「Heartbleed」セキュリティ問題を受け、OpenBSDがOpenSSLフォークの「LibreSSL」を開発 | OSDN Magazine
The OpenBSD Projectのメンバーが新プロジェクト「LibreSSL」を立ち上げた。OpenSSLで発見された「Heartbleed」脆弱性問題を受けてのもので、OpenSSLをフォークして新たなSSL/TLSプロトコルのフリー実装を作成するという。次期「OpenBSD 5.6」に導入する予定で開発を進めるという。 4月初め、OpenSSLのHeartbeat機能に脆弱性が発見された。これは通称「Heartbleed」と呼ばれ、悪用するとOpenSSLプロセスが使用しているメモリの内容を不正に外部から閲覧することが可能になる。OpenSSLは4月7日バグを修正したOpenSSL 1.0.1gをリリースしている。 LibreSSLではOpenSSLのコードの書き直しや非推奨機能の削除、リファクタリングや修正などを行うという。プロジェクトは主としてOpenBSD Projectに
TISと野村総合研究所の関西地区での新データセンターにおける協業について | TIS株式会社
ITホールディングスグループのTIS株式会社(本社:東京都新宿区、代表取締役会長兼社長:桑野徹、以下TIS)と、株式会社野村総合研究所(本社:東京都千代田区、代表取締役社長:嶋本正、以下 NRI)は、関西地区の新データセンターに関する基本協定を2014年4月22日に締結しました。 両社は、国内にそれぞれ複数のデータセンターを所有・運営していますが、関西地区におけるデータセンター需要の拡大に応えるため、この度、新たに共同でデータセンターを運営していくことで合意しました。新データセンターは、NRIが既に取得済みの北摂地域の用地に2016年夏を目標に開業予定です。 また両社は、データセンターに関連するシステム運用、ネットワーク、セキュリティ、統制等の領域のビジネスにおいても、更なるシナジー効果を生み出す可能性について継続して協議していきます。 協業の背景 昨今、企業を取り巻くIT基盤のセキュリテ
パナ情シス部隊、リストラ対象1000人の選別方法
パナソニックが、社内情報システム部門(情シス)の社員約1500人のうち、3分の2にあたる約1000人の削減を検討している——。無慈悲な報道が流れたのは、今年の1月1日。該当者にとって最悪の正月になってしまった。 各社の報道によると、パナソニックの情シス子会社「パナソニックITソリューションズ」を富士通に売却。社内で分社化した「コーポレート情報システム」からも一部社員を富士通とIBMに転籍させるという。つまり、取引先のSIerへの転籍だ。 なぜ、こんなことになったのか。情シスは、ビジネスプロセスの改善やシステム統合によるコスト削減など、企業戦略に欠かせない部門だったはず。パナソニックの関係者も「情シスは社内で高い評価を受けていた。特にグローバル化を手がける部門は、世界中を飛び回って調整していた」と話す。 風向きが変わったのは、コストダウンを目的に部門ごとに導入していたITシステムを統合してか
パナソニックへ行われた不正ログインをまとめてみた - piyolog
パナソニックの会員サイト「CLUB Panasonic」が不正ログイン被害を受けた可能性があると発表しました。ここではその関連情報をまとめます。 概要 パナソニックの会員向けサイト CLUB Panasonicが不正アクセスを受け、約7万8千アカウントが不正にログインされた可能性があります。 2014/04/23 「CLUB Panasonic」への不正ログインに関するお知らせとパスワード変更のお願い(パナソニック) 魚拓 2014/04/23 「CLUB Panasonic」への不正ログインに関するお知らせとお詫び(PDF) (1) 被害状況 被害を受けたWebサイト CLUB Panasonic 不正ログイン被害件数:78,361件 ログイン試行回数 約460万件を超える ログイン試行日数 約30日間(日割単純計算で1日あたり15.3万回以上) ログイン成功率 1.7% 会員数 約65
Apache Struts 2のClassLoader を外部から操作される脆弱性(CVE-2014-0094)(S2-020)を利用した攻撃検証レポート « (n)
Tweet【概要】 前回は検証では攻撃者が制御を誘導することが可能であることを確認しました。今回は実際の攻撃を想定し「webshell」が設置できることを確認します。webshellはブラウザからコマンドを入力し、その結果を表示するようなウェブアプリケーションです。 【影響を受ける可能性があるシステム】 - Apache Struts 2.0.0 – 2.3.16 【対策案】 Apache Software Foundationから本脆弱性を修正されたバージョン「Apache Struts 2.3.16.1」がリリースされております。当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。 なお、上記の「Apache Struts 2.3.16.1」では、回避策(Workaround)として記述のあるとおりに初期設定が変更になっております。そのため、緊急のバージョ
パナソニックが460万件もの攻撃をされて氏名・住所・電話番号など約7万8000件の個人情報に不正アクセスされる
氏名・住所・電話番号・性別・生年月日・ログインID・メールアドレス・ニックネーム、さらに自分で登録した場合には携帯電話用メールアドレス・職業・居住状態・家族構成・共稼ぎ状況・興味のあるカテゴリーがパナソニックの会員サイト「CLUB Panasonic」にて不正に閲覧された可能性が高いことが判明しました。 「CLUB Panasonic」への不正ログインに関するお知らせとパスワード変更のお願い http://club.panasonic.jp/maintenance/index20140423_1.html 被害状況としては、合計460万件を超えるアタックがパナソニックの会員サイトに対して行われ、そのうち7万8361件がヒットしてしまい、不正に情報を閲覧された可能性が高い、というもの。この460万件のアタックは無作為にされたものではなく、「他社サービスから流出した多数のID/パスワードを利用
セキュリティnews | MBSD
Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。 しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。 弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。 また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性
高木浩光@自宅の日記
■ Claude 3による解説:「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか 昨日の日記「「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか」だが、おそらく「長すぎて読めない」という声が多そうなので、Claude 3に原稿を読ませて簡単に解説してもらった。これで興味が湧いたら原文を見てほしい。 Claude:はい、この文書の意味はよく理解できます。これは、個人情報保護法の2020年改正(令和2年改正)で新設された「不適正利用禁止」規定(第19条)がどのように立案されたかについて、情報公開請求で開示された内閣法制局審査資料を基に詳細に解説したブログ記事の原稿です。 主な内容は以下の通りです: 当初、個人情報保護委員会事務局は、プロファイリングなどの新技術に対応するため、「適正な利用」義務を新設しようとしていた。 しかし、内閣法制局との審査過程で、規範の明
中小企業がクラウドを入れない本当の理由
Photo from Flickr, Some Rights Reserved by Tim Dorr 2013年版の通信利用動向調査によれば「クラウドサービスを全社的に利用している」と答えた企業は全体の13%。3年前の4.2%から約10ポイント上がっており、クラウドに感心が高まっていることは確かだ。 しかし、資本金50億円以上の大企業は52.4%がクラウドサービスを導入している一方、資本金1000万円以下の中小企業はわずか23.4%にとどまっている。クラウドは設備費用をかけずにITシステムを構築できるのがメリット。本来は大企業より、ITベンチャーをはじめとした中小零細企業こそ向いているはずだ。 中小企業がクラウドをなかなか入れないのはなぜなのか。 調査会社ノークリサーチのアナリスト、岩上由高氏によれば、中小の経営者には「ITのコストが見えていない」のだという。社内IT担当者が兼任で、そも
パナソニック情シス部隊、運命の分かれ道は何で決まるか?
アスキークラウド6月号の特集テーマは「情シス部門の生き残り」です。クラウドによって、社内のITインフラにも「所有から利用へ」への影響が現れています。 社内の要件をまとめ、社外のSIerやグループ内の情シス子会社とシステム化を進めてきた情シスは、クラウドの普及で存亡の危機にあると言ってもいいでしょう。すでに情報系ネットワークはギガビットEthernetへの移行を済ませており、無線LANの高速化も一段落しました。AWS(Amazon Web Services)なら、必要なサーバーが必要なときに、クレジットカード1枚で調達できますし、メールやグループウェアは1ユーザーあたり毎月600円で使えるGoogle Apps for Businessがあります。情シスの仕事がなくなってしまったのです。 もちろん、AWSは恒常的に使うと割高ですし、金融や先端産業には、グーグルに会社の情報を読ませるわけにはい
Linuxサーバー2万5000台をハッキングした攻撃活動「Windigo」
Linuxサーバーを狙った一連の攻撃活動「Operation Windigo」が話題になっている。スロバキアのイーセットは昨年来、調査を実施。その結果の概要をブログで発表した。 Operation Windigoを展開する犯罪者グループは、乗っ取ったシステムを使って重要情報を盗み、Webトラフィックを不正コンテンツに誘導し、スパムメッセージを送信する。2011年以降、2万5000台以上のサーバーが被害を受け、そのうち1万台以上がいまだにハッキングされた状態にあるという。これらサーバーはすべて、重要情報を盗み出そうとするOpenSSHバックドア「Linux/Ebury」に感染した。cPanelやkernel.orgといった著名な組織も攻撃を受けたが、現在はすでにマルウエアを除去している。 マルウエアに感染したサーバーは、1日あたり50万人ものサイト訪問者を不正コンテンツにリダイレクトするのに
次世代ファイアウォールとクラウドの組み合わせで多層防御を実現
サイバー攻撃の脅威はとどまるところを知らない。なかでも深刻度を増しているのが、情報搾取などを目的に特定の組織に執拗に攻撃を仕掛ける「標的型攻撃」である。昨年もその脅威を思い知らされるセキュリティ事案が数多く発生した。 例えば2013年2月、世界的なソーシャルメディアがハッカー集団から標的型攻撃を受けていたと発表した。結果的にこの攻撃は失敗に終わり実害はなかったが、攻撃にはゼロデイの脆弱性が使用され、PCのセキュリティ検査をかいくぐったという。 一方、韓国では2013年3月20日14時過ぎ、放送局や金融機関6社のコンピュータシステムが一斉にダウンした。原因はファイル破壊型マルウエアによる感染。6社で合計3万2000台ものサーバーやPCが被害に遭った。収集したマルウエアを分析すると、その日時に一斉に動作するようにスケジュールされていたという。サイバー攻撃の脅威が絵空事ではないことを、改めて思い
LjStudy - 資料
以降の資料はconnpassにあります。 https://ljstudy.connpass.com/presentation/ 10年効く分散ファイルシステム技術 GlusterFS & Red Hat Storage (中井 悦司 氏) awkもいいけどTukubaiもね! Open usp Tukubaiを使おう (USP友の会 上田隆一) AWSではじめるGlusterFS (片山 暁雄 氏) Cephアーキテクチャ概説 (岩尾 はるか 氏) Dockerを支える技術(中井 悦司氏) Docker入門 (中井 悦司氏) Fedora最新情報アップデート(藤田 稜氏) — こちらの資料をFedora向けに修正いただき、ご講演いただきました。(参考資料) http://jp-redhat.com/forum/tt/pdf/2-E.pdf firewalld徹底入門 (中井 悦司 氏) G
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ監視|MBSD|三井物産セキュアディレクション株式会社
オムロン草津工場で“ものづくりビッグデータ分析”実証実験
東陽テクニカ、多様化するサイバーセキュリティに関する説明会
The dismal state of SATCOM security - Help Net Security