タグ

securityとSecurityに関するNOV1975のブックマーク (550)

  • Dockerは危険という誤解と、本当に注意すべき点 - paiza times

    こんにちは、吉岡(@yoshiokatsuneo)です。 Dockerは、シンプルで使い易い軽量仮想環境という特徴を生かして急速に発展しており弊社でも利用しています。 しかし、独自の概念を持つことや、機能が次々追加されていることから、誤解を生じることもあります。 特にセキュリティについては感情的になりやすいので正確な情報を把握することが大切です。ここでは、Dockerコンテナのセキュリティについてよくある誤解と注意点を紹介します。 ◆Dockerコンテナのセキュリティに関する誤解 コンテナを単に実行するだけで、ホストや他のコンテナがのっとられる コンテナは隔離環境で実行されますので、単純に(オプションを明示せずに)一般的なコンテナを実行するだけで、ホストや他のコンテナがのっとられることは現状はありません(知られてはいません)。 ホストのディレクトリ・ファイルを共有すれば、ホストのファイルに

    Dockerは危険という誤解と、本当に注意すべき点 - paiza times
    NOV1975
    NOV1975 2016/06/07
    多分昨日の話題がトリガーなんだろうけど、少なくともあのあたりにはあんまり誤解している人はいなかったし、危険性があることは一般的な話としては誤解ではない(特別危険というわけでもないが
  • ネット炎上、1枚の写真で伝える防止法 年300回講演、プロの教え

    ネット炎上、1枚の写真で伝える防止法 年300回講演、プロの教え インターネット上で不謹慎な書き込みや違法行為を見せびらかし、猛烈な非難を受ける「炎上事件」が後を絶ちません。あまたの事件を分析し、学生や企業向けに炎上を起こさない方法を教えているプロがいます。年300回を超える講演をしている、IT大手グリーの小木曽健さん(43)です。

    ネット炎上、1枚の写真で伝える防止法 年300回講演、プロの教え
    NOV1975
    NOV1975 2016/06/07
    基本的なことだけど、こういうイメージで教えるのって大事よね。
  • TechCrunch | Startup and Technology News

    Former Autonomy chief executive Mike Lynch issued a statement Thursday following his acquittal of criminal charges, ending a 13-year legal battle with Hewlett-Packard that became one of Silicon Valley’s biggest…

    TechCrunch | Startup and Technology News
    NOV1975
    NOV1975 2016/05/20
    よーわからんのだけど、本人確認データを使って作った認証を要求するデータが途中で改竄されないことはともかく本人確認データそのものをユーザーの手元から流出させない手立てが完璧じゃないと世界が全滅しないか?
  • 弊社サービスではパスワードを平文で保存していますが何か

    こんなこと口が裂けても言えないし 転職しても言えないし 墓場まで持っていくしかない 自分が今の会社にいる間に爆発しないことを祈るだけ

    弊社サービスではパスワードを平文で保存していますが何か
    NOV1975
    NOV1975 2016/05/20
    まああるよそう言うの絶対。問題は内部の人が見れちゃうことなんだがなあ。
  • ESET releases new decryptor for TeslaCrypt ransomware

    Award-winning news, views, and insight from the ESET security community Cybercrime ESET releases new decryptor for TeslaCrypt ransomware If your encrypted files had the extensions .xxx, .ttt, .micro, .mp3 or left unchanged, then ESET has good news for you. Have you been infected by one of the new variants (v3 or v4) of the notorious ransomware TeslaCrypt? If your encrypted files had the extensions

    ESET releases new decryptor for TeslaCrypt ransomware
    NOV1975
    NOV1975 2016/05/19
    ESETなかなかやる
  • 高木浩光@自宅の日記 - GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ

    GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ 目次 経緯 刑法168条の2 不正指令電磁的記録に関する罪 パブリックコメント提出用意見書(期限超過) 4月にこういう記事が出ていた。 携帯GPS情報、人通知せず捜査に活用 指針見直しへ, 朝日新聞, 2015年4月17日朝刊 総務省が、通信事業者の個人情報の取り扱い方を定めるガイドラインの見直し案を17日に発表する。意見公募の手続きを経て、6月にも運用がはじまる見通しだ。 (略)捜査機関が、裁判官の令状にもとづき、GPS情報を取得できる規定がガイドラインに盛り込まれたのは2011年11月。誘拐犯や指名手配犯の居場所の把握に有効と考えられた。ただ、プライバシーへの配慮から、取得を人に知らせる「条件」つきだった。 だが、被疑者に知られると証拠を隠されたり、逃げられたりする恐れがある。誘拐犯な

    NOV1975
    NOV1975 2016/05/17
    これがいよいよ搭載されるわけね…
  • Expired

    Expired:掲載期限切れです この記事は,ロイター・ジャパン との契約の掲載期限(30日間)を過ぎましたのでサーバから削除しました。 このページは20秒後にITmedia ニュース トップページに自動的に切り替わります。

    NOV1975
    NOV1975 2016/05/06
    200万出したところで完璧など保証されないのがこの手のテクノロジーだというのにこいつは何を言っているんだ感が半端ないぞ…
  • 危険な国への送信をブロックできるルーター「SAKOKU」が発売

    危険な国への送信をブロックできるルーター「SAKOKU」が発売
    NOV1975
    NOV1975 2016/05/06
    これ自体はありじゃないですかねえ。
  • 追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ

    ■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL

    追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
    NOV1975
    NOV1975 2016/03/14
    すげえなww脆弱すぎる
  • 決済代行を使っていてもクレジットカード情報が漏洩するフォーム改ざんに注意

    先日以下の記事が公開されました。決済代行会社を使っていたのにカード情報が漏洩したというものです。 同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト「eキレイネット」でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日~27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。 名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。 問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。 従業員10人なのに「標的」に サイバー攻撃、中小企業が狙われる理由より引用 これに対して、以下のブックマークコメントがつきました。 そもそも、決済代行会社を使っているのになぜカード情報が

    NOV1975
    NOV1975 2016/03/14
    利用者側での見極めは難しいからなあ…
  • マルウエアと正面から向き合うのはもうやめよう

    2月3日は節分。「鬼は外・福は内」と豆まきをしたご家庭も多いだろう。災いを招く鬼は家に入れず、外に追いやっておくのが一番だ。 記者はこのところサイバーセキュリティを追っている。絵心が乏しいので、サイバー攻撃の仕組みの絵を描くとき、マルウエア(悪意のあるソフトウエア)はたいてい丸に角が2生えたアイコンになる。キバの生えた口を付けることもある。そのイメージは、豆まきの時に付けるお面の鬼にそっくりだ。 結論を先に書くと、このところサイバーセキュリティ分野では、攻撃者と無理に全面対決せず、マルウエアをずっと組織の外に追いやっておく「無害化」を新たな対策として検討する時が来ているのではないか、逃げるが勝ちで攻撃者とのいたちごっこをやめよう、というものである。 あくまで攻撃者優位という現実

    マルウエアと正面から向き合うのはもうやめよう
    NOV1975
    NOV1975 2016/02/04
    日本語難しすぎる…ここで言われていることが「正面から向き合う」じゃないの?
  • エフセキュアブログ : 今年度のCTFを無双した韓国チーム、その強さの秘密

    今年度のCTFを無双した韓国チーム、その強さの秘密 2016年02月03日08:00 ツイート daiki_fukumori オフィシャルコメント  by:福森 大喜 DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。 秀逸なのは養成所の基コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。 BoBのWebサイトに記載されている基的なコンセプト 先日、その養成所に講師として呼ばれ、

    エフセキュアブログ : 今年度のCTFを無双した韓国チーム、その強さの秘密
    NOV1975
    NOV1975 2016/02/03
    一方日本はボランティアで何とかすると言い出す。/色々と上手く言ってない面もあるけど、IT活用については韓国のほうが先進的事例が多いよなあ。
  • 【注意喚起】インターネットに接続する複合機等のオフィス機器の再点検を!:IPA 独立行政法人 情報処理推進機構

    オフィス機器にも適切な通信制限と認証によるアクセス制限を施すことが必要です 2016年1月6日 独立行政法人情報処理推進機構 技術セキュリティセンター 2013年11月、ネットに接続された複合機等のオフィス機器の設定に不備があるため、機器内に保存されたデータが外部から閲覧できてしまう問題が明らかになりました。これを受け、IPAでは2013年11月8日に適切な設定の実施を促す旨の注意喚起を行いました。 https://www.ipa.go.jp/about/press/20131108.html しかし日、報道により学術関係機関において、同様の問題が依然残存していることが明らかになりました。これは、適切な設定を徹底することの難しさを浮き彫りにしたといえます。 IPAでは複合機等のオフィス機器をインターネットに接続する際の通信制限と認証によるアクセス制限の実施により適切な設定と再点検を

    【注意喚起】インターネットに接続する複合機等のオフィス機器の再点検を!:IPA 独立行政法人 情報処理推進機構
    NOV1975
    NOV1975 2016/01/06
    LANだからインターネットじゃない!みたいな人いくらでもいるからなー
  • はてなは公開IDなんで、パスワードが漏れるだけでアカウントが乗っ取られてしまう

    はてなはIDとパスワードの2つでログイン出来るわけだが、IDのほうは公開されてるものなんで、パスワードが漏れるだけで簡単にアカウントが乗っ取られてしまう。 はてなブックマークのみならこれでいいかもしれんが、はてなブログもこれでログインできてしまうのはさすがに怖い。ブログは財産なので早めに対策してほしい。 ツイートする

    NOV1975
    NOV1975 2015/12/24
    相手が誰でもいい総当り攻撃なんてWKなパスワード固定でID変えてったほうが当たる可能性高いのでこの手の文句言う人はid20桁くらいはあるんだろうな?文字種は混在だろうな?とかいいたくなるw
  • もう個人情報を保護することはやめよう - 頭の中を空っぽにするブログ

    おはようございます。 ジェネストリームの秋貞です。 昨日は久しぶりに診断系アプリがFB上で話題になりましたね。 自分がFBのポストでよく使っているワードを可視化してくれるこれや、 私が Facebook 上で、よく使う言葉は? - 秋貞さんが Facebook でよく使っている言葉 FBのプロフィール写真から友達で同じことを考えている人を探してくれるこれなど。 プロフィール写真から判断して、友達のうちであなたと同じことを考えている人は誰? こういうのって面白いですよね。 真偽はともかくとして、意外な気づきがあったり、ツッコミのあるコメントが生成されて話が盛り上がったり。 しかしFB上で診断系アプリが話題になると、毎回翌日必ずこういう記事が出てきます。 yokotashurin.com 要は、個人情報を引っこ抜かれ、しかもそれが第三者が使えるようになってますよと注意喚起する記事です。 そして

    もう個人情報を保護することはやめよう - 頭の中を空っぽにするブログ
    NOV1975
    NOV1975 2015/12/10
    個人情報の概念をもっとちゃんとカテゴライズして話しなさいよ。プライバシーにあたる部分と公的情報にあたる部分は最低限分けろ
  • Togetter - 国内最大級のTwitterまとめメディア

    いま話題のツイートまとめが読めるTwitterまとめに特化したまとめサイト。人気のツイートやTwitterトレンド、写真やマンガといった話題の画像から、さまざまなニュースの反応まで、みんなであつめる国内最大級のメディアプラットフォームです。

    Togetter - 国内最大級のTwitterまとめメディア
    NOV1975
    NOV1975 2015/12/06
    思い出とか電子データに依存しない(まー大してないしな)ようにしてるのでいざとなったらなくなっても平気ではあるがこれが広告モデルの呪いだよ。広告を高機能にしたやつ出てこい
  • 「銀行から1万4000件の情報流出」を当事者目線で解説したい

    出会い系サイト運営者と繋がりのある方より直接話を聞くことができました。 文才がないながらも出来るだけ当事者側からの目線で解説したいと思います。 先に言いますが、件は出会い系サイト自身が被害者でもありますので、「出会い系サイトなんて全部サクラサイトだろ?」みたいな先入観をお持ちの方は一旦捨てて頂くと理解しやすいかと思います。真っ当に運営されている出会い系サイトが被害者です。 まず流出したであろう情報とは何なのか?「残高照会ダイヤル」は、契約者が持つ口座の残高や、通帳に「印字されうる」取引明細も音声で知ることができます。例えば 「27-11-27 振込 フグタマスオ *30,000」 「27-11-30 振込 イソノカツオ *10,000」 このような入出金の取引を、音声で知ることができます。 もちろん契約者(契約団体)自身しかアクセスできないはずの情報なわけですが、この残高照会ダイヤルの操

    「銀行から1万4000件の情報流出」を当事者目線で解説したい
    NOV1975
    NOV1975 2015/12/02
    摘要文言って情報の宝庫だよな…
  • DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か

    DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。 Redditでこの問題を報

    DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か
    NOV1975
    NOV1975 2015/11/26
    この秘密鍵で署名した証明書が正当とみなされるとして、何に使うのかな。
  • SSL/TLS 20年の歩みと動向~ - JPNIC

    昨年2014年は、SSL(Secure Sockets Layer)とTLS(Transport Layer Security)というプロトコルがリリースされてから20年が経過し、HeartBleedやPOODLEなどの脆弱性でも話題となった年でもありました。今回の10分講座では、SSL/TLS暗号通信プロトコルの動向を紹介します。 SSL/TLSとは SSL/TLSは最も普及している暗号通信プロトコルの一つで、TCP/IPの4レイヤーモデルのトランスポート層とアプリケーション層との間に位置するため、広く使われているHTTPばかりでなく、SMTPなど任意のプロトコルを安全に送受信する目的で使用することができます。特にWebにおいて暗号通信機能を提供できるようになったことにより、オンラインショッピング、オンラインバンキングやユーザー認証を必要とする各種オンラインサービスの普及に重要な役割を担

    SSL/TLS 20年の歩みと動向~ - JPNIC
    NOV1975
    NOV1975 2015/11/04
    こういう歴史を押さえておくのってとても重要で、仮に2000年問題的なみんなやらなきゃいけない案件が出てきた時にこういうのないと困るわけで非常に良い文書ですね。
  • 不正ログインを試みる輩がいるのでパスワードを変えてみた - Turbulence

    不正ログインを試みる輩がいるのでパスワードを変えてみた 更新日時:2015年10月19日 19:00 カテゴリー:日記 コメント:(0) タグ: セキュリティ, 不正アクセス, パスワード, ジェネレーター, PasswordGenerator, [PR] にほんブログ村 Tweet どうもこんにちは。まっしゅです。 PCを起動するとまず最初にメールボックスを開くのですが、今日もいつものようにメールボックスを開くと、Google先生から「ログイン試行をブロックしました」とメールが届いてました。 Googleアカウントに不正ログイン 話を要約すると、「どこの馬の骨かもわからぬ輩が不正アクセス(ログイン)しようとしたから、アタシが門前払しといたよ!」というもの。Googleちゃん良くは出来る子。 このように東京や神奈川から熱心に不正ログインを試みる人がいるようです。 で、Googleのセキュリ

    不正ログインを試みる輩がいるのでパスワードを変えてみた - Turbulence
    NOV1975
    NOV1975 2015/10/20
    ちょっと思いついたんだけど、この手のパスワードジェネレータ「風」の強度が高いけど実際に生成されるパスワードは数万種類しかないものを作ってばらまいたら大変なことになりそうw