日立社員が国会図書館の入札情報などを不正取得、管理者権限を悪用
国立国会図書館は2014年5月15日、国会図書館のネットワークシステムの運用管理業務を委託した日立製作所の社員が同図書館の業務サーバーに侵入して、同図書館の内部情報を不正に取得していたことが分かったと発表した。日立社員による不正取得は2011年から始まっており、同図書館が実施するシステム開発の入札に関わる他社提案書や参考見積もりなども取得していたという。 日立社員による不正は2014年3月27日に発覚した。国会図書館のネットワークシステムの運用管理を担当していた日立社員(システムエンジニアで肩書きは技師)は、国会図書館から貸与されたPCを使って運用管理業務に当たっていた。その日、国会図書館の職員が、日立社員が使用していた貸与PCの画面を見たところ、そのPCで使用したファイル履歴に「入札に関わる資料など、日立社員が見てはならないファイル名が含まれていた」(国会図書館広報)ことから、日立社員に
中国からのハッキングやマルウェアの作成は、中国の一部の学校が実習でやっている可能性
Masanori Kusunoki / 楠 正憲 @masanork 何故こんな便乗アプリが審査を通ってしまうんだろう / “意図不明の偽アプリ続出、マツキヨもピザーラも (読売新聞) - Yahoo!ニュース” http://t.co/L11GWDLLk6 2014-03-16 11:43:49 ふるまいよしこ @furumai_yoshiko @masanork 中国人の名前ですねー。わたしも以前似たようなアプリにぶち当たったことがあります。その時思ったのは、1)クレジットカードなどの情報抜き取り、2)作ってみたー!系の腕試し、のどちらかと思いました。2)は意外にあるんです、中国の技術系の学校ではそれを奨励してることも 2014-03-16 11:46:48
朝日新聞デジタル:プリウスがハッキングされ急加速 米ハッカー祭典で実演 - テック&サイエンス
【ラスベガス=藤えりか】車載システムがハッキングされ、運転中にハンドルやブレーキが利かなくなる――。こんな事態が現実味を帯びてきた。米ラスベガスで開催中のハッカーの祭典「デフコン」で、トヨタ自動車のプリウスなどを例に専門家が手法を披露。IT化が進む車のセキュリティー強化に向け、注意を呼びかけた。 米国防高等研究計画局(DARPA)の助成を受けた米ツイッター社の研究者チャーリー・ミラー氏らが、プリウスと米フォードのエスケープを例に発表した。 ミラー氏らは車載ソフトの解析で接続に成功。運転手の意思に反して急加速やブレーキを利かせたり、ハンドルを動かしたりした。またエンジンを切り、残り少なかった燃料計を満タンとして表示させる様子などを映像とともに披露した。 続きを読む関連記事ハッカー祭典、米政府にNO NSA問題で不信感8/3〈@ラスベガス〉ハッカーの祭典で見たアナログな神業8/24レコメン
“日本の標準暗号”が10年ぶり大改定、国産暗号削減よりもRC4とSHA-1の監理ポスト入りが影響大:ITpro
図●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。ハッシュ関数は、安全性に問題がある二つの方式が削られている。(日経エレクトロニクス2013年4月15日号p.11から抜粋) 電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが公開している「電子政府推奨暗号リスト」が10年ぶりに改定された(Tech-On!の関連記事)。同リストは、日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば“日本の標準暗号”を示すリストだ。 今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた(Tech-On!の関連
「Struts 2の脆弱性を突いて不正侵入」、JINS通販サイトのカード情報漏洩
ジェイアイエヌは2013年5月1日、同社のJINSオンラインショップへの不正アクセスによる情報漏洩(関連記事1、関連記事2)についての最終報告を公表した。漏洩した可能性のあるクレジットカード情報は2059件で、これまでに20件の不正利用の申告があった。不正侵入はミドルウエア「Apache Struts 2」の脆弱性を突いて行われたという。 JINSオンラインショップでは2013年3月6日にバックドアプログラムが設置され、第三者のサーバーにクレジットカード情報が転送されるようにプログラムが改ざんされていた。同社では3月14日に不正アクセスの痕跡を発見し、通販サイトを閉鎖していた。 漏洩した可能性のあるクレジットカード情報の範囲は、2013年3月6日から3月14日の間に同社オンラインショップでクレジットカードによる購入手続きを行った顧客の情報2059件。このうち、現在までに不正利用があった旨の
国民1人一人に番号がつくらしいが マイナンバーについてどう思う? : BIPブログ
1 以下、名無しにかわりましてVIPがお送りします 2013/03/02(土) 02:06:54.48 ID:KDI1NIZC0
【from Editor】クラウドの憂鬱+(1/2ページ) - MSN産経ニュース
もう1年近く前のことだが、個人で利用していたグーグルのサービスが突然、使えなくなった。メール、書きかけの記事やメモ、写真、交流サイトで友人と交わしたメッセージ…。それらの情報すべてが、「アカウント停止」の一言で、触れることもできなくなった。利用規約に違反したためだという。そんな心当たりはない。 グーグルに違反はしていないと何度メッセージを送っても、なしのつぶてである。思い当たるのは、携帯電話で撮った写真を自動的にネットに送る「インスタントアップロード」という機能をオンにしたことだ。これとてグーグルがお勧めしてきたからオンにしたまでで、怪しい画像が含まれていたわけでもない。しかし、結局、アカウントは復活しなかった。 ネットで調べてみると、こうした憂き目にあっているユーザーは結構いるようだ。私のメールやら写真やらは、グーグルのシステムのどのへんに記録されたまま放置されているのだろうか。などと感
「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた
「UPnPに脆弱性が見つかり、危険だ」というニュースがいろいろなWebサイトに掲載されていますが、例によってまた何言ってるかよく分からない部分が多かったので、調べたことを書いておきます。 目次 1. 概要2. 日本語サイトの情報源3. 「libupnpの脆弱性」は「UPnPパケットを使ったバッファオーバフロー」4. 「WANから攻撃可能」というニュースの意味5. 「WANからのSSDPリクエストを受け付ける」ルーターとは?6. 「libupnp」と「SSDPリクエストを受け付けてしまう脆弱性」の関係について7. 「WANからのSSDPを受け取ること」自体の問題8. 何があったからニュースになった?9. 1月29日にあったこと10. 本当のニュースは「Rapid7のホワイトペーパー」の公開11. ホワイトペーパーの中身12. じゃぁどうして脆弱性情報が出たのか13. 結論:見つかったのは「脆
asahi.com(朝日新聞社):入札システム、透明性あり過ぎた 4年間丸見え 愛媛県 - 社会
印刷 関連トピックスNEC 愛媛県は12日、県発注の土木工事などに導入している電子入札システムで、入札者がパソコン画面を操作すると入札前に最低制限価格が見えてしまう不具合があった、と発表した。同システムは4年半前から使われており、県は開発したNECにシステムの修正を指示し、今後1カ月に予定されている入札を中止した。 県土木管理課によると、9日に実施された同県宇和島市での河川工事の入札で、最低制限価格と同額の入札があった。不審に思った県の担当者が応札した業者に確認したところ、「たまたま開いた画面で最低制限価格が見えた」と説明。県側が確認したところ、プログラムを表示する画面(ソースコード画面)を参照すると、800万円未満の指名競争入札と23億円以上の一般競争入札の最低制限価格(調査基準価格)が誰にでも見えるようになっていたという。 県の電子入札システムは2007年4月に全面導入され、11
[続報]全国のネットバンク不正アクセス、NTTデータと日立は「システムに問題見つからず」
地方銀行などのインターネットバンキングシステムで、この1~2カ月の間に不正アクセスなどの被害が多発している問題(関連記事)について、NTTデータや日立製作所など、銀行にネットバンキングサービスを提供するITベンダーが日経コンピュータの問い合わせに回答した。 地銀向けネットバンキングサービスの最大手であるNTTデータは、「6月末以降、複数の金融機関から『身に覚えのない取引に関する問い合わせを顧客から受けたので調査してほしい』という依頼があった」(広報)と説明する。こうした依頼を踏まえ、NTTデータは同社のネットバンキングサービス「ANSER-WEB」を利用する金融機関に対して、文書で注意を促すとともに、同社自身も不正アクセスなどの調査を開始した。 その結果、8月3日時点では「ANSER-WEBのシステムのぜい弱性を突かれて情報が漏洩した事実は確認されていない。外部からの攻撃を受けて情報が漏洩
[速報]インテルがマカフィーを買収。モバイルデバイス戦略強化の柱にセキュリティを位置づけるのが目的か
プレスリリースによると、買収後もマカフィーはインテルのソフトウェア&サービスグループの下でそのまま運営されるとのこと。 モバイルにおけるセキュリティ戦略を強化へ 買収の目的としてインテルはプレスリリースで次のように書いています。 Intel elevates focus on security on par with energy-efficient performance and connectivity. The acquisition augments Intel's mobile wireless strategy, helping to better assure customer and consumer security concerns as these billions of devices connect. インテルはセキュリティへのフォーカスを引き上げ、(プロセッサの
![[速報]インテルがマカフィーを買収。モバイルデバイス戦略強化の柱にセキュリティを位置づけるのが目的か](https://cdn-ak-scissors.b.st-hatena.com/image/square/ca0810e4b6b3ead24b6451d312016131bc72a4ae/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2Ffbico_pblky.png)
企業がIE以外のブラウザに乗り替えるべき10の理由
米MicrosoftのInternet Explorer(IE)は最近、非難の的になっている。同社は欧州連合(EU)から、Windows 7をリリースするときにIEをバンドルしないよう強い圧力をかけられている。Opera Softwareは以前から、Microsoftはユーザーがほかのブラウザをインストールするのを困難にしていると批判している。 こうした苦情に応えて、Microsoftは最近、IE 8のデフォルト設定を変えて、ユーザーがほかのブラウザを選びやすくしたと発表した。同社によると、IEは今後、ユーザーの同意なしでインストールされることも、デフォルトのブラウザになることもない。このアップデートは8月に実施される。 MicrosoftがIEの方針を変えたことは注目に値するが、このことは「企業はIEの利用を考え直すべきなのか」という疑問を提起している。Forrester Researc
Linux 2.6.30+ Local Kernel Exploit 0day, disabling SELinux/AppArmor/LSM ;)
Hello to my new vendor-sec visitors! Haven't we learned yet that the kernel can do whatever it wants? Guess not ;) Once I own the kernel (which SELinux does nothing to prevent), I just destroy everything (SELinux, AppArmor, LSM, auditing, and more!), in honor of the curse of Cheddar Bay! 100% reliable too BTW, you can exploit the same machine as many times as you like. No alerts, no warnin
韓国で大規模ハッカー攻撃 重要サイト、一時接続不能 - MSN産経ニュース
韓国メディアは8日、大統領府や国防省を含む政府機関、国会、都市銀行、民間の大手ポータルサイト、一部大手紙などのウェブサイトが7日に大規模なハッカー攻撃を受け、4時間以上にわたりアクセス不能になったと一斉に報じた。 韓国メディアによると、国内の重要サイトが同時多発的にハッカー攻撃を受けたのは初めて。攻撃は中国内や北朝鮮内からの可能性があり、情報機関の国家情報院などが詳しく調べている。 朝鮮日報などによると、アクセスができなくなったり、速度が極端に遅くなる障害が出始めたのは7日午後6時すぎ(日本時間同)。攻撃は、各サイトに膨大な数のアクセスが一気に行われたように誤った認識をさせ、サーバーの処理能力を超過させて正常に働かないようにする方法だった。(共同)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Operaがやられたそうで、ソフトの自動更新は一旦様子見してからという時代が来るのかもしれません(山本一郎) - 個人 - Yahoo!ニュース
Facebookアプリが電話番号取得、Facebookは「バグ」とコメント
トヨタのWebサイトが改ざんされたのは百歩譲って仕方ないとして、その後の対応はいかがなものでしょうか(山本一郎) - 個人 - Yahoo!ニュース
TechCrunch | Startup and Technology News
Engadget | Technology News & Reviews
カードかざさず改札通過 NTT、年度内実用化へ - NIKKEI NET(日経ネット)
