C++ において整数オーバーフローを防ぐことは非常に難しいことが……あまり知られていません。というわけで、数回に分けて C++ における整数型 (特に符号付き整数型) の仕様とその奇妙なところ、何故整数オーバーフローチェックが難しいのか、それでもどうや
個人番号カードが提供する「新・公的個人認証」の破壊力
「個人番号カードの公的個人認証サービスを使える民間サービスの業態に、制限はありません。オンラインバンキングからネットゲームまで、ほぼ『なんでもあり』です」。総務省自治行政局住民制度課 企画官の上仮屋尚氏はこう強調する。 マイナンバー制度が始まる2016年1月から、希望者に無償で配布される「個人番号カード」(図)。その最大の目玉は、カード内のICチップに埋め込まれた電子証明書を使って個人を認証する公的個人認証サービスが、総務大臣の認定を前提に、民間企業にも開放されることだ。 公的個人認証サービスは、元々は住民基本台帳カード(住基カード)に組み込まれる形で、2004年1月から始まった。とはいえ、用途が行政サービスに限られていたこともあり、用途の開拓はあまり進まなかった。個人向け用途では、国税電子申告・納税システム(e-Tax) の確定申告用に使われるのがせいぜい。発行された電子証明書は、201
セキュリティ・キャンプ全国大会2015資料まとめ - 葉っぱ日記
セキュリティ・キャンプ全国大会2015の講義で使用された資料のまとめ。公開されていない講義が多いので、すべての講義資料があるわけではありません。随時追加。 高レイヤートラック Webプラットフォームのセキュリティ JavaScript難読化読経 HTTP/2, QUIC入門 SSL/TLSの基礎と最新動向 フレームワークに見る Web セキュリティ対策(これからのWebセキュリティ) これからのWebセキュリティ フロントエンド編 クラウドセキュリティ基礎 バグハンティング入門 解析トラック 仮想化技術を用いたマルウェア解析 講義内容 TOMOYO / AKARI / CaitSith ハンズオン(アクセス解析初級・中級) セキュリティ・キャンプ全国大会2015でのマルウエア分析講義(2015-09-10) チューター発表 「脆弱性をみつける」から「脆弱性をなくす」へ カーネル空間からのセ
フェイスブックの位置情報追跡の薄気味悪さを実証したハーバード大生がインターン内定取消しに
フェイスブックの位置情報追跡の薄気味悪さを実証したハーバード大生がインターン内定取消しに2015.08.14 10:205,030 satomi フェイスブックで働きたかったら、悪いことは言わないから、本家の痛いところは突かないことです…ぶるぶる…。 同社にインターン内定が決まっていたハーバード大生が、位置情報共有設定の不備を指摘したら、感謝されるどころか内定が取消しになってしまったようですよ? 学生の名前はAran Khanna君。Khanna君はインターン開始まで待ってられなくなって、同社がAndroid版Messengerでユーザーの位置情報を集めていることを実証するChrome拡張機能を作ってみました。 フェイスブックはデフォルトの設定のまま使うと、MessengerのAndroidアプリで同じスレにいる全員に自分の詳しい位置情報が知れてしまうんです。フェイスブックで友達じゃない人
Lenovoのファームウェアがファイルシステムを改ざんするクソ仕様なので絶対に使ってはいけない
最近のLenovoのBIOSのアップデートに以下のものがある。 Lenovo Newsroom | Lenovo Statement on Lenovo Service Engine (LSE) BIOS この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoft Windows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。 などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的にどんな脆弱性だったのか。驚くべきバカなことが行われていた。 Lenovo G50-80 dialog box - Ars Technica OpenForum Windows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoの
端末ID「個人情報じゃない」 政府、改正法で方針:朝日新聞デジタル
政府が今国会の成立をめざす個人情報保護法改正案の審議が8日、衆議院で始まった。政府は何が個人情報として保護されるべきかの考えを具体例を挙げながら説明。スマートフォンなどを識別する「端末ID」は、個人情報には含めないとの方針を明らかにした。 山口俊一・IT担当相は8日の衆院内閣委員会で、「端末IDは端末を識別するための情報で、機器に付番されるだけ。個人情報には該当しないと思っている」と語った。法改正後も、個人情報にあたらないとの認識を明確にした。法案では新設される第三者機関「個人情報保護委員会」が個々の事例を判断するとしているが、政府が先がけて一部の方向性を示した。 ただ、端末IDは、事業者が個々のスマホやパソコンを識別し、位置情報や利用者のホームページ閲覧、買い物などの履歴を集めて活用するために使われることもある。端末IDだけでは所有者がだれかを知るのは難しいが、正確な位置情報や行動履歴な
圧縮ソフト「Lhaplus」に危険な脆弱性、悪質ファイルを読み込むと被害に
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2015年4月9日、ファイル圧縮・展開ソフト「Lhaplus(ラプラス)」に新たな脆弱性が2件見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性などがある。対策は、最新版「Lhaplus 1.72」へのアップグレード(画面)。 今回明らかにされた脆弱性は2件。1件は、圧縮ファイルの処理に関する脆弱性。細工が施された圧縮ファイルを展開するとバッファオーバーフローが発生し、中に仕込まれた任意のプログラムを実行される恐れがある。 もう1件は、展開するファイル名の処理に起因するディレクトリトラバーサルの脆弱性。名前を細工されたファイルを展開すると、任意のファイルを作成されたり、既存のファイルを上書きされたりする危険性がある。 対策は、最新版
秀まるおのホームページ-ニュースリリース(秀丸エディタの脆弱性について)
平素は、秀丸エディタをご利用頂きありがとうございます。 秀丸エディタについて、いわゆる脆弱性のバグの連絡をいただいたので、それについて報告させていただきます。 脆弱性の内容: 特別に細工された.hmbookファイルを「プロジェクトを開く」にて開いた場合、 任意のコードを実行できます。(送っていただいたサンプルの例ではcalc.exeを実行することが出来る) 注:「ファイル」メニューの「開く」では問題は起きません。 対策: 信頼できない.hmbookファイルは開かないように注意する。 または、 秀丸エディタをVersion 8.52β9以上に入れ替える。 細工されたhmbookファイルを一度開くと、以後、ファイルマネージャ枠を表示しようとするだけで毎回保護違反で落ちてしまいます。問題のhmbookファイルを削除すれば以後保護違反は出なくなります。脆弱性でご迷惑おかけしてすみませんが、よろしく
「個人情報のガラパゴス化」が日本産業を脅かす:日経ビジネスオンライン
森田 朗 国立社会保障・人口問題研究所所長 行政学者。東京大学大学院法学政治学研究科教授、東京大学公共政策大学院教授、同大学院院長、総長特任補佐、東京大学政策ビジョン研究センター長、学習院大学法学部教授などを歴任。 この著者の記事を見る
標準書に見る「パスワードの定期的変更」の歴史(書きかけ放置) - nilnil専用チラシの裏
時折セキュリティクラスタを賑わす「パスワードの定期的変更」ネタ。きっかけは2008年頃の高木先生のはてブだったと記憶。その頃わしはISMSなんぞに手を染めてた頃だったので、セキュリティ標準書とかどうなってるんだと思って、BS (British Standard), DoD, NIST関連文書を2008年3月に少々調べて某SNSに書いて放置していた。 その後こんなしょーもないものを書いたものの、もっと調べてまとめて一般公開したいなぁと思ってきたままずるずると今に至っている訳だが、いつまでも抱えてるのもあれなので、2008年に書いたものをベースに公開することにした。 ツッコミどころは多いだろうが、気になる人は自分で調べて発表してちょ。てゆうかそろそろ技術史研究者が乗り出してほしいとも思う。 ISO/IEC27000シリーズと英BS7799 ISMSの認証基準であるISO/IEC27001"In
オープンリゾルバ確認サイト公開のお知らせ
各位 <<< オープンリゾルバ確認サイト公開のお知らせ >>> JPCERT/CC 2013-10-31 I. 概要 JPCERT/CCは、お手元の PC からオープンリゾルバの確認ができるサイトを公開いたしました。 オープンリゾルバ確認サイト http://www.openresolver.jp/ オープンリゾルバとは、外部の不特定の IP アドレスからの再帰的な問い合わせを許可している DNS サーバのことです。オープンリゾルバは国内外に多数存在し、大規模な DDoS 攻撃の踏み台として悪用されているとの報告があります。 JPCERT/CC Alert 2013-04-18 JPCERT-AT-2013-0022 DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130022.html また、DN
The digital arms trade
The digital arms tradeThe market for software that helps hackers penetrate computer systems IT IS a type of software sometimes described as “absolute power” or “God”. Small wonder its sales are growing. Packets of computer code, known as “exploits”, allow hackers to infiltrate or even control computers running software in which a design flaw, called a “vulnerability”, has been discovered. Criminal
高木浩光@自宅の日記 - ダウンロード刑罰化で夢の選り取り見取り検挙が可能に
■ ダウンロード刑罰化で夢の選り取り見取り検挙が可能に 罰則ないから*1として2010年1月から施行された「ダウンロード違法化」*2。これに今、「2年以下の懲役又は200万円以下の罰金」の罰則が設けられようとしているようだ。 違法ダウンロードに罰則 著作権法改正案を可決 衆院本会議, 産経新聞, 2012年6月15日 違法ダウンロード:罰則を科す法案 審議なく衆院を通過, 毎日新聞, 2012年6月15日 そこで、Winnyネットワークを対象に、どのくらい簡単に利用者を検挙できるようになるか、以下、考察してみる。 これまで、Winnyネットワークでは違法な公衆送信が数多くなされてきたが、刑事訴追はあまり順調に進んでいるとは言い難い状況であった。その原因は、公衆送信の故意の立証が容易でなかったためであろう。 ここは「一次放流者」と「二次共有者」を分けて考える必要がある。一次放流者(最初にWi
高木浩光@自宅の日記 - ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。
■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決
高木浩光@自宅の日記 - 話題の「カレログ」、しかしてその実態は。
■ 話題の「カレログ」、しかしてその実態は。 ここ数日、テレビのワイドショーで連日取り上げられている「カレログ」だが、以下の話はまだマスメディアでは取り上げられていないようだ。 カレログのサービスが開始されたのは8月29日だったが、9月1日にリイド社から「GALAXY S2 裏活用バイブル」というエロ本*1が出版されていた。この本の企画・編集を担当したのは、有限会社マニュスクリプトであり、カレログのサービス提供者と同一であることが判明している。 この本の表紙には以下のように、「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」と書かれている。 何のことかというと、まさに「カレログ」の紹介記事である。 「禁断! ギリギリ裏アプリ徹底研究」という最終章に掲載されており、以下のように、「大事な彼女の行動を追跡チェック!」、「悪用厳禁! 究極のストーキングアプリ!」、「パートナー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報セキュリティ10大脅威 2015年版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構