マウントゴックス元代表のマルク・カルプレス氏、コインチェック社の体制「かなり甘いと感じた」(AbemaTIMES) - Yahoo!ニュース
仮想通貨取引所「コインチェック」による流出問題が注目を集めているが、仮想通貨を巡っては、過去にも不正な資金流出事件があった。とりわけ日本で有名なのが、Mt.Gox(マウントゴックス)によるビットコイン消失問題だろう。2014年2月上旬、システム障害によってビットコインが送金できなくなり取引が停止、同月24日までに85万ビットコインが不正流出し、顧客からの預り金28億円も消失した。そして28日に事実上、経営破綻した。 代表のマルク・カルプレス社長(当時)は会見で「システムに弱いところがあって、ビットコインがなくなって、みんなにご迷惑をかけてしまって本当に申し訳ありません」と謝罪したが、顧客の預かり金を横領した罪などに問われ起訴、現在も公判中だ。 1日放送のAbemaTV『AbemaPrime』では、カルプレス氏に話を聞いた。 「経営者の頃に比べたらストレスが減った。当時はマウントゴックスの運
ゼロから考える脆弱性対応 - Qiita
はじめに こんなツイートを見かけました。 ・脆弱性ってなんだろう ・脆弱性対応ってなにしたらいいの? ・情報を集めよう ・該当機器を洗いだそう ・対応方法を決めよう … みたいなまとめほしいけど意外とないから作りたい…作るしかなくない…? — ナツヨさん@インフラ女子の日常 (@infragirl755) 2018年1月15日 たしかにそうだなぁ。生きてるシステムを運用する現場SEの気持ちになって力試しに書いてみよう。 おことわり 最初に記事スコープのおことわりです。 「 対策 」「 対処 」「 対応 」、似たような言葉ですがこれらを並べて考えたことはあるでしょうか? 記事名には「 脆弱性対応 」という言葉を使っていますが、「対応」ということでこの記事のスコープを少し狭く取っています。 対策 ・ 対処 ・ 対応の違い 対策: 何かが起きる前に講じる処置や手段のこと。 対処: 何かが起こって
Google、Symantec証明書に対する信頼を段階的に削減。「Google Chrome 70」で完全削除/2016年6月1日より前に発行された証明書は「Google Chrome 66」から無効
脆弱性は攻撃者が「発明」するからなくならない
「脆弱性」が原因で大きなセキュリティ事故が起こる事例が後を絶たない。脆弱性は、ソフトウエアが抱えるセキュリティ上の弱点のこと。悪意がある人が脆弱性を悪用して攻撃すると、様々な問題が起こる。 ソフトに脆弱性があると、外部から攻撃を受けた際に様々な問題が起こる。例えば、パソコンではランサムウエアに身代金を要求されたり、DDoS攻撃の踏み台になったりする。サーバーでは、サービスが停止したり、Webページの内容を書き換えられたり、個人情報が流出したりする。 例えば、パソコンのOSなどのソフトウエアに脆弱性があると、攻撃者がその脆弱性を悪用してマルウエアを感染させられる。「WannaCry」のようなランサムウエアの場合、パソコン内のファイルが勝手に暗号化されて読み出せなくなり、身代金を払わないと復号できなくなる。また、第三者のWebサイトにDDoS▼攻撃を行うマルウエアを仕込まれ、踏み台にされてしま
セキュリティとUXの◯◯な関係 (2017/06/09 19:30〜)
【ブログやSNSでレポするぞ枠】追加のご案内 応募者多数のため、10席追加しました!ご検討ください。 内容のご案内 重要なものであるにも関わらず、ユーザーからはたびたび邪魔者扱いをされるセキュリティ対策機能。果たしてそれらは本当に必要なのでしょうか?必要だとしても、その造りで正しいのでしょうか? サービス提供側の都合や技術的側面だけで語られがちだったセキュリティ機能に対し、今回はユーザー側の視点からその本質に迫ります。さらにセキュリティ教育とUXデザインの関係という、多面的な見方を養うためのアプローチにまで踏み込むセッションも。ちょっと珍しい◯◯な一夜にご期待下さい! セッション紹介 アクセシビリティ vs セキュリティ ~こんな対策はいらない!~ (BA 太田 良典) 「セキュリティのため」としてWebサイトに盛り込まれるさまざまな機能。中には、ユーザビリティやアクセシビリティを大きく損
旧「Windows」をクラッシュさせるNTFSのバグが発覚
ロシアのある研究者が、過去の「Windows」製品に潜んでいた脆弱性を発見した。NTFSファイルシステムを実装した際に生じたこの単純なバグにより、「Windows Vista」から「Windows 8.1」までのシステムがクラッシュすることになるのだという。 NTFSではファイルシステム上に存在するすべてのファイルを管理するために「$MFT」という名称のファイル(マスターファイルテーブル)が用いられている。この$MFTをディレクトリ名としたファイル名を入力するだけで、該当ボリューム上のファイルアクセスがブロックされてシステムがロック状態に陥ったり、最悪の場合には「死のブルースクリーン」(BSoD:Blue Screen of Death)の表示とともにシステムがクラッシュしたりするという。 この問題を発見した研究者によると、NtfsFindStartingNode関数に対して、$MFTをデ
WannaCryの教訓:いい加減、ソフトウェアをモノとして購入したと考えるのはやめよう
(出所) https://twitter.com/Moohten/status/863126339888480256 日経新聞から、「警告を無視 起こるべくして起きたサイバー攻撃」1という記事が流れてきた。文中には以下のような記述がある。 もちろん、一義的な責任は米マイクロソフト(MS)にある。(今回の攻撃の対象となった)基本ソフト(OS)「ウィンドウズ」を販売し、長年にわたりセキュリティー上の欠陥を批判されてきたからだ。 いやいや、第一義的な責任はマイクロソフトでは無く、サポートが終了しても使い続けた組織、パッチが出ても適用しなかった組織にあるだろう。こういう無責任な責任転嫁が公衆を危険に晒しているのだ。 もういい加減、ソフトウェアの購入は、物理的財(goods)のように購入し所有しているのではなく、一定期間内の利用の権利を取得しているだけなのだということを理解したほうが良い。ソフトウェ
[Managed PKI for SSL] Google Chrome57 のバグにより EV SSL 証明書の組織名がグリーン表示されない事象について
Description [2017年4月20日更新] Google Chrome 58 にて、バグが改修されたことを確認いたしました。 【概要】 Google Chrome の最新バージョン 57 において、Managed PKI for SSL から発行された EV SSL証明書をご利用いただいているにも関わらずアドレスバーに組織名が表示されないバグが発生しました。 この問題は Google Chrome 57 においてのみ発生しています。 【影響】 Google Chrome 57 で、以下の発生原因に該当する順序で証明書ポリシーが記載されたEV SSL証明書のサイトへアクセスした場合、アドレスバーの左側に組織名が表示されず、「保護された通信」という文言のみ表示されます。 【発生原因】 Google Chrome 57 では、証明書ポリシー(OID 2.5.29.32) が次の順序で
高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
SHA-1衝突攻撃がついに現実に、Google発表 90日後にコード公開
GoogleはSHA-1ハッシュが同じでコンテンツが異なる2つのPDFも公表した。90日後には、こうしたPDFを生成するためのコードを公開するとも予告している。 Webブラウザのセキュリティ対策など幅広い用途に使われてきたハッシュアルゴリズムの「SHA-1」について、米Googleは2月23日、理論上の可能性が指摘されていたSHA-1衝突を初めて成功させたと発表した。これでSHA-256やSHA-3のような、安全な暗号ハッシュへの移行を急ぐ必要性がこれまで以上に高まったと強調している。 SHA-1を巡っては、脆弱性を悪用される危険性が高まったことを受け、主要ブラウザメーカーや電子証明書の発行機関が段階的な廃止を進めている。 Googleはオランダ・アムステルダムのCWI Instituteと2年がかりで共同研究を実施。Googleの技術とクラウドインフラを駆使して大規模な演算処理を行い、S
「マルウエア」では通じない、プロトコルを合わせよう
「現場の問題から役員室の課題へ」。サイバー攻撃から企業を守るセキュリティ対策は、こう言われるようになってきた。もはや単なるITの問題ではなく、経営課題として認識すべき問題になったと言える。現場のセキュリティ担当者は経営層とのコミュニケーションをより重視する必要がある。 経営層にセキュリティ対策の必要性を分かってもらうためにはどう話をすればいいのか。この新連載では実際のシチュエーションでセキュリティ担当者に役立つノウハウを解説していく。第1回は「経営層と担当者の会話におけるプロトコルを合わせる」をテーマに、3つの活用シーンについて解説する。 会話のプロトコルを合わせる 以下に紹介する経営層と担当者の会話を見てほしい。 経営層:最近サイバー攻撃がはやっているようだが、ウチは大丈夫だろう? セキュリティ担当者:今流行しているサイバー攻撃は標的型攻撃と呼ばれるものです。現在のセキュリティ対策では強
樋渡啓祐CEO、単一換字式暗号のセキュリティー代理店会社設立へ?
リンク www.facebook.com 樋渡 啓祐 - 今日もまたエキサイティングな一日に。武雄高校の大先輩である古川大先生が二十歳の起業家を私の事務所に連れ... | Facebook 今日もまたエキサイティングな一日に。武雄高校の大先輩である古川大先生が二十歳の起業家を私の事務所に連れてきてくれました。 最新の日経トレンディーに 森川 亮 (Akira Morikawa) さんが紹介している 仲山 仁之助 (Nakayama Jinnosuke)... AtsukoOrikasa @Rutice_jp “まずはセキュリティーの分野で。”何かの冗談だろうか? / “樋渡 啓祐 - 今日もまたエキサイティングな一日に。武雄高校の大先輩である古川大先生が二十歳の起業家を私の事務所に連れ... | Facebook” (1 user) htn.to/jib2Wq 2016-11-07 16:
「国税クレジットカードお支払サイト」は誰が運営するサイトなのか
「利用者は、自分(納税者)がトヨタファイナンスに納付を委託するのだということをちゃんと理解した方がよい」というお話。
最近発生している遠隔操作サポート詐欺に対する注意喚起 - 空中の杜
先日、「遠隔操作詐欺」とおぼしき引っかかる寸前だった人の対処をしました。だけど調べてみると最近になって国内でもそれが急増しているようでしたので、注意喚起も兼ねてその時の経験、及びそこで考えたことを今日は書いてゆこうと思います。 知人からPCに関して相談があった 実際にパソコンを検証すると…… ダウンロードさせられたソフトは遠隔操作ソフト「Term Viewer」 被害検証 テクニカルサポート詐欺 詐欺とセキュリティ知識の差問題 遠隔操作サポート詐欺に遭遇した時用簡易まとめ なんかパソコン使用中に怪しい警告画面が出て、サポートに電話しろと書かれている サポートに電話したら、なんかソフトをダウンロードさせられた後、PCの挙動が怪しいかったり勝手にアイコンが動く サポート契約を結ぶために金を要求された 金を払ってしまった&クレカ番号を教えてしまった 知人からPCに関して相談があった 先日、知人A
高木浩光@自宅の日記 - 基本方針の一部変更案に対するパブコメ提出意見
■ 基本方針の一部変更案に対するパブコメ提出意見 個人情報保護法7条の規定に基づき閣議決定されている「個人情報の保護に関する基本方針」の変更案に対するパブリックコメントが、7日締切で募集されていた。 正直、基本方針なんかどうせ誰も見ないしどうでもいいかなあと、軽く見ていたのだが、締切当日になって新旧対照表を見たところ、わりと重大な改変(意見1)がわりと杜撰に(意見2)行われようとしているようだったので、急いで以下の意見を書いて個人で提出しておいた。 個人情報の保護に関する基本方針の一部変更案に対する意見 東京都墨田区在住 高木浩光 2016年10月7日 意見1【一部変更案(新旧対照表)5ページ4行目*1】 「個人情報の利用に関する社会の信頼を高め、ひいては、国民一人一人がその便益を享受できる健全な高度情報通信社会の実現を可能とするもの」との記述は削除すべきでない。 (理由) 今回の基本方針
EC-CUBE脆弱性情報の公開の是非 | サンクユーWEB制作ブログ
脆弱性てなんて読むの? 脆弱性とは「ぜいじゃくせい」と読みます。 たまに、お客様と会話していると「きじゃくせい」と言われる方がおられ、さりげなく「そのぜいじゃくせいですが・・・」と正しい読み方を教えてあげるくらいは優しい私です。 ごく稀に、制作会社の方でも「きじゃくせい」と言われる方がおられるのにはビックリ仰天です。 それだけWEB制作業界も敷居が低くなったんだなぁ。。。と感慨深くなります。 脆弱性て何? すみません。 冒頭から脱線しました。 脆弱性とは、システムの不具合(プログラムの不具合、仕様の不具合)によるセキュリティの欠陥のことを言います。 悪意のある人がその脆弱性を利用して、システムの内部に入り込んだり、情報を盗んだりすることができます。 ですので、システム(サイト)に脆弱性が発見された際には、速やかに対応する必要があります。 脆弱性はあってはならないものですが、ほとんどのシステ
武田先生と徳丸の対話: 某サイトから漏洩したパスワードがAmazonに対して悪用されなかった事例からどこまでのことが言えるか
備忘のためまとめました。 同意事項として、『「パスワードは漏洩したらすぐに悪用される」とは限らないこと自体は自明な例を含めれば明らか』とありますが、自明な例としてあげているのは、以下のことです。 ・とあるサイトから漏洩したパスワードは、様々なサイトに対して悪用されたり、悪用されなかったりする ・しかし、世界中のすべてのサイトに対して悪用が試みられるとは考えられない、これは自明である ・従って、世界中のサイトの中には、悪用されないサイトも存在する 続きを読む
<不正アクセス>「最先端の佐賀県システム破られるとは」 (毎日新聞) - Yahoo!ニュース
◇文科省担当者はショックをあらわに 「ICT(情報通信技術)化が最も進んでいる佐賀県のシステムが破られた。とても驚いている」。佐賀県立高校の生徒の成績などが流出した事件で、文部科学省の担当者はショックをあらわにした。同省は27日、佐賀県教委に事実関係の早急な報告を求めた。 全国の公立小中高校の普通教室に設置されている電子黒板の整備率(2015年3月時点)は全国平均が9%なのに対し、佐賀県は76.5%で全国1位。パソコンの整備状況も生徒2.6人に1台と全国トップで、国が第2期教育振興基本計画(13~17年度)で定める目標の3.6人に1台を唯一超えており、ICT化の先進地域として知られていた。 同省によると、児童や生徒の学籍や成績などの情報をコンピューターで管理するシステムは「校務支援システム」と呼ばれ、各地の学校で導入が進んでいる。教職員同士が情報を共有することできめ細かな指導をしたり
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【やじうまPC Watch】 物理的にPC占拠/破壊の場合すらある「ニャンサムウェア」
既存のx86/ARM CPUほぼ全てに通用するJavaScript攻撃が発見される ~アドレス空間配置のランダム化を突破
