タグ

Securityに関するand_hyphenのブックマーク (547)

  • 自分のiPhone/iPadなどのUDIDが漏洩した約100万のリストにあるかどうか確認できるサイトが登場

    By Yutaka Tsutano 約1200万ものiPhone/iPadなどiOSのUDIDや個人情報がハッカー集団AntiSECのハッキングによってFBIのノートPCから漏洩し、証拠としてそのうちの一部を抽出した約100万(厳密には1,000,001個)のデータが現在、ネット上で誰でもダウンロード可能になっているわけですが、ダウンロードしたファイルを複合化して検索する作業は誰でもできるものではないため、その手間を省き、一刻も早くとりあえず自分のUDIDがその「1,000,001」個のリストにあるかどうかを検索できるサイトが早速登場しました。 Has your Iphone info been comprimised? http://kimosabe.net/test.html 作成したのはUnix/LinuxのDevOpsとAWSコンサルタントをしているSean MacGuireさん

    自分のiPhone/iPadなどのUDIDが漏洩した約100万のリストにあるかどうか確認できるサイトが登場
    and_hyphen
    and_hyphen 2012/09/04
    ふうむ
  • 開発者はソフトウェアの欠陥に法的責任を負うべきか?

    コーディングに手抜きがあったためにハッカーの攻撃を許してしまい、ユーザーが金銭的な損失を被った場合、そのコーディングを行ったソフトウェア製作者が法的に訴えられてしかるべきだと主張している研究者がケンブリッジ大学にいる。 ハンバーガーをべて中毒になった場合、そのハンバーガーを販売したレストランに対して訴訟を起こすことができる。それならば、手抜きコードが存在したためハッカーがあなたの銀行口座からお金を引き出した場合、そのコーディングを行ったソフトウェア開発者を訴えることができてもよいのではないだろうか? この問題提起は、ケンブリッジ大学でセキュリティの研究を行っているRichard Clayton博士によってなされたものである。同博士の主張は、来であれば除去されていたはずのセキュリティ上の欠陥がアプリケーション内に残存し、それに起因する損害が発生した場合、ソフトウェア製作者の法的責任を追

    開発者はソフトウェアの欠陥に法的責任を負うべきか?
    and_hyphen
    and_hyphen 2012/09/04
    うーーーーむ...
  • 高木浩光さんへ、しっかりしてください - 最速転職研究会

    技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい

    高木浩光さんへ、しっかりしてください - 最速転職研究会
    and_hyphen
    and_hyphen 2012/08/30
    「面白おかしくネットバトル的な茶化し方をするのはやめてください。本当に深刻な問題だと考えています」
  • ひろみつ先生 しっかりしてください | 樋渡啓祐物語(2005年5月ー2015年2月)

    僕は自分より立場の弱い人への個人攻撃はしない。しかし、一定の権力を持つ人間で、その権力を私議する人間は許せない。また、これから批判する高木浩光なる人間の言動で、いかに、日のイノベーションが削がれているか、シリコンバレーでも聞いたし、実際、被害に遭っている人たちからも数多く聞いた。 このまま、この先生の言動を放置しておくと、日の健全なイノベーションが削がれることになると判断し、僕の思いを書くことにします。ちなみに、彼が所属する独立行政法人産業総合研究所は、 特に産総研が貢献するべき重要分野として世界最高水準にある我が国の環境・エネルギー技術をさらに発展させる「グリーン・イノベーションの推進」、質の高い医療サービスへのニーズに応え、少子高齢化社会・介護などの課題に対応する「ライフ・イノベーションの推進」、国の安全・安心を支える「知的基盤の整備・推進」、科学技術立国を掲げる我が国の産業競争力

    ひろみつ先生 しっかりしてください | 樋渡啓祐物語(2005年5月ー2015年2月)
    and_hyphen
    and_hyphen 2012/08/28
    叩く前にやる事あるでしょ...
  • Javaに未解決の脆弱性が発覚、標的型攻撃に利用される

    脆弱性を解決するパッチは現時点で存在しない。セキュリティ各社はJavaを無効にするなどの対策を呼び掛けている。 Javaの未解決の脆弱性を悪用した標的型攻撃の発生が確認され、セキュリティ各社が注意を呼び掛けている。脆弱性検証ツール「Metasploit」にも、この脆弱性を突くモジュールが追加された。 この脆弱性についてはセキュリティ企業のFireEyeが8月26日のブログで伝え、Secuniaなどの各社も確認している。脆弱性は「Java Runtime Environment (JRE)7 Update 6」のビルド1.7.0_06-b24で確認され、1.7xなど他のバージョンも影響を受けるとみられる。FireEyeは1.7 Update 6をインストールした最新版のFirefoxで、この問題を悪用することに成功したという。 この脆弱性を突いてマルウェアに感染させる攻撃用のWebサイトも見

    Javaに未解決の脆弱性が発覚、標的型攻撃に利用される
  • Engadget | Technology News & Reviews

    Hands-on with the new iPad Pro M4: Absurdly thin and light, but the screen steals the show

    Engadget | Technology News & Reviews
    and_hyphen
    and_hyphen 2012/08/27
    ほう。
  • CSRFによる冤罪、誤認逮捕か。大阪市ウェブに大量殺人予告での逮捕の件: ホットコーナー

    ブログ(iiyu.asablo.jpの検索) ホットコーナー内の検索 でもASAHIネット(asahi-net.or.jp)全体の検索です。 検索したい言葉のあとに、空白で区切ってki4s-nkmrを入れるといいかも。 例 中村(show) ki4s-nkmr ウェブ全体の検索 ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。 --- 橋下徹市長の大阪市のウェブで「大量殺人をする」と投稿したという容疑で、 アニメ演出家が逮捕された件。 たとえば、 http://mainichi.jp/select/news/20120827k0000m040038000c.html 殺人予告:大阪市HPに書き込んだ疑いで42歳演出家逮捕 http://

    and_hyphen
    and_hyphen 2012/08/27
    CSRFあるのか。。
  • 高木浩光@自宅の日記 - 日本フェイスブック学会総会1118聖誕祭

    ■ 日フェイスブック学会総会1118聖誕祭 前回の日記に学会長から答礼を頂いた。 条例解釈と図書館カード全体の運用の在り方について根的に間違っている。 RT @methane @hiwa1118 高木さんの指摘はとてもわかり易いと思うのですが、どの点の理論展開が不明なんでしょう?結局、武(cont) tl.gd/j03spd — 武雄市長 日ツイッター学会長 樋渡啓祐さん (@hiwa1118) 8月 23, 2012 高木浩光先生、やっぱり間違っています。もっと勉強してください。, 武雄市長物語, 2012年8月23日 あの高木浩光先生が、不思議なことに、「武雄市個人情報保護条例はやはり欠陥だった」と、ブログを書いておられる。 その中に、 「そらみろ、条例でちゃんと明文化しないからこういうことになる。」 と言われても、どういう論理展開であるか不明だが、以前に指摘したとおり、括弧書き

    and_hyphen
    and_hyphen 2012/08/26
    「的屋の屋台とかあれば楽しまれるのでは」最後のひとことが地味に尖っている。
  • 武雄市長が情報漏えい、Yahoo!ブリーフケースで公開設定誤る

    佐賀県武雄市の樋渡啓祐市長は、「Yahoo!ブリーフケース」にアップしていた住所録データが公開状態にあったと謝罪した。 佐賀県武雄市の樋渡啓祐市長は8月24日、個人ブログ「武雄市長物語」のエントリーで同氏の住所録データ(名前と住所)がインターネット上に流出したことを明らかにした。「この場を借りて、関係者の皆さんには深くお詫びします」で謝罪している。 それによると、流出したデータは2年前の年賀状用の住所録といい、同氏が「Yahoo!ブリーフケース」にアップしていたもの。Twitterでインターネット上に公開されていると指摘があり、樋渡市長は「誤って設定を、非公開とするはずを公開にしていました」と説明した。現在は全てのデータを削除している。 さらに、Flickr上でもアップした私的な写真などを誤って公開設定にしていたことも明らかにした。こちらも非公開設定に改めたという。 樋渡市長は情報漏えいに

    武雄市長が情報漏えい、Yahoo!ブリーフケースで公開設定誤る
    and_hyphen
    and_hyphen 2012/08/24
    危う過ぎる...
  • 高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに

    「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横

    高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
  • 『Tカード図書館問題』の武雄市長が個人情報を漏洩、公職選挙法違反の疑いとなる情報も | ガジェット通信 GetNews

    Facebook市長として有名な佐賀県武雄市の市長が個人情報を漏洩した。漏洩した個人情報は氏名、郵便番号、住所などを含む個人情報232件。ファイル名から、武雄市長自身が管理する住所録ではないかと推測される。市長は自身のブログからリンクして公開している『Yahoo!ブリーフケース』の公開ディレクトリに個人情報が含まれる自身の住所録を置いていた。 市長はツイッター経由で個人情報漏洩を指摘され、23日22時40分頃ディレクトリごと削除した模様。 (武雄市長に指摘をおこなった @12648430 さんのツイートより) 公職選挙法違反の疑いも ファイルは年賀状の住所録管理・印刷ソフトの形式となっており、その住所録部分には武雄市の住所も多く含まれていた。これらの住所へ実際に印刷し年賀状が送られていれば、公職選挙法の「あいさつ状の禁止」に抵触することになるため、しかるべき機関による調査が必要だと考えられ

    『Tカード図書館問題』の武雄市長が個人情報を漏洩、公職選挙法違反の疑いとなる情報も | ガジェット通信 GetNews
    and_hyphen
    and_hyphen 2012/08/24
    情報リテラシーってなんだろうねえ(ため息。
  • AppleがRemote Desktopの更新版を公開、情報流出の脆弱性に対処

    「全ネットワークデータを暗号化する」設定にした場合でも、データが暗号化されず、警告も表示されない問題があった。 米Appleは、リモート管理ソフトの更新版となる「Remote Desktop 3.6.1」を8月20日付で公開し、情報流出の脆弱性に対処した。 同社のセキュリティ情報によると、サードパーティーのVNCサーバへの接続に際して「全ネットワークデータを暗号化する」設定にした場合でも、データが暗号化されず、警告も表示されない問題があり、情報流出につながる恐れがあった。 更新版では、この設定でVNCに接続する際にSSHトンネルを作成することによって問題を解決し、SSHトンネルが作成できない場合は接続できないようにした。 影響を受けるのはRemote Desktop 3.0以降のバージョン。一方、3.5.1までのバージョンは影響を受けないという。

    AppleがRemote Desktopの更新版を公開、情報流出の脆弱性に対処
  • 高木浩光@自宅の日記 - やはり欠陥だった武雄市の個人情報保護条例

    ■ やはり欠陥だった武雄市の個人情報保護条例 5月8日に「「個人情報」定義の弊害、とうとう地方公共団体にまで」で、以下のように書いた。 対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。 照合可能型 「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」(千代田区の例) (行政機関個人情報保護法と同等のもの)(多数派) 容易照合型 「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの(他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなる

  • 心のスキを突くハッカーを追い返して、パスワード漏えいを防ぐための基本対策 | ライフハッカー・ジャパン

    デスク配線がスッキリ。Ankerの全部入り12 in 1モニタースタンドが突然8,250円OFFされてた #Amazonセール

    心のスキを突くハッカーを追い返して、パスワード漏えいを防ぐための基本対策 | ライフハッカー・ジャパン
  • アップル、「iPhone」のSMS脆弱性問題で回答

    米国時間8月17日、筆者は「iPhone」がSMSのなりすまし攻撃に対して脆弱である可能性があるという新事実について書いた。基的には、「iOS」でのメッセージのヘッダの扱い方が原因で、悪意のある人物が返信先番号を偽って、金融機関など他者の番号が表示されるよう操作できてしまうということだ。 先日ハッカーのpod2gがこの脆弱性を暴露した後、EngadgetがAppleからこの件で回答を得ている。 Appleセキュリティを極めて重視している。「SMS」ではなく「iMessage」を使う場合にはアドレスは確認され、この手のなりすまし攻撃は防止される。SMSの限界の1つは、なりすましのアドレスでどの電話にでもメッセージを送ることができてしまう点であり、ユーザーには、SMSのメッセージが未知のウェブサイトやアドレスへと案内するものだった場合は極めて慎重になるよう促している。 筆者はこれまでSMS

    アップル、「iPhone」のSMS脆弱性問題で回答
  • AppleのiOSにSMS差出人偽装の脆弱性情報、著名研究者が指摘

    この問題を悪用した場合、攻撃者がメッセージの返信アドレスを偽装して、特定の組織や個人から送信されたメッセージのように見せかけることができてしまうという。 AppleのiOSのセキュリティに詳しい著名な研究者が、SMSの差出人偽装に利用される恐れのある脆弱性を見つけたとして、自身のブログで概略を公表した。 セキュリティ研究者「pod2g」の8月17日のブログによると、この脆弱性はiPhoneにSMSが実装された当初から存在していて、間もなく登場予定の「iOS 6」のβ4にも残っているという。コード実行の恐れは伴わないものの、重大な問題だと思われるという。 この問題を悪用した場合、攻撃者がメッセージの返信アドレスを偽装して、特定の組織や個人から送信されたメッセージのように見せかけることができてしまうという。例えば銀行から届いたメッセージだと思わせて、ユーザーに個人情報を開示させたり、詐欺サイト

    AppleのiOSにSMS差出人偽装の脆弱性情報、著名研究者が指摘
  • ニュース - WIRED記者の悲劇から学ぶ「セキュリティ9つの常識」 (WIRED.jp):ITpro

    WIREDのスタッフライター、マット・ホーナンの「デジタル地獄」の物語については、すでに聞いたか、読んでいる人も多いだろう。ハッカーがアップルに対してソーシャルエンジニアリングを行ってホーナンのデジタルライフへの鍵を入手し、ホーナンのノートパソコンとiPhoneiPadからデータを消去し、人と「Gizmodo」のTwitterアカウントを乗っ取り、ホーナンのGmailアカウントから8年分の電子メールを削除したのだ。 ホーナンは、自分にも多くのミスがあったことを認めている。2段階認証を有効にしなかったり、データをバックアップしていなかったなどだ。それによって、ハッキングは取り返しがつかないところまでエスカレートしてしまった。 同様の悲劇に陥らないために、以下で、データとオンライン上のアイデンティティを保護するための方策をリストアップしてみた。絶対に確実といえる対抗策は存在しない。ハッ

  • 高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」

    ■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際

    and_hyphen
    and_hyphen 2012/08/20
    恐ろしいわ...
  • セキュリティ業界からみた「位置情報」のメリットとデメリット

    ユーザーのモバイルデバイスに搭載されたGPSや近隣の無線基地局から取得した「位置情報」は、セキュリティの観点ではどう考えるべきか――英セキュリティ企業のSophosが同社ブログを通じて位置情報の活用の在り方をめぐる議論を投げかけている。 つい最近、Twitterでのツイートや位置情報からユーザーの自宅の場所を類推して地図やGoogleのストリートビューを表示するWebサイト「WeKnowYourHouse.com」(編注:8月16日時点ではサービスを停止している)が話題になった。同サイトは開設目的を「ソーシャルメディア上のプライバシーについて実験するため」と説明し、「位置情報サービスは便利だが、自分の居場所が知られることを考慮した方がいい」と、位置情報からプライバシーが公にさらされかねないリスクを指摘する。 これに対してSophosのブログ担当者は、ユーザーが位置情報のリスクを十分に認識し

    セキュリティ業界からみた「位置情報」のメリットとデメリット
    and_hyphen
    and_hyphen 2012/08/17
    位置情報って安易に外に出せると恐ろしいっていうことを理解する必要があるね
  • 複数のグリー製Androidアプリに脆弱性

    IPAセキュリティセンターならびにJPCERTコーディネーションセンターは8月16日、「複数のGREEAndroidアプリにおけるWebViewクラスに関する脆弱性」をJapan Vulnerability Notesにて公表。アプリのアップデートを呼びかけている。 グリーが提供するHTMLベースのアプリ向けSDKを使用している複数のAndroidアプリに、WebViewクラスに関する脆弱性が存在し、ユーザーが、不正な他のAndroidアプリを使用した場合、当該製品のデータ領域にある情報が漏えいする危険性があると指摘している。 対象としているのは「GREE (グリー) 1.4.0およびそれ以前」、「探検ドリランド 1.0.7およびそれ以前」、「釣り★スタ 1.5.0 およびそれ以前」、「モンプラ 1.1.1およびそれ以前」、「海賊王国コロンブス 1.3.5 およびそれ以前」、「ハコニワ

    複数のグリー製Androidアプリに脆弱性
    and_hyphen
    and_hyphen 2012/08/16
    気をつけよう