多くのユーザがSSL通信(https)の中身を傍受されていた可能性があるようです。 今回、この問題が報告されたのはイラン国内からのGoogleへの通信を行った場合です。 約2ヶ月間にわたってイラン国内からのSSL通信で、検索結果、Gmailに含まれるメールの中身、その他情報が傍受されていたかも知れません。 EFF: Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities Google Online Security Blog: An update on attempted man-in-the-middle attacks 傍受の手法 本来、暗号化されたSSL通信の傍受は困難です。 今回利用された方法はMan-In-The-Middl
2011/03/24 SSL電子証明書を発行するコモドは3月23日、侵入を受け、その結果不正に電子証明書を発行したことをブログで明らかにした。同社はその後、これらの証明書を失効させたが、MicrosoftやGoogle、Yahoo!といった9つのサイトが影響を受ける恐れがある。 電子証明書は、Webブラウザでアクセスしたときに「そのWebサイトが本物である」ことの確認に利用できる。だが、こうした不正な証明書が利用されると、フィッシング詐欺やDNSポイズニングなどで偽のサイトに誘導されても、その真偽を確かめることが困難になる。 例えば、ユーザー当人はSkypeのサイトにアクセスしているつもりでも、実際には偽のサイトに誘導されており、証明書を使ってもそれを確認できない事態が考えられる。この結果、ユーザーIDやパスワード情報を盗み取られたり、それを使ってWebメールを盗み見られる可能性がある。ま
2011/02/16 米国時間の2月14日から18日にかけて、セキュリティをテーマとしたカンファレンス「RSA Conference 2011」が米国サンフランシスコで開催されている。 今年は20回目となる節目の年。最初の基調講演には、米EMCのエグゼクティブバイスプレジデントで、EMCのセキュリティ部門RSAの会長を務めるアート・コビエロ氏が登場した。同氏は、過去のRSA Conferenceの講演を例にとってセキュリティ業界の流れを振り返り、「中にはPKIのように、『今年こそ元年』と言われながら普及に至らなかった技術がある」と述べた。けれどクラウドは、そのような道筋をたどらないだろうという。 クラウド環境に「コントロール」と「可視性」を コビエロ氏は2010年の基調講演でもクラウド環境のセキュリティをテーマに挙げ、「クラウドにおける安全の確立が、セキュリティ業界にとってのチャンスになる
2011年 2月 2日 株式会社PFU [PRESS RELEASE] e-文書法での需要増大に向けタイムスタンプ定額制サービスを強化 ~ お客様のニーズに合わせた定額制商品ラインナップを拡充! ~ 株式会社PFU(社長:輪島藤夫、東京本社:川崎市幸区)は、PFUタイムスタンプサービスの定額制商品として、タイムスタンプの取得可能数別にタイプS/タイプM/タイプLの3種類のサービス商品を新たに追加し2011年2月2日より販売開始いたします。 [関連リンク] PFUタイムスタンプサービス ホームページ e-文書法の対象である医療情報や国税関係書類などの長期保存が義務付けられた重要文書、知的財産関連など権利保護のために長期間保存したい文書の電子化の需要が増大しています。 長期保存文書の電子化を容易に実現するために、弊社では標準規格PAdES(※)に準拠した国内初(注1)の開発者向けソフトウェアと
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 最近、ちらほらAdobe AIRを使ったプログラムが増えてきてますね。プログラムを配布する時はコードサイニングしないといけないという話はわかっていたんですが、まぁ、Adobe AIRの実行プログラム *.air は言っちゃえばjarファイルなもんでjarコマンドやZIP対応のアーカイバで解凍でき、Javaのjarに対する署名だとタカをくくっていたわけです。 久々にAdobe AIRの面白そうなプログラム「てれびなう」なんてものを見つけてしまったのでインストールしようとしたら、こんな画面が、、、 「発行者」とか「発行者ID:検証済み」とか出てますが、ボタンを押せば証明書やコード署名の内容が表示されるわけでもなく、どこから出た証明書でコード署名し
VeriSignの証明書サービスや公開鍵基盤サービスなどのセキュリティ関連事業をSymantecが買収した。 米Symantecは8月9日(現地時間)、VeriSignのセキュリティ関連事業の買収および日本ベリサインの株式の過半数取得が完了したことを発表した。 同社は5月19日に、VeriSignのSSLおよびコードサイニング証明書サービス、マネージドPKI(公開鍵基盤)サービス、VeriSign Trust Seal、ベリサイン・トラスト・サービス、ベリサイン・アイデンティティ・プロテクション(VIP)認証サービス、VIP詐欺検出サービス(FDS)などの事業の買収と、日本ベリサインの発行済み株式の53.74%の取得を表明していた。 買収した事業については、Symantecのエンタープライズ セキュリティ グループに統合される予定。Symantec Critical System Prot
図1 デジタル署名が付与されたウイルス「W32/Hupigon.OLY」のプロパティ(エフセキュアの情報から引用。以下同じ)。ウイルスプログラムの内容とデジタル署名が対応していないために、「This digital signature is not valid」と表示されている フィンランドのセキュリティ企業エフセキュアは2010年6月21日、デジタル署名が付与されたウイルス(悪質なプログラム)を多数確認しているとして注意を呼びかけた。プログラムの正当性を検証できるデジタル署名は有用だが、過信は禁物としている。 デジタル署名とは、デジタルデータ(ファイルやプログラム)の作成者や完全性(改ざんされていなこと)を証明するために付与されるデータのこと。通常、CA(認証局または認証機関)と呼ばれる第三者機関が、審査をした上で付与する。このため、デジタル署名が付与されたプログラムは、付与されていない
新型コロナウイルス感染症対策として、政府から企業に対しテレワークの積極導入が要請され、リモート作業が一般化する中で、社内手続きや取引書類の電子化、さらにはテレワークで活用するツールの安全性等の課題が改めて浮き彫りとなりました。 電子化は、単に時間・場所の制限をなくすだけでなく、各種データそのものの活用により効率的・効果的な働き方を可能とします。その一方で、電子データとなった情報は、その真正性・正当性を担保することがこれまで以上に重要となります。 JIPDECは、企業における契約手続きに加えて、建築設計図書、不動産鑑定評価書、取締役会議事録等の電子化を支援しています。 JIPDECは、電子契約をはじめとした電子文書等の普及を図るため、インターネット上における人・組織・データ等の改ざんや送信元のなりすまし等を防止する仕組み(トラストサービス)の実現に取り組んできました。すなわち、電子署名をはじ
PKIは、インターネットの普及により拡大するセキュリティ侵害を防ぐために開発された、まさに基盤となる技術。ユーザーやサーバーの認証、改ざん検知、暗号化などを実現し、さまざまなアプリケーションで汎用的に利用できる。 公開鍵の正当性を証明するPKI PKIは文字どおり、公開鍵暗号を利用するにあたって重要な鍵の正当性を証明するための仕組みだ。公開鍵暗号方式では秘密鍵と公開鍵という2つの鍵を利用することで、強固な暗号化とデジタル署名を実現する。しかし、この公開鍵暗号を利用するにあたっては、公開鍵の持ち主が正当であることを第三者機関が認証する必要がある。この第三者機関を「認証局(CA)」と呼び、認証局は公開鍵とその鍵の所有者であることを保証するために、電子証明書を発行する。 もちろん、電子証明書はX.509という規格に則って作れば簡単に偽造されてしまうが、認証局からのお墨つきがない証明書は、自分で自
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く