岡崎図書館HP大量アクセス事件について - さかなの目
図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが… http://www.asahi.com/national/update/0820/NGY201008200021.html なぜ逮捕?ネット・専門家が疑問も 図書館アクセス問題 http://www.asahi.com/digital/internet/NGY201008210001.html Twitter#librahack、Togetter、librahack、高木浩光氏のブログなどをつまんで見れば把握できるんですが、時系列で並んでいなかったり、専門知識が必要だったりで朝日新聞の記事だけではちょっとつらい。まとめてみた。 登場人物 中川氏 ソフトウェア開発者。 本事件の犠牲者。図書館から新着図書データを自動で取得するプログラムを開発、実行した結果、図書館のシステムが脆弱だったためサービスが停止。図書館に被害届を出され、警察に20
IntelのMcAfee買収、その意味は
半導体大手の米Intelによるセキュリティソフトメーカー米McAfeeの買収は、単に2つの会社を合わせて1つの大きな会社にするというだけではない。Intelが自社の製品ライン全体で、セキュリティのレベルを引き上げると決断したことの表れでもある。さらに、Intelが重要性の高い独自製品を提供することで、米Cisco Systemsなどのネットワーク・通信機器ベンダーに対抗する準備をひそかに進めていることも示している。 Intelの方向性がうかがえる手がかりの1つが、同社が先に米Texas Instruments(TI)のケーブルモデム事業を買収したことだ。これもまた、数年前にケーブルインタフェース技術大手の米Scientific Atlantaを買収したCiscoに対抗する動きだ。Ciscoの買収はほとんどが表に出るものではなく、Scientific Atlantaのケーブルモデムは5年前と
研究者がスクリーンの汚れを利用した攻撃で、Androidの暗証番号を68%解読
映画のシナリオでは復元した指紋サンプルを使って生体認証システムを迂回したりするが、ペンシルバニア州立大学の研究者は、異なる照明条件とカメラ位置で撮影された写真を使って、2つのAndroidスマートフォン(HTC G1およびHTC Nexus One)のパスコードを68%の頻度で解読した。 同研究者らの論文、「Smudge Attacks on Smartphone Touch Screens」(スマートフォンタッチスクリーンの汚れを悪用した攻撃)には、次のように説明されている。 Androidのパスワードパターンに起因する汚れを悪用したこの攻撃の実行可能性を検証するため、われわれはまずスマートフォンのタッチスクリーン表面から汚れを写真的に抽出できる条件を評価することから分析を始めた。われわれはさまざまな照明の角度と光源、そして端末の位置に対するさまざまなカメラのアングルを検討した。 その結
「iPhone」のブラウザ経由ジェイルブレイク、悪用される危険も
米国時間8月1日にリリースされた「iPhone」のジェイルブレイク(脱獄)の手法は、モバイルブラウザ「Safari」の脆弱性を暴露したのかもしれない。 iPhoneをコンピュータに接続してソフトウェア更新を実行する必要があった従来のジェイルブレイクと異なり、iPhone Dev Teamが「JailbreakMe.com」に投稿した最新のジェイルブレイクは、iPhone搭載ブラウザのSafariを介して完了する。 しかし、Safariを介するだけで実行可能だという事実と、そのやり方は、米CNETの読者とリスナー数人から8月3日に受け取ったメールで指摘されているように、より大きな問題を示している。つまり、可能性としては、あるウェブページを訪問しただけで、iPhone(あるいは「iPod touch」や「iPad」)を誰かにコントロールされる危険がある、ということだ。サイト側は、このエクスプロ
短期と長期で考える--“レガシーOS”に有効なセキュリティ対策とは?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 最終回の今回は、もう一度“レガシーOS”を使用し続けるセキュリティ上の不安(図1)を見直しながら、どのような対策が有効かを解説していこう。 Q:OSベンダーのサポートが切れているOSを使用している方、サポート終了後もそのまま「Windows 2000 Server」を使用すると答えた方に質問です。サポート終了後も使用し続けるうえで、セキュリティ上の不安はありますか?(いくつでも) これらの脅威に対してどのようなセキュリティ対策が有効なのだろうか? 基本的には新OSへ移行することが求められるのは間違いない。しかし、企業の実情としてシステムが対応していないなどの理由で移行ができない現実があるだろう。ここでは、1〜2年の短期的な対策と長期的な
「インターネットは完全に終わっている」とプリンス
プリンスが「ネットは終わっている」と批判 「インターネットは完全に終わっている」と、歌手のプリンスが英Daily Mirror紙のインタビューで語った。彼は、iTunesなどのオンラインストアで新曲を販売するべき理由が分からないとし、「彼ら(オンラインストア)は前払いしない。それで曲の販売権が手に入らないと怒る」と話している。「インターネットはMTVのようだ。かつてはイケてたが、突然時代遅れになった。コンピュータやデジタルガジェットはちっともよくない。頭の中を数字でいっぱいにする。それがいいわけがない」 プリンスは、ファンサイトに対して写真や似顔絵などの使用を禁止したり、自身の曲に合わせて踊る幼児のビデオをYouTubeから削除させたりなど、ネットと戦っていることで有名。自身の公式サイトも閉鎖したという。 Prince: “The Internet Is Over”(Mashable) G
動画使ってスパムボット対策、「NuCaptcha」登場
スパム防止技術CAPTCHAを動画を使って強化した「NuCaptcha」を、カナダのソフト企業Leap Marketing Technologiesが発表した。 CAPTCHAは、Webフォームの入力時などに画面にゆがんだ文字や数字を表示し、それを入力させることで入力者が人間かコンピュータかを判別する技術。スパムボット防止に利用されている。NuCaptchaはゆがんだ文字をアニメーションで表示することで、コンピュータによる文字の判読をさらに難しくするという。 LeapはNuCaptchaをWebサイトに組み込むためのプラットフォーム「NuCaptcha Basic」を提供する。月間2万5000CAPTCHAまで無料で利用できる。 CAPTCHAは過去2年で利用がほぼ倍増するなど広く使われるようになっているが、OCR(光学文字認識)などを使ってCAPTCHAを破るプログラムも登場してきている
IE6はユーザーを未知の脅威にさらす--NISC、IE8への移行を推奨
内閣官房情報セキュリティセンター(NISC)は6月17日、旧型ブラウザから新型ブラウザへの移行に関する取り組みについて発表した。1月に報道された米国企業などへのサイバー攻撃がマイクロソフトのブラウザ「Internet Explorer(IE)6」の脆弱性を狙うものだったことなど、IE6を利用することがユーザーを未知の脅威にさらす可能性が強いための処置になる。 マイクロソフトでも、セキュリティ対策が強化されたIE8への移行を勧めている。しかし、日本の中央省庁はソフトウェアの互換性を確認するコストがかかることなどを理由に、依然としてシステム導入時のままIE6のみをブラウザに利用している府省庁があるという。 そこでNISCでは5月12日付けで、各府省庁に「IE6からIE8への移行の推奨」「今後、各府省庁においてウェブアプリを利用するシステムの新規構築または更改する際は、最新ブラウザに対応する設計
Twitter、「t.co」ドメインで自動URL短縮サービス - 今夏にも | ネット | マイコミジャーナル
米Twitterは6月9日(現地時間)、今夏にも全ユーザーに対して短縮URLサービスを提供する計画を発表した。これはTwitter VPのSean Garrett氏がブログの中で明らかにしたもので、現在一部従業員のTwitterアカウントでのDirect Messageのみで行われているテストを、今後マルウェア対策強化などを経たうえで順次拡大していくという。 Twitterのような字数制限のあるサービスでの短縮URLの効果はいまさら説明するまでもないが、現在提供されているこれら短縮URLサービスの多くはマルウェアやフィッシングの温床であったり、あるいはサービス自体の存続が不安定であるという二重の問題を抱えている。Twitterは過去1年でセキュリティ対策企業らとの提携で掲載リンク中のマルウェア検証を進めており、投稿されるリンクがセキュリティ的に問題ないかのチェック体制を強化している。 短縮
高木浩光@自宅の日記 - KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」
■ KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 これまで、契約者固有ID(サブスクライバID)について、それ単体では「個人情報」(日本の個人情報保護法が言う)に該当しないという法解釈は存在した。それは、個人情報保護法がそういう法律だから(プライバシー保護の法律じゃないから)そういうものだという話*1だった。それでも、4月3日の日記にも書いたように、ウィルコムからは、「CPに対しても個人情報保護法に従った慎重な取扱いを求めています」という回答を得ていた。 ところが、auのKDDIが、以下のQ&Aを掲載していることに気づいた。 EZ番号(固体識別番号)を変更したい。, auお客様サポート よくあるご質問 「EZ番号」(固体識別番号)はau電話ごとに割り振られており、変更することができません。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知さ
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
インテル、人の思考を読み取るソフトウェアを披露--最先端技術の研究で
チップメーカーのIntelは米国時間4月7日、マンハッタンで開催された同社イベント「Tech Heaven」で、かなり制限された状況下ではあるが、脳波を読み取ることにより、人の思考を知ることのできる、開発中のソフトウェアをデモした。同社は、カーネギーメロン大学とピッツバーグ大学と共同で、MRIによってスキャンした脳波を、コンピュータが認識できる形に変換するためのソフトウェアとインターフェースの開発に取り組んでいる。 同技術は、まだ初期の研究段階にあるものの、研究者らはその将来性を有望視している。Intel Labsのシニア研究者であるDean Pomerleau氏が実施した予備実験では、「barn(納屋)」「house(家)」「screwdriver(ねじ回し)」など、かなり具体的な物質を表すいくつかの単語を被験者に見せ、その間に同システムによって被験者の脳をスキャンし、その活動を記録した
高木浩光@自宅の日記 - ウィルコムから回答「契約者固有IDは弊社にとって個人情報」
■ ウィルコムから回答「契約者固有IDは弊社にとって個人情報」 契約者固有ID関係でいろいろ調査していた2月、私はウィルコムに対して、以下の質問を送った。 Date: 2010/02/18 06:52:07 Subject: 個人情報保護と公式サイト掲載基準についての公開質問 WILLCOMの個人情報保護方針についてお尋ねします。 http://www.willcom-inc.com/ja/service/contents_service/create/uid/index.html の説明によれば、 > 公式サイト向けに個体識別情報の送出を行っておりますが、一般サイト向けに > は個体識別情報を送出は行っておりません。 とのことで、「個体識別情報を受け取るためには申請が必要」とあり、「審査 基準は公式サイト掲載基準と同等」とあります。 そこで「公式サイト掲載基準」 http://www.w
迷惑メールは儲かる:1日40万円の売上げも | WIRED VISION
前の記事 「シンプル英語版ウィキペディア」と、笑えるウィキ辞書 東京で無言の「すれ違い通信」が流行る理由 次の記事 迷惑メールは儲かる:1日40万円の売上げも 2009年10月 6日 Jacqui Cheng 『バイアグラ』や『シアリス』などを宣伝する医薬品関係のスパム[迷惑メール]は、1日4000ドルを超える売り上げをもたらしうる。クリックする騙されやすい少数の人々がいるせいで、スパムが猛威をふるい、他の人々が迷惑を被る状態が続いていることを、このデータは裏付けている。 この数字は推定値ではない。英Sophos社のあるセキュリティ研究者が、スパム・ネットワークの成長に関する調査の一環として、売り上げに関するログを精査した結果に基づいている。 このセキュリティ研究者は、カナダにおける最大の医薬品関係のスパム・ビジネスの一部を動かしているのは、ロシアのアフィリエイト・パートナー・ネットワーク
高木浩光@自宅の日記 - 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
意図はどこに?インテル、マカフィーを買収
TechCrunch | Startup and Technology News
内閣官房情報セキュリティセンター、各府省庁にIE6からIE8への移行を推奨 