SPモードメール障害は設計ミス - とある技術屋の戯言
SPモードメールで、メールの発信者が別の人のメールアドレスにすげ替えられてしまうというトラブル。 加入者に強くひも付いたシステムになってるはずなのになんでこんな不思議なことが起きるのか理解できなかったのですが、記者会見での詳細が幾つかのニュースサイトに出ていました。 「あってはならない」個人情報流出の可能性も――ドコモがspモード不具合の経緯を説明 - ITmedia +D モバイル ドコモ、“他人のメアドになる”不具合は解消――10万人に影響 - ケータイ Watch 加入者はIPアドレスで識別されていて、そのひも付けが伝送路障害をきっかけに混乱した、ということのようです。加入者とのひも付けは全然強くない…というか恐ろしいほど弱いシステムでした。 まず、「IPアドレスで加入者を識別する」という思想がかなりやばいと言わざるを得ません。初期iモード時代は無線ネットワークと一体になっていたシ
スパイウェアCarrier IQが仕込まれていた端末リスト完全版
揺れるアメリカ。 ユーザーの使用履歴を記憶するソフトウェアが、製造業者又は通信業者からユーザーの知らぬ所で端末にインストールされていたとして、全米で大きな問題となっているCarrier IQ。米上院議会の要請によって、各業者がCarrier IQがインストールされている端末を発表しています。米国でここまで大きな事件になると、日本ではこんなことないのだろうかと心配になります。 以下、端末リスト完全版。 【AT&T】 AT&Tは90万人がCarrier IQがインストールされた端末を使用していると発表。以下の11種類の端末でソフトウェアが起動している状態。 • Motorola Atrix 2 • Motorola Bravo • Pantech Pursuit II • Pantech Breeze 3 • Pantech P5000 (Link 2) • Pantech Pocket •
そば屋五兵衛 暗号化解説
物理的に存在するカジノに関して、いかなる行為も現在の日本の法律では認められていません。にもかかわらず、この日本には熱狂的なカジノファン、もしくはカジノの設定を追加したがっているゲーマーがたくさんいます。オンラインカジノの場合、日本で運営することは法的に認められていますので、例えばナイトゲームがお好きな方であれば、場所をレストランに設定したうえで、夜をテーマとするクラシックカジノを生み出すことが可能です。 カジノゲームを料理系イベントに組み入れることで、興奮がみなぎり、ユーザーはより熱狂的なひとときを楽しめるようになります。例えばポーカーやブラックジャック、ルーレットといったカジノ風のゲームをイベントのアクティビティに組み入れるのも一つの選択肢です。カジノゲームでは偽物のチップを使ってプレイします。その場合、賞金を狙いたい方も、ただゲームを楽しみたい人も関係なく楽しめます。 さらに、カジノを
公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい - Togetter
概略 サービスを実施するにあたり、以下の利用者情報を取得していた MACアドレス FacebookアカウントID・Twitter ID 端末のユーザエージェント情報 アクセス期間 閲覧しているURL これらについて提携企業様に対して説明していなかった 他に以下の実施もしていた Google Analytics amazonアフィリエイトプログラム ただしamazonアフィは特定の1店舗のみにて試験的に実施したもので、買い物に関する情報等は一切取得していない Google Analyticsの利用の中止(平成23年12月5日実施) Twitter ID、FACEBOOKアカウントIDの収得の中止(平成23年12月5日実施) Amazonアフィリエイトプログラムのテスト運用の中止(平成23年12月5日実施) -自動的に保存されていたMACアドレス等のログの削除(平成23年12月5日実施)
VPS 借りたら、せめてこれくらいはやっとけというセキュリティ設定 - dogmap.jp
さくらのVPSやら、ServersMan@VPS やらの出現で、やたらと敷居のさがった感のある VPS 。 かく言うこのサーバもめ組VPSで運用されてるわけですが、VPSを既存のレンサバ感覚で使ってる人にせめてこれくらいのセキュリティ設定はやっておいたほうが良いよっていうお話です。 今回、対象にする OS は CentOS です。 さくらVPS 借りて Ubuntu とか、別の OS で運用するような中上級者は自分でできるよね。 リモートからの root ログインを無効にする ssh 経由で root でログインして作業したりしてませんか? これ root パスワードが破られたら、サーバが乗っ取られちゃうので、大変に危険です。 root ログインを無効にして、権限のあるユーザでログインしてから sudo or su して作業するようにしましょう。 root ログインを無効にする方法は、こん
どうしてこうなった?不思議なパーミッションを要求するAndroidアプリ・カタログ
にーまる。 @typex20 ネットの怖い話が読める単なるお手軽アプリと思いきや、なぜか、おおよその位置情報(ネットワーク基地局)のpermissionがついていて”本当に怖い”アプリかもしれない。。 / “ネットで流れた怖い話 - Android マーケット” http://t.co/YKPJOCSV にーまる。 @typex20 HEROZ, Incという会社の名寄せ情報収集を目的としたアプリと思わしきアプリ群の一例。占い系アプリには”端末のステータスと ID の読み取り”のpermissionがついているが、どーでもいいゲームにはついてない。 / “モテグラ…” http://t.co/AbsStN6U
NAIST 情報科学研究科 ソフトウェア工学講座 - ソフトウェアの難読化 - Software Obfuscation
アルゴリズムを隠す! 通常,プログラムは読みやすく書くべし,というのが常識でありますが, この研究は,その逆をやります. つまり,他人にプログラムを解読されてしまわないように, プログラムをわざと読みにくくするのです. ただし,最初から読みにくいプログラムを書くのは大変なので, 本研究では,普通に書かれたプログラムを, 読みにくいプログラムに自動変換する技術について研究します. ほとんど解析が不可能なくらいまで読みにくく(難読化)すれば, プログラム中のアルゴリズムやデータ構造が知られてしまうことを防げます. 大規模プログラムになればなるほど, プログラム全体を読みにくくする余地はたくさんありますので, 事実上解読を不可能にすることは可能だと思われます. 難読化ではなく,プログラム全体を「暗号化」してしまうことでも 似たような効果が得られますが,暗号化した場合には, プログラムを復号化し
Android向け無料アンチウイルスソフトは無意味
コンピュータを守るためにアンチウイルスソフトは不可欠。これと同じ考えから、スマートフォン向けにもアンチウイルスソフトがリリースされています。しかし、ウイルス検出率テストを行う第三者機関、AV-TEST.orgの検査によって、Android向けの無料アンチウイルスソフトの検出率の低さが白日の下にさらされることになりました。 Android antivirus apps are useless, here’s what to do instead | ExtremeTech (PDFファイル)Are free Android virus scanners any good? Authors: Hendrik Pilz, Steffen Schindler 今回、AV-TESTが使った無料アンチウイルスソフトは7つ。 ◆Antivirus Free Version 1.3.1 Creative
高木浩光@自宅の日記 - ウイルス罪についてNHKが再び誤り解説を放送、無理解は深刻な状況
7月の刑法改正は過失を処罰するものではないのに、あたかも過失で処罰されるかのように視聴者は受け止めている。 録画を見返して確認してみると、放送では以下のように解説されていた。 徳永アナ: (略)そのうちの3台は我が国のパソコンです。1つは北海道、1つは香川県、そしてもう1台がこのBさん(東京都)のパソコン、Bさんのパソコンが知らず知らずのうちに乗っ取られ、ある日突然家のデスクトップのパソコンが「攻撃セヨ!」と命令を下していたということがわかりました。ちなみに、このケース、知らなかったので、お咎めなしでした、Bさんは。でも、7月に新たな法律ができた。今後はケースによっては、お咎めなしとは限らないとされています。 とよた真帆: 何ですか?ケースっていうのは。 徳永アナ: これはまだ始まったばかりの法律なんで、まだケースがまだまだ集まってないんですが、例えば、全くセキュリティ対策をしていない無頓
総務省|報道資料|グーグル株式会社に対する「通信の秘密」の保護に係る措置(指導)
総務省は、本日、グーグル株式会社が日本国内において無線LANを経由した通信を受信し、その一部を記録した行為が電気通信事業法(昭和59年法律第86号。以下「法」といいます。)第4条に規定する「通信の秘密」の侵害につながるおそれがあったものと認められることから、同社に対し、文書により指導するとともに、再発防止策・状況等について報告を求めました。 (1) 平成22年5月14日、米国グーグル社がストリートビューカー(※)によって道路周辺映像を撮影する際に無線LANを経由した通信の一部を誤って収集していた旨を発表したことを受け、当省は、グーグル株式会社に対して、法第4条(秘密の保護)の規定に照らし、事実関係について報告を求めました。 (2) 同社からの報告により、同社は米国グーグル社の方針に基づき、「グーグルマップ」のサービスを向上させる目的で、無線受信装置をストリートビューカーに搭載し、平成19年
高木浩光@自宅の日記 - テレビ録画機「トルネ」の視聴ジャンルが無断公開されている
■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法
高木浩光@自宅の日記 - 心から利用者に説明する気なぞ微塵もない日本の事業者たち
では、この「利用規約を見る」ボタンを押せば、「端末情報を取得します」というのが何であるのかが、わかるようになっているのだろうか。 このボタンを押すと、Webブラウザが開くようになっており、表示されるのは以下のWebページであった。 セカイカメラ サービス利用規約, セカイカメラ サポートセンター このページの内容をくまなく見てみたが、どこにも「端末情報」という文字列は存在しないし、「UDID」の文字列もなければ、「端末識別」という文字列もない。内容的にUDIDに関係しそうなところを探して*5も、次の記述しか存在しない。 8. プライバシー 8.1 登録ユーザーが当社に届け出る情報および当社が取得したユーザーに関する情報は、当社が別途本サービスにおいて掲示するプライバシーポリシーに従って取り扱われるものとし、ユーザーは、かかるプライバシーポリシーに基づく個人情報の取扱いにつき同意するものとし
玄関に鍵をかけない国のセキュリティー:日経ビジネスオンライン
最初に告知です。 この連載をまとめた単行本が出ます。 『地雷を踏む勇気』(技術評論社、1554円)です。書店の店頭に並ぶのは11月の1日頃、amazonでは既に予約を受け付けています。 なお、11月17日には、同じく当連載から別の原稿をピックアップした単行本が発刊されます。『その「正義」があぶない。』(日経BP社、1575円)です。こちらもamazonにて予約受け付け中です。よろしくお願いします。 *** この夏以降、政府機関や軍需産業に対して仕掛けられたサイバー攻撃が次々と発覚している。 報道によれば、被害は国家の中枢に及んでいる。衆議院議員の一人が、7月末、届いたメールの添付ファイルを開いたことで「トロイの木馬」と呼ばれるタイプのウイルスに感染して、以来、衆議院のネットワークは中国内のサーバーからパスワードなどが盗み出せる状態になっていたのだそうだ。盗まれた可能性のあるIDとパスワード
Windows Azure : Windows Azure Joins Windows Server in a New Organization: Server & Cloud Division
In Visual Studio 2022 17.10 Preview 2, we’ve introduced some UX updates and usability improvements to the Connection Manager. With these updates we provide a more seamless experience when connecting to remote systems and/or debugging failed connections. Please install the latest Preview to try it out. Read on to learn what the Connection ...
PC横に置いたiPhoneをキーロガーに、ジョージア工科大学の研究成果が話題に | 携帯 | マイコミジャーナル
ジョージア工科大学(Georgia Tech)助教授のPatrick Traynor氏と、スパイ行為が可能なキーロガー装置になった「(sp)iPhone」 米ジョージア工科大学(Georgia Institute of Technology: Georgia Tech)の研究チームらが、PCのそばにあるデスク上に置いたiPhoneの加速度センサーを使って、そのPCのキーボードで入力された文字を8割以上の高精度で判別する技術を開発したと、同大学が10月18日(現地時間)に発表した。スパイ道具に変身したiPhoneということで「(sp)iPhone」の名称を冠されたこの装置を使うことで、ウイルスを使ってキーロガーを仕込まずとも、ソーシャルエンジニアリング的な手法でより用意にスパイ活動が可能になるわけだ。 同件についての公式リリースはGeorgia Techのページで確認できる。同大学助教授のP
ドコモ謹製Android用メディアプレイヤーのIMEI問題 - oops
音楽・動画 | サービス・機能 | NTTドコモ 担当者はさっさと切腹してください。 にわかに話題になっていますが、「どういう時に何の情報が抜かれるのか」が分かっていない人がかなり多そうなので簡単に解説。 ■まず、なにが「できない」のか こちらの方を勘違いしている人が多いので列挙しておきます ・一般のアプリが無許可でIMEIを抜くこと IMEIへのアクセスにはREAD_PHONE_STATEという許可が必要で、アプリインストール時に許可を取っていないとIMEIにアクセスした途端にアプリがエラーで落ちます。ユーザがREAD_PHONE_STATEを承認しなければ抜けません。 (ただしREAD_PHONE_STATEの説明文が分かりにくいとか、承認範囲をもっと細分化すべきといった指摘はあります。とりあえず今回の問題とは別です) ・ドコモ謹製メディアプレイヤーがインストールされていないA
AppLog問題とAndroidのセキュリティ - oops
もうほとぼり冷めたかな。AppLogの件とAndroidのセキュリティ問題についての雑感。 まず、個人的には個人情報を集めるビジネス自体は「悪しき」ものではないと思ってる。まあオプトインが適切に行われていなかった問題については後述するとして、これはもちろんオプトインが適切に行われていたらの話だ。 以下長文なので引き返すなら今だ。 リサーチ会社は情報を集めたがるし、アプリ作者は開発費を回収したいし、ユーザはタダでアプリを使いたい、全てのプレイヤーが同意のもとに行うのであればこれはwin-winのビジネスだ。 だいたいこれで文句を言うプレイヤーはユーザなわけだけど、オプトインで同意のもとにやるのであれば拒否すればいいだけの話であって、たかだか数ドルのアプリを乞食するために自分の個人情報を売る選択を自らしたんだから文句言うのは筋違いだ。大体ユーザがみんな99セント~数ドルの金をチャリンと払
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
開いただけで自動的にスターがつく便利日記 - ぼくはまちちゃん!
ggsoku.com
