フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満..デスク配線がスッキリ。Ankerの全部入り12 in 1モニタースタンドが突然8,250円OFFされてた #Amazonセール
![フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満..](https://cdn-ak-scissors.b.st-hatena.com/image/square/2dcc38c5df0e68a45beeccb3b8264bf842d11f73/height=288;version=1;width=512/https%3A%2F%2Fwww.lifehacker.jp%2Fimages%2Fogp.png)
「Android Marketに偽バンキング・アプリ」、F-Secureが警告
セキュリティ・ベンダーのF-Secureは2009年1月11日(現地時間)、「Android Marketに不正アプリケーションの可能性がある偽バンキング・アプリケーションが登録されていた」と警告した。該当アプリケーションはすでに削除されているという。 F-Secureによれば、09Droidという名称のユーザーにより、Bank of America、Royal Bank of Canada、Wells Fargo、City Bank Texas、Bayport Credit Unionなど少なくとも40の金融機関の名称をつけたアプリケーションが登録されていた。 「これらのアプリケーションは、銀行自身が開発したものでも、認可したものでもない」(F-Secure)。F-Secureでは、これらのアプリケーションを入手していないため、実際に何をしたのかについては不明としていが、これらのアプリケ
Androidマーケットに偽バンキングアプリが登録。
セキュリティベンダーのF-SecureがAndroidマーケットに不正アプリケーションの可能性がある偽バンキング・アプリケーションが登録されていると警告を発表しました。 「09Droid」という名称のユーザーにより、Bank of Amerika、Royal Bank of Canada、Wells Fargo、City Bank Texas、Bayport Credit Unionなど40もの金融機関の名称がついたアプリケーションが登録されていたようです。 「Android Marketに偽バンキング・アプリ」、F-Secureが警告 – ニュース:ITpro これらの偽バンキング・アプリケーションでは、ユーザーのパスワード等を盗む事などができたとのこと。 一度利用したユーザーは必ず該当アプリケーションの削除をし、パスワードなどログイン情報を変更した方が良いですね。 Androidマーケ
KeePass Password Safe
This is the official website of KeePass, the free, open source, light-weight and easy-to-use password manager. Latest News KeePass 2.57.1 released 2024-10-08. Read More » KeePass 2.57 released 2024-06-01. Read More » KeePass 2.56 released 2024-02-04. Read More » KeePass 1.42 released 2024-02-01. Read More » [News Archive] Why KeePass? Today, you have to remember many passwords. You need a password
[ThinkIT] 第3回:SQLインジェクションの注意点 (1/3)
データベースを扱う時に考慮しなければならない最後の問題は、おそらくアプリケーションのデータベースに対する認証情報、つまりデータベースアクセスを許可するログイン情報やパスワードをどうやって保持するのか、ということではないでしょうか。ほとんどのアプリケーションではPHPの小さな設定スクリプトを使ってログイン名やパスワードを変数に割り当てています。 このような設定ファイルが、サーバ利用者が自由にアクセスして読めるような状態になっていることが(専用ホストでないなら)よくあります。しかし誰にでも読めるということは、同じシステム上の誰でも、または悪質なスクリプトがそのファイルを読み、データベースログインに必要な情報を盗めてしまうということです。 さらに悪いことに、多くのアプリケーションではこのファイルはウェブ上から閲覧可能なディレクトリに置かれており、.incのようなPHPファイルと認識されない拡張子
[ThinkIT] 第2回:クエリを使用したSQLインジェクション (1/3)
しかし、エスケープ関数を使えばいつでもデータの安全性が保障されるわけではありません。あるクエリに対しては、エスケープを適用した後でもSQLインジェクションを許してしまいます。Int型の値をとることを想定した次の場合について考えてみましょう。 $id = "0; DELETE FROM users"; $id = mysql_real_escape_string($id); // 0; DELETE FROM users mysql_query("SELECT * FROM users WHERE id={$id}"); Int型の時は、値をシングルクォートで囲う必要がありません。そのため、セミコロンでクエリが分割され、SQL文を不正に入れることができます。セミコロンには'特別'な意味はないため、データベースのエスケープ関数にもaddslashes()にもスルーされてしまいます。 この問題に
[ThinkIT] 第1回:SQLインジェクションによるデータベース操作 (1/3)
SQLインジェクションでは、クエリなどの任意データを、データベースが実行するSQL文に挿入します。挿入されたクエリは、意図しないデータを検索したり、データベースの情報を変更したり削除したりするというように、様々な操作をデータベースに行います。問題を実証するために次の例を見てみましょう。 // 問題を実証するための入力 $name = "ilia'; DELETE FROM users;"; mysql_query("SELECT * FROM users WHERE name='{$name}'"); 上記の関数内では、ユーザが指定した名前とnameカラムの値が一致したデータをusersテーブルから取り出すことを想定しています。普通、$nameには、iliaといった文字列のように、アルファベットとスペースからできた文字列が格納されています。 しかしここでは、$nameにまったく新しいクエリ
SQLインジェクションとは何か?その正体とクラッキング対策。
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
猛威を振るっている「Gumbler (ガンブラー)」対策 - Snufkinski Memo
年始早々からテレビのニュースや新聞等で「Gumbler (ガンブラー)」ウィルスの報道が相次いでいますね。 大手企業などのホームページが改竄され(国内だけで少なくとも3500サイトが感染、被害拡大中)、閲覧しただけでウィルスに感染するという厄介なヤツです。 JPCERTからは2010-01-07 19時過ぎに下記の内容がメール配信されました。 Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起 抜粋しますと、 ウィルスを仕込まれたホームページを閲覧したユーザが、以下のソフトウェアの脆弱性をつかれてウィルスに感染するようで、対応したアップデートが必要となるようです。 ・Adobe Flash Player ・Adobe Acrobat ・Adobe Reader ・Java(JRE) ・Microsoft 製品 また2009-12-24には先見の明なのか上記に
エフセキュアブログ : 間違いだらけのGumblar対策
間違いだらけのGumblar対策 2010年01月12日11:50 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。 Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか? A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。 修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版
盗んだID販売目的か 感染広がる「ガンブラー」 (1/3ページ) - MSN産経ニュース
JR東日本やホンダなど大企業のホームページ(HP)が次々に被害にあった「ガンブラー・ウイルス」は、国内で少なくとも3500サイトで感染が確認されている。警視庁ハイテク犯罪対策総合センターは、不正アクセス禁止法違反容疑で捜査を始めた。専門家らからは「企業HPの管理用IDなどを盗み出して売りさばくのが目的では」との指摘もあがっている。 ガンブラー・ウイルスによる被害は、ハッカーがウイルスなどを使って企業のHP管理用IDとパスワードを入手し、そのHPを改竄(かいざん)することから始まる。改竄されたHPは閲覧したユーザーを別の不正なHPに誘導し、さまざまなウイルスをパソコンに勝手にダウンロードさせてしまう。不正なHPが、ディスプレー上に表示されないのも特徴だ。 セキュリティー会社「セキュアブレイン」(東京)によると、これまでに確認された同ウイルスの多くは、HP管理用IDとパスワードを外部に流出させ
NTTなど、公開鍵暗号の素因数分解問題で768ビット整数の分解に成功
NTT情報流通プラットフォーム研究所は2010年1月8日、RSA暗号に代表される公開鍵暗号で安全性の根拠となる「素因数分解問題」において、欧州の研究機関と共同で768ビット整数(10進数表示では232桁)の素因数分解に成功したと発表した(写真1)。今回の成果は、鍵長768ビットの公開鍵暗号がどのくらいの計算能力と時間をかければ解読できるのかという安全性の指標を数量的に示したことにある。 分解に成功したのはNTTのほか、スイス連邦工科大学ローザンヌ校(EPFL)、ドイツのボン大学、フランスの国立情報学自動制御研究所(INRIA)、オランダの国立情報工学・数学研究所(CWI)。今回の分解法は一般数体篩(ふるい)法と呼ぶもので、どのような整数の素因数分解にでも適用できる方式である。 分解に要した計算資源は1700コア・年としている。デュアルコアのCPUを搭載したコンピュータなら、850台程度あれ
NTTら、768ビット合成数を一般数体篩法にて完全分解に成功 | エンタープライズ | マイコミジャーナル
NTTは1月7日、スイス連邦工科大学ローザンヌ校(EPFL)、独ボン大学、フランス国立情報学自動制御研究所(INRIA)、オランダ国立情報工学・数学研究所(CWI)との共同研究により、素因数分解問題において、従来の世界記録である663ビット(10進200桁)を上回る、768ビット(10進 232桁)の合成数に対して、一般数体篩法による素因数分解を達成したことを発表した。 現在、公開鍵暗号として用いられているRSA暗号は素因数分解の難しさを安全性の根拠としているため、素因数分解可能なビット数の検証はRSA暗号の安全性、強度の有効性を予測する上で重要なものとなっている。 NTTらは今回、700ビットを超す素因数分解を達成したが、これは将来的にRSA暗号で使われている1024ビットの素因数分解も達成される可能性があることを示唆することとなり、より高い強度かつ効率的な暗号技術を利用する必要性が高ま
今話題の不正プログラム「ガンブラー」は、どんな振る舞いをするのか? | エンタープライズ | マイコミジャーナル
ここ数日、大手企業での感染報告が相次ぎ、新聞紙上をにぎわしている「ガンブラー」(JS_GUMBLAR)。トレンドマイクロの発表によると、2009年12月の不正プログラム感染被害報告数ランキングで4位(33件)となっており、現在、まさに猛威をふるっている最中だ。 説明を行った、トレンドマイクロ Threat Monitoring Center 課長の飯田朝洋氏 さまざまな報道を耳にし、「感染しないよう注意しなければ」と気を引き締めている方も多いと思う。しかし、このプログラムがどのような振る舞いをするのかを把握している方がどれだけいるだろうか。 実はこのガンブラー、他の種類の不正プログラムを呼び出すなど、セキュリティ分野に明るくないユーザーには想像がつかないような動きをする。しかも、目立たぬかたちで活動するため、知らなければ、おそらく感染してもまったく気づくことはないだろう。 そこでここでは、
経験者は語る、Googleアカウントのハッキング被害から学んだ10のこと | ライフハッカー・ジャパン
デジタル系ブログメディア「Digital Inspiration」では、Google/Gmailアカウントをハッキングされてしまった筆者が、実体験を元に学んだセキュリティ術を紹介しています。 正確にはどうやってパスワードが破られたのか不明ながら、ハッキングに気づいた筆者はすぐにTwitter上で他のユーザのヘルプを求めたそうです。彼らの情報に従い、そのアカウントの所有者であることを認証してもらうためGoogle復旧要請フォームに必要項目を入力し、オンライン提出した後、Googleと何度かやりとりした末、3時間かけてようやくアカウントの復旧にこぎつけたのだとか。 この苦い経験から学んだポイントとして、以下の10点を挙げています。 その1: Google/Gmailアカウントにログインし、電話と連携させておく。こうすれば、第三者が自分のGoogleパスワードを回復させようとしている都度SMSテ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
サービス終了のお知らせ
サービス終了のお知らせ
PC
日経BP
