狙われた“つぶやき”――Twitterに仕掛けられたワナ
Twitterのつぶやきが狙われた。しかし、これは氷山の一角かもしれない。それだけ拡大したTwitterは、これからどのような方向に進んでいくのだろうか。 2008年4月23日に日本版サービスが開始されて、まもなく1周年を迎えるミニブログサービス「Twitter」。米comScoreの調査によれば、全世界のTwitterのトラフィックはここ数カ月で急増し、2月には伸び率が700%を超えたという。しかも、爆発的な成長の背景には、従来の主なユーザー層である18~24歳よりも、20代後半~50代のユーザーが急増していることもあるようだ。 そして、ユーザーが増えるとともに、さまざまな犯罪の標的にもなってきている。このことは、以前も伝えた通りだが、その時は想像し得ないほどの急増ぶりなのだ。 リンクをむやみにクリックしてはいけない? 4月12日、米TwitterはXSS脆弱性を突いたワーム攻撃を受けた
妹の質問に答える非常に斬新なPHP用のCAPTCHAモジュール「妹認証」
ネタではなく極めてマジメなBOT対策用モジュール、それが「妹認証」です。 MITライセンスで無償提供されており、質問文と回答文に日本語を完全にサポートし、質問文はPHP+GD+TTFフォントで画像出力を実現。標準でバンドルされている妹の名前は「れいにゃ」となっており、質問文やキャラクターを自分でカスタマイズすることも可能です。 実際の動作デモやダウンロード、導入方法などは以下から。 妹認証 - 妹がBOTからプログラムを守る http://www.okanesuita.org/auth_sister/ 以下のリンクから動作デモを体験することができます。 動作デモ http://www.okanesuita.org/auth_sister/?#demo 質問文が表示されるので回答を入力、「送信」をクリックすると…… 成功 以下のリンクからダウンロードが可能です。 ダウンロード http://
Webサイト防御のためにできること
2005年春、2007年春に猛威を振るったSQLインジェクション(※注1)の検知数が、2008年の3月上旬から当時の何倍もの規模にまで増えてきた(図1)。正直なところSQLインジェクションは「過去の遺物」であり、ほとんどのサイト運営者が何らかの手を打ち、もう絶滅したと思われていたが、現在も被害に遭うサイトは後を絶たない(図2)。 ※注1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法 図1●JSOC(ラックセキュリティ監視センター)で検知したSQLインジェクションの件数 図2●被害サイトは予想以上(Googleの検査結果)《クリックで拡大》 ここではWebアプリケーション(以下、Webアプリ)の脆弱性対策の話が中心であるため、攻撃の詳細にまでは触れないが、一連の攻撃で厄介だったのは、攻撃コードが難読化されていたことである(図
はびこる「インジェクション系」のぜい弱性:ITpro
Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし,Webサイトの実態はどうだろうか。 筆者の所属する京セラコミュニケーションシステムでは昨年(2006年),ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発表した。これによると,パソコン向けWebサイトの48%に致命的なぜい弱性が見つかった。このうちワースト1位はクロスサイト・スクリプティングで56%,2位はSQLインジェクションで11%と,どちらもインジェクション(注入)系のぜい弱性。これらのぜい弱性を持った危険なサイトは依然として存在するのが実情である。 これらWebアプリケーションのぜい弱性があまりなくならない理由はいくつかあるが,以前は「ぜい
ITmedia Biz.ID:あやしいサイトにご用心――3つの“素性確認”サービス
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
悪質なコミュジャックmixi事案勃発中 [絵文録ことのは]2006/12/28
マサハルsp3と称するmixiユーザーその他多数のコミュニティ荒らしが出没して、mixiのコミュニティの管理人権限を次々と乗っ取り、悪質な改変を行なっている。 (記事の性質上、mixi内の具体的なページへのリンクを示しています。そのため、mixiに入っていない方は閲覧できないリンクが多数含まれますが、ご了承ください) ■最新情報:2006/12/30 マサハルsp3がmixiを退会しました。 現在、「カリスマ」云々を自称するグループその他のコミュニティ乗っ取り犯たちが、このページについて「ユーザーのIDをさらす荒らしサイト」であるかのごときデマ情報を流布しようと躍起になっておりますが、事実関係は皆さんご自身でご確認くださいませ。mixi事務局にも連絡済みですし、警察にもきちんと説明する用意がございます。むしろ、当ページを荒らし等々と称する者たちこそが今回の乗っ取り事案の実行犯並びにその協力
誰が攻撃しているか突き止めたい:ITpro
ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ついに起きたXSS攻撃・セキュリティーは1日にしてならず セキュリティー-最新ニュース:IT-PLUS
最も危険なドメインは香港の「.hk」、米McAfee調査
相手を信じる心理が狙われる、シマンテックがオンラインゲーム脅威解説
サイトの危険度を赤・黄・青で示すツールバー「SiteAdvisor」が日本語対応