CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて
昨年2014年は、SSL(Secure Sockets Layer)とTLS(Transport Layer Security)というプロトコルがリリースされてから20年が経過し、HeartBleedやPOODLEなどの脆弱性でも話題となった年でもありました。今回の10分講座では、SSL/TLS暗号通信プロトコルの動向を紹介します。 SSL/TLSとは SSL/TLSは最も普及している暗号通信プロトコルの一つで、TCP/IPの4レイヤーモデルのトランスポート層とアプリケーション層との間に位置するため、広く使われているHTTPばかりでなく、SMTPなど任意のプロトコルを安全に送受信する目的で使用することができます。特にWebにおいて暗号通信機能を提供できるようになったことにより、オンラインショッピング、オンラインバンキングやユーザー認証を必要とする各種オンラインサービスの普及に重要な役割を担
NHK プロフェッショナル 仕事の流儀。昨晩は国内トップのサイバーセキュリティ技術者として名和さんを追った内容でした。 第277回 2015年9月14日放送 不屈の“トップガン”、サイバー攻撃に挑む サイバーセキュリティー技術者・名和利男 多くの情報はモザイクがかかっていたのですが、名和さんが情報収集するシーンが一部紹介されていました。名和さんがどのように集めているのか興味があり、部分的ではありますが凝視した結果をメモします。 タクシーでの情報収集 番組開始11分ぐらいでタクシーの車内でスマートフォンを見ながらセキュリティ記事を読み込むシーンが放送されています。RSSリーダー「feedly」のAndroidアプリを使って記事を読み込まれているようです。キャッチアップをするために1日あたり少なくとも500記事の読み込みを行っているそうですが、主だって読んでいるのは記事の見出しだけなのか、それ
【これは約 16 分の記事です】 (2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます) 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理 :警視庁(リング切れ) この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー[日本版] ht
セキュリティリサーチャーによる脅威の報告は、その脅威が除外されたことを意味するわけではありません。むしろ、新たな脅威の登場を意味する場合が多いと言えます。 最近、筆者は、自宅のルータの DNS設定が変更されるという出来事を経験しました。この変更により、警告画面に誘導され、その内容は、かつて不正プログラム「FAKEAV」の攻撃で用いられた警告と酷似していました。自宅のインターネットルータの DNS設定は、初期設定から別の設定へ変更されていたようです。筆者が使用しているルータは、インターネット・サービス・プロバイダ(ISP)から提供されたモデムとルータの一体型です。 自宅のルータの設定が変更された可能性に気づいたことから、このルータが感染しているかを確認するための調査も行いました。HTTP を介して Webサイトを閲覧したところ、使用しているすべて端末(Windows Phoneや、iPad、
【寄稿記事】 ここ数日、Android 4.3 Jelly Bean以前のOSを搭載した全てのスマートフォンのサポートが早々に打ち切られたという誤解が広まっています。そのきっかけになったのは、13日の以下の記事だと思われます。 Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ - ITmedia ニュース Google公式発表と情報元のブログには、バージョン4.3以前のAndroid OSのサポートを終了するという情報は見当たりません。しかし、3000回以上ツイートされた上記記事の内容は不正確ではないものの、記事タイトルが古いAndroidのサポートを全て終了させるかのような表現となっています。そのため、多くの読者が勘違いさせられてしまったようです。 そして15日、この誤解に基づいていると思われるヤフーニュース個人の記事が、絶大な影響力を誇るYahoo!トピックス
この記事はPHPアドベントカレンダー2014の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に更新されました。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プログラミング言語の選択 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 セキュアプログラミング講座(アーカイブ)より引用 「PHPを避ける」とまで言われてしまったわけで、当然ながらネット界隈では炎上を起こし、現在はもう少しマイルドな表現に変わっています(参照)。 本稿では、当時のPHPの状況を振り返る手段として、この後PHPのセキュリティ機能がどのように変化
By Jimmy Smith インターネットサービスプロバイダとはインターネットへの接続環境を提供する企業のことで、日本にはOCNやYahoo! BB、eo、BIGLOBEなどが存在します。インターネットに接続するには欠かせない存在であるインターネットサービスプロバイダが、暗号化された顧客のメールを勝手に暗号化解除してしまっている、という恐るべき事態が明らかになりました。 ISPs Removing Their Customers' Email Encryption | Electronic Frontier Foundation https://www.eff.org/deeplinks/2014/11/starttls-downgrade-attacks ここ数ヶ月の調査により、アメリカやタイのインターネットサービスプロバイダは、通信プロトコルを暗号化通信に拡張するための「STARTT
http://anond.hatelabo.jp/20141106161928 はてブにも書いたのだけど、一応増田にもメモしておく。 st-hatena.com の結果は a.st-hatena.com の結果と一致するhttp://www.google.com/safebrowsing/diagnostic?site=st-hatena.com st-hatena.com の現在の状況 現在のところ、このサイトは疑わしくないと認識されています。 Google がこのサイトを巡回したときの状況 このサイトで過去 90 日間に Google がテストした 2542 ページのうち 122 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2014-11-06 で、このサイトで不審なコンテ
各位 JPCERT-AT-2014-0037 JPCERT/CC 2014-09-25(新規) 2014-10-08(更新) <<< JPCERT/CC Alert 2014-09-25 >>> GNU bash の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140037.html I. 概要 GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU bash の環境変数に設定される環境において、遠隔の第三者によって任意のコー ドが実行される可能性があります。 ** 更新: 2014年9月30日修正 ***************************************** 本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの GNU bash を使用している場合は、「III. 対策」を参考に、
環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに Tweet 2014年9月25日 嶋田大貴 この記事は2014年のものです 朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。 /hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。 #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w
セキュリティ関係者が一堂に会するBlack Hatカンファレンス。近年はモバイルデバイスやスマートホームといった私たちの身近にあるものも取り上げられるようになりました。今年のカンファレンスの様子をお届けします。 ラスベガス発 – 毎年、8月の初めに世界中のセキュリティコミュニティ、ハッカーコミュニティがネバダ州ラスベガスに向けて巡礼を始めます。目的はBlack Hatをはじめ、DEF CON、B-Sidesなどのカンファレンスで構成されるセキュリティサマーキャンプへの参加です。Black Hatは歴史的にビジネスセキュリティがメインのカンファレンスなのですが、次第にコンシューマーの方を向くようになっており、スマートホーム、重要インフラ、モバイルデバイスなど、インターネットに接続されているものを標的にした攻撃に関するセッションが増えてきました。 全面開示:列車のハッキングに関するセッションは
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
「各社員の PC の Windows の管理者パスワードは 16 文字くらいの複雑なものにしているので、たとえ 1 台の PC の HDD から NTLM ハッシュ (MD4 ハッシュ) が盗まれてもブルートフォース攻撃で元のパスワードは導出できず、安全だ。」と考えて、多数の各社員の PC に同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか 1 台の PC から管理者パスワードの MD4 ハッシュが攻撃者に読み出された時点でアウトである。攻撃者にとって不正ログインに必要なのは MD4 ハッシュのみであり、平文パスワードを逆算する必要はない。MD4 ハッシュの入手に成功した攻撃者は、企業内で同一の管理者パスワードが設定されてある他の PC すべてに管理者権限で侵入することができるようになる。現状、企業の情報システム部門は、多数の社員用の Windows
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
本文書は、Windows Server World誌に寄稿した記事の原稿を、IDGジャパン編集部殿の許可を得た上で掲載したものです。 日夜不正アクセスと戦い続けるシステム管理者にとって、憎むべき敵は必ずしも外部の第三者とは限らない。さまざまな不正アクセス手法や、それを実現するためのツールが簡単に手に入る今日では、社内の一般ユーザが何らかの目的を持って、突如社内システムに対する攻撃を始めたとしてもなんら不思議ではない。 特に社内ネットワーク環境は、利便性を優先させるがためにセキュリティがおろそかになっている場合が多い。これはネットワークセキュリティに限らず、入退室等の物理的なセキュリティにもいえる。 社内的な不正アクセスにはさまざまな動機が考えられる。単なる出来心や好奇心の場合もあるだろうし、会社や上司に対する不満が引き金になることもあるだろう。あるいは明らかに金銭目的で機密情報を入手しよう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く