インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パス
ネットバンキング被害4倍に 「ワンタイムパス」破る - 日本経済新聞
インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パス
Zaif、不正アクセスでビットコインなど約67億円相当流出
テックビューロ(大阪市)が運営する仮想通貨取引所「Zaif」は9月20日、ハッキング被害を受け、同社が管理する仮想通貨の一部を流出したと発表した。被害額は約67億円相当と見られ、現在確認を急いでいる。金融庁と捜査当局に報告し、調査や顧客資産の財源確保に努めているという。 同社によれば、9月14日ごろから仮想通貨の入出金サービスなどに不具合が発生。17日にサーバ異常を検知し、18日にハッキング被害を確認した。 ハッキングを受けたのは入出金用のホットウォレット(※)を管理するサーバ。14日午後5時ごろ~午後7時ごろまでの間に外部から不正アクセスを受け、このサーバで管理していた仮想通貨「ビットコイン」「モナコイン」「ビットコインキャッシュ」が不正に外部へ送金された。ハッキングの手法については、捜査中であることや同種犯行の予防のため「差し控える」としている。 (※ホットウォレット:インターネットに
世界が震撼の「WannaCry」、支払われた身代金は意外と少なめ
世界が震撼の「WannaCry」、支払われた身代金は意外と少なめ2017.05.16 12:196,445 福田ミホ 騒動のわりに、ってことですけど。 先週末、ランサムウェア「WannaCry」とその仲間たちが世界中に広がり、あちこちの会社や病院、大学などなどをパニックに陥れました。これはWindowsの脆弱性を突いたマルウェアだったため、マイクロソフトがサポートを終了したはずのWindows XPにまで緊急パッチを配布する事態になりました。 ・世界パニックのランサムウェア「WannaCry」被害&対処まとめ 「WannaCry」はランサムウェア、つまり感染したコンピュータのユーザーに身代金支払いを要求するマルウェアです。それがここまで広がったんだから、犯人は数日で大もうけ…と思いきや、現在のところ集めた金額は意外と多くないみたいです。 セキュリティ専門家Brian Krebs氏の調査によ
「メリットが見えない」、盛り上がり欠ける情報処理安全確保支援士
情報処理推進機構(IPA)は2017年4月から、新しいセキュリティ国家資格「情報処理安全確保支援士」を開始する。新資格は「講習受講による知識のアップデートが義務付けられる」という、今までの情報処理技術者試験にはない特徴を持つ。「その手間を掛けるメリットがあるのか」「講習受講料(3年間で15万円)を支払う価値はあるのか」と話題になっている。 資格の開始は2017年4月としているが、実際には既に運用が始まっている。やや制度が複雑なので簡単に説明しておこう。情報処理安全確保支援士はペーパーテストに合格するだけでは取得できない。試験合格者がIPAに登録を申請し、資格保持者の一覧表「登録簿」に登録されてはじめて資格取得となる。初回の登録が2017年4月1日なわけだ。 現在は経過措置として、既存の「情報セキュリティスペシャリスト試験」と「テクニカルエンジニア(情報セキュリティ)試験」の合格者を登録対象
「どんなサイトも丸裸に」、SimilarWebの手法はありなのか
「あなたの競合サイトを丸裸にする」――イスラエル発のスタートアップ企業、シミラーウェブはこうしたかけ声のもと、あらゆるWebサイトのPV(ページビュー)やアクセスの流入元などの推測値を企業に提供している。この推測値の元になっているのは、PCのユーザーから収集した膨大な量のWebサイト閲覧データだ。 PCだけでなく、スマートフォンもデータ収集の対象になっている。2016年2月8日には、Androidアプリを解析する機能の国内提供を正式に始めた。特定のアプリのダウンロード数、時間ごとの利用頻度、アンインストール率の推定値が得られる。 同社がデータを収集しているデバイスは世界190カ国、2億台以上に上る。日本を含め、各国のWebサイト利用者の1%ほどかそれ以上をカバーし、統計処理によるユーザー層の補正を経て、トラフィックの全体像を浮かび上がらせるという。 こうしたユーザーの行動履歴データは、プラ
C++ における整数型の怪と "移植性のある" オーバーフローチェッカー (第1回 : 整数型の怪と対策の不足) - Qiita
はじめに 整数型の取り扱い (表現可能な値の範囲を超える "整数オーバーフロー" を防ぐなど) は、セキュリティ上の問題を避けるために、そうでなくとも予期しないバグを避けるために (頻繁に!) 注意しなければならないことだと言えるでしょう。 整数オーバーフローは、特に C/C++ においては深刻な脆弱性の原因になりがちです。昨年界隈を騒がせた Android の Stagefright としてくくられている複数の脆弱性のうち大部分は、この整数オーバーフローが原因となっています。 ただ、C++ における整数型は、実に奇妙です。その奇妙さの結果、C++ において整数オーバーフローを防ぐことは非常に難しいことが……あまり知られていません。というわけで、数回に分けて C++ における整数型 (特に符号付き整数型) の仕様とその奇妙なところ、何故整数オーバーフローチェックが難しいのか、それでもどうや
「かざすだけ認証」も可能に、個人番号カードの技術仕様を知る
前回は、個人番号カードのICチップ機能、特にその目玉である公的個人認証サービスの主な機能を紹介した。今回は、住基カードと比較した公的個人認証の技術仕様の変更点について、新たに搭載された「PINなし認証」を中心に解説する。 暗号強化、個人認証の電子証明書は2種類に 個人番号カードのICチップにインストールされる公的個人認証アプリは、住基カードで使われた同アプリのアップデート版である。このアプリの中に、個人を認証するための電子証明書が組み込まれる。 住基カードにおける電子証明書は、カード自体の発行とは別に、証明書の発行を申請した個人にのみ発行する、いわば「オプトイン型」の発行だった。 個人番号カードでは、カード交付申請書にある「電子証明書の発行を希望しない」の欄にチェックを入れない限り、電子証明書が自動的に組み込まれる「オプトアウト型」になる(図1)。
個人番号カードが提供する「新・公的個人認証」の破壊力
「個人番号カードの公的個人認証サービスを使える民間サービスの業態に、制限はありません。オンラインバンキングからネットゲームまで、ほぼ『なんでもあり』です」。総務省自治行政局住民制度課 企画官の上仮屋尚氏はこう強調する。 マイナンバー制度が始まる2016年1月から、希望者に無償で配布される「個人番号カード」(図)。その最大の目玉は、カード内のICチップに埋め込まれた電子証明書を使って個人を認証する公的個人認証サービスが、総務大臣の認定を前提に、民間企業にも開放されることだ。 公的個人認証サービスは、元々は住民基本台帳カード(住基カード)に組み込まれる形で、2004年1月から始まった。とはいえ、用途が行政サービスに限られていたこともあり、用途の開拓はあまり進まなかった。個人向け用途では、国税電子申告・納税システム(e-Tax) の確定申告用に使われるのがせいぜい。発行された電子証明書は、201
セキュリティ・キャンプ全国大会2015資料まとめ - 葉っぱ日記
セキュリティ・キャンプ全国大会2015の講義で使用された資料のまとめ。公開されていない講義が多いので、すべての講義資料があるわけではありません。随時追加。 高レイヤートラック Webプラットフォームのセキュリティ JavaScript難読化読経 HTTP/2, QUIC入門 SSL/TLSの基礎と最新動向 フレームワークに見る Web セキュリティ対策(これからのWebセキュリティ) これからのWebセキュリティ フロントエンド編 クラウドセキュリティ基礎 バグハンティング入門 解析トラック 仮想化技術を用いたマルウェア解析 講義内容 TOMOYO / AKARI / CaitSith ハンズオン(アクセス解析初級・中級) セキュリティ・キャンプ全国大会2015でのマルウエア分析講義(2015-09-10) チューター発表 「脆弱性をみつける」から「脆弱性をなくす」へ カーネル空間からのセ
フェイスブックの位置情報追跡の薄気味悪さを実証したハーバード大生がインターン内定取消しに
フェイスブックの位置情報追跡の薄気味悪さを実証したハーバード大生がインターン内定取消しに2015.08.14 10:205,121 satomi フェイスブックで働きたかったら、悪いことは言わないから、本家の痛いところは突かないことです…ぶるぶる…。 同社にインターン内定が決まっていたハーバード大生が、位置情報共有設定の不備を指摘したら、感謝されるどころか内定が取消しになってしまったようですよ? 学生の名前はAran Khanna君。Khanna君はインターン開始まで待ってられなくなって、同社がAndroid版Messengerでユーザーの位置情報を集めていることを実証するChrome拡張機能を作ってみました。 フェイスブックはデフォルトの設定のまま使うと、MessengerのAndroidアプリで同じスレにいる全員に自分の詳しい位置情報が知れてしまうんです。フェイスブックで友達じゃない人
Lenovoのファームウェアがファイルシステムを改ざんするクソ仕様なので絶対に使ってはいけない
最近のLenovoのBIOSのアップデートに以下のものがある。 Lenovo Newsroom | Lenovo Statement on Lenovo Service Engine (LSE) BIOS この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoft Windows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。 などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的にどんな脆弱性だったのか。驚くべきバカなことが行われていた。 Lenovo G50-80 dialog box - Ars Technica OpenForum Windows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoの
圧縮ソフト「Lhaplus」に危険な脆弱性、悪質ファイルを読み込むと被害に
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2015年4月9日、ファイル圧縮・展開ソフト「Lhaplus(ラプラス)」に新たな脆弱性が2件見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性などがある。対策は、最新版「Lhaplus 1.72」へのアップグレード(画面)。 今回明らかにされた脆弱性は2件。1件は、圧縮ファイルの処理に関する脆弱性。細工が施された圧縮ファイルを展開するとバッファオーバーフローが発生し、中に仕込まれた任意のプログラムを実行される恐れがある。 もう1件は、展開するファイル名の処理に起因するディレクトリトラバーサルの脆弱性。名前を細工されたファイルを展開すると、任意のファイルを作成されたり、既存のファイルを上書きされたりする危険性がある。 対策は、最新版
秀まるおのホームページ-ニュースリリース(秀丸エディタの脆弱性について)
平素は、秀丸エディタをご利用頂きありがとうございます。 秀丸エディタについて、いわゆる脆弱性のバグの連絡をいただいたので、それについて報告させていただきます。 脆弱性の内容: 特別に細工された.hmbookファイルを「プロジェクトを開く」にて開いた場合、 任意のコードを実行できます。(送っていただいたサンプルの例ではcalc.exeを実行することが出来る) 注:「ファイル」メニューの「開く」では問題は起きません。 対策: 信頼できない.hmbookファイルは開かないように注意する。 または、 秀丸エディタをVersion 8.52β9以上に入れ替える。 細工されたhmbookファイルを一度開くと、以後、ファイルマネージャ枠を表示しようとするだけで毎回保護違反で落ちてしまいます。問題のhmbookファイルを削除すれば以後保護違反は出なくなります。脆弱性でご迷惑おかけしてすみませんが、よろしく
「個人情報のガラパゴス化」が日本産業を脅かす:日経ビジネスオンライン
森田 朗 国立社会保障・人口問題研究所所長 行政学者。東京大学大学院法学政治学研究科教授、東京大学公共政策大学院教授、同大学院院長、総長特任補佐、東京大学政策ビジョン研究センター長、学習院大学法学部教授などを歴任。 この著者の記事を見る
Androidの電力消費情報で居場所を『93%特定』できるとはどういう意味なのか調査メモ
Yahoo!ニュースに「電池残量で居場所「93%特定」 アンドロイドの無防備さ利用…開発者警告 (SankeiBiz)」というニュースがありました。これを読んで、「93%って一体何のことを言っているの?」と思って調べてみました。本文を読んでも、注意深く読んでいなければきっと誤解する人もいると思うので、93%とは何か、を中心に、その他調べたことをここにメモしておきます。 ※この記事中で「論文」と言ったら、Michalevsky, Y. らの「PowerSpy: Location Tracking using Mobile Device Power Analysis」のことです。リンク先では、無料で本文が読めます(英語)。ちなみに、SankeiBiz中には論文タイトルなどは出てきませんでしたが、MITの記事には論文へのリンク、WIREDには、埋め込みがありました。ちなみに、論文を全文読んだわけ
How Malware Can Track Your Smartphone Without Using Location Data
Location data is closely guarded by many smartphone users. Nobody wants to think they are being tracked even though they carry the technology to do so in their own pockets. That’s why the Android and iOS operating system prevent third party apps from accessing location data without the specific permission of the user. But it turns out that malware can track you anyway, without this data. Today, Y
Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか?
Lenovo製PCにアドウェア「VisualDiscovery(通称:Superfish)」が潜んでいるという事がサポートフォーラムで問題視されましたが、どうやらSuperfishは単なるアドウェアというわけではなく、悪意のある攻撃者によってやりたい放題される危険を持つ超絶セキュリティホールであったことが判明しています。 Lenovo Turns Off Superfish PC Adware Following Customer Complaints - Personal Tech News - WSJ http://blogs.wsj.com/personal-technology/2015/02/19/lenovo-turns-off-superfish-pc-adware-following-customer-complaints/ Superfish問題の発端については以下の記事
Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-01-28 10:04 クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである「GHOST」(CVE-2015-0235)を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでにパッチを公開している。 このセキュリティホールは、glibc-2.2(2000年11月10日にリリース)を使用してビルドされたすべてのLinuxシステムに存在する。Qualysによれば、このバグは実際には、2013年5月21日にリリースされた、gl
Going dark
Going darkJust as the threat of terrorism is increasing, the ability of Western security agencies to defeat it is declining OVER the past decade Western security agencies have been remarkably successful in keeping jihadist terrorists at bay. Put it down to diligence, surveillance technology, financial resources, the manageable numbers of potential terrorists and, often, good luck. The spooks have
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報セキュリティ10大脅威 2015年版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
