タグ

セキュリティに関するatasintiのブックマーク (223)

  • 暗証番号入りスマートカードに対する不正操作

    インターネット・セキュリティの専門家たちは、昔から「物理的なアクセス手段があれば、乗っ取れる」と言ってきた。残念なことに、この考えを理解すらできない組織があまりにも多い。この状況を端的に示す例を紹介する。それは、スマートカードと暗証番号をやり取りするカード・リーダーだ。 英ケンブリッジ大学の研究者が「Thinking inside the box:system-level failures of tamper proofing(きょう体内部に関する考察:不正操作防止機構におけるシステム・レベルの欠陥)」(PDF形式の論文)と題する非常に興味深い内容の論文を書き、不正操作を防止できると考えられる技術の弱さを検証した。 この論文が重要なのは、暗証番号を読み取るスマートカード用リーダーの弱点を詳細に記しているからだけでない。多くの銀行が新たな詐欺対策技術を導入しようとしている一方、顧客に強いるセ

    暗証番号入りスマートカードに対する不正操作
  • 「あなたの身近なセキュリティ」: 第8回:WWW編(6)暗号化の仕組み

    ● 「この通信は暗号化されているので安全です」ってなに? 「この通信は暗号化されているので安全です」。これは、ショッピングサイトなどでよく出てくる表記だ。この意味をあなたはどれだけ理解しているだろうか? というのが今回のテーマである。 よくインターネットの接続状況を模式的に表わす場合、ユーザー側とサーバー側の間にモヤモヤとした雲マークを書いて、中央に「インターネット」と書くことがある。ユーザーからすれば、どうやって接続しているかはあまり気にすることはないだろう。しかし、重要なデータをやり取りする場合には、雲マーク内での出来事を知っておいた方がよいかもしれない。 雲マークがモヤモヤしているのには意味がある。よく言われていることだが、「インターネット全体を統括管理している人はいない」ためだ。このため、もしかすると、ユーザーとサーバーの間に悪い人がいて、通信を傍受しているかもしれないし、傍受どこ

  • @niftyでもウイルス仕込まれる、ヨン様主演ドラマの公式サイトなど改竄

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

  • ビジネスリサーチの心得

    コラム〜リサーチャーの日常 オンラインプレゼーテション コロナ禍で必須となった オンラインプレゼンテーション において、 mmhmm というカメラアプリを使うことの効果やその方法について紹介します。… 2021.05.11 265 view 3.ビジネスリサーチの報告書作成 ファクト、ファクト、ファクト〜事実に基づくこと 「What's Your Story?」という提案や提言がないレポートは意味がない、ということがよく言われますが、ビジネスリサーチの報告書は、内容の8〜9割は ファクト … 2021.01.19 2021.05.16 313 view 1.ビジネスリサーチの基・心構え すべては「依頼」から始まる〜社内リサーチャーと社外リサーチャ… 【 リサーチャー とは 】企業で企画系の仕事をしていると、上司の依頼で調べものをして資料にまとめるという仕事が多いと思います。企画系の業務で

    ビジネスリサーチの心得
  • gmail-maniacs.net - 

    gmail-maniacs.net はお客様がお探しの全ての情報の原点です。一般的な項目からお客様がお探しのものまで、 gmail-maniacs.net は全てここにあります。きっとお探しのものが見つかるはずです。

  • トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

  • トレンドマイクロのウイルス情報ページが改ざん 閲覧者にウイルス感染のおそれ

    トレンドマイクロは3月12日、同社のウイルス情報ページが11日午後7時ごろから改ざんされ、アクセスしたユーザーに、ウイルスをダウンロードさせる状態になっていたと発表した。同社は、12日午前11時30分にウイルス情報ページを閉鎖した。 改ざんされたのは、日語・英語のウイルス情報ページ。日語ページは「ADW_BRUNME.A」「TSPY_AGENT.HS」など11のウイルス情報ページで、英語は「ADWARE_BHO_WEBDIR」「TROJ_CLAGGER.D」など21のページで改ざんを確認した。 該当ページにアクセスしてきたユーザーや、該当ページ内に挿入されたURLにアクセスしたユーザーに、ウイルス「JS_DLOADER.TZE」をダウンロードさせる状態になっていた。JS_DLOADER.TZEはJavaScriptを利用したウイルスで、ユーザーを特定のWebページにアクセスさせる仕組み

    トレンドマイクロのウイルス情報ページが改ざん 閲覧者にウイルス感染のおそれ
  • Amazonの「ほしい物リスト」で本名や趣味がばれる? ネットで騒動に

    Amazon.co.jp」でユーザーが欲しい商品を登録しておける機能「ほしい物リスト」(「ウィッシュリスト」から3月8日に名称変更)を通じて、ユーザーが公開を意図していない個人情報がもれている――と、3月11日ごろからネットで騒動になっている。 ほしい物リストは、自分にプレゼントしてほしい商品を登録・公開できる機能。リストは非公開設定も可能だが、デフォルトでネット全体に公開され、従来から名前やメールアドレスで検索可能だった。メールアドレスで検索した場合、名が登録されていれば、名も表示する。 「あの人にプレゼントしたい」と思い立った際、名前やメールアドレスで検索すれば、相手の欲しい物リストを見つけられる――という訳だ。 だが今回、このリストを通じて、ユーザーが意図しない個人情報がもれていると騒動になった。リストや名がデフォルトで公開されていると知らず、非公開のつもりでお気に入り商品メ

    Amazonの「ほしい物リスト」で本名や趣味がばれる? ネットで騒動に
  • トレンドマイクロのウイルス情報ページが改ざん被害、ウイルス感染も

    トレンドマイクロは3月12日、同社のウイルス情報ページが改ざん被害を受けたと発表した。改ざんされたウェブページはウイルス情報を提供するページの一部で、3月11日の19時頃から改ざんされていたことが判明している。 同社では改ざん被害の確認後、3月12日11時30分からウイルス情報ページを閉鎖している。また、上記期間に改ざんされたページへアクセスした場合や、挿入されている文字列に含まれるURLをコピーしアクセスした場合、ウイルスに感染する恐れがある。 この際にダウンロードされるウイルスは、「JS_DLOADER.TZE」と呼ばれているもので、同社のウイルス対策ソフトでは3月10日にパターンファイル5.147.00にて対応しているため、最新のパターンファイルで同社製品を利用していればウイルスに感染することはない。 改ざん被害を受けた原因や今後の対策については公表されていないが、ウイルス情報ページ

    トレンドマイクロのウイルス情報ページが改ざん被害、ウイルス感染も
  • ウイルスバスターで有名なトレンドマイクロのサイトにウイルスが侵入して閉鎖中

    3月9日21時頃から3月12日11時30分までの間にトレンドマイクロの「ウイルスデータベース」の一部にアクセスすると、なんとウイルスに感染する状態になっていたとのこと。この期間の間にウイルスデータベースのウイルスに感染したページを見てしまった人はウイルスに感染した可能性があるため、パソコン内部を全スキャンした方が安全です。 詳細は以下から。 弊社ウイルス情報ページの改ざんについて | 会社情報 : トレンドマイクロ 現在、改ざんされてウイルスが埋め込まれていたページを含む以下のサイトはまるごと閉鎖されています。 ウイルスデータベース http://www.trendmicro.co.jp/vinfo/ 感染した可能性のあるウイルスは「JS_DLOADER.TZE」というマルウェアで、ダウンローダの一種。ZDNet Japanによると、攻撃の手法としてはiframeタグの挿入によって別のサイ

    ウイルスバスターで有名なトレンドマイクロのサイトにウイルスが侵入して閉鎖中
  • しくみを知る:なぜファイル共有ソフトによる情報漏えいが怖いのか

    P2Pソフトによる情報漏えいを防ぐための対策をマスターするには,そもそもP2Pソフトによる情報漏えいがどのようなしくみで起こり,なぜ怖いのかをきちんと押さえておく必要がある。止めるべきP2Pソフトが使うプロトコルの種類やポート番号,通信パターンを知らなければ,対策を立てようがないからだ。まずはP2Pソフトによる情報漏えいの怖さについてポイントを押さえるところから始めよう。 知らぬ間に漏れて爆発的に広まる P2Pソフトによる情報漏えいがなぜ怖いのか,おもな理由は三つある(図1-1)。一つめは,ユーザーが漏えいの事実に気付きにくいこと。一般に,暴露ウイルスはファイルをほかのユーザーと共有可能な状態にするだけで,自分からファイルをせっせと外部に送信するような派手な行動はとらない。このため,ユーザーが「何か変だな」と気付くことなく静かに情報漏えいが始まるケースが多い。 図1-1●P2Pファイル共有

    しくみを知る:なぜファイル共有ソフトによる情報漏えいが怖いのか
  • 「Windows Live Mail」アカウント取得時のCAPTCHAを大量処理

    米ウェブセンスのセキュリティ・ラボは,Webベースの脅威からユーザーを保護する「ThreatSeeker」で,スパム・メール送信者(スパマー)が米マイクロソフトのWebメール・サービス「Windows Live Mail」用アカウントを自分たちの戦術に最近取り入れたことを発見した。近ごろの攻撃を見ると,スパマーは,Windows Live Mailに登録してランダムにアカウントを作成できるボットの開発に成功した模様だ。こうして作ったアカウントは,後でさまざまな攻撃に使える。 Windows Liveメールは,マイクロソフトのオンライン・サービス群「Windows Live」に含まれる無料Webメール・サービスだ。それまでのWebメール・サービス「MSN Hotmail」の後継として,2005年11月1日に発表された。全世界で利用可能になったのは2007年5月7日で,同年10月に全既存ユーザ

    「Windows Live Mail」アカウント取得時のCAPTCHAを大量処理
  • 「あなたの身近なセキュリティ」: 第5回:WWW編(4)

    ● どこまでが個人情報? 「個人情報を守る」というのは、自宅のPCでも個人情報を預かる企業にとっても重要だ。特に個人情報保護法が施行された現在では、情報漏洩した企業は一夜にして評判を落としかねない。ということで今回は、個人情報に関わるスパイウェアやアドウェアなどに触れたい。 スパイウェアの定義というのは、以前だとセキュリティベンダーによって異なっていたが、現在は業界標準の定義ができている。正式に決まったのは2006年1月だ。基的にはリスクの加算というところがポイントになっている。ただし、以下の記述にはこの定義は使わない。 個人ユーザーにしてみると、「個人を特定される情報が出るのはイヤ」という生理的な感覚があるだろう。とはいえ、どこまでを個人情報と定義するかについては難しい側面もある。 たとえば家庭のPCでINTERNET Watchを見たとしよう。閲覧によってCookieファイル(注:W

  • 「パスワードは90日ごとの変更」が義務づけられる!?

    個人情報保護,内部統制,グリーンIT…。米国でブームになったことが2年くらい遅れて日でブームになるというのはいつものことだが,もしかすると次のブームになるかもしれないのが,「PCIDSS(PCIデータセキュリティ規準)」である。 PCIDSSとは,有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準(関連記事)。情報システムからのカード情報の漏洩を防ぐためのものである。「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」「システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと」など12項目の要件で構成されており,各項目はさらに具体的な中項目,小項目に分けられている。 PCIDSSは,クレジットカード会社のためだけの基準ではなく,幅広い事業者が対象になる。PCIDSSを推進する立場にある

    「パスワードは90日ごとの変更」が義務づけられる!?
    atasinti
    atasinti 2008/02/27
    会社のシステムにパスワードは90日ごとの変更が必要なシステムがあるんだけど意外と面倒。多くは末尾の数字を1個づつ変更していくとか、あるいはいったん変更してまたすぐにもとのパスワードに再変更するとか(それ
  • TechCrunch Japanese アーカイブ » 増え続けるクリック詐欺、2007年は15%増加

    TechCrunch Japanese アーカイブ » 増え続けるクリック詐欺、2007年は15%増加
  • 「まさか自分は被害に遭わないだろう」が日本のネットユーザーの意識に?

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

  • 日本のネットユーザー、セキュリティ対策は「最低」――シマンテック調査 - ITmedia News

    セキュリティ対策が最も甘いのは日――シマンテックが2月21日発表した「ノートン・オンライン生活リポート」によると、日は、セキュリティソフトをインストールしているユーザーが世界8カ国中最も少なかった。フィルタリングソフトを導入するなど、子どもがネットを利用する際に何らかの対策を取っているユーザーの割合も、日が最低だった。 調査は昨年11月12日から12月17日にかけ、日、米国、英国、ドイツ、フランス、オーストラリア、中国、ブラジルの計7404人(18歳以上の「成人」4687人、8~17歳の「子ども」2717人)を対象に、ネットで実施した。 調査によると、成人の85%、子どもの52%が、スパムメールの受信やハッキングなど、何らかのサイバー攻撃を経験していた。 日の成人の93%が「セキュリティソフト無しのネット利用に不安を感じる」と答えたが、セキュリティソフトを導入している成人は61%

    日本のネットユーザー、セキュリティ対策は「最低」――シマンテック調査 - ITmedia News
  • 「あなたの身近なセキュリティ」: 第4回:WWW編(3)

    Webサイトを閲覧しただけで不正プログラムに感染する仕組み。閲覧したWebサイトのサーバー上ではなく、他のサイトに迂回する攻撃手法が一般的だ 前回は「不要ならばJavaScriptを切ればよい」という話をした。今回は、セキュリティベンダーのラックが2007年12月に発表した資料を使って、「なぜわざわざJavaScriptを切る必要があるのか」を解説したい。 前回では、ブラウザの脆弱性とJavaScriptを用いることによって、Webを閲覧しただけで不正なプログラムを実行される恐れがあることを説明した。ここでは、「通常のサイトにどのようにして不正コードを埋め込んでいるか」を見てみよう。 この手の不正処理は、来のサーバー上では行なわれず、他のサイトに迂回しているのが一般的だ。これは攻撃側にとって、攻撃手段の変更などのメンテナンスが容易であること、さらに解析・対応を難しくすることができるためだ

  • 高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる

    ■ 「nwitter」の違法性について考えてみる ウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について, GIGAZINE, 2008年2月13日 この「Tagged」はよくあるふつうのSNSなのですが、参加する際になぜかウェブメールのログイン情報(メールアドレスとIDとパスワード)を入力させられるという仕様になっており、その際の情報を使って「Tagged」運営側が勝手にウェブメールにログイン、アドレス帳に記載されている友人全員に「Tagged」への招待メールを送りつけるというとんでもないことをしているようです。 の件が再び話題になっていた。これは、 ウイルス的SNS、Webメールのアドレス帳からスパム送信, ITmediaニュース, 2007年04月10日 GoogleのGmail、MicrosoftのHotmail、Yahoo! MailなどのWebメ

  • ウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について

    SNS(ソーシャル・ネットワーキング・サービス)といえば、日ではあの「mixi」が非常に有名です。リアルでつながりのある人やネットでつながりのある人を招待することで、コミュニティの輪が広がっていくわけですが、なんとその招待するという行為を無理矢理、それもウェブメールのアドレス帳に登録されている人へスパムメールのような招待状を勝手に送りつけるというとんでもないSNS海外に存在しており、問題視されています。 その名は「Tagged」。わけのわからない行為の詳細と実際の入力画面などは以下から。 国内外で問題になっているSNS「Tagged」は以下にあるサイトです。 Tagged http://www.tagged.com/ この「Tagged」はよくあるふつうのSNSなのですが、参加する際になぜかウェブメールのログイン情報(メールアドレスとIDとパスワード)を入力させられるという仕様になって

    ウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について
    atasinti
    atasinti 2008/02/13
    メールのパスワードの入力が必要なんて、どう考えてもあやしいけど、こんなのにひっかかっちゃう人も結構いるんだろうなぁ。。。ただそうでなくても、メールサーバのパスワードとSNSなどのパスワードを同じにして