次世代通信規格「5G(第5世代)」を使う大きなメリットは、4Gよりも高精細で遅延の少ない映像を配信できる点だ。この特徴を生かし、建設機械や医療機器を遠隔操作しようとする取り組みが広…続き 5Gがやってくる つながる機器は100万台 [有料会員限定] 5Gでロボット遠隔操作や遠隔医療、ドコモが公開
2. アジェンダ • 本日の構成 – 脆弱性の分類 – Webアプリの構造と脆弱性の原因箇所 – 「入力」では何をすればよいのか – SQLインジェクション対策の考え方と実際 • 原理の話(グローバル) • 文字コードの話(グローバル&ローカル) – ケータイWebアプリのセキュリティ(ローカル) • 議論の焦点 – Webアプリケーションのセキュリティ施策の考え方 – グローバル v.s. ローカル – 対策の歴史とあるべき姿 Copyright © 2008-2010 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何
Appleは米国時間8月19日午前、「iOS 5」の新たなベータ版を開発者向けにリリースした。6月の初公開から数えて6番目のベータ版となる。 Boy Genius Report(BGR)が同ベータ版の完全な更新履歴を掲載しているが、アプリケーション開発用ツール「Interface Builder」にいくつか新機能が加わった以外は、大部分がバグ修正のようだ。BGRも指摘している通り、今回のベータ第6版は前回のベータ第5版と異なり、インストールの前にテスト機のコンテンツや設定を完全に削除する必要がない。 iOS 5ベータ第6版では通知システムを見直したほか、「iOS」ユーザー同士が無料でテキストメッセージを送信したりチャットしたりできる新たなメッセージングプラットフォーム「iMessage」を搭載している。この最新ベータ版はまた、Appleが公開を予定している「iCloud」サービスと深く関連
AppleがiOS 5の新ベータをリリースしたのだが、変更点に「UDID(Unique Device Identifier、デバイス固有ID)の廃止」含まれていたことが判明、各所で話題になっている(CNET Japan、Washington Post、WirelessWire)。 これに対する、Twitterでの日本の一部の開発者の反応が「UDIDに依存する人々とたしなめる人々にてまとめられているのだが、UDIDがなくなると困る、という人が多い模様。UDIDの代わりにアプリケーション側で固有のIDを作成して利用することは十分に可能なのだが、その場合その固有IDは作成したアプリケーションでしか利用できないため、不満をもつ人が多いようだ。しかし、UDIDはユーザーによる変更が不可能である不変IDであるため、非常に強力な個人トラッキング能力を持つ。さらに、アプリケーションを問わず認証が可能である
Hiromitsu Takagi @HiromitsuTakagi いろいろヤバい。ネタのストックは大量にあるが、ウイルス罪やら番号制度やらが優先で、書いていく時間が足りてない。もうTwitterで先出していくしか。 Hiromitsu Takagi @HiromitsuTakagi UDIDやスーパークッキー同等の問題は英語圏でいずれ必ず問題視されて路線変更に至るが、日本の人たちがそれに取り残されてしまって、後で困ったことになることが国家的損失。そうならないよう早め早めに啓蒙していくことが重要であるところ。残念ながら政府の取組みは極めてお粗末で、… Hiromitsu Takagi @HiromitsuTakagi …政府の取組みは極めてお粗末で、セキュリティについては2003年ごろから積極的に取り組まれるようになったが、データプライバシーはそれとは全くの別物とみなされていて、政策課題に
まとめ NTT docomo IMEI垂れ流し問題(19日から20日午前6時まで) 2011年10月19日、docomoのスマートフォンにプリインストールのメディアプレーヤーがHTTPヘッダでIMEIタレ流しという困った仕様になっていることが判明した件についてまとめました。(19日から20日午前6時まで) 音楽・動画 | サービス・機能 | NTTドコモ http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html (10月20日頃更新され、通常のHTTP通信では送らず、PlayReady®のライセンス取得の際にだけ送り、ユーザの許諾もその都度得ると訂正。) 上記ページ、更新前のWeb魚拓: http://megalodon.jp/2011-1019-1834..
iOSやその開発事情に詳しいと言える状態にはないので、調査を兼ねて書く。 Apple Sneaks A Big Change Into iOS 5: Phasing Out Developer Access To The UDID – TechCrunch http://wirelesswire.jp/Watching_World/201108221335.html 上記の「iOSでUDIDの利用が禁止」というニュースを聞いた時、正直TL上にこんなにいっぱい反応が貼り出されるとは思っていなかった。さすがにUDIDをいじるのはまずいよね、っていうコンセンサスは開発者の間では常識的部類に入ってくるのだろうと楽観的に捉えていたのかもしれない。 以下、なぜUDIDがそのようにスマートフォン開発者に利用されてきたのかについて、調べた限りでまとめてみた。 アプリケーションのサーバとのセッション保持 い
Android 端末ではパスワードが平文保存されているそうだ (The Hacker News の記事、本家 /. 記事より) 。 元記事によると、Android 端末では電子メールアカウントのパスワードは SQLite データベースに保存されることとなっており、最終的には端末のファイルシステムにテキストデータとしてこの情報が保存されているという。記事ではせめて SHA や MD5 でエンクリプトした状態で保存する方が良いとしているが、Android のサポートフォーラムでは「サポートされている POP3 や IMAP、SMTP、そして Exchange Active Sync などのより古いプロトコルは接続時に毎回クライアントからのパスワード提示を求めるものである。これらのプロトコルは端末でそのアカウントを利用する限り端末でパスワードを保持し続ける」として、パスワードを 1 回だけ使いト
今回はモバイル関連のセキュリティブログから紹介しよう。まずはiPhone/iPadの「Jailbreak」(脱獄)に関するブログだ。 米アップルのモバイルOS「iOS」を搭載した端末をジェイルブレークするツール「Jailbreakme.com」の最新版「バージョン3」が公開された。米ウェブセンスは、同ツールが「大変見事な仕事だが、大変危険だ」としてブログで注意を促した。 Jailbreakme.com 3はとてもシンプルで、ウェブセンスの社内テストでは20秒以内でジェイルブレークを完了した。ブラウザーをクラッシュさせることもなく、インストールの様子と感覚は、まるで正規のモバイルアプリケーション配信/販売サービス「App Store」のようだったという。 ウェブセンスが同ツールを危険だとするその理由は、ユーザーのアクションを必要とするものの、ドライブバイダウンロードのようにほぼ自動的に動作す
スマートフォンが世界的に人気となっている一方で、スマートフォンを狙ったマルウェア(悪意のあるソフトウェア)にも関心が集まっている。特に、国内でもラインアップが急増しているAndroid端末を狙ったマルウェアが増えており、こうした脅威から端末を守るためのアプリも続々と登場している。 Android向けセキュリティソフト「ノートン モバイル セキュリティ」などを提供するシマンテックは7月19日、モバイルセキュリティに関する説明会を開催。米Symantecのマーク・カノック氏(コンシューマ ビジネスユニット シニアプロダクトマネージャ)が、モバイルマルウェアの現状を語った。 Androidマーケットの警告文、気にしてますか? 現在、スマートフォン市場の主役はAppleのiPhone、そしてGoogleが中心となって推進するAndroid端末だ。どちらも急速にシェアを伸ばしており、その分、ハッカー
何気なくBlackHatのスライドを見ていた。 すると、とんでもないことが書いてあった。 Popping Shell on A(ndroid)RM Devicesより、 webkitの未公開の脆弱性を発見すれば、$35k~$95k、1$80円換算で280~760万円の相場らしい。 凄いな、年に1,2個脆弱性を見つければ、食っていけるじゃん。 そりゃハッカー頑張っちゃうよ。 このスライド、後半に書いてあることも凄い。Android2.1だと特定のJavaScriptを踏むだけで、webkitの脆弱性から任意のコードを実行、つまりremote shellを起動、さらにlinuxの脆弱性も突いていてroot権限で動くという最悪コンボが実現可能。 それはつまり、悪意のあるページを踏むだけで、例えば個人情報を丸ごと抜かれたり、勝手にメールを送信したり、勝手に何かをインストールして実行されたり、更なる
モバイルセキュリティ企業のLookoutによると、Googleは、マルウェアが含まれた複数のアプリケーションを「Android Market」から削除したという。今回発覚したマルウェアはデータを危険にさらす恐れのあるもので、Lookoutでは約3万から12万台のAndroidデバイスが影響を受けた可能性があると警告している。 Lookoutは米国時間5月30日、同社ブログ内で「この週末の間に、Android Market内に個人データを危険にさらす恐れのあるマルウェアが含まれたアプリケーションが複数見つかった」と投稿している。「発覚したマルウェアは、3月に市場で騒動を巻き起こしたマルウェアの『DroidDream』と同じ開発者が作ったものと思われ、26件のアプリケーションがDroidDreamの簡易版に感染していることがわかった。われわれは今回のマルウェアを『Droid Dream Lig
ITmedia News の記事によると、「ClientLogin」という認証方式を使っている Android アプリケーションが、暗号化されない経路で認証情報をやり取りしているという問題が明らかになった (発見者である独ウルム大学のBastian Könings 氏による解説) 。 ClientLogin は Google Calendar や Google Contacts などへのアクセスで用いられており、公衆無線 LAN などの安全でない経路でインターネットに接続した際に認証情報を傍受して個人情報にアクセスしたり改ざんすることができるという。 この問題は Android 2.3.4 以降で対処されているが、調査によれば 2.3.4 以降を利用しているユーザのシェアは 0.3 % 程度であるため 99.7 % の Android ユーザに影響があると考えられるとのこと。
モバイルバッテリーとは呼べない。「ほぼポタ電」なコレ1台で有事の時もアウトドアも大活躍!【AmazonスマイルSALE】
独立行政法人情報処理推進機構は3月24日、情報セキュリティに関連する資料「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公表した。 この資料は主に2010年に発生したセキュリティの被害事例などを基に、情報セキュリティ分野の研究者や実務担当者127人で構成する「10大脅威執筆者会」が、今後の対策の参考となることを目的として脅威の概要や影響、セキュリティ対策の考え方、方向性についてとりまとめたもの。46ページにわたる3章構成のPDF文書となっており、同機構のWebサイトから無償でダウンロードすることができる。 「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」の入手先 発表内容によれば、2010年のセキュリティ脅威の特徴は「外部から攻撃される脅威が半数を占めていること」とされているほか、Stuxnetのような複数の攻撃を組み合わせた新たな攻撃が制御シ
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
図2 今回確認されたウイルスのインストール画面例(米トレンドマイクロの情報から引用)。通常のアプリケーションをインストールする際には表示されないような警告が、複数表示される セキュリティ企業各社は2010年8月11日、Androidを搭載した機器に感染する初めてのウイルス(悪質なプログラム)を確認したとして注意を呼びかけた。有用なソフトに見せかけたウイルスをインストールすると、ある有料サービスを勝手に利用されて課金されてしまう。 今回確認されたウイルスは、「Movie Player」というソフトに見せかけて配布された(図1)。インストールすると、ロシアの有料SMSに対してショートメッセージを勝手に送信する。 この有料SMSは、メッセージを送信すると課金され、受信者に料金が支払われるサービス。ロシアのセキュリティ企業カスペルスキー研究所によれば、メッセージを1回送信するごとに、およそ5ドルが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く