ExpiredExpired:掲載期限切れです この記事は,産経デジタル との契約の掲載期限(6ヶ月間)を過ぎましたので本サーバから削除しました。 このページは20秒後にITmedia ニュース トップページに自動的に切り替わります。
被害事例に学ぶ、Webサイト改ざん対策の最前線
サイバー犯罪がますます狡猾化する昨今、犯罪者の矢面にたつECサイトや企業のWebサイトは、マルウェア配布や情報不正搾取を目的とする改ざんの脅威に常にさらされています。WAFだけに頼った対策はもはや現実的ではなく、ダメージコントロールの概念に基づく「事後対応」に備えておくことが重要です。当セミナーではWebサイト改ざんをいつでも起こり得る事態と捉え、ダウンタイムを最低限に抑えるための現実解を提供してまいります。
パスワードの定期的変更がセキュリティ対策として危険であること | まるおかディジタル株式会社
【これは約 16 分の記事です】 (2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます) 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理 :警視庁(リング切れ) この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー[日本版] ht
Windowsに脆弱性、悪用でパスワードが盗まれる恐れ
この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。 ソフトウェアの更新版チェックなどの機能に使われているHTTPリクエストを利用してユーザーを不正なSMBサーバに誘導し、パスワードなどの情報を入手できてしまう攻撃手法が発見された。セキュリティ企業Cylanceが4月13日のブログで伝えた。カーネギーメロン大学CERTも同日、セキュリティ情報を公開して対策を呼び掛けている。 この問題はWindows 10までのWindows全バージョンに存在していて、AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。 Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURL
高木浩光@自宅の日記 - 世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14)
■ 世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14) 前回、1月5日の日記で、最後に「どうすればよいか」を書こうとしたものの、完成しないうちに急ぎ途中までで公開したところ、あれよあれよと展開し、けっきょく書くタイミングを逸してしまった。 当時は、各方面向けにいくつかのバージョンのスライド資料を作成し、パーソナルデータ関連制度担当室の担当者も出席する1月21日の研究会向けに「パーソナルデータ論点メモ(2015年1月21日)」*1を作成していた。しかし既に、正論を述べたところでどうともならない状況となっており、原案を正当化しようとするばかりで、OECDガイドラインには違反しないだの、OECDガイドラインに違反しても違法ではないだのと、「これはもうだめかもしれない」という状況だった。スライド資料を一部の産業界の方々に託すとともに、22日には一般公開して、どこかに届けばいい!
Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか?
Lenovo製PCにアドウェア「VisualDiscovery(通称:Superfish)」が潜んでいるという事がサポートフォーラムで問題視されましたが、どうやらSuperfishは単なるアドウェアというわけではなく、悪意のある攻撃者によってやりたい放題される危険を持つ超絶セキュリティホールであったことが判明しています。 Lenovo Turns Off Superfish PC Adware Following Customer Complaints - Personal Tech News - WSJ http://blogs.wsj.com/personal-technology/2015/02/19/lenovo-turns-off-superfish-pc-adware-following-customer-complaints/ Superfish問題の発端については以下の記事
Superfish/eDellRootが危険な理由 - めもおきば
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
セキュリティ対策の冗長性が、果たしてセキュリティの担保にどれぐらい役に立つんだろうなあ。 - 深淵
「EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記」から始まる何かを見て。 gethostbyname関数を修正した方がはええよなあと思いました。まあ今回はupdateで済むわけなんですが。 何故それを入力値のバリデーションとかで回避しようとするのか意味不明ですが、むしろ下手な入力値バリデーション実装のバグのせいで業務アプリが「セキュリティ的には大丈夫だが業務要件を満たさない」という悲しい事態になるし。 脆弱性というのは、「見落としやミス」まあ、「テスト考慮漏れ」なわけでして、gethostbynameを使う所の部品がgethostbynameを信用していない、とかになってくると、全部一人で実装するもん!みたいな地獄にハマる訳ですが、近代的なプログラムでは、如何せんどこかのライブラリを使う訳でして、そのウチ「OSの機能を使う前に全てのOSに投げる値はバリデーションす
実は標準の方が簡単で明解 – セキュリティ対策の評価方法
(Last Updated On: 2018年8月8日)なぜセキュリティ対策の区別が異なるのか?長年疑問だったのですが、その理由の一つが判りました。 以下は、本質的には似たような入力確認である「WAFはセキュリティ対策」で「入力バリデーションはセキュリティ対策ではない」のか?と質問した時のツイートです。 @yohgaki どちらもセキュリティ上効果がありますが、WAFはセキュリティを主目的として、というよりセキュリティのためだけに導入するのに対して、バリデーションはセキュリティが *主目的ではなく* 元々実施すべきものだという主張です — 徳丸 浩 (@ockeghem) February 6, 2015 どうも「目的」がセキュリティ対策であるか否か、の基準のようです。「セキュリティ対策の定義」が曖昧という問題もありますが、ここでは省略します。 セキュリティ対策の評価方法 – 標準編 まず
「セキュリティ対策」
「不正な入力に対して脆弱性を発生させないようセキュリティ対策としてバリデーションを行う」。アホか。プログラマならセキュリティ対策とか気にするな。いや、気にするなというのは言い過ぎだけれど、ほとんどの場合においてあなたの書くコードはセキュリティ対策の必要性はない。 攻撃者の細工した入力によってSQL/HTML/JavaScriptが壊れるとかバッファオーバーフローが発生するとか、そういった脆弱性と呼ばれるほとんどのものはただのバグだ。セキュリティ対策っていうのはコードとは切り離された領域で行うDEPだったりASLRだったりX-Frame-OptionsだったりCSPだったりiframe sandboxだったり、そういうものがセキュリティ対策だ。コード上で書くのは「アプリケーションとして正しく動作するための処理」だけだ。 もちろん例外もあるかもしれないけど、それはあくまでも例外だ。日常的に書く
みずほ銀行のセキュリティ対策が酷すぎるのでまとめてみた - Windows 2000 Blog
目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/〜」を「http://www.mizuhobank.co.jp/〜」に修正し(httpsの”s”を削除)、エンターキーを押してください。 https://www.mizuhobank.co.jp/〜は2014年11月27日よりご利用いただけなくなりました。 https://www.mizuhobank.co.jp/〜でブックマーク(お気に入り)に登録されているお客さまは、http://www.mizuhobank.co.jp/〜に登録先の変更をお願いします(httpsの”s”を削除してください)。 Firefox 18 で、SSL (https) ページ上で非 SSL (http) サイトのコンテンツ読み込みをブロックする設定が追加されました。ユーザのセキュリティを高めるため、これらの
社内プロキシに虐げられてる人たちはVPSとか借りて社外にプロキシ立ててsshトンネルで繋ぐとウハウハですよってお話 - Qiita
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
4.5Pさんが教える本当に怖いネットリテラシー講座
よんてんごP @yontengoP 基本的にオッサンは 個人情報を集めれば即座に自宅に総務省が押し掛けてくると思ってるし 外をパトカーが通れば俺を逮捕しに来たのだと思うし 夜中に自転車に乗ってれば職質されて持ってる1200錠の薬をネタに留置所送りにされるもんだと思って生活しているから… シベリアか何かかここは 2014-12-30 02:06:36 よんてんごP @yontengoP 何だろねえ… いざフォロワーさんの住所と名前を教えてもらう、ってなると 変なドキドキ感があるねえ何だろうねえコレはねえ… まるで昭和の学生のようなねえ 文通のやりとりを始めるときのような、そんな高揚感があるなあ 2014-12-30 02:17:04
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
高木浩光@自宅の日記 - 行政機関法にはグレーゾーンがないですって?(パーソナルデータ保護法制の行方 その11)
■ 行政機関法にはグレーゾーンがないですって?(パーソナルデータ保護法制の行方 その11) この7月から、行政管理局の情報公開・個人情報保護推進室が「行政機関等が保有するパーソナルデータに関する研究会」を開いている。これは、IT総合戦略本部のパーソナルデータ制度改正大綱で、「行政機関及び独立行政法人等が保有するパーソナルデータ」について「調査・検討を行う」とされたことに対応するもので、大きく分けて以下の3点を検討するものとして始まった。 2.検討事項 (1) 行政機関等が保有するパーソナルデータの特質を踏まえた、利活用可能となり得るデータの範囲、類型化及び取扱いの在り方 (2) 行政機関等が保有するパーソナルデータの特質を踏まえた、保護対象の明確化及び取扱いの在り方 (3) (1)及び(2)に関する調査・検討等を踏まえた、総務大臣の権限・機能等と第三者機関の関係 行政機関等が保有するパーソ
情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。 みなさんが勤める会社に、「パスワードは1カ月に1度変更しましょう」といった決まりはありますか。もしもあなたが(1人)情報システム部や(1人)システム管理者だとしたら、頭を悩ませている問題でしょう。 パスワードの定期変更は、ごく一部の事象には有効的です。よーく考えてみると、それ以前にやるべきことがたくさんあることに気が付くはずです。 パスワード定期変更が有効な場合って? 筆者もいくつかの企業を転々としていましたが、ほとんどの企業で「パスワードの定期変更」を強制されました。あるシステムでは1カ月経つとパスワード変更ダイアログが表示され、過去3回分とは異なるパスワードを求められたことも。 しかし、パスワードの定期変更は「何らかの方法でパ
自宅の鍵を定期的に取り替える佐藤君(仮名)の話
パスワードの定期的変更について元々違和感を持っています。今まで、理詰めでその違和感を解明しようとしてきましたが、それでも私の頭のなかのもやもやをうまく説明できたわけではありません。そこで、パスワードの定期的変更を「自宅の鍵を定期的に変更する比喩」を用いて、そのもやもやを説明したと思います。比喩によって精密な議論ができるとは思っておりませんので、あくまでも主観的な「もやもや」を説明する方便として読んでいただければ幸いです。ここに登場する佐藤は架空の人物です。 徳丸: 佐藤君は自宅の鍵を定期的に取り替えていると聞いたんだけど、本当? 佐藤: 本当ですよ。毎年に替えています。毎年年末に鍵を取り替えて、安心な気持ちで新年を迎えるんです。徳丸さんは替えてないんですか? 徳丸: 替えないよ。鍵を落としたりしたらまた別だけど、そういうのでもなければ替えないよね。佐藤君はなぜ毎年替えるの? 佐藤: だって
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
「マイナンバーは必ず狙われる、そして攻撃者は侵入に成功する」、RSA幹部が警告
