2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
Githubが同社サービスに対してDoS攻撃が行われていることを発表しました。一連のDoS攻撃はGreatfire.orgに対して行われているものと考えられ、ここではGreatFire.orgに関係するDoS攻撃の情報をまとめます。 公式発表 GreatFire.org 2015年3月19日 We are under attack 2015年3月25日 (PDF) Using Baidu 百度 to steer millions of computers to launch denial of service attacks Github 公式Blog 2015年3月28日 Large Scale DDoS Attack on github.com · GitHub Github 公式Twitter The attack has ramped up again, and we're evo
SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか:セキュリティクラスター まとめのまとめ 2015年2月版(1/3 ページ) PCにプリインストールされたソフトが通信に割り込み、その内容を全て見ていたかもしれない――2015年2月、レノボの「SuperFish」問題は大きな爪痕を残しました。 連載目次 2月と言えば情報セキュリティ月間改め「サイバーセキュリティ月間」です。脆弱性による大きなインシデントは発生せず、ほっとしていたのもつかの間、レノボのPCにSSL通信を書き換えるアドウエアが、レノボ自身の手によって仕込まれていることが明らかとなり、大きな騒ぎとなりました。 さらに、セキュリティクラスターの風物詩的なものとして長く見守られていたいわゆる「バリデーション論争」がついに終わりを迎えることとなります。 レノボのPCに「SuperFish」の凶悪なアドウエアが仕込まれ
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
パスワードを平文で送ってくるっぽいサイトまとめ パスワードを平文で送ってくるっぽいサイトをまとめています。サイトと関連ツイートを参照できます。
2014年11月19日、20都道府県警の合同捜査本部が国内で違法にプロキシサーバーを運営する全国8業者へ一斉捜索をかけました。ここではその関連情報をまとめます。 タイムライン 大光・SUNテクノ関連 日時 出来事 2013年4月〜8月 AmebaへSUNテクノのサーバーから不正ログインが行われた可能性。 2014年1月 愛知県警が偽サイトのIPアドレスからSUNテクノを割り出し。*1 2014年2月頃 SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが開設。*2 2014年3月頃 SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが設置され当月だけで約1万3千件のアクセス。*3 2014年8月 大光とSUNテクノが捜索を受ける。 その後 大光と他1社がISPから不正行為に関わったとして契約を解除。 その後 大光、SUNテクノが他人のIDを使ってインターネッ
ちっともかわいくなかった、セキュリティ界の「POODLE」:セキュリティクラスター まとめのまとめ 2014年10月版(1/3 ページ) 2014年10月は、SSLv3の脆弱性、通称「POODLE」の対応に追われました。各種バグを見つけて報奨金を得るバグ・ハンターにも注目が集まります。 連載目次 2014年10月のセキュリティクラスターは、2014年9月末からの「ShellShock」を引きずっている人が多かったようですが、これを吹き飛ばすかのように、SSLv3の大きな脆弱性「POODLE」が発見され、この対処に追われた人が多く見られました。 そしてまたも、パスワードの定期変更の話題が沸き上がり、今度こそ一応の終結が見えそうな雰囲気でした。その他にも10月11日に開催された「PHPカンファレンス2014」において、セキュリティサイドの徳丸浩さんとPHPサイドの大垣靖男さんの直接バトルや、越
2014年11月5日にJPCERT/CC、JPRSがドメイン名ハイジャックに関する注意喚起を公開しました。また同日日本経済新聞社が同社サイトがこの攻撃を受けていたことを速報で報じました。*1 ここでは関連情報をまとめます。 注意喚起・対策 JPCERT/CC 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 JPRS (緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(2014年11月5日公開) JPRS (PDF) 補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について JPNIC IPアドレス・AS番号/ドメイン名に関する登録情報の不正書き換えに関する注意喚起 タイムライン 日付 出来事 9月第1週 Volexityが日経で不正なサイトへの接続を確認。 10月9日 VolexityがBlog記事を公開。 10月15日
今回解説するWebアプリケーションのバリデーションの欠陥はPHPに限った問題ではありません。多くのプラットフォームのWebアプリケーションで見過ごされているバリデーション仕様の欠陥です。それは文字エンコーディングのチェックです。 文字エンコーディングバリデーションの必要性 筆者の知る限りでは、2004年に相次いで今まで知られていなかったアタックベクタ(攻撃経路)が見つかりました。2004年に多く見つかった新しいアタックベクタとは不正な文字エンコーディングを利用した攻撃です。不正な文字列を利用したJavaScriptインジェクションやSQLインジェクションの攻撃手法が公開されました。 文字エンコーディングを利用した攻撃自体は当時でも新しい攻撃手法ではありませんでした。文字エンコーディングを利用した攻撃は、少なくとも2000年から広く知られていた攻撃手法でした。ブラウザが文字エンコーディングを
どうも、じんないたくみです。 あなたが今手に持っているiPhoneには友人の個人情報や各種サービスのパスワード、クレジットカード情報など、重要な情報がたくさん保存されています。 そこで、かみあぷではiPhoneでできるセキュリティ対策を可能な限りまとめました。これさえチェックすればiPhoneのセキュリティはバッチリです! 早速見ていきましょう。 早速ひとつ目からチェックしていきましょう。 1.ロック画面でコントロールセンターを使えないようにする ロック画面でコントロールセンターにアクセスできてしまうと、第三者があなたのiPhoneを入手した際に「フライトモード」をオンにすることができてしまいます。 フライトモードをオンにされると「iPhoneを探す」が使えなくなってしまうので、アクセスできないように設定しておきましょう。 「設定」→「コントロールセンター」→「ロック画面でのアクセス」をオ
いつもの「50口径ライフルで撃つと壊れる」シリーズに、iPhone 5sが登場していました。深刻な脆弱性(?)が判明する模様をご覧ください。 検証に使われた獲物は50口径の対物ライフル(M82A1)。「龍が如く OF THE END」で主人公の桐生一馬が使っていたタイプですね。ということで、さっそく1発目をぶっ放したところ、当然のごとく貫通。品薄のゴールドモデルに綺麗な穴が空いてしまいます。そして、さらに放たれた追撃によって、完全に終了。四方八方に散る姿には、ちょっと切なくなってしまいました。 目標:iPhone 5s ファイアー ドーン 向こう側が見えるッ もうやめて、5sのライフはゼロよ ドカーン 合掌。 関連キーワード iPhone 5s | 脆弱性 advertisement 関連記事 いつもの:iPad miniに脆弱性 機関銃で撃つと壊れることが判明 知ってた。 因縁の対決:防
出来事の詳細 3/13 新着図書データベースを作るためクローリング&スクレイピングプログラムを作成した ちょうどその頃、市場調査を行うためにECサイトのスクレイピングプログラムを作っていた。そのついでに、前々から構想していたLibra新着図書Webサービスを作ろうと思った。市場調査プログラムの一部をカスタマイズして、新着図書データベース作成プログラムを作った。この時、市場調査プログラムと新着図書データベース作成プログラムは同じプログラム内にあり、パラメータでアクションを指定して振り分けていた。 Webサービスを作ろうと思った動機は「なぜプログラムを作ったか」の通り。 Webサービスの概要は「どんなプログラムを作ろうとしていたか」の通り。 普段読む本を入手する流れ:1. Amazonの各カテゴリの売れ筋をチェックしてレビューを確認し読むかどうか決める(または、書評ブログや新聞などのメディアで
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く