既存のx86/ARM CPUほぼ全てに通用するJavaScript攻撃が発見される ~アドレス空間配置のランダム化を突破
日本人はネットセキュリティ意識が低すぎる
日本は「インターネットのセキュリティ」に対しての関心が驚くほど低い国である。 最近、筆者は子供の幼稚園の父母の会で耳を疑う会話を耳にした。「卒業アルバムの写真は○○○(大手クラウドストレージサービス名)にアップロードしてね。共通のアカウントとパスワードはこれ!」「わたしの無線LANのパスワード(暗号鍵)はこれだから自由に使っていいよ!」 おそらく、これが日本における一般的な感覚なんだろう。無線LANなどはログイン情報を知る人の増加と相まって、リスクも増大するわけだが彼女らには関係のない話のようだ。 日本人のセキュリティ意識は低い むしろ、セキュリティ業界に15年以上もいる筆者の方が"非常識"な存在なのかもしれない。日本人のセキュリティ意識の低さは、セキュリティ関連調査にもしばしば現れる。例えば、Statista社のマーケット調査によれば、VPNなどの安全なネットワークを構築するためのサービ
なぜSNSに我が子の写真をアップしたら危険なのか?写真データの怖さ - ライブドアニュース
最近、FacebookやTwitterなどので写真や動画の投稿を目にすることは日常茶飯事となった。やスマートフォン対応の無線機能搭載デジタルカメラの普及で簡単に写真をSNSにアップできることもあり、気軽に写真付きの投稿がおこなわれている。 食べ物や旅行先、イベントなどの写真に紛れて子どもの写真投稿は意外に多くなっている。「子どもが生まれました」「立てるようになりました」……そんな我が子のかわいい一瞬が撮れたら、つい周りの人にも見せたくなるだろう。 しかし、ちょっと待って欲しい。投稿先のSNSはインターネットの窓口で、その先は全世界に開かれているのだ。そこには大きな危険が潜んでいるのである。 ●友達や知り合いにしか公開していないから大丈夫の勘違い 投稿の公開先を「友達のみ」にしているから「安心」、「大丈夫」などと思うのは大きな間違いだ。 たとえばその友達が、自分が知らない友達の知り合いに投稿
IDとパスワードに頼る認証は、もう破綻している
不正アクセス被害のプレスリリースで次のような表現を見るたびに、何ともいえない違和感を覚えてしまう。 「他社サービスにおけるパスワードの使いまわしではない、まったく別のパスワードの再設定をお願いします---」 いや、言いたいことは良く分かる。ユーザーの自衛策として、パスワードの使い回しを避けた方がいいのはその通りだし、その事実をユーザーに啓発することには意味がある。 だが、私が天の邪鬼だからか、記者の職業病ゆえか…この表現には、ユーザーへの責任転嫁のような意図を感じてしまうのだ。 以前の「記者の眼」にも書いたが、インターネットユーザーが「確実に記憶できる」と考えているパスワードの数は、平均で3個ほどだという。「パスワードの使い回しを避けて下さい」というお願いは、実のところ、大半のユーザーには不可能な注文なのだ(関連記事:いくつもの暗証番号、パスワード…もう限界に来ていませんか)。 そもそも、
[2]複合機が丸見えになる恐れ
EWSがセキュリティ上危険な理由はいくつか挙げられる(図2)。サットン氏は、「メーカーは複合機を出荷した後、全くEWSにセキュリティパッチ(修正プログラム)を当てていないことが多い」と指摘する。セキュリティホールが放置された状態のEWSを搭載した複合機は、企業ネットワーク内に設置された“トロイの木馬”とさえいえる。 例えばEWSの多くは、WebサーバーソフトにApache HTTP Server(Apache)を搭載している。Apacheは多数のバグが存在するソフトで、バグが発覚するたびにパッチを配布している。あまりの多さから、「A Patchy Server」(パッチだらけのサーバー)のApacheと呼称されるようになったという冗談があるほどだ。当然、Apacheには常に最新のパッチを当てておかなければ、簡単にハッキングされる。 狙われるのはApacheの脆弱性だけではない。Linuxの
「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem's blog
このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。 SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。 この状況で、セキュリティのことをよく知らない人がSQLインジェクション対策しようとした場合の行動を予測してみると、かなりの割合の人がGoogle等で検索して対処方法を調べると思われます。そこで、以下のURLでSQLインジェクション対策方法を検索した結果の上位のエントリを検証してみようと思い立ちました。 http://www.google.co.jp/search?q=SQLインジェクション対策 どこまで調べるかですが、以前NH
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
カスペルスキー、Twitterリンクに潜むマルウェアを検出するツールを発表
Kasperskyは米国時間10月29日、「Krab Krawler」という新しいツールを発表した。同ツールは、Twitterに毎日投稿される大量のtweet(つぶやき)を解析し、それらに潜むマルウェアがあればブロックする。 KasperskyのシニアマルウェアアナリストであるCostin Raiu氏はインタービューの中で、同ツールは、Twitterへのすべての公開投稿に対し、投稿されるとともにそれらに含まれるURLを抽出し、短縮されていれば元に戻し、そのリンク先のウェブページを解析すると述べた。 同社は毎日、Twitterへの投稿に含まれる50万件弱もの新しいURLを解析していると、同氏は述べた。そのうちの100〜1000件がマルウェア攻撃であるという。Twitterは、感染したユーザーのアカウントから悪質なリンクを投稿するKoobfaceウイルスのターゲットにもなっている。 Raiu氏
セキュリティソフトの“押し売り”にご用心! - 日経トレンディネット
シマンテックは、セキュリティソフトの“押し売り”が増加しているという情報処理推進機構(IPA)の報告を受け、このような行為に騙されることのないよう注意を呼びかけている。 押し売りの手口は、PC上に「ウイルスに感染しています」といった偽りのメッセージを表示させ、セキュリティソフトをダウンロード購入させようとするもの。一度承諾してしまうとキャンセルができなくなったり、購入/支払い督促の表示が繰り返されたりする。しかも、このような手口で販売されるセキュリティ製品は、正常に作動しないことが多いという。 シマンテックでは、悪質な押し売りを避けるための注意点として、以下の5つの項目を挙げている。 (1)最初に警告が出た時点で右上の「×」をクリックしてウインドウを閉じ、「ダウンロード」や「保存」などをクリックしない。 (2)偽りのメッセージには不自然な単語や言葉遣いが見られることが多い。 (3)本当
口座預金を略奪するトロイの木馬がまん延--セキュリティ研究者が注意を呼びかけ
カリフォルニア州サンノゼ発--サイバー犯罪者がユーザーとともにオンラインバンキングを利用し、口座の金を盗むという事態が起こっている。 以前は、パスワードを盗むトロイの木馬が大流行していた。このトロイの木馬は、ユーザーが悪質な電子メールの添付書類を開いたり、悪質なウェブサイトを閲覧したりすることで、PCに侵入する。だが、堅牢な認証システムが普及したことに伴い、サイバー犯罪者は戦略を変えつつあると、MessageLabsのウイルス対策シニアテクノロジストAlex Shippは述べている。 Shippは米国時間2月16日、当地で開催された「RSA Conference 2006」において、「最近では、ユーザー名やパスワードの盗難は減少している」と発言した。代わりに、「(口座から金を盗む目的で作成された)トロイの木馬」が、ユーザーがオンラインバンキングを利用するのを待ち受けるようになり、「金を外部
情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
IPAでは、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減
ルートキットの正体を暴く(前編)
■本稿は,ソニーBMGの音楽CDがユーザーのマシンに「Rootkit(ルートキット)」を組み込むことを発見したMark Russinovich氏による「Rootkit」の解説記事である(米国のWindows Server専門誌「Windows IT Pro Magazine」2005年6月号に掲載)。Russinovich氏は「インサイド Microsoft Windows」(日経BPソフトプレス発行)の著者の一人であり,Windowsカーネルに精通している。Russinovich氏はかねてより,Rootkitがマルウエア(悪意のあるソフト)の隠蔽に悪用されることを懸念していたが,その懸念は2005年11月に現実のものとなった。システム管理者やセキュリティ対策担当者には,ぜひ本稿でRootkitの仕組みを学んで頂きたい(ITpro編集部)。 ここ数年間,コンピュータ・ウイルス,トロイの木馬
高木浩光@自宅の日記 - ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1), JPCERT/CCの判断力も蝕む サニタイズ脳の恐怖
■ ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1) ジュンク堂本店の「PHP」コーナーで一番目に付く位置に飾られていた本を読 んでみた。 改訂新版 基礎PHP, 山田祥寛監修、 WINGSプロジェクト(本田将輝、山葉寿和、斉藤崇、森山絵美、渕幸雄、青島裕、山田奈美)著, インプレス, 2004年10月1日初版発行 2005年12月11日第1版第5刷発行 帯の宣伝文句はこうだ。 PHP5で作るWebアプリケーション 待望の改訂版登場! 最新機能まで踏み込んだ内容と、必要な環境を収録したCD-ROMで、着実に学ぶ 着実に……ですか。 最初の動くサンプルコードはこうなっている(p.72)。 <html> <head><title>hello_world.php</title></head> <body> <?php $var_str="Hello World"; print ($var
高木浩光@自宅の日記
■ OECDガイドラインの8原則についてChatGPTに聞いてみた ChatGPTに色々聞いてみるテストは1月にTwitterに結果を報告していた*1が、GPT-4が使えるようになったということで、もう一度やってみた。ChatGPTは基本的に、質問者に迎合しようとする(質問者の期待に応えようとする)ので、ChatGPTが答えたといっても質問者の意図した答えになっているにすぎない(それゆえ、質問者の意図が明確にされず、ChatGPTも知らないことが問われると、全くの出鱈目を答えてしまうという現象が起きるようだ。)わけであるが、それでも、質問者が誘導しているわけでもないのに質問者が必要としていることを言葉の端々から察知して根拠を探してきてくれるような回答をする。以下は、できるだけ誘導しなように(といっても、後ろの方で明確に誘導しているところもあるがw)質問した例だが、最初のうちはChatGPT
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
BLOGOS サービス終了のお知らせ
まとめよう、あつまろう - Togetter
大塚製薬 医薬関係者向け情報
avast! antivirus software - computer virus- worm and Trojan protection by ALWIL Software