内閣府主催のセキュリティイベント公式サイトのドメインが失効、出会い系宣伝サイトに使われる | スラド セキュリティ
sradでもストーリー(内閣府などで「セキュリティ専門家」として非常勤参与を務めていた人物に対し経歴詐称の疑い [security.srad.jp])になった、斎藤氏がブログの反論で自分がセキュリティ専門家であるという根拠としてあげているのが、Cyber3の立ち上げ&座長を務めた事です。 > その成果の一端が、日本で3年も連続して開催されたサイバーセキュリティの国際会議「Cyber3」を立ち上げ、 > その座長を務めさせていただいたことであり、その責務は、長年この分野に携わり、 > 築いてきた人脈を基礎としたからこそ達成できたものと考えています。 氏には、東京電力福島原子力発電所事故調査委員会のCTOを勝手に名乗り、「機密情報の漏洩」の疑いが出ています。Cyber3自体が日本政府に潜り込むために作られたものだとしたら、斎藤氏は相当前から日本政府に潜り込む計画を立てていた事になります。うまく
Lenovo、ノートPCにWindowsを再インストールしても復活するダウンローダを仕込んでいた | スラド セキュリティ
2015年8月3日、ノートPC「Lenovo Y40-80」のBIOSがクリーンインストールされたWindowsのファイルシステムに対しブート前に変更を加えていることが発見された(Ars Technica、The Next Web News、Slashdot、Hacker News)。 この変更により、Windowsの起動時にBIOSによって仕込まれたアプリケーションが実行され、特定のサーバーから非セキュアな方法でデータがダウンロードされるという。Lenovoはこれを受けて、修正パッチの配布を開始した(Lenovo)。 Slashdotやhacker newsでは、Lenovoに対する不満を述べる声や不買キャンペーンを起こす者がいる一方で、これはWindowsが提供している「Windows Platform Binary Table」(Microsoftによるドキュメント。注:Word形式
セキュリティー啓発は時間とお金の無駄 | スラド セキュリティ
セキュリティー専門家の Bruce Schneier 氏が Dark Reading の記事で、ユーザーに対するセキュリティー啓発は時間とお金の無駄であるとする意見を述べている。氏によれば、「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」という (本家 /. 記事より) 。 氏はセキュリティー対策を健康対策になぞらえて説明している。健康的な生活を送るためには、栄養バランスの良い食事と取り、運動することが必要であると散々言われてきたにも関わらず、一向に生活スタイルを変えない人達がいる。健康でいられるという長い目で見た時の恩恵に対して、一日中テレビの前に座ってマクドナルドのスーパーモンスターミールを食べるという目先の満足感を優先させてしまうのである。つまり、コンピューターセキュリティーは長い目で見て将来起こり得る攻撃
TwitterにXSS脆弱性、大騒ぎに | スラド セキュリティ
公式ブログ、ITmedia Newsなどによると、Twitterの公式webサイト上で表示されれるツイート(つぶやき)の中に任意のコードを挿入できる脆弱性が発見されたとのこと。ただし、脆弱性は既に修正されているとのこと。 脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。これにより、onmouseover属性などを使用して、JavaScriptで任意のコードを実行する事が可能となった。この脆弱性を利用したコードにより、ユーザが意図しないツイートがされるなどの問題が発生し、ユーザが他のユーザに公式webを使用しないように警告するなど、Twitter内は大きな騒ぎとなった。
住基カード詐取にどう対応する ? | スラド セキュリティ
TOKYO Web の記事によると、偽造運転免許証を使って住民基本台帳カードを詐取する事件が都内で相次いでいるようだ (都内では少なくとも 11 区で 27 件 (未遂を含む) 発生しているとのこと) 。 住民票の転出・転入届けの甘さと、転出後は役所の通知は転出先に届けられるため本人が気づきにくい事を利用しているようだ。また不在老人の存在が多く確認されているように、本人の状況次第ではまったく気がつかないことも考えられる。この手口かどうかわからないが、不正に取得された住民基本台帳カードによりソフトバンクも被害を受け、住基カードを個人確認書類として扱わない方針になったようだ (孫社長のつぶやき) 。 この手の被害に遭うと、たとえば年金等の請求も転出先に届く。最近、税金の通知が来てないなとか思い当たる節はありませんか ? 年金支払いに空白期間が出来ると悲しいですよ。この犯罪手口、被害に気がつくタ
ブラウザの「プライベートブラウズ」機能はそんなにプライベートではない | スラド セキュリティ
スタンフォード大学の研究者らによる調査で、Web ブラウザの「プライベートブラウズ」を使用している場合でも、ユーザーのプライベートが守られないことがある、という結果が明らかになった (Ars Technica の記事、19th USENIX Security Symposium の原稿 (PDF))。 「プライベートブラウズ」機能は Firefox や Safari に搭載されている機能で、ブラウズ履歴や Cookie、キャッシュなど「ユーザーがどの Web ページを閲覧したのか」という情報を保存せずに Web サーフィンを行えるもの。IE や Google Chrome にも「InPrivate ブラウズ」や「シークレットモード」という名称で同様の機能が用意されている。しかし、研究者らがこの機能について調査を行ったところ、実際には「プライベート」な Web 閲覧とそうでない Web 閲覧
Gumblarウイルスの被害広まる、Yahoo! Japanでも改ざん発覚 | スラド セキュリティ
ストーリー by hylom 2010年01月13日 16時53分 あなたが閲覧しているサイトも感染しているかもしれませんよ……? 部門より 「Gumblar(ガンブラー)」というウイルス(およびその亜種)によるWebページの改ざんが広まっているが、Yahoo! JapanでもGumblar亜種によるHTMLの改ざんが確認された。問題となったのは、「Yahoo! 占い」のコンテンツ「鏡リュウジの星に願いを」(ヤフーの発表)。 改ざんされた期間は2009年10月27日の10:10から2010年1月8日の14:10までとのこと。この期間中に対象のWebページを閲覧していた場合、Gumblar亜種に感染した可能性があるという。 Gumblarやその亜種による改ざん被害は昨年末から多く報告されており、So-net セキュリティ通信によるとハウス食品、京王電鉄、民主党、ローソン、ディズニー、本田技研
ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 | スラド セキュリティ
やや古い話になるが、ドコモ携帯の携帯固有IDのみを用いたWebサイト認証の脆弱性がHASHコンサルティングより報告されている(情報公開日は昨年11月24日)。この問題は、数年前からセキュリティ研究家の高木浩光氏が指摘していたものだ(「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者」、「ケータイWebはどうなるべきか」)。 この問題は読売新聞でも取り上げられている(「最新29機種ドコモ携帯、個人情報流出の恐れ」) 専門家では無いのでややセンセーショナルな読売の記事見出しが適切かどうかは判断が付きかねる。技術的な詳細に関しては専門の方々の解説を求む。 (追記@16:08)今回発覚した問題と、高木氏が指摘していた問題はどちらも固有IDを悪用するという点は共通しているものの、異なるものだという指摘をいただきました(#1702037)。高木氏が指摘していたのは、携帯
i モードブラウザ 2.0 のアップデートにより閲覧できないサイトが発生 | スラド セキュリティ
ストーリー by reo 2009年11月10日 11時30分 隠してることと知らないことは、外からは見分けがつかない 部門より 鈴の音情報局 blog の記事で話題にあがっているが、2009 年夏の i モードブラウザ 2.0 搭載機種に、10 月 27 日以降に開始された JavaScript の再有効化アップデートを当てた端末は、i モードブラウザ・フルブラウザ共に、80 番ポート (http) 以外のウェルノウンポート (ポート番号 0 ~ 1023) への接続ができなくなっているようだ (= ポート 80, 1024 ~ 65535 にはアクセスできる) 。 事前の告知もなく、i モードブラウザ 2.0 の仕様にも記述がないことからユーザーの一部で混乱が起きている。ドコモに問い合わせをしたが、何番ポートはアクセスできなくなったかなどについては教えられないという回答をされたという声
「Flash cookie」によるトラッキングが密かに行われている | スラド セキュリティ
ストーリー by hayakawa 2009年08月16日 11時02分 Silverlightとかはどうなんでしょう? 部門より IT mediaの記事によると、「Flash cookie」を使ってネット上のユーザーの行動を追跡し続けるサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームが発表した論文によると、QuantCastによるランキングでトップ100にあるサイトを調査対象とし、このうち54のサイトで「Flash cookie」による情報の保存がなされていたらしい。 この「Flash cookie」はローカル共有オブジェクトと呼ばれているもので、通常のcookieとは異なりブラウザのセキュリティ設定ではコントロールできない。これについて設定するには、Flash Player設定マネージャを使用する必要がある。研究チームが大手サイトに対し「Flash cooki
Firefox 3.5のJavaScriptエンジンに未対策の脆弱性が発見される | スラド セキュリティ
Firefox 3.5.xに未対策の脆弱性が発見された。F-secureによると、この脆弱性を悪用することで、悪意のある攻撃者により任意のコードを実行される可能性がある。 この脆弱性はJavaScriptエンジンの処理のバグにより引き起こされるとのことで、Mozilla Security Blogによると、about:config等で「javascript.options.jit.content」を「false」に設定してJavaScriptエンジンのJIT機能を無効にすることで対策できるという。 また、この問題に対する修正を加えたFirefox 3.5.1が今月中にリリースされる予定のようだ(Releases — MozillaWiki)。
GIGAZINE曰く「楽天は個人情報を1件10円で販売している」…… | スラド セキュリティ
GIGAZINEの記事「楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明」によると、楽天が個人情報を流出ではなく「販売」していたそうです。すでに実名・住所などを利用したエロサイトの業者スパムが多数届いているとのこと。 このように釣られてしまった方も多数いらっしゃるようだが、GIGAZINEの記事によると、楽天が提供するネットショップ運営システムでは、通常店舗側が確認できる個人情報は顧客の名前や住所、電話番号のみで、メールアドレスは確認できないとのこと。また、注文を行った顧客の情報をCSV形式でまとめてダウンロードできる「CSVデータダウンロード」機能というのもあるが、こちらにもメールアドレス情報は含まれていない。 しかし、月間売上が1,000万円以上、もしくは月間注文数が1,000件以上ある店舗の場合は、審査が通り、かつ個人情報の遵守を誓約する
一般的な環境で10秒でWEPを解読できる手法が登場 | スラド セキュリティ
CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克教授から発表された。諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 以前からWEPを解読できる手段は存在していたが、普通の環境では解読が難しかった。ところが、今回は特殊な環境も要らないようだ。 森井教授のWebサイトで公開されている発表資料によると、以前/.でも話題になった「104ビットWEPを1分少々で破る」方法はARPリインジェクションという攻撃を組み合わせることで高速化を行っており、攻撃を検知してブロックすることが可能であった。 今回森井教授らが提案した手法では、既存の複数の暗号推測アルゴリズムを組み合わせることで高速化を図っており、任意のIPパケットから鍵の導出が可能。検証用のプログラムはC
スラッシュドット・ジャパン | 米軍をおびやかす中国製ニセモノ部品の実態
米ビジネスウィーク誌に、「米空軍は今年1月、F-15戦闘機でニセモノチップを発見」、「ペンタゴンが保持しているスペアチップのうち15%がニセモノと推測」など、恐ろしい話が掲載されている。このようになった背景には、「軍事費削減などのため、一般企業からの調達が増加」「米軍が入札企業の来歴を調べることは少なくなった」という事情があるらしい。 記事ではニセモノが納入された経緯を詳しく紹介している。米議会は1994年、納入業者に正規のメーカーもしくは正規代理店からの購入証明義務をなくし、以降小さなブローカーが急増したそうだ。その業者の中にはGoogleで安い部品を検索して転売していた個人事業者もいたようで、その会社に電話をすると後ろで子供が泣いていたといった逸話も。そういったニセモノの1つの経路を同誌が追跡したところ、中国で古いチップの表面を削り、刻印を書き変える作業が行われていた場面に遭遇している
IT管理者の88%が、「突然解雇されたら企業機密を持ち出す」と回答 | スラド セキュリティ
米国の情報セキュリティ会社のCyber-ArkがIT管理者300人を対象に行った調査によると、回答者の88%が突然解雇されるとしたら企業機密を持ち出すと答えた(IT Worldの記事/ITproの記事)。 持ち出す機密情報として、CEOのパスワード、顧客データベース、R&D計画、財務報告、M&A計画などが挙げられた。更に、この88%のうち1/3は財務報告や給与情報などにアクセスできるパスワードリストを持ち出すと回答した。 この高い割合は、正直な答えを表している気がする。解雇か、自主的な転職で去るかなどによっても違うだろうが、企業を去る社員が機密情報を持ち出す実際の割合はどれくらいなのだろうか、気になるところだ。
愛知県庁で誤って「弾道ミサイル警報」発令 | スラド セキュリティ
8月13日に、愛知県の県庁や県の出先機関などで「弾道ミサイル警報」が誤って発令されていたそうです。 トラブルが発生する前に職員たちが気づき、アラームを止めたそうで、特に大きな混乱などは発生しなかった模様。しかし、「ミサイル警報」が発令されたらすぐに何らかの混乱が発生しそうなものですが、みなすぐに訓練だと思ったのでしょうか? ちなみに、当時は名古屋市役所で警報システムの受信訓練をしていたそうで、受信後に自動的に庁内放送を行うスイッチを切っておくのを忘れたのが原因だそうです。
企業のメール、「180日以上前のメールは削除」だったらどうする? | スラド セキュリティ
ストーリー by hayakawa 2008年07月29日 12時49分 届いたメールをWordファイルに変換するマクロを作らねば…… 部門より 本家/.の記事(Are There Any Smart E-mail Retention Policies?)によると、訴訟や訴訟時の証拠開示に関する企業の法的リスクを下げる試みとして、メールの強制破棄という方針を打ち出す企業が出てきているようだ。 本家タレコミ人の勤める大企業でも、180日以上前のメールは破棄するとの方針を決定したとのこと。ハードディスクなどにアーカイブして削除を免れたいところだが、Exchangeサーバのコンフィグで.PSTファイルへのオフラインコピーが出来ないよう設定されている。なお、会社のポリシーでは重要なメールはWordドキュメントとして保存することを推奨しているという。このようなポリシーを本当に実施している企業などある
米テキサス州、PC修理業を行うのに探偵免許が必要に | スラド セキュリティ
ストーリー by hylom 2008年07月04日 13時20分 パソコンを修理していたらとんでもないものを見つけてしまったー、どーしよー 部門より 米テキサス州でPC修理業に携わるには探偵の公的免許(Private Investigator License)が必要になるという法律が昨年施行された(本家/.記事)。 免許無しで「捜査」とみなされる行為を行った場合、最高$4,000の罰金と最長1年の懲役及び最高$10,000の民事処罰に科せられる可能性がある。「捜査」の定義は広く、普通のPC修理業務でも「捜査」行為とみなされる場合があるという。さらに、この法律は無免許であることを知った上でその事業者に「捜査」とみなされる行為を依頼した消費者にも同じ処罰が科せられる可能性があるとのことである。 免許取得には、刑事司法の学位を取得するか、もしくは免許のある事業者の元で3年間実務を積まないといけ
B-CASのWebサイト、なぜかSSL証明書は「NTTデータ」名義 | スラド セキュリティ
「高木浩光@自宅の日記 — B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA」によると、B-CAS社のWebサイトで使われているSSL証明書の「組織」がNTTデータになっているそうだ。 しかも、b-cas.co.jpというサイトを見ていたはずなのにいつのまにかb-cas.jpという別サイトに飛ばされている始末。これでは、もしかしてWebサイトがNTTデータに乗っ取られていたとも考えられてしまう(もちろんそんなことはないだろうが)。 自分たちのためのセキュリティは強固に作るくせに、利用者のセキュリティについては何も考えていないんですかね……。 もちろん、このこと自体が直接何らかの脆弱性や被害につながるものではないが、このようにある企業のWebサイトで使われるSSL証明書が、ほかの組織名義になっていることというのは多く見られるのだろうか? 詳しい方のご意見を求む。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自動音声を使った振り込み詐欺が登場 | スラド セキュリティ