KDDI研、「しきい値暗号技術」を用いた携帯端末からの情報漏えい対策技術開発
KDDI研究所は2月26日、「しきい値暗号技術」を用いるモバイル端末やネットワークサーバからの情報漏えい対策技術を開発したと発表した。 この技術は共有データの暗号化に利用した暗号鍵を、“しきい値暗号技術”を用いてグループメンバー間で共有することで安全なデータ共有を実現するもの。分散鍵が所定数集まらない限り、暗号文が復号されない仕組み。この分散された鍵をメンバーが所有するモバイル端末やサーバへ適切に配布し、モバイル端末のみ/ストレージサーバのみによるデータの参照を防ぐことで情報漏えいの防止を実現する。データサイズの小さい暗号鍵情報の送受信のみで端末内のデータの参照、保護が可能となるため、モバイル環境下でもストレスなく利用できるメリットもあるとしている。 携帯電話やノートPCなどのモバイル端末とネットワーク側のストレージサーバが連携することで、 モバイル端末の紛失や盗難による、モバイル端末から
仕様から学ぶOpenIDのキホン - @IT
にわかに注目を集めている、URLをIDとして利用する認証プロトコル、OpenID。本連載ではこのプロトコルの仕組みを技術的に解説するとともに、OpenIDが今後どのように活用されていくのかを紹介する(編集部) OpenIDってなんだろう? 現在、国内外でにわかに注目されつつあるOpenIDという仕組みを聞いたことがあるでしょうか? これはユーザー中心の分散ID認証システムですが、まだ日本での普及は進んでいない状況です。 これにはいくつか原因が挙げられるでしょうが、筆者はOpenIDが正しく理解されていないことが原因だと考えます。 本連載ではOpenIDの現行仕様、およびその拡張仕様とともに、実装を例に取りつつOpenIDとは何かということを明らかにしていきます。最終的にはOpenIDが切り開く未来を見るため、現在策定中の次期仕様についても触れていきたいと思います。 広がりつつあるブラウザベ
あなたの会社は仕事中にはてぶを使えますか?──IT鎖国する大企業 | WIRED VISION
第18回 あなたの会社は仕事中にはてブを使えますか?──IT鎖国する大企業 2008年2月19日 経済・ビジネスITワークスタイル コメント: トラックバック (4) (これまでの藤元健太郎の「フロントライン・ビズ」はこちら) ■縮こまる大企業 大企業の8割が2ちゃんねるにアクセス制限をしているという調査結果が発表された(→IT media)。mixiも5割以上が制限をしているらしい。確かにこれまでも仕事中に遊ばないようにという理由でネットサーフィンすることを禁止する企業などは多かったが、最近では情報漏洩やコンプライアンスなどの理由で大企業は次々と情報統制に対して強く社内を管理するようになりつつある。 はてブやスラッシュドットなど業務上有用と思われるサイトでさえ2-3割の企業は禁止していると調査結果に出ている。企業が利用するパソコンも勝手にソフトをインストールすることは禁止なところが多く、
セキュリティ研究者ら、「Second Life」でリンデンドルを盗む方法を披露
ワシントン発--Independent Security Evaluatorsの研究者であるCharlie Miller氏と、同じく研究者であるDino Dai Zovi氏の両氏は米国時間2月16日午前、東海岸で開催のコンピュータハッキングカンファレンスShmooConのプレゼンテーションの中で、「Second Life」に目を向けた。両氏が利用したのは、Linden Labsの開発したSecond Lifeの脆弱性ではなく、「QuickTime」に存在する脆弱性だった。両氏は、攻撃者がSecond Lifeユーザーからリンデンドルを盗み取る方法を披露した。 Miller氏とZovi氏はApple製品の脆弱性について熟知している。Miller氏は「iPhone」の発売後間もなく、同製品最初の脆弱性について発表した。Zovi氏は、2007年の「CanSecWest」セキュリティカンファレンス
高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる
■ 「nwitter」の違法性について考えてみる ウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について, GIGAZINE, 2008年2月13日 この「Tagged」はよくあるふつうのSNSなのですが、参加する際になぜかウェブメールのログイン情報(メールアドレスとIDとパスワード)を入力させられるという仕様になっており、その際の情報を使って「Tagged」運営側が勝手にウェブメールにログイン、アドレス帳に記載されている友人全員に「Tagged」への招待メールを送りつけるというとんでもないことをしているようです。 の件が再び話題になっていた。これは、 ウイルス的SNS、Webメールのアドレス帳からスパム送信, ITmediaニュース, 2007年04月10日 GoogleのGmail、MicrosoftのHotmail、Yahoo! MailなどのWebメ
あなたが漢字変換候補を覗き込むとき,Google もまた選択された候補を覗いている - NyaRuRuが地球にいたころ
古川さんの書かれていたコメントを読んでいて,もう一点思い出したので書いてみます. 楠さんの指摘は当たっているけれど、ハズレでもあるのは..私はIEにおいてもユーザー辞書を参照できるようにいじっているはずで...銀行の口座番号や航空会社のマイレージ番号をユーザー辞書登録していたのが、IE下では使えないので、FirFoxを使ってアクセスしていた...それも、IEで辞書登録をすると[Windowsが認めた正規アプリではないので、ユーザー登録ができません」というお馬鹿のエラーが出るのに辟易して、パッチを当ててユーザー辞書が使えるようにしているのでありました。というわけで、IE環境とWindows のアプリで変換効率の結果が異なることは、ユーザー辞書の禁止と菅家ないと思われます。 確かに,ユーザ辞書を使えなくするという保護形態は,セキュリティ対策として受け入れるべきかよく分からないところがあります*
「不正アクセス」の定義をご存知ですか?:ITpro
問題を一つ。退社した元社員のユーザー名,パスワードを使って認証を回避した場合,「不正アクセス禁止法」(厳密には,不正アクセス行為の禁止等に関する法律)に照らして犯罪になるか?そしてその根拠は? この問題に,どのくらいの方が即答できるだろうか。不正アクセスという言葉はよく使われるが,不正アクセス禁止法で何を禁止しているのかは必ずしも正しく認識されていない。原因は「アクセス」の定義が明確になっていないことである。そこで今回は,法律からみる不正アクセスについて考えてみよう。 不正アクセス禁止法のように,刑法とは別に存在する刑法系の法律を特別刑法という(刑法と特別刑法を合わせて広義に刑法と呼ぶこともある)。刑法系の法律では,違法とする行為を明確にすることが特に要求される。これが曖昧な法律や条文は憲法違反(憲法31条)となり,起訴されても無罪判決が下されることになる。もっとも現実には言葉は数式のよう
CGISecurity - Website and Application Security News
Just realized that 20 years have passed since I started this site to learn more about web security threats. What 'appsec' looked like in 2000 OWASP didn't exist yet, nor did WASC Vulnerability disclosure was the wild west. Rain forest puppy (RFP) (that guy who discovered sqli) had just created the first... I've been fortunate enough to manage a red team program for several years and since it's inc
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし
http://www.rubyist.net/~matz/20080126.html#p04 趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロのプログラマが小難しい顔してセキュリティセキュリティ言うもんだから初心者プログラマのセキュリティ意識がまったく向上しないばかりか、よけいに低下するんだよ。ごちゃごちゃ言われたり叩かれるのはイヤだけど、眼前の問題はプログラムで解決したいってヤツは耳塞いで黙ってPHPでやりたいようにやるんだよ。何が「楽しいRuby」だよ。「Webアプリケーションをなめるな」ってその時点でもう全然楽しくねーだろが。 それでこれだよ。 http://d.hatena.ne.jp/essa/20080130/p1 もう萎縮萎縮!初心者超萎縮ですよ。「あーセンコーうぜー。隠れてタバコ吸おう」って高校生の心境だよ。難しい顔して訳知り顔でかっこつけ
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
利用率7割のWEPは「1分」で破られる:ITpro
職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最
Winny開発者の金子勇氏「開発続けていれば流出ファイルは止められた」
日本弁護士連合会コンピュータ委員会は22日、「P2Pネットワークと法的問題~Winnyをめぐって~」と題したシンポジウムを開催した。シンポジウムには、Winnyを開発した金子勇氏や、産業技術総合研究所の高木浩光氏などが登壇し、P2Pネットワークの現状や将来性、法的問題などについての報告が行なわれた。 ● 「Winny2のアイディアはSkeedcastなどに応用していきたい」金子勇氏 基調報告では、北海道大学の町村泰貴教授が、2007年のネット関連の判例を紹介。刑事事件では、インターネットの掲示板などを通じて仲間を募った犯罪や、出会い系サイトに絡む犯罪などが注目を集めたと指摘。また、民事事件では知的財産侵害関連において、携帯電話向けの音楽データストレージサービス「MYUTA」が送信可能化権の侵害にあたると判断された事例や、マンション向けの録画サーバー「選録見録」の販売差し止めを認めた控訴審判
京都府警、Winnyなどを経由して感染する「原田ウイルス」の作成者を逮捕
毎日新聞社の報道によると、ファイル交換ソフト「Winny」の作者を逮捕したことで知られる京都府警ハイテク犯罪対策室などが、Winnyなどを経由して感染する「原田ウイルス」の作成者を逮捕したそうです。 なお、コンピューターウイルス作成者が逮捕されるのは日本では初めてとのこと。 詳細は以下から。 コンピューターウイルス:作成者ら3人逮捕 京都府警 - 毎日jp(毎日新聞) この記事によると、京都府警ハイテク犯罪対策室と五条署は本日、ファイル交換ソフト「Winny」で人気アニメ映像の入ったコンピューターウイルス「原田ウイルス」の1種を不特定多数に配布したとして、ウイルスを作成した大阪府泉佐野市の20代の大学院生ら3人を著作権法違反容疑で逮捕したそうです。 大学院生は昨年10~11月ごろ、感染したパソコンの画面に発売前の人気アニメが現れるウイルスを作成し、不特定多数にばらまいて著作権を侵害した疑い
「ファーミング」攻撃の脅威が現実に――メール閲覧だけでルータ設定を変更
悪質なWebページや電子メールを参照しただけでルータの設定が変更され、偽サイトに誘導されてしまう「ドライブバイ・ファーミング」攻撃が実際に発生したと、セキュリティ企業のSymantecが1月22日のブログで伝えた。 ドライブバイ・ファーミングはSymantecが1年近く前に理論上の攻撃手段として紹介していた。Webページや電子メールに組み込まれた悪質なHTMLやJavaScriptを参照しただけで、被害者のブロードバンドルータのDNS設定が変更され、以後すべてのDNSリクエストが攻撃者のDNSサーバを経由する状態になる。つまり、被害者のインターネット接続は実質的に、攻撃者にコントロールされることになる。 Symantecによると、この攻撃が仕掛けられている実例が、このほど見つかったという。 このケースでは、eカードのお知らせを装ってWebサイトの閲覧を促すメールが使われていた。メールそのも
高木浩光@自宅の日記 - しょこたん☆をも嚇かすAVソフトの警告
■ しょこたん☆をも嚇かすAVソフトの警告 えごらっぴん, しょこたん☆ぶろぐ, 2008年1月12日 駆除できんぞおお だれかあああああ これほっとくと大変?感染しました アンチウイルスソフトが警告を出したようだ。写真からは次のメッセージが読み取れる。 トロイの木馬が検出されました ファイル C:\Document and Settings\shouko\Local Settings\Temporary Int... は、??????? トロイの木馬に感染していますが、ウイルスを駆除できません。 おそらく「Temporary Internet Files」のことだろうから、これは、Internet Explorerのcacheフォルダ(または Outlook Expressの添付ファイル等の展開場所)だろう。 これ自体は放置しておいても問題ない。トロイの木馬をダウンロード(あるいはメール
日本国内で初めてiPod nanoが爆発か、アップルに電話して聞いてみた
まだ原因は不明ですが、日本国内では初めてiPod nanoが爆発したっぽいです。実際の写真もアップロードされており、かなりひどい様子であることがわかります。 詳細は以下から。ついでにアップルにも電話してみました。 iPod nano Part80 これがその本体 爆発したiPod nanoの持ち主である「304 ◆M6/5gb6Svw」さんによると、 いきなりボンッって爆発して白い煙がものすごくでて火花ちって 怖くて逃げて煙がおさまってから近づいたらなんか中からピシピシ鳴ってた とのことで、かなり壮絶な爆発だったようです。 なお、海外では過去に2例ほどiPod nanoが爆発した事例が確認されています。 iPod nanoが爆発炎上、使用不能に - GIGAZINE ポケットの中に入れていたiPodが炎上 - GIGAZINE で、早速アップルの広報に電話して聞いてみました。 ・今回の件に
マスターブートレコードに感染するrootkit攻撃が発生
PCを起動すると最初に読み込まれるHDDのマスターブートレコードを狙ったrootkit攻撃が発生している。 PCのHDDのマスターブートレコード(MBR)に潜むrootkitが出回っているのが見つかった。セキュリティ各社が伝えている。 SANS Internet Storm CenterやSymantecによると、このMBR rootkitはユーザーが特定のWebサイトを閲覧すると、Microsoft製品の脆弱性を突いてインストールされる。感染すると、コンピュータのMBRを上書きしてしまう。MBRはPCを起動すると最初に読み込まれる部分。 現時点で悪用されているのは2003年から2006年にかけてMicrosoftがパッチを公開済みの脆弱性で、rootkitはWindows XPのみで機能するようだという。 MBR rootkitはセキュリティ企業のeEyeが2005年にコンセプト実証(P
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.chunichi.co.jp/chuspo/article/entertainment/news/CK2008011702080029.html
ウイルスバスター2008、Vista SP1にインストールできない問題などを修正
QuickTimeにまた危険度の高い脆弱性、実証コードも公開済み