会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
セキュリティ企業のWebサイトにXSSの脆弱性、XSSedが調査結果を公表
大手セキュリティ企業のWebサイトはユーザーに信頼されているだけに、マルウェア配布に利用される可能性も高いという。 大手セキュリティ企業のWebサイトにもクロスサイトスクリプティング(XSS)の脆弱性が存在するとして、XSS攻撃情報提供サイトの米XSSed.comが調査結果を公表した。セキュリティ企業のWebサイトはユーザーに信頼されているだけに、「マルウェアやクライムウェア配布に利用される可能性も高い」と警鐘を鳴らしている。 XSSedプロジェクトではVerisignとMcAfee、Symantecのセキュリティ大手3社のサイトでXSSの脆弱性の実態を調べ、結果をサイトで報告した。 それによると、Verisign.comには5件のXSS問題が見つかり、6月11日までにすべて修正された。しかし、多数の大手企業のWebサイトに安全性を保証する「Verisign Secured」の認定マークを
第2回セキュアコーディング勉強会まとめ資料公開
2008年05月30日カテゴリの文書一覧PerlのTaintモードについて -- 壱 -- [PDF]ファイル名securecoding_azurestone_2008_05_30最終更新2008-06-09 01:06種類PDF作成者AzureStoneAzureStoneによる問題提起の発表資料です。詳細は、http://securecode.g.hatena.ne.jp/azurestone/20080603/1212156333 こちらをご覧下さい。 RealVNCから学ぶローカライズのセキュアコーディング [ PDF ]ファイル名securecoding_localize_2008_05_30最終更新2008-06-07 11:50種類PDF作成者AzureStone参加者(hashyさん)による問題提起の発表資料です。詳細は、http://securecode.g.hatena
Opera、マルウェア対策のHaute Secureと提携
Webに隠されたマルウェアからユーザーを守るHauteの技術を、ブラウザ新バージョンのOpera 9.5に取り入れる。 ノルウェーのOpera Softwareは6月6日、Webベースのマルウェア対策を手掛ける米Haute Secureとの提携を発表した。Webに隠されたマルウェアや悪質なソフトからユーザーを守るHauteの技術を、ブラウザの最新バージョン「Opera 9.5」に取り入れる。 Opera 9.5ではHauteの技術を使ってFraud Protection機能を強化。改ざんされたWebサイトなどをユーザーが閲覧し、個人情報やパスワードを盗み出すマルウェアを知らないうちにダウンロードしてしまうのを防ぐ。 既知のマルウェア配布サイトを登録したHauteのデータベースとOperaのFraud Protectionアーキテクチャを組み合わせることで、Operaユーザーは「全般的なコン
norah'# : Firefoxのプラグインのまずい仕様について
Firefox 用の拡張機能を公開するサイト兼駄文(目指せ!! 打倒 真鍋かをり)norah'# - "You do your job. If you get results and people thank you for it, so much the better" norahmodel.exblog.jp トップ | ログイン US の Bugzilla で報告したところ(もじら組の Bugzilla に報告した所24時間経っても連絡が来なかった)、それは脆弱性ではなく仕様だと言われたので、これがいかに危険か開示します。 複数のバージョンのプラグインがインストールされている場合 Firefox はプラグインのバージョンでは無くプラグインのインストール先によって、どのプラグインを優先して使うのかを判断してしまう。 これはシステムの管理者が一括してプラグインの管理をする場合や、開発
nifty
● nifty.comの偽サイト ttp://niftyservices.webhop.info/service/login.htm トップページは正在建設中、「工事中」ですね。 niftyservices.webhop.infoのアドレスは140.115.182.4で台湾、逆引き無し、サーバー応答はServer: Microsoft-IIS/5.0 webhop.infoはダイナミックDNSサービスです。 ログイン画面、この後本物のサイトに飛ばされます。本物のサイトはSSLです。 jpcert.or.jpに通報しました。ログインはブックマークしたSSLのページから行うようにしましょう。 本件は通報されたものです。ありがとうございました。
Mac OS Xのセキュリティ設定ガイドを公開
Appleは、Mac OS Xのセキュリティ強化のための設定方法や奨励事項について解説したガイドを公開した。 米Appleは、Mac OS Xのセキュリティを強化するための「Security Configuration Guides」(セキュリティ設定ガイド)を公開した。 ガイドではセキュリティ強化のための設定方法や奨励事項について解説してあり、Mac OS X v10.5(Leopard)版、Mac OS X v10.4(Tiger)版、Mac OS X v10.3(Panther)版それぞれのPDFをダウンロード入手できる。 ただし、内容はMac OS Xのユーザーインタフェースについて熟知した上級ユーザー向け。少なくともTerminalアプリケーションのコマンドラインインタフェースを使った経験と、ネットワークについての基本的な知識が必要だとしている。 ガイドで解説している手順の中には
ネットワーク機器がホームページ改ざん幇助:ARPスプーフィングの脅威 |
ホームページに脆弱性を突いた不正なスクリプトが埋め込まれる事例が相次いでいます。 TrendLabs Malware Blog:「Total Recall: The Month of Mass Compromises」(2008年5月30日付け) その埋め込み手法は様々です。これまで、バックエンドにデータベースサーバを抱えた環境が標的となり、SQLインジェクションにより埋め込まれた事例に関心が高まっていました。しかしながら、バックエンドにデータベースサーバを抱えていない環境においても、不正なスクリプトの埋め込み脅威にさらされています。 今回は日本国内にて確認されたホスティング業者のネットワーク機器:ルータがハイジャックされ、ホームページ改ざんを幇助した事例について紹介いたします。 ■相互通信と機器の役割 今回の攻撃を理解するには、ネットワークにおけるデータ取り扱いの背景を知る必要があります
Appleストアの偽サイト出現、デザインが酷似
米Appleのオンラインストアに見せかけて、ユーザーからクレジットカード番号などの情報をだまし取ろうとするフィッシング詐欺サイトが見つかった。セキュリティ企業のSunbelt Softwareがブログで伝えた。 Sunbeltは偽サイトのスクリーンショット掲載。偽サイトはAppleのロゴを使い、本物のAppleストアにそっくりなデザインを採用している。「Update Billing Information」(決済情報の更新)と称し、クレジットカード番号や氏名、住所、電話番号、社会保障番号、およびApple IDとパスワードを入力させるよう仕向けている。 AppleやMacユーザーを標的にした攻撃は昨年後半ごろから本格化し、Macに感染するトロイの木馬をWebサイトに仕掛けたり、Mac向けの偽セキュリティソフトを売り込む手口などが報告されている。 過去のセキュリティニュース一覧はこちら
Appleのカレンダーソフトに脆弱性、パッチは未公開
セキュリティ企業のCore Security Technologiesは5月21日、Appleのスケジュール管理ソフト「iCal」に関する脆弱性情報を公開した。現時点でAppleはパッチを公開していない。 Core Securityによれば、iCalには3件の脆弱性が存在する。最も深刻なのは、リソース解放に関連するメモリ破損の問題で、第三者が細工を施した「.ics」形式のカレンダーファイルを使って悪用される恐れがある。 この脆弱性を突かれると、攻撃者が任意のコードを実行したり、サービス妨害(DoS)攻撃を繰り返してiCalをクラッシュさせることが可能。ユーザーは、電子メールやWebサイトで配信された信頼できない.icsのカレンダーファイルを開かないように注意する必要がある。 脆弱性が存在するのはOS X 10.5から10.5.2にバンドルされたiCalアプリケーション。iCal 3.0.1
Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求
Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求:Appleは対処せず Safariはユーザーの許可なくマルウェアをダウンロードしてしまうと研究者が指摘。しかしAppleはこれをセキュリティ問題としては扱わない方針だという。 AppleのSafariブラウザはユーザーの同意なしにマルウェアをダウンロードしてしまう恐れがあると、セキュリティ研究者が指摘した。スパイウェア対策プロジェクトの米StopBadware.orgもこれを問題視、Appleに対処を促している。 Safariの「じゅうたん爆撃」問題を指摘したのはセキュリティ研究者のニテシュ・ダーンジャニ氏。同氏のブログによると、Safariではユーザーの同意を求めることなくリソースがダウンロードされ、デフォルトの場所(Windowsではデスクトップ、OSXではDownloadsディレクトリ)に保存される設定
第1回 攻撃手法編:不正なサイトに巧みにアクセスを誘導
パソコンを狙った攻撃は,ネットワーク技術の進歩に合わせて,新しい手法が次から次へと考え出されている。ユーザーは,常にセキュリティに対するアンテナを張り巡らせて,攻撃手法に関する情報を収集しておくことが重要である。うっかり情報収集を怠ってしまうと,いつの間にか危険な行為をしていることになりかねない。 第1回と第2回では,パソコンに対する最新の攻撃手法を見ていこう。 ネットワークからの直接攻撃は減少 パソコンに対する攻撃として,1~2年前まではネットワークにつながっているパソコンを手当たり次第に狙って,セキュリティの甘いパソコンに侵入するという手法が主体だった。例えば,BlasterやSasserといったウイルス/ワームは,インターネットにつながっているパソコンに次々とアクセスを試みて,セキュリティ・ホールがあるパソコンを見つけると侵入して感染を拡大する。パソコン上で特に何も操作していなくても
被害が続くSQLインジェクション攻撃,もう一度対策を見直そう
2008年3月11日,不特定多数のWebサイトに対する大規模なSQLインジェクション攻撃が発生した。本攻撃はターゲットとなるWebサイトのソースコードを改ざんし,攻撃者が用意した不正なWebサイトへのリンクを挿入するものである。セキュリティオペレーションセンター(SOC)でも,2008年3月11日~13日の間に,このSQLインジェクション攻撃を試行する通信を多数検知した。今回の攻撃はIIS(Internet Information Services),Microsoft SQL Server,ASP(Active Server Pages)を利用するWebサイトを対象としたものだった。 大規模なSQLインジェクション攻撃は3月後半から4月後半にかけても度々発生しており,世界的な被害の発生が報告されている 。いずれも,攻撃の方法およびその対象は3月11日に発生したものと同様であり,引き続き注
ブラウザのその鍵マーク大丈夫っすか?(NonIP SSL)
ブラウザのその鍵マーク大丈夫っすか?(NonIP SSL) ◎PマークがIPアドレス不足の犯人だ! 最近は個人情報保護 ⇒ お問合せフォームのSSL対応っていう流れがあるので、きっとベリサインなどのSSL証明書の認証業者さんはすごく儲かってるんでしょうねー。 Pマークを取得するために、1ヶ月に1回も使われない問合せフォームにお金をかけてSSLの証明書を取得される企業さんも多いんじゃないでしょうか。 通常SSLってのは、同一のグローバルIPアドレスで複数サイトを対応させる事は無理なはずなんで、サイト1個に対して確実にグローバルIPアドレスを消費してしまいます。 ほんともったいないですよねー。 個人的には、このPマークっていうやつが、今後のIPアドレス不足を促進させる犯人だと思ってます。 (お問合せフォームから送信される情報を暗号化するのは、確かに望ましいことなんですけどね) ◎I
kmuto’s blog
View this post on Instagram A post shared by kmuto (@mutokenshi) View this post on Instagram A post shared by kmuto (@mutokenshi) View this post on Instagram A post shared by kmuto (@mutokenshi) View this post on Instagram A post shared by kmuto (@mutokenshi) View this post on Instagram A post shared by kmuto (@mutokenshi) View this post on Instagram A post shared by kmuto (@mutokenshi) View this
「Safariもファイルダウンロード時にユーザー許可を」--専門家が要望
「Internet Explorer」や「Firefox」と違って、ブラウザ「Safari」はファイルをダウンロードする際、ユーザーの許可を求めない。そのため、Safariのユーザーは、悪質なソフトウェアの被害に合う恐れがあると、セキュリティ研究者が米国時間5月15日、警告を発した。 Safari Carpet Bombというタイトルのブログ投稿の中で、Nitesh Dhanjani氏は、悪質なウェブサイトからWindowsのデスクトップやMacのダウンロードディレクトリにリソースをダウンロードすることがいかに容易かを説明している。 また、同氏は「Appleはこれが今回対処すべき問題であるとは認識しなかった」と述べている。 Appleの関係者からはDhanjani氏に対し、「何かをダウンロードする際はユーザーに許可を求める」という「機能強化の要望」は、Safariチームに報告するとの連絡が
asahi.com(朝日新聞社):立命大サーバーに不正侵入の疑い 大阪・枚方の男逮捕 - 社会
立命大サーバーに不正侵入の疑い 大阪・枚方の男逮捕2008年5月14日11時31分印刷ソーシャルブックマーク 立命館大のサーバーに不正に入り込み、学生が持っているメールアドレスの設定を改変したとして、京都府警は14日、大阪府枚方市招提南町3丁目、会社員内藤翼(つばさ)容疑者(25)を不正アクセス禁止法違反と私電磁的記録不正作出・同供用の疑いで逮捕した。内藤容疑者は「いたずらのつもりだった」などと容疑を認めているという。 調べでは、内藤容疑者は1月23日、同大学びわこ・くさつキャンパスの学内サーバーに、男子学生2人のIDとパスワードを使って計6回侵入。2人の学内アドレスに送信されたメールが他の学生のアドレスに転送されるように、設定を変えた疑い。 同容疑者は事前に、大学名で「ネットワークサーバーにウイルスの感染が見つかった。セキュリティーチェックをする」という偽メールを学生に送信。リンク先を示
「Firefox」のベトナム語言語パックに悪質コードが混入
米モジラのセキュリティ最高責任者であるウィンドウ・スナイダー氏は2008年5月7日、同社の公式ブログにおいて、Webブラウザー「Firefox 2」のベトナム語言語パックに悪質なコード(プログラム)が混入されていたことを伝えた。この言語パックをインストールすると、攻撃者のサイトに置かれたウイルスなどに感染させられる恐れがあったという。 言語パックとは、Firefoxのユーザーインタフェースを特定の言語にするコンポーネントのこと。さまざまな言語パックが公開されていて、無償で利用できる。今回問題が見つかったのは、ベトナム語版の言語パック。 ベトナム語言語パックは、2007年11月に公開され、今までに1万6667回ダウンロードされているという。2008年2月18日に公開された最新版の言語パックに悪質コードが確認されているので、同日以降にダウンロードしたユーザーは被害に遭う恐れがあるという。ただし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://headlines.yahoo.co.jp/hl?a=20080602-00000014-imp-sci
Fujisan.co.jpがサイト改竄、SQLインジェクションでウイルス仕込まれる