タグ

securityに関するLoLoのブックマーク (21)

  • 岡田斗司夫さん「プロフィールを改ざんされた」とmixi退会

    オタク評論家の岡田斗司夫さんが3月末、mixiを退会した。プロフィールが何者かにひんぱんに改ざんされ、mixi運営事務局に理由説明や対処を求めたが対応が不十分だったため、事務局を信頼できなくなり、退会を決めたという。 岡田さんが退会直前に更新したmixi日記によると、「mixiのプロフィールが何物かに無断で改ざんされる事態が続き、頻繁にパスワードを変えても改ざんされた」という。 岡田さんは事務局に知らせ、対応を求めたが、「対処や理由説明もなく、突っ込んだ質問をしたら返信そのものがなくなった。『原因は分からない』『調べようがない』という答えしかなかった」ため、「mixi運営事務局そのものが信頼できなくなった」としている。 ミクシィの広報担当者は「岡田さんには、共有のPCなどでmixiを利用した際、ログアウトをし忘れたりしていないかのチェックや、パスワードの変更など、必要な案内は行った。不正ア

    岡田斗司夫さん「プロフィールを改ざんされた」とmixi退会
  • mixiハッキング問題:妥当な反応の範囲内

    http://zapanet.info/blog/item/1584 某ダイエット等で有名な方が、「mixiのプロフィールが改ざんされる」とmixi運営局に問い合わせました。返答は、 「原因はわかりません」 「調べようもありません」 だそうです。 1度だけの改ざんなら、たまたまパスワードがばれた、漏れたということも考えられます。ところが、数ヶ月の間に何度も頻繁にパスワードを変えたのにもかかわらず、何者かの手によって何度もプロフィールが改ざんされたそうです。 ソフトウェア技術者ですが、ぶっちゃけて言えば、mixiの回答は、妥当な反応の範囲内だと思います。なぜなら、「その『某ダイエットで有名な方』に非常に近い方(家族や親友)が、いたずらでやっている」可能性が最も高いからです。具体的には: 直にパソコンに触れる方(家族など)が、人が寝ている時に改ざんしている人のパソコンに、キーロガー(キー入

    mixiハッキング問題:妥当な反応の範囲内
  • DNSキャッシュポイズニング対策:IPA 独立行政法人 情報処理推進機構

    資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。 第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。 第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。 第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。 第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。

    DNSキャッシュポイズニング対策:IPA 独立行政法人 情報処理推進機構
  • SSLを過信していませんか――ネットバンキングに潜む誤解とは

    数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、IT初心者の日常生活に潜む情報セキュリティの危険や対策を毎週土曜日に解説しています。 過去の連載記事はこちらで読めます! 今日はネットバンキングとネット決済の利用について、初心者が注意すべき点を紹介しましょう。必要と思われる点をすべて網羅するのは大変ですが、ここでは特筆すべき点と実際に初心者が被害にあったケースを解説します。 「フィッシング詐欺」はもう知っていますか? ネットバンキングやネット決済の分野で、世界的に相当な件数の被害が発生しているのが「フィッシング」と呼ばれる行為です。日は漢字圏(2バイトコードの文化)という特殊性があり、いまだに一般にはなじみの少ない行為ですが、英語圏など海外では深刻な問題に発展している国もあります。 フィッシング詐欺の仕組みはさまざまですが、一般

    SSLを過信していませんか――ネットバンキングに潜む誤解とは
    LoLo
    LoLo 2009/01/14
    分かりやすい記事。
  • 高木浩光@自宅の日記 - 行動ターゲティング広告の暴走を止められるか(日記予定)

    ■ 行動ターゲティング広告の暴走を止められるか(日記予定) 先週、NIKKEI NETに寄稿した記事が掲載された。 行動ターゲティング広告はどこまで許されるのか, 高木浩光, NIKKEI NET, インターネット-最新ニュース, 2008年10月16日 今日は時間切れなので詳細は来週あたりに書くことにして、以下関連資料。 前半について: Edward W. Felten and Michael A. Schneider, "Timing attacks on Web privacy", Proceedings of the 7th ACM conference on Computer and communications security, pp.25-32 (Nov 2000) Ari Juels, "Targeted Advertising ... And Privacy Too",

  • Security in Depth: Local Web Pages

    $200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81

    Security in Depth: Local Web Pages
  • Appleがウイルス対策ソフトの利用を奨励

    Appleがこれまでの姿勢を転換し、Macユーザーにウイルス対策ソフトの利用を促す告知をサイトに掲載した。 12月2日に更新された告知(米国版)ではMac OSユーザーを対象に「Appleは複数のウイルス対策ユーティリティの利用をお勧めします」と明言。ウイルス対策ソフトウェアを複数利用すれば、ウイルスの作成がそれだけ難しくなると指摘している。 具体的な製品として、米国版では「Intego VirusBarrier X5」「Symantec Norton Anti-Virus 11 for Macintosh」「McAfee VirusScan for Mac」の3製品を紹介した。ウイルス対策ソフトウェアメーカーのIntego Softwareは、「Appleが初めて、Macにもウイルス対策ソフトが必要だと提言した」とブログで宣伝した。 Integoは、MacWindowsを比較するAp

    Appleがウイルス対策ソフトの利用を奨励
  • 楽天メールマガジン情報漏洩の話・続き | 水無月ばけらのえび日記

    更新: 2008年10月1日 楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。 楽天市場から届くメールを毎回配信停止にしても、次から次へとメールが届くのですがどうすれば届かないようになりますか。 (~中略~) 私は、毎日ここで一発で「配信停止」をしています。 http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi...​ 以上、楽天市場について -OKWave より イタタタタ……。 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す

  • 実践!SixDegree > Find Job!のデータが携帯で丸見えな件について : ITmedia オルタナティブ・ブログ

    挑発的なタイトルですが、運営元のミクシィだけを非難するつもりはありません。一般論として、ネットって、ほんと危ないなぁ、と思ったので淡々と事実だけ投稿します。 実はワタクシ就職活動をしておりました、つい最近まで。この話はまた後日改めて。 ご存知ない方のために説明すると、Find Job!はIT系企業を中心とした求人情報サイトです。運営会社はミクシィですが、社名がまだイー・マーキュリーだった頃から開かれていました。 サイトに自分のプロフィールや職務経歴を登録して、求人企業への応募をクリックで簡単に行えるシステムです。そこで私もせっせと応募して、面接日時のやりとりなどを志望する企業と、Web上のメッセージ・システムで行っていました。携帯対応は謳われていませんでしたが、外出先でも携帯電話でメッセージを読めるのがとても便利でした。 ですが、ある日、Find Job!にアクセスしてみると、メッセージの

  • PCIDSSセミナー(2008年7月17日)レポート SCS住商情報システム株式会社

    7月17日(木)、「PCIDSSセミナー (今、なぜPCI DSSが注目を浴びるのか?その答えお教えします)」 を開催いたしました。当日はご多忙の中、多くの方々にご参加いただき、大盛況のうちに終了する事ができました。誠にありがとうございました。 ページでは、当日使用した資料をご案内させて頂きます。 以下の項目をご入力いただき、確認ボタンを押して頂ければ、確認画面送信後、入力頂いたMailアドレス宛にダウンロードページのURLをご案内する確認Mailが届きます。 尚、“※”個所につきましては、必ずご入力ください。

  • 携帯で端末ID詐称は可能かもしれない話

    この記事は移動しました URL: http://blog.rocaz.net/cgi/article.cgi?t=2007/02/26T11:03:00

    携帯で端末ID詐称は可能かもしれない話
  • 高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者

    馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに

  • Meet ratproxy, our passive web security assessment tool

    The latest news and insights from Google on security and safety on the Internet Anonymous said... This comment has been removed by a blog administrator. July 7, 2008 at 12:13 PM Unknown said... Spammer >:-@ July 8, 2008 at 9:24 AM Dinesh Venkatesan said... This is an excellent initiative. Hats off!! July 15, 2008 at 4:54 AM Tomcat Sabre said... Great product. WHere can I find information on the cu

    Meet ratproxy, our passive web security assessment tool
  • ICANN公式サイトが乗っ取り被害、別のサイトにリダイレクト

    インターネットのドメイン管理組織ICANNとIANAの公式サイトのドメインが乗っ取られる事件が起きた。SANS Internet Storm CenterやWebsenseなどのセキュリティ各社が伝えた。 ドメインを乗っ取ったのは「NetDevilz」を名乗るトルコの組織。被害に遭ったICANNとIANAのサイトをユーザーが訪れると、別のサイトにリダイレクトされる状態になっていた。 リダイレクト先のサイトには、「You think that you control the domains but you don’t! Everybody knows wrong. We control the domains including ICANN! Don’t you believe us? haha :) (Lovable Turkish hackers group)”」(ドメインをコントロール

    ICANN公式サイトが乗っ取り被害、別のサイトにリダイレクト
  • “解読不能”の新暗号の記事について、いつくかのお詫び ― @IT

    先週末の金曜日に掲載した「『解読不能は数学的に証明済み』、RSAを超える新暗号方式とは」がアクセスランキングの2位に入っているが、はてなブックマークやブログで、たくさんのご指摘、ご批判をいただいた。取材、執筆したニュース担当記者である私(西村賢)はいくつかお詫びしなければならない。 1つは記事タイトルや冒頭の記述だけを見ると、まるで確定事項のように見えること。アルゴリズムの公開や検証が済んでいないので「原理的に解読不能と主張する研究者が現れた」と書かなければならないところだった。記事の末尾で「CAB方式は、まだ実績がなく事実上未公表の技術だ。情報が公になっていくにつれて、専門家たちがどう反応するかは未知数だ」と書いたときには、今後アルゴリズムが公表されてすぐに理論的な瑕疵が見つかる可能性があるという意味のつもりだったが、誤解を与える記事構成だった。 アルゴリズムを非公表にしたまま「解読不能

  • Engadget | Technology News & Reviews

    Anker's 3-in-1 MagSafe foldable charging station drops back down to its Prime Day price

    Engadget | Technology News & Reviews
  • Amazonもアレだが、Googleのウェブ履歴もアレだという話は出ないのか - @katzchang.contexts

    Amazonのほしい物リストは公開されるものだ、と気付いてなかった俺です。わかり難過ぎです。*1 ところでgmailのアカウントを持ってる老若男女も多かろうと思うけど、あなたのあんな検索やこんな検索は全部履歴管理されてるって知ってました?あんまり話題に出ないけど、有名な話なんだろか? http://www.google.com/history/ これで、みんなの機密性の高い情報もGoogleにバレバレだね。特に性的なやつとか。 追記 んー、やっぱりちょっと雑なので、再考します。コメント頂きありがとうございました。>通りすがりさん、2号さん *1:これにも注意→http://d.hatena.ne.jp/Hamachiya2/20080312/amazon

    Amazonもアレだが、Googleのウェブ履歴もアレだという話は出ないのか - @katzchang.contexts
  • 高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る

    Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読のをお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が

    LoLo
    LoLo 2008/03/13
  • Macユーザー向けウイルス対策サイトに「Macウイルス」が大量投稿

    図1 ウイルス対策サイトに投稿された、「ウイルスサイト」に誘導する画像例(米サンベルトソフトウエアの情報から引用) セキュリティ企業の米サンベルトソフトウエアは2008年3月10日、Macユーザー向けのウイルス対策サイトに、「Macウイルス(Mac OSで動作するウイルス)」が置かれたサイトに誘導するアダルト画像が大量に投稿されていることを報告した。誘導先のサイトでは、ウイルスをコーデック(動画の再生に必要なプログラム)に見せかけて、インストールさせようとする。 今回サンベルトソフトウエアが報告したのは、「MacVirus.org」というウイルス対策サイト。同サイトには、Macウイルスに関する情報やニュースが掲載されている。Macウイルスに関する情報を自由に投稿できる掲示板(フォーラム)も用意している。この掲示板に、Macウイルスが置かれたサイトに誘導するアダルト画像などが投稿されていた。

    Macユーザー向けウイルス対策サイトに「Macウイルス」が大量投稿
    LoLo
    LoLo 2008/03/12
    うげー
  • 変形文字「CAPTCHA」はもう無意味?

    Webサービスの認証などに利用される変形文字のCAPTCHAはユーザーの妨げになるだけで、不正アカウント取得を防ぐ役には立たなくなったのか。 Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。 セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。 IBM傘下のセキュリティ企業Internet Security Systems(ISS)のガンター・オルマン氏は2月25日のブログでこうした現状について紹介。CAPTCHAはかつてはいいアイデアだっ

    変形文字「CAPTCHA」はもう無意味?
    LoLo
    LoLo 2008/02/27
    次の防御策は?