Facebookのメッセージは送信者を自由に偽装して送れることが判明
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
「Tポイントツールバー」公開中止 Web閲覧履歴を平文で収集
ユーザーのWeb閲覧履歴を平文で収集する問題が指摘されていた「Tポイントツールバー」の提供が中止。8月下旬に再開するという。 オプトとカルチュア・コンビニエンス・クラブ(CCC)は、Internet Explorer用ツールバー「Tポイントツールバー」のダウンロード提供をこのほど中止した。「皆様によりよいサービスをご提供するため」としている。同ツールバーは、ユーザーのWeb閲覧履歴を平文で収集していると指摘され、批判が相次いでいた。 Tポイントツールバーは、Internet Explorer 7/8/9向けのツールバー。検索窓から検索すると「検索スタンプ」を1日1個取得でき、検索スタンプ2個で「Tポイント」を1ポイント付与する仕組みだ。 同ツールバーをめぐっては、SSL通信を含むユーザーのWeb閲覧履歴を平文で取得していることなどがセキュリティ専門家に指摘されていた。 両社は8月15日、ツ
高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
SSL is not about encryption
これはTroy Hunt氏によるSSL is not about encryptionの和訳である。@ten_forward氏による翻訳もあるが訳がわかりづらいので、ほとんど参考にせずに翻訳し直した。 SSL is not about encryption. は The basic purpose of SSL is not encryption. のように訳す。同様な文例に Copyright is not about copying. がある。@ten_forward氏による「SSLは暗号化のためのものではありません」は誤訳である。ここでは「主目的ではない」と訳す。 SSLの主目的は暗号化ではない SSLの主目的は保証することである。サイトが本物であることにある程度の信頼性を与えることで、データの送受信を行う際にデータが横取りされることも改ざんされることもなく意図した相手に届くと確信で
GoogleがSafariの設定を迂回してトラッキングしていたとされる件について(2) - 最速転職研究会
http://d.hatena.ne.jp/mala/20120220/1329751480 の続き。書くべきことは大体既に書いてあったので、補足だけ書く。 Googleは制裁金2250万ドルを支払うことでFTCと和解した http://jp.techcrunch.com/archives/20120809google-settles-with-ftc-agrees-to-pay-22-5m-penalty-for-bypassing-safari-privacy-settings/ まさか(まともに調査されれば)こんなことになるとは思わなかったので驚いた。異常な事態である。そしてGoogle側の主張を掲載しているメディアが殆ど無いのも異常な事態である。 2250万ドルもの制裁金(和解金)が課せられるのは、2009年に書かれたヘルプの記述が原因だという。 問題の記述 http://obam
戦時下でのサイバー攻撃:ロイターの公式Twitter・ブログ乗っ取り
2012年8月5日、米ロイターは同社の公式Twitterアカウントの1つ「@ReutersTech」が乗っ取られ、偽ツイートが22件投稿されたと発表した。偽ツイートの内容は、シリアにおける武力衝突に関するものだった。同社によると「@ReutersTech」が乗っ取られ、「@ReutersME」と名称を変更された。Twitterが乗っ取られる直前の2012年8月3日には、ロイター社はブログを乗っ取られ、偽の記事が投稿された。その内容もシリアの反乱軍へのインタビューと称する偽記事であった。 ロイターは使用しているブログ「WordPress」の古いバージョンを利用していた。最新バージョンは「3.4.1」だが、同社が利用していたのは、「3.1.1」でこのバージョンには多数の脆弱性があることが確認されており、これらの脆弱性を突いてアカウントを乗っ取られたと、セキュリティ会社Sophosは伝えている。
Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快 - やまもといちろうBLOG(ブログ)
「これを誰も止めなかった」「どういうことをしているのか分かっていない」「いまなおやめる気配がない」という点で、物凄く画期的な事例だと思うのです。 もちろん、戦場の主役はわれら、われらの、高木浩光せんせであります。「Tポイントカードは3人に1人持っている」という都市伝説から、実際に街逝く人々に「持ってますか?」と聞いて回るおしゃれな高木せんせは偉大です。 『Tポイントツールバー』はお持ちですか?高木浩光先生の怒涛のRTで知るその問題点 http://matome.naver.jp/odai/2134459757479493601 ちなみに、いま私の脳内で再生されているBGMはこちらになります。 http://ow.ly/cV6Bd で、さっそく徳丸せんせがきれいに問題点をしてきしておられまして、なるほどと思うわけです。 Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
text.ssig33.com - ソーシャルエンジニアリングを利用したクラックへの防衛法
ソーシャルエンジニアリングを利用したクラックへの防衛法 王道と言えるものはあまりないですが、以下二点を気をつければ防御力はそこそこ上がると思います。 1. サイト毎にログインメールアドレスを変える 一般的にパスワードをサイト毎に変更すべしというのは言われています。 そしてパスワードを忘れた際にはパスワードリマインダにサービスに登録しているメールアドレスを記入すると、リセット用のアドレスが該当メールアドレスに届くという流れになります。ここまでは一般常識です。 つまりメールアドレスが何らかの方法でクラックされいた場合、クラッカーはアカウントを乗っ取ることができます。 しかしながら、サイトに登録されているメールアドレスが分からない場合、当然上記のクラックはおこなえません。ですから、サイト毎に登録するメールアドレスを変更すればよいということになります。 具体的にはサイトに登録されるメールアドレス
iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
GizmodoのTwitter乗っ取られる 原因は元記者のiCloudアカウント窃盗
被害に遭った元Gizmodo記者のマット・ホナン氏によると、ハッカー集団はAppleのテクニカルサポートへの“ソーシャルエンジニアリング”によってiCloudを乗っ取ったという。 米ブログメディアGizmodoのTwitterアカウントが乗っ取られ、8月3日(現地時間)の午後17時15分くらいから約15分間、人種差別的なツイートを数件投稿した(現在それらのツイートは削除されている)。この乗っ取りの足掛かりにされた同メディアの元記者で現米Wiredの記者であるマット・ホナン氏が、自身の個人ブログで経緯を説明した。 ホナン氏によると、まず米AppleのクラウドサービスiCloudのアカウントが乗っ取られ、そこから自身のTwitterアカウントと、リンクしたままになっていたGizmodoのTwitterアカウントの情報を盗まれたという。ホナン氏とGizmodoのTwitterアカウントを乗っ取っ
インターナル、WordとExcelのパスワードをGPUの演算処理で解除するソフトを出荷
インターナルは2012年8月2日、パスワードで保護されたWord/Excelファイルをパスワード総当りによって解除するユーティリティソフト「パスゲッターOffice Edition」(写真)を発表した。パスワードを忘れてしまったオフィス文書を開けるようになる。特徴は、グラフィックス処理チップの演算機能を利用して高速にパスワードを解析することである。 提供開始は、ダウンロード版が8月2日。約1週間後からCD-ROM版も提供する。価格(税込み)は、1万800円で、提供開始当初の期間限定価格は7980円。売り上げなどの状況に応じて、当初の設定期間が過ぎても7980円のまま継続する。料金の支払いは、銀行/郵便局への振り込みや請求書、クレジットカードなど、一般的な方式を利用できる。 パスゲッターOffice Editionは、オフィス文書ファイル(WordおよびExcel)を対象としたパスワード解除
スマートフォンの不正アプリ対策が難しい理由
1975年生まれ。慶應義塾大学・大学院(政策・メディア研究科)修了後、三菱総合研究所にて情報通信分野のコンサルティングや国内外の政策調査等に従事。その後2007年に独立し、現在は株式会社企(くわだて)代表として、通信・メディア産業の経営戦略立案や資本政策のアドバイザー業務を行う。16年より慶應大学大学院政策・メディア研究科特任准教授。 スマートフォンの理想と現実 2011年はスマートフォンの普及が本格化する年になる…。業界関係者の誰しもがそう予感していた矢先に発生した東日本大震災は、社会におけるケータイの位置づけを大きく変えた。しかし、スマートフォンの生産に影響が及びつつも、通信事業者各社はその普及を引き続き目指し、消費者もまたそれに呼応している。震災を受けて日本社会自体が変わらなければならない時に、スマホを含むケータイはどんな役割を果たしうるのか。ユーザー意識、端末開発、インフラ動向、ビ
マルウェア、1/3以上のAndroidアプリに混入
通信業者の調査によると、1/3以上のAndroidアプリに、活動中あるいは休眠中のマルウェアが混入しているという。セキュリティ脆弱(ぜいじゃく)性に対応するため、Cisco SystemsなどはDPI(ディープパケットインスペクション)向けチップを提供し始めている。 英国の通信接続業者であるBritish Telecommunications(BT)によって行われた検証/分析によると、Androidアプリケーション(アプリ)の1/3以上が何らかのマルウェアを含むという。同社のセキュリティ専門家は、「他のモバイルOS向けのアプリについても検証/分析を行う予定だが、おそらく同様の結果になるだろう」と述べた。 2012年7月25~26日に米国フロリダ州マイアミで開催された、ワールドワイドのネットワーク関連のイベント「NetEvents A mericas Press & Analyst Summ
Androidの新たな脆弱性は、周囲2mにいる他人の個人情報まで危険に晒す [ ガジェットさん家 ]
とりあえず対象となるのは、NFC機能のあるAndroidスマートフォンユーザー全員です。知らなかったではすまないかも。 Ars Technicaは著名なセキュリティ研究者であるCharlie Miller氏が、AndroidやLINUXベースのスマートフォンに多く採用されているNFC(近距離無線通信)機能に脆弱性が存在する事を報告したと伝えています。 このCharlie Miller氏はセキュリティコンテストで4回の優秀経験を持つ人物で、Mac OS ⅩやWindows 7、そしてiOSの脆弱性を発見した凄腕です。 iOS4.3.1ではセキュリティコンテスト「Pwn2Own」で使用された脆弱性は対処されず [ ガジェットさん家 ] Charlie Miller ... さて、そのCharlie Miller氏が今回発見したスマートフォンのNFC機能の脆弱性は以下の通り。 対象となるスマート
高木浩光@自宅の日記 - 個人情報の地方自治が信用ならないワケ
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の
朝日新聞デジタル:Tポイント、医薬品の購入履歴を取得 販促活動に利用 - 社会
関連トピックスヤフードラッグストア「ウエルシア」の店頭では、Tポイントが使えることを示すのぼりがはためいていた=東京都内Tポイントの仕組み 4千万人以上が利用する日本最大の共通ポイントサービス「Tポイント」が、ドラッグストアで会員が買った医薬品の商品名をデータとして取得し、会員に十分な説明をしないまま販促活動などに使っていることがわかった。医薬品の購買履歴には、本人が他人に明らかにしたくない情報が含まれることが多い。日本薬剤師会などは「育毛剤を買った人にかつらの広告を送ったり、関節の痛みを和らげる薬を買った人に健康食品を勧めたりしないか」と懸念。厚生労働省も問題視している。 Tポイントは、住所氏名などの個人情報を登録して会員になり、無料で発行されるTカードにためる仕組み。提携店でカードを出すと、支払額の0.5〜1%程度がポイントになり、次からの支払いで1ポイントを1円として使える。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
Twitterアカウント乗っ取り問題を検証中
INASOFT矢吹氏、度重なるウイルス誤検知の影響により一部ソフトの更新停止を宣言