NY Times、タレこみシステムの設置を検討 | スラド セキュリティ
The New York Timesは、機密情報などのタレコミを容易にするシステムを設置する考えを明らかにした(Yahoo! News、本家/.)。 カタールを拠点とするテレビ局アル・ジャジーラでは最近「匿名の電子投函箱」を設けたとのこと。このシステムではファイルは暗号化されて転送され、提出者の個人情報は一切記録されないという。この仕組みが設置された今月初めからアル・ジャジーラには既に1,700件もの機密情報がタレこまれているという。 The New York Timesは詳細は確定していないため話せることはないとしながらも、アル・ジャジーラと同様の仕組みを検討していることは明らかにしたとのことだ。 これはWikiLeaksといった組織を仲介せずに「美味しい」ネタを手に入れる仕組みなのだろうか。また国家を脅かすような内容であった場合ジャーナリズムとしてどう扱っていくのか、また国家はそれにど
無料のウイルス対策ソフトトップ5 | スラド セキュリティ
ストーリー by hylom 2010年12月02日 18時02分 家庭ではもう有料セキュリティソフトはいらない? 部門より PCWorldが、無料のウイルス対策ソフトに関する評価を行っている。 無料で利用できるウイルス対策ソフトはいくつかあるが、記事ではAvast Free Antivirus 5、Avira AntiVir Personal Free AntiVirus 10、Microsoft Security Essentials 1.0、Panda Cloud Antivirus 1.0、Comodo Internet Security Premium 5.0をトップ5に挙げ、どれも比較的好意的な評価を述べている。 ここまで無料ソフトの性能が上がると、有料のウイルス対策ソフトはもう不要、という気もしてくる。 トップのAvast Free Antivirus 5については、「素晴ら
Google、パスワード管理システムのコードを盗まれていた | スラド セキュリティ
ストーリー by reo 2010年04月22日 12時30分 サマーウォーズの Blu-ray をまだ観ていなかった 部門より 昨年 12 月に Google が中国から受けたという大規模サイバー攻撃で、侵入者は Google は基幹システムにアクセスできる状態になっていた。開発チームのリポジトリの管理権限まで掌握され、盗まれた情報にはパスワード管理システムのコードも含まれていた、とのことだ (The New York Times の記事、japan.internet.com の記事、本家 /. 記事より) 。 Gaia と呼ばれるパスワード管理 (認証統合) システムは Google のほぼ全てのサービスへの認証を管理する同社の基幹システム。侵入を受けた後、Google は直ちにシステムへの変更を加えたとのこと。当初発表した通り 2 件の Gmail アカウントへの不正アクセスはあった
外務省、幹部の執務室への携帯電話持ち込みを禁止 | スラド セキュリティ
朝日新聞の記事によると、外務省は来月1日から局長・部長級以上の全幹部の執務室への携帯電話持ち込みを禁止するそうだ。携帯電話の持ち主が知らない間に、遠隔操作で端末のマイク機能を使って周囲の会話を盗聴する「ロービングバグ」と呼ばれるケースがあるそうで、秘密保全の観点から禁止対象の拡大に踏み切ったそうだ。 外務省では2006年から大臣室、事務次官室など一部で携帯電話の持ち込みを禁止し、入室者は入り口で専用の箱に端末を預けていたそうだが、今後は他の幹部室でも同様の措置を取るそうだ。これは、外部の訪問者だけでなく外務省職員も持ち込みを禁じられるという。なお、外務省によると、防衛省や内閣情報調査室でも同様の対応が取られているそうだ。 正直、このような遠隔操作が可能だったのが意外なのだが、改めて自分の携帯電話を見て、何だか得体の知れない機械に思えてきた。
窓の杜・Vectorでウイルス感染発覚 | スラド セキュリティ
窓の杜およびVectorでウイルスに感染しているソフトが配布されていたことが確認された(窓の杜の告知ページ、Vectorの告知ページ、Internet Watchの記事)。 感染が確認されたのはDelphiのライブラリに感染するウイルス「W32/Induc-A」で、このウイルスに感染した状態でDelphiでコンパイルを行うと、汚染されたバイナリを作成する模様。 感染が報告されたソフトは以下のとおり。 Vector: PickBack、PickBack2BellTheCat、BOB、Clips、HiG(BeS Tools)、kOSU、OSPE、壱番館Wise Disk Cleaner 4 Free 4、WiseRegistryCleanerFree窓の杜: Glary Utilities、Glary Undelete
ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視 | スラド セキュリティ
Webブラウザが表示する「SSL証明書が無効」という旨の警告について、55%~100%のユーザーが無視しているという調査結果が明らかになった(ComputerWorld.jp)。 カーネギーメロン大の研究者らが執筆した報告書によると、400名以上のWeb利用者を対象にオンライン調査を行い、その後100名のユーザーをラボに招いてWebを閲覧する様子を調査したという。その結果、信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る、というユーザー行動が検出されたそうだ。 また、Firefox 3では警告メッセージがより大きく表示されるようになったが、これによりユーザーが警告を無視してサイトを閲覧する割合は減ったとののこと。
中国の検閲ソフトは世界最大のボットネットになりうるか | スラド セキュリティ
ストーリー by hayakawa 2009年06月14日 13時03分 一定以上のシェアを持つソフトウェアなら、例外なく危惧されることのような気がするが…… 部門より 本家/.より。 今年7月から、中国で販売される全てのパソコン製品にインストールされるという、有害サイト遮断ソフトウェア「Green Dam Youth Escort」を利用した、世界最大のボットネットが構築される可能性が指摘されている(/.J過去記事)。 ボットネットは、政府によって意図的に構築される可能性もあるし、脆弱性を利用したものとなるかもしれないという。Social SignalのブロガーRob Cottingham氏は、このソフトウェアが青少年を有害なコンテンツから守るだけでなく、今後中国政府にとって不利益となるサイトへのアクセスを禁ずる「検閲ソフト」となる可能性を危惧している。さらにアップデートの際、ボットネッ
バージニア州衛生科の処方薬管理データ盗まれ、「身代金」要求される | スラド セキュリティ
米バージニア州衛生科のサーバーからクラッカーらがデータを盗み、そのデータの返還と引き換えに 1000 万ドルの「身代金」を要求している (本家 /. 記事, ワシントンポスト紙の記事より) 。 このデータは薬剤師や薬局が処方薬の乱用を監視するためのデータベースのものであり、800 万人の州民の処方データや住所氏名、社会保障番号などを含む個人情報が含まれているという。侵入者らはバックアップを削除したと主張しており、州衛生科のウェブページを「身代金」要求の文面に書き換えたとのこと。 現時点ではバージニア州はコメントを発表していないが、問題のサーバ等はシャットダウンし、FBI を交えて捜査が行われているそうだ。また、この件について Wikileaks でも話題に挙がっており、ウェブページに掲載された「身代金」要求文面も確認できる。
GoogleカレンダーのHTMLソースに氏名とメールアドレス | スラド セキュリティ
ストーリー by hayakawa 2008年11月26日 12時16分 そもそもなんのために使ってるんだろう? 部門より Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか? メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。 ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。 蛇足かもしれませんが、一応補足させていただき
Google Desktop に XSS 脆弱性 | スラド セキュリティ
Google Desktop に XSS 脆弱性が発見された (発見した Watchfire の説明 [PDF] とデモ、ITmediaの日本語記事)。ローカルの検索範囲を指定する under クエリーに埋め込まれたスクリプトの実行を許してしまうものだが、これによりユーザー固有のシグネチャを取得し、第二段階で Google Desktop にマルウェアを実行さることが可能になる。現在はこの脆弱性は修正されていて、Google Desktop ユーザーは自動的にアップデートが行われる。 Watchfire は、アンチ・ウイルス・ソフトやファイヤーウォールをかいくぐるれることと、Google Desktop が Google web サービスと統合されていることがローカルへの攻撃の窓口になったことに注目し、web ブラウザーと web アプリケーションが強力になったことで、JavaScript
個人のブログが google.com サブドメイン名で公開される不具合 | スラド セキュリティ
Google Blogoscoped のブログによると、 Google のミスにより、google.com のサブドメインで個人のブログがホストされてしまうという 珍事件が起きました。 問題は Google のブログサービス Blogger で始まった Blogger Custom Domains にあったようです。このサービスは CNAME を使って、 個人で取得したドメインの元で Blogger で作ったブログを使えるというものです。 今回この個人ブログの公開者が、本来自分のドメインを入力する欄に ghs.google.com と書いたところ、Google 側でチェックを何もしていなかったらしく、 そのまま ghs.google.com でその個人ブログが公開されてしまったようです。 google.com のクッキーがすべて取得できてしまうため、セキュリティ的にはかなり危なかった可能性
スラッシュドット ジャパン | Google: Gmailに脆弱性、Google Calculator停止中
2006年、Web2.0の旗手として名を馳せたGoogleだが、本家/.の記事によると新年早々、悪意のあるサイトによってGmailのコンタクトリストが入手される可能性のある脆弱性が指摘されたそうだ(cyber-knowledge.netの元記事)。Gmailが Javascriptファイルとしてコンタクトリストを保存しているのが問題の根幹らしい。なお、GooglifiedのBlog記事によるとすでにfixされた模様。 また、これもGooglifiedのBlog記事によれば、Google Calculatorが現在動作していないそうだ。たしかにタレコミ時点(1/2 9:00JST)では、先日の燃費算出変更のストーリーにあったガロン⇒リットルの換算や人生、宇宙、すべての答えの答えを表示できていない。 編集者追記: 記事掲載時点では「すでにfixされた模様」だったのだが、その後Googlifie
Google Desktop Search 3βにプライバシー侵害の恐れ? | スラド セキュリティ
あるAnonymous coweyed曰く、"先日英語版のみリリースされたGoogle Desktop Search 3β (ITmedia記事、Officeal Google Blog記事)だが、リモートのPCからデスクトップの情報を検索できる新機能「Search Across Computers」がプライバシー侵害の恐れがあるとEFF (Electronic Frontier Foundation)が警告していることをITmediaの記事1、その2、Internet Watchの記事、japan.internet.comの記事が伝えている(本家記事)。記事によればこの機能はこれまでのローカルでのインデックス作成とは異なり、Googleにファイルをコピーさせインデックス化することで他のPCからの検索を可能にする技術だという。ファイルの保存期間は30日間であり、Googleはこれらが使われ
どんなセキュリティソフトを使えばいいの? | スラド セキュリティ
あるAnonymous Coward曰く、"Windowsを使っている/.Jer諸氏にお伺いしたいのですが……。 恥ずかしながら今まで、まったくウィルスやスパイウェア対策をしてこなかったのですが、やはりこれではダメだということで、対策案を考慮中です。SONY BMGのrootkit問題など、判り難くて物騒なものが出回る世相になってきたので、それらにも対応できるプランがあればよいな、と考えています。 市販パッケージやフリーウェア/シェアウェアなど、選択肢と組み合わせは多数あるかと思いますが、皆さんのおすすめをお聞きしたいところです。" 「対策なしにネットに繋ぐな」のように厳しい指摘も飛んできそうだが、現実問題として常時安全セキュリティ24の設定ミス問題のような話もあり、詳しくない人には厳しい昨今であることも事実。苦労話なども踏まえ、皆さんの「Windowsの安全確保論」を語ってみてほしい。
ウェブアプリの脆弱性にどう対応してますか? | スラド セキュリティ
ストーリー by yoosee 2005年06月17日 13時22分 日々の弛まぬ努力、だけでは足りなくなりつつあるかも 部門より 戸高芳広 曰く、 "現在ITproで「【緊急連載 今本当に必要なセキュリティ対策】」という連載が始まっている。この記事の中でカカクコムの穐田CEOは、「自社内では考えうる限り最高のシステムだと思っていたが,実際診断を受けたらそうとは言えないと指摘された」と述べている。 慢心した馬鹿だと思われるでしょうが、私にはこの人の気持が良く解ります。 個人的な話で恐縮ですが、今年の初めに報告されたAWSTATSの脆弱性の時には、私が脆弱性の情報をまだ掴んでいなかった1月19日から私のサイトに対して多数の攻撃が行なわれていました。インターネットからウェブアプリへのアクセスを認めないポリシーだった為、クラックは免れましたが、もし公開されていれば私のサーバはSELinux ター
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クールなサイバーギーク高校生を探し出せ | スラド セキュリティ
WikiLeaks の Julian Assange 氏、米 TIME 誌の「Person of the Year」投票でトップに | スラド セキュリティ
物理学的に盗聴できないことが保証された携帯電話ソフトウェア | スラド セキュリティ
Yahoo! Japan、ログインアラート機能を開始 | スラド セキュリティ
秀逸なXSSの練習サイト | スラド セキュリティ