.@sprout_group こんにちわ〜o(^^)o 東証一部上場100社に無断脆弱性検査、すごいですね\(^o^)/ 「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか(・_・)?
.@sprout_group こんにちわ〜o(^^)o 東証一部上場100社に無断脆弱性検査、すごいですね\(^o^)/ 「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか(・_・)?
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
旧イー・モバイルの業務委託先企業の社員が、「つながるマップ」の利用者情報が含まれるPCを紛失していたことが分かった。 ワイモバイルは8月15日、業務委託先企業でのPC紛失により、1321人分の個人情報が漏えいしたと発表した。漏えいした情報は、旧イー・モバイルが2013年1月28日から2014年1月24日まで提供していたコミュニティサイト「つながるマップ」の利用者に関する住所、氏名、生年月日、メールアドレスなどだとしている。 PCを紛失したのは、「つながるマップ」の運営委託先企業の社員。8月2日未明に紛失し、12日夜に「つながるマップ」利用者の情報が含まれていることが判明したという。委託先企業が警察に遺失物届を提出しているが、PCはまだ見つかっていない。 PCにはパスワードが設定され、現時点で情報悪用の事実は確認していないという。ワイモバイルは該当者へ個別に連絡すると説明している。
写真●左から、ベネッセホールディングスの松本主税CRO、事故調査委員会委員長の小林英明弁護士、同委員会委員の梅野晴一郎弁護士 ベネッセホールディングスは2014年7月22日に都内で会見を開き、前日21日に発表した新たなデータ流出について説明した(ITpro関連記事)。合わせて、内部調査委員会「個人情報漏えい事故調査委員会」の構成メンバーも発表した。 ベネッセによれば、元社員の私物スマートフォンに残されていたデータを抽出した警察の要請を受け、ベネッセが抽出データの鑑定を行った結果、計2260万件のデータが同社の顧客情報であることを確認したという。 私物スマートフォンで持ち出された情報が、さらに名簿業者など外部の事業者に流出したかについて、ベネッセホールディングスの松本主税CRO(チーフリスクマネジメントオフィサー)は「ベネッセ側では確認が取れてない」とした。 この2260万件には、名簿業者へ
【6月20日 22時30分追記】※先に中段以下の経緯をご覧下さい ■ 被害状況について 今回問題が出た広告の配信元であるマイクロアド社より、 情報をご連絡いただきましたので掲載いたします。 ▽問題となったサーバーからの広告配信数(6月18日午前9時-6月19日午前11時) 233,518件 ※上記がniconico内でマイクロアド社経由の広告が表示された回数になります。 (問題の無い広告も含む) ※6月19日正午時点でマイクロアド社経由の広告は全て停止しております。 また、マイクロアド社からも本件に関する追記がありましたので、ご参照下さい。 サポート窓口アドレス(support@microad.jp)などが追記されております。 ≪広告配信障害に関するプレスリリースの追記に関して≫ | MicroAd ■ 被害を受けた方へ 被害を受けてしまった方への対応方法について、 インターネットセキュリ
エコーニュース>スタッフブログ>LINEへの質問と回答:「韓国政府には傍受されていない」という森川社長ブログの根拠について LINEへの質問と回答:「韓国政府には傍受されていない」という森川社長ブログの根拠について 以下の通り、お問い合わせして本日17時に一度ご回答をいただいています。 一 質問 韓国政府によるLINEの傍受に関するFACTAのものと思われる報道について、本日の森川社長が、下記のブログ記事で触れておられた内容を、貴社に正式に確認させて頂きたく存じ上げます。 ( 森川社長ブログ http://moriaki.blog.jp/archives/1988243.html) ( FACTA記事リンク http://facta.co.jp/article/201407039.html ) 1’’一部記事で、韓国政府機関が当社サービス「LINE」の通信内容を傍受している旨の記載があり
脆弱性を悪用された場合、クライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日(米国時間)に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、 OpenSSLは同日公開したセキュリティ情報で、6件の脆弱性を修正したことを明らかにした。中でも「SSL/TLSの中間者攻撃の脆弱性」では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。 この脆弱性はクライアントではOpenSSLの全バージョンが影響を受ける。サーバではOpenSSL 1.0.1/1.0.2-beta1のみに影響が確認されているが、1.0.1より前のバージョンを使っている場合も念のために
三井住友銀行は5月12日、インターネットバンキング「SMBCダイレクト」で、ユーザーが暗証番号を入力するとすぐ、意図しない振込先に不正に送金される被害が数十件起きていることを明らかにした。同社サーバに異常はなかったとし、ウイルス感染によるものとみている。 SMBCダイレクトでアカウントにログイン後、「ダウンロード中です」「読込中です」などとかたる偽画面が表示され、送金に必要な暗証番号を入力するよう求められる。暗証番号を入力すると、通常は表示されるはずの取引内容の確認画面が表示されることなく、不正な送金が行われるという。 確認できているだけで、3月から数十件の被害があったという。銀行側のサーバには異常がなく、一部の顧客のPCにしか不正な画面が表示されていないことから、顧客PCのウイルス感染が原因とみている。ウイルスの詳細などは分かっていない。 ログイン後に不正な画面が表示されたり、不正な画面
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
Apache Struts2の脆弱性についてIPAが注意喚起を4月17日に掲載しました。 Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020) Apache Struts 2 Documentation S2-020 ニュース - Apache Struts 2の脆弱性対策が急務、攻撃プログラムが出回る:ITpro Apache Struts2に脆弱性攻撃の恐れ、IPAが緊急勧告 - ITmedia エンタープライズ 検証コードが既にインターネット上で公開されていること、そして悪用が比較的容易であることから、ここではS2-020のClassLoaderが操作されてしまう脆弱性CVE-2014-0094について調べた結果をまとめます。 1.検証環境の準備 検証にあたり、Apache Struts2の環境のメモです。Struts2を動かすだけであれば
インターネットバンキングを通じて利用者が預金を奪われる被害が相次いでいますが、一般の個人の口座だけでなく、企業などの法人口座が被害に遭うケースが、ことしに入って急増していることが分かりました。 個人と違い、法人では被害が補償されないケースが多く、全国銀行協会は対策の強化を呼びかける注意喚起を行いました。 インターネットバンキングを通じて預金を奪われる被害は、これまで一般の個人の口座が主でしたが、全国銀行協会や各地の金融機関によりますと、ことしに入って企業などの法人口座が狙われるケースが急増しているということです。法人口座では、一度に多くの額を取り引きできることが多いため、個人に比べ1回当たりの被害は多額に上っています。 このうち沖縄銀行では、先月までの2か月間に県内の3つの会社の法人口座から合わせて1700万円が不正に送金されたほか、同じ沖縄県にある琉球銀行でも、去年12月、県内の1社の口
本日、メルマガの発行日のため、せこせこ書いていたらLINEが物凄い発表していた。もたもたしていたら先にホリエモンにブログ書かれた。www さすが。 2日続いてLINEネタ!緊急投稿!LINEの新サービス発表がヤバすぎる! ホリエモンが言うように・・・ めちゃくちゃヤバイ!! でもどんなことがヤバいのか、さっばりわかんないという人のため、簡単に解説してみたい。自分もまだ完全に理解しているわけでは無いので間違っていたら突っ込んでください。修正します。 メールマーケティングの終焉 いままでもメールマーケティングは終わったと言われていたが、これでほぼ終了である。日本で最もメルマガを配信しまくっていたあそこらへんのコマースも終わコンである。仮にSoftBankがLINEを買収して(出澤さんは完全否定)、Yahoo!ショッピングやオークションがこの機能を搭載したら太刀打ちできない。モールでは無いZOZ
これまで、負荷テストの実行には専門知識と実行環境の準備に多くのコストが必要でした。社会からWebサービスの性能に関する不具合をゼロにするために、簡単、無料、圧倒的な負荷テストサービスを提供します。 ユーザビリティ サーバの応答速度は常に変化し、利用者の直帰率に大きく影響を与えます。サーバの応答速度を可視化し、日々計測することで、すみやかに問題個所を発見できます。 性能測定 サーバの性能不足により、せっかくの営業機会を失うサイトが多く存在します。サーバの性能を正しく把握することで、予測される負荷に応じたサーバの増強ができます。 負荷チェッカー/カレンダーを利用したテスト(ジョブ)の予約や、グラフィカルな結果画面を準備しており、初心者の方にも大変使いやすいサービス。インスタントテスト/URLを入力するだけで、すぐに負荷テストを行うことができます。シナリオテスト/ログインが必要なページや複数のペ
むかーしむかし、ATMがまだCDという名前だった時代、キャシュカードの暗証番号は磁気カード上に記録されておりましたとさ…コワイコワイ JALの6桁数字が如何に脆弱かというのが話題ですが、世の中の利便性の基準が4桁数字の暗証番号になってしまっているというのはなぜかと考えるとこれはもう完全にキャッシュカード誕生から今に続く負の遺産だと言ってよいでしょうね。 あるんですよ。「パスワードが長くて覚えにくい。短くさせろ」というクレーム。 キャッシュカードの場合はそのハードウェアがひとつのハードルになっているという理由でパスワード側の脆弱性を利便性と引き換えにすることがある程度は可能です。でもオンラインでハードウェアを用いない認証というのはパスワードが脆弱であれば全体的に脆弱になってしまうことがわかりますよね。リバースブルートフォースなんてインターネットバンキングでは15年前から対策している…はず…僕
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く