パスワードとmemset関数 - yohhoyの日記
C言語プログラム上で高機密性情報(パスワード文字列など)を消去するケースで、memset関数の単純利用では機密情報がメモリ上に残存してしまい、セキュリティ上の脆弱性につながる可能性がある。 void secure_operation() { // パスワード文字列を取得 char passwd[128]; get_password(passwd, sizeof(passwd)); //... // メモリ上の高機密データを消去... memset(passwd, 0, sizeof(passwd)); // ?? } 上記コードではパスワード文字列が格納された変数passwdを使用後にゼロクリアしているが、コンパイル時の最適化によりmemset関数呼び出しが削除される可能性がある。この(プログラマの意図に反する)最適化は、C言語の言語仕様上も許容されるコンパイラの振る舞いとなっている。*1
西日本鉄道のホームページ改ざん、不正サイトへ誘導される状態に
西日本鉄道は2013年7月12日、同社のホームページが改ざんされ、閲覧すると不正サイトへ誘導される状態にあったことを明らかにした。改ざんされていたのは「高宮はるかのにしてつ新発見!」(http://blg.nnr.co.jp/haruka/)および「西鉄駅伝部」(http://blg.nnr.co.jp/ekiden/)。改ざんされていた期間は7月8日21時ごろから7月11日20時50分ごろまでで、この間に約3800件のアクセスがあった。 「サーバーに搭載していたシステムに、第三者が不正にアクセスし改ざんした」(西日本鉄道)。経緯などの詳細は調査中としている。顧客情報の流出はないという。 西日本鉄道では改ざんされたコンテンツにアクセスした可能性があるユーザーに対し、セキュリティソフトを最新の状態にし、ウイルスの感染確認と駆除を行うよう呼びかけている。 [発表資料]
JAXA|JAXAのサーバーに対する外部からの不正アクセスに関する調査結果について
本年4月23日にお知らせいたしました、インターネットに接続した当機構のサーバーへ外部から不正アクセスがあった事案に関して、調査結果及び今後の対応についてお知らせいたします。 不正アクセスに関する調査結果及び再発防止策について (1)不正アクセスの概要 本年4月13日から22日にかけて、5つの情報システムに対して、正規のIDとパスワードを騙った不正なアクセスが行われ、国際宇宙ステーション日本実験棟「きぼう」(JEM)及び宇宙ステーション補給機「こうのとり」(HTV)の運用準備に係る技術情報並びに関係者の個人メールアドレスが流出しました。 (2)原因 1つの情報システムのIDとパスワードが見破られ、不正アクセスを許したため、保管していた情報が流出しました。その中に、当機構職員のIDとパスワードが含まれており、そのIDとパスワードで他の4つの情報システムに不正アクセスがありました。 (3)流出し
第5回:全社を挙げて内部不正を防ぐ、組織トップが対策の陣頭指揮を
内部不正対策を効率的で効果的なものにするためには、組織全体で対策に取り組むことがとても重要です。組織のトップが内部不正対策に積極的に取り組む意思を示し、陣頭指揮を取ることが組織を変えていきます。その徹底のためには体制整備が不可欠。各部門が連携した対応を取ることで、穴のない対策が可能になります。 内部不正が発生すると、ビジネス上の競争力を支える情報が漏洩したり、事業の関係者からの信用を失うなどの損害が発生します。場合によっては、組織や事業の存続に影響する程の損害を受けることも考えられます。 そのような事態を防ぐために、組織のトップは内部不正対策を経営課題の1つとして真摯に捉えて取り組む必要があります。そして、組織のトップ自らが組織の内外に向けて内部不正対策に積極的に取り組む意思を示し、内部不正が起こりづらい組織にしていかなければなりません(図1)。 必要なリソースを割り当て権限移譲も 組織の
ウェブサイト改ざんの増加に関する一般利用者(ウェブ閲覧者)向け注意喚起:IPA 独立行政法人 情報処理推進機構
第13-26-294号 掲載日:2013年6月26日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、企業のウェブ改ざん被害の急増により、一般利用者(ウェブ閲覧者)におけるウイルス感染の危険性が高まっているため、一般利用者に広く注意を呼びかけることを目的として注意喚起情報を発することとしました。 企業や公共機関が運営しているウェブサイトが改ざんされる被害事例が継続的に発生しています。今月にも“トヨタ自動車”、“リコージャパン”、“日本赤十字社”、“札幌市の観光情報サイト”など、比較的利用者が多いと思われるウェブサイトの被害事例が報告されています。 改ざんされたウェブサイトには、閲覧した利用者のパソコンにウイルスを感染させる仕掛けが組み込まれている場合があります。利用者側が適切なセキュリティ対策を
ウイルス6割余 中国語使用機器で作成 NHKニュース
国の機関や企業の業務用パソコンが、メールで送られてきたウイルスに感染し、情報を盗み出される被害が相次いでいますが、東京のセキュリティー会社が、入手したメール110通余りのウイルスを分析したところ、少なくとも60%が中国語を使用しているパソコンで作られていたという結果が出ました。 東京都内のセキュリティー会社は、2010年から先月までに、国の機関や大手企業などに届いたウイルスつきのメールを114通入手し、そのすべてについて独自に分析を行いました。 その結果、ウイルスが仕込まれた文書などには別の言語が使われていても、ウイルスそのものは、少なくとも全体の60%余りに当たる71通が、中国語を使用しているパソコンで作られていたという結果が出ました。 また、ことし3月以降、防衛省の職員になりすましたウイルスつきのメールが、防衛関係者に相次いで送られていますが、これらのうち3通を分析したところ、いずれか
阪急阪神百貨店のショッピングサイトで、クレジットカード情報など2382人分の個人情報が漏洩
エイチ・ツー・オー リテイリングは2013年5月29日、阪急阪神百貨店のショッピングサイト「阪急・阪神オンラインショッピング」が不正アクセスを受け、氏名や住所、クレジットカード情報など最大2382人分の個人情報が漏洩した可能性があることを明らかにした。 不正アクセスで閲覧された可能性があるのは2382人分の顧客情報で、氏名、住所、電話番号、生年月日、性別、メールアドレス、セキュリティワードが含まれる。さらに1360人分については、クレジットカード情報と有効期限が閲覧された可能性があるという。現時点で、会員の金銭的被害は確認されていない。 同社は5月13日の段階で、大量のアクセスエラーが発生していることを確認。14日には、不審なIPアドレスからのアクセスにより利用者の個人情報が閲覧されたことが判明したという。そのIPアドレスからのアクセスを遮断し、監視体制を強化して以降、不正アクセスは確認さ
ヤフー株式会社様に「秘密の質問と回答」に関して要望します
拝啓、貴社ますますご清栄のこととお慶び申し上げます。日頃は格別のご高配を賜り、あつくお礼申し上げます。さて、さっそくですが、表題の件についてお願いがあり、ご連絡差し上げました。 私は東京都品川区在住の貴社サービスの一ユーザーです。Yahoo! IDの登録が2001年3月、Yahoo!プレミアムは2003年 2月からですので、十年来のユーザーと言うことになり、現在はヤフオクやYahoo! Boxを利用しております。どうぞ、お見知りおきのほど、よろしくお願いいたします。 さて、ご連絡差し上げたのは、表題に述べたように「秘密の質問と回答」に関する要望です。と言いますのは、報道などで「秘密の質問と回答」が漏洩したことを知ったからです。 ヤフーは23日、今月16日に不正アクセスで流出した「ヤフージャパン」のID2200万件のうち、約149万件についてはパスワードと、パスワード変更のために使う「秘密の
岡山 警部補が捜査データ消去 NHKニュース
岡山県警察本部の男性警部補が、警察内部のコンピューターのサーバーから捜査書類のデータを消去したなどとして書類送検され、停職1か月の懲戒処分を受けました。 警部補は「同僚を困らせたかったのでデータを消した」などと話しているいうことです。 書類送検されたのは、岡山県警察本部の機動警ら隊に所属する47歳の男性警部補です。 警察によりますと、この警部補はことし2月から3月にかけて、警察内部のコンピューターのサーバーから警ら隊のほかの班の捜査書類など合わせて238のファイルのデータを消去した疑いが持たれています。 データがなくなっていたため警察がアクセス記録を調べたところ、警部補のパソコンから操作されていたことが分かり、事情を聴いたところ容疑を認めたということです。 さらに、職場に保管してあった隊員どうしで作った扇子を9本、盗んでいたことも認めたということです。 このため警察は、警部補を岡山地方検察
第2回 車載ソフトへの攻撃例が続々
第1回で、車載ソフトが悪意ある攻撃者の対象になりつつある自動車技術の大きなトレンドを示した。現在、情報セキュリティの研究者らは自動車への攻撃手法を検討し始めている。情報セキュリティの世界では防御の手法を練るのと同時に、どんな攻撃を受ける可能性があるのか研究することが大切である。第2回は現時点で公開されている研究のうち、代表的な4例を紹介する。 【事例1】発端となった米国の研究論文 2010年、実証実験に基づく論文「Experimental Security Analysis of a Modern Automobile」が公開された(図1)。論文では、自動車の保守点検用ポートに特別な機械を設置し、並走する車両から車載システムの脆弱性をついた攻撃することで、ブレーキやワイパーの制御に影響を与えられることを明らかにした。 この論文では、対象車両の通信を盗聴して解析し、認証すること、および発信元
LINEで「このURLをタイムラインに投稿するだけでスタンプ無料」が拡散する現状とその危険性について
このブログでは何度も取り上げているように、LINEのタイムライン機能を媒体として、様々な噂(デマ)が広まっています。今まで、それらの噂は、悪質ではあるけれど、ある意味「子どものイタズラ」的なものでした。しかし今回、新しいタイプである「URLを含むデマ」が拡散しつつあるので、そのタイプの噂の拡散が危険である事を紹介します。LINEのタイムライン機能は、拡散能力が恐ろしく、どうしてここまで急速に拡散され、途絶えないのかが不思議なほどなのですが、この下地が悪用されるととても危険ではないかと感じています。 目次 1. LINE「タイムライン」の拡散力2. 今までの噂3. 「URLを含む噂」の危険性4. 考えられる、「URLを含んだ危険な噂」の例5. まだそういう噂は観測していないけれど・・・ スポンサーリンク LINE「タイムライン」の拡散力 たとえば、こんな雰囲気の噂が大拡散しています(抜粋)。
我々はこうしてだまされた――Twitterハッキングの被害企業が手口を公表
Twitterアカウント乗っ取りの被害に遭ったOnionが、従業員が詐欺メールにだまされて次々にアカウントを乗っ取られるに至った経緯を公表した。 米パロディニュースサイト大手の「Onion」が、Twitterのアカウントを乗っ取られ、不正なツイートを投稿されるに至った経緯をブログで公表している。原因は一部の従業員がフィッシング詐欺メールにだまされて、Google Appsのアカウント情報を入力してしまったことにあるという。 Onionのアカウントは米国時間の5月6日ごろ、「シリア電子軍」(SEA)を名乗る集団に乗っ取られ、不正なツイートを掲載された。SEAは米AP通信や英有力紙Guardianなど、大手マスコミのTwitterアカウントが乗っ取られた事件でも犯行声明を出している。 Onionの場合、発端は5月3日ごろに複数の従業員に届いたフィッシング詐欺メールだった。このメールは国連難民高
サイバー犯罪組織、27か国のATMから現金計約4,500万ドルを盗み出す | スラド
世界的なサイバー犯罪組織が、銀行のデータベースから盗み出したカード情報を使い、世界各国のATMから計約4,500万ドルを引き出したそうだ。米司法省は9日、ニューヨーク市での実行犯とみられる容疑者8名を起訴したと発表した(プレスリリース、 ロイターの記事、 The New York Timesの記事、 本家/.)。 この犯罪組織は中東の銀行のデータベースに侵入してプリペイドデビットカードの情報を盗み出したうえ、カードの引き出し限度額を操作。カード情報をコピーした磁気ストライプカードを使用して、27か国のATM数千台から現金を引き出したという。犯行は昨年12月と今年2月に行われ、2月には約10時間で24か国のATMから36,000回の引き出しがあり、計4,000万ドルが盗まれたとのこと。The New York Timesの記事によると、日本でも約1,000万ドルが引き出されたそうだ。記事では
パスワードリマインダが駄目な理由
昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する(パスワードリマインダ) 新: パスワード再設定の画面のURLをメールで送信する(パスワードリセット) 新しい方式(パスワードリセット)の方が優れていますが、それでは何故パスワードリマインダは駄目で、パスワードリセットの方がよいのでしょうか。このエントリではその理由について説明します。 パスワードリマインダのリスク 良く指摘されるように、パスワードリマインダの場合、2つの問題があります。 現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である メールは平文通信なので、パスワードを書いたメールが盗聴されると被害が甚大になる これらのうち、パスワードの保存方法については別稿にゆずるとして、このエントリでは盗聴のリスクについて検
ディノスに111万件の不正アクセス、1万5000件の不正ログイン
ディノスは2013年5月9日、同社が運営するオンラインショッピングサイトに約111万件の不正アクセス、約1万5000件の不正ログインがあったことが判明したと発表した。同社では、IDとパスワードは他社から流出したもので、現時点で顧客情報の流出、不正利用などは確認されていないとしている。 同社では5月8日9時半のログイン認証ページへのアクセス数チェックで異常なアクセス数を確認。調査の結果、5月4日から複数のIPアドレスから約111万件の不正なアクセスがあり、約1万5000アカウントの不正ログインがあったことが判明したという。顧客の「氏名」「郵便番号」「住所」「電話番号」「eメールアドレス」などが登録されている「お客様情報ページ」への不正アクセスは確認されていないとしている。 同社では不正アクセス元のIPアドレスからのアクセスを遮断。不正ログインがあったの約1万5000アカウントをログインロック
47NEWS(よんななニュース)
「ソガ・ヒトミ」その存在に驚愕した日本政府 曽我さんは自責の念を抱えて帰国した 「若い人にこそ知ってもらいたい拉致問題」(後編)
英メーカーの監視ソフトがFirefoxを“偽装”の報告、Mozillaが警告状
監視ソフトの「FinFisher」がFirefoxに見せかけてユーザーをだましているという調査報告が公表された。 英国のメーカーが開発している監視ソフト「FinFisher」に、MozillaのFirefoxに見せかけてユーザーをだます手口が使われていることが分かったとして、Mozillaが同社に対し、違法行為を直ちに停止するよう求める警告状を送ったことを明らかにした。 問題を指摘されたFinFisherは、標的とするコンピュータに密かにインストールして行動を監視するソフトで、英Gamma Internationalが開発している。同ソフトは各国の政府機関などが市民監視などの目的で採用しているとされ、カナダ・トロント大学の研究者でつくるCitizen Labの調査によれば、FinFisherを操るためのコマンド&コントロール(C&C)サーバは日本を含む36カ国で見つかっているという。 Mo
Google入居のビル管理システムにハッキング、産業制御システムの現実露呈
セキュリティ企業がGoogleオフィスのあるビルの管理に使われているTridiumデバイスをネット上で発見。管理者パスワードを入手して、ビル管理機能にアクセスした。 米セキュリティ企業のCylanceは、オーストラリアのシドニーにあるGoogleオフィスのビル管理システムがインターネット経由でハッキング可能な状態になっていたと報告した。さまざまなインフラ管理に使われる産業制御システム(ICS)の脆弱性を突いて外部からアクセスし、制御できてしまう現実を見せつけた形だ。 Cylanceはネット接続されている産業用制御システムの脆弱性について調べるプロジェクトを実施しており、調査の過程で偶然に、Googleのシドニーオフィスが使っている米Tridium社のNiagaraデバイスをネット上で発見した。 Tridium Niagaraはビルの電気、ガス、水道や空調、照明といった設備管理に使われるシス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
エクスコムグローバル株式会社|XCom Global, Inc.
IT news, careers, business technology, reviews
