【これは約 16 分の記事です】 （2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます） 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理　：警視庁（リング切れ） この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか？ ｜ ライフハッカー［日本版］ ht

［続報］日本年金機構、ファイル共有サーバーを5年以上前から運用 ルール上は「個人情報の格納は原則禁止」 日本年金機構から125万件の年金情報が漏洩した問題で、同機構は漏洩データを保管していたファイル共有サーバーを社会保険庁時代から恒常的に利用していたことが明らかになった。年金記録などを格納する基幹システム（社会保険オンラインシステム）から個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた（関連記事：日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出）。サーバー上に個人情報を置くことは原則禁止していたという。 同機構のシステム統括部によれば、少なくとも2010年1月の機構発足時には、基幹システムから抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。フォルダは階層構造であり

政府が今国会の成立をめざす個人情報保護法改正案の審議が８日、衆議院で始まった。政府は何が個人情報として保護されるべきかの考えを具体例を挙げながら説明。スマートフォンなどを識別する「端末ＩＤ」は、個人情報には含めないとの方針を明らかにした。 山口俊一・ＩＴ担当相は８日の衆院内閣委員会で、「端末ＩＤは端末を識別するための情報で、機器に付番されるだけ。個人情報には該当しないと思っている」と語った。法改正後も、個人情報にあたらないとの認識を明確にした。法案では新設される第三者機関「個人情報保護委員会」が個々の事例を判断するとしているが、政府が先がけて一部の方向性を示した。 ただ、端末ＩＤは、事業者が個々のスマホやパソコンを識別し、位置情報や利用者のホームページ閲覧、買い物などの履歴を集めて活用するために使われることもある。端末ＩＤだけでは所有者がだれかを知るのは難しいが、正確な位置情報や行動履歴な

2015/4/16(木)：ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ

サンリオの株主向けウェブサービスにおいて、株主の個人情報6249人分が外部へ流出した可能性があることがわかった。現在、漏洩した経緯などの調査を進めている。 流出したと見られるのは、同社の株主向けウェブサービス「サンリオ株主ポイント倶楽部」に登録している株主6249人に関する個人情報。4月7日に、同サイトにしか登録していないメールアドレス宛てに投資の勧誘メールが届いたと株主から連絡があり、同サービスに登録している複数の株主にも同様のメールが届いていることが判明したという。 同サービスは、インベスター・ネットワークスが運営しており、氏名、住所、電話番号、生年月日、メールアドレスなど、株主6249人分の情報が流出した可能性があるとして、調査を進めている。 同社では「サンリオ株主ポイント倶楽部」を停止し、対象となる株主に謝罪と注意喚起のメールを配信。調査結果については判明次第公表していく方針。 （

Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで

インターネット上には数え切れないほどの翻訳ツールや翻訳サイトがあります。 そこに潜む危険性について記載したいと思います。 海外出張者や海外で働いている方など、ビジネスシーンでも現地の言語に翻訳する 必要性があり、翻訳ツールなどを利用するかと思います。 さて、自分が翻訳ツールやサイトに入力した内容が、検索サイトで検索することが が可能だったらどうしますか？ 私も英語は得意ではないので、翻訳ツールのお世話になる事が多々あり、 こんなことが起こったら困ります。 今回確認したものは、検索サイトにて　翻訳サイト名 ＋ キーワード 　を入力した場合に、 翻訳サイトに入力したと思われる文章や翻訳結果が記載されているページが検索サイトで 検索結果として表示されてしまうものです。 確認したのは、ilovetranslation（http://www.ilovetranslation.com/）と言うサイト。

政府が今国会での成立をめざす個人情報保護法改正案の原案がわかった。昨年示した「骨子」にあった、個人情報の利用目的を本人の同意なしで自由に変えられる規定は、消費者に配慮して撤回した。ただ、個人情報を幅広く認めて規制の網をかけることは見送り、企業側にも気を配った内容となっている。 原案は１８日に自民党の内閣部会などに示される。 法改正は２００３年の成立以来初めて。ビッグデータの利活用を推し進める安倍政権の成長戦略に沿って、企業が持つ個人情報を使いやすくするほか、情報保護のあり方も見直すのが狙いだ。 内閣官房が昨年１２月に示した… こちらは有料会員限定記事です。有料会員になると続きをお読みいただけます。 こちらは有料会員限定記事です。有料会員になると続きをお読みいただけます。 こちらは有料会員限定記事です。有料会員になると続きをお読みいただけます。 こちらは有料会員限定記事です。有料会員になると

「Internet Explorer（IE）11」に、すべてのセキュリティ更新ファイルを適用しても修正されない、極めて深刻な脆弱性が発見された。攻撃者はこの脆弱性を悪用することで、ウェブサイトにおけるユーザーの認証情報を窃取できる。また、あらゆるウェブサイトのコンテンツを外部から改ざんできるため、正規サイトを通じたフィッシング攻撃に悪用される可能性もある。 この脆弱性はセキュリティ企業Deusenの研究者であるDavid Leo氏が公表したもので、「Windows 7」と「Windows 8.1」で実行されるIE 11が影響を受ける。SecLists.Orgに掲載された詳細によると、攻撃者は脆弱性を悪用することで、IEを含むウェブアプリケーションの重要な保護機能である「同一生成元ポリシー」を回避して、ユニバーサル・クロスサイト・スクリプティング（UXSS）攻撃を実行できる。これにより、攻撃

Windows 7の起動画面で使っているパスワードを忘れてしまい、ログインできないという非常事態に出くわしたときに、管理者権限を取得した状態でコマンドプロンプトを立ち上げられる裏技を知っておけば、コマンド入力であっという間にパスワードを設定し直してログインすることが可能です。ということで、実際にうまくいくのか、管理者権限を強制的に取得する裏技を試してみました。なお、この裏技は手順を間違えるとPCが正常に起動しなくなる危険がある点には注意が必要です。 A tutorial on how to get into an admin account on ANY computer. - Imgur http://imgur.com/gallery/H8obU 電源ボタンを押してPCを起動させ、「Windowsを起動しています」と表示されている間に、PCの電源ボタンを長押しして強制的にPCをシャット