近年、脆弱性(情報セキュリティ上の欠陥)を利用した、童話への悪意のあるサイバー攻撃が増加しています。今回はそれらの被害事例の紹介により注意喚起を行います。
近年、脆弱性(情報セキュリティ上の欠陥)を利用した、童話への悪意のあるサイバー攻撃が増加しています。今回はそれらの被害事例の紹介により注意喚起を行います。
Symantec(シマンテック)傘下の認証局(CA)が発行する証明書に信頼性の低いものが含まれているとして、GoogleはブラウザChromeでシマンテックの認証局が発行する証明書を段階的に失効させる計画を明らかにしています。そのシマンテックがCA事業を売却することになったのに伴って、Googleがあらためてシマンテック証明書の取り扱いをSecurity Blogでまとめています。 Google Online Security Blog: Chrome’s Plan to Distrust Symantec Certificates https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html GoogleやMozillaなどのブラウザ開発企業は、「シマンテックのPKI事業では業界標準であるCA
たまにssh鍵を家に忘れることがある。こういうものはsshしたいときに限って忘れる やべ、ssh鍵を家に忘れた、、、— 離苦 (@hiroqn) 2017年8月20日 仕組み 自分はYubikeyを使っている。 6月ごろにtype-cのやつを買った。(右のやつは1年以上持ち歩いているが結構丈夫) YubikeyはYubico社が出している電子鍵が安全に保管できるデバイスで、複数機能があるので一概にこれと説明はできない ここらへんに機能一覧はのっている メジャーな機能は下の4つ YubiOTP FIDO U2F PGP Card PIV card ざっくりした説明をすると Yubi OTP One Time Passwordの一種 OTPは現在時刻を利用したのものやカウンターを利用した物があるが、ハードウェアデバイスならではのカウンター+暗号化が入っているのでセキュアな雰囲気がある otam
(7/21) コメント欄の指摘を受け英訳追記 前文 本記事はGoogleのセキュリティ担当者 Parisa Tabriz氏(異名: Security Princess)のSo, you want to work in security?を翻訳したものです。 go for it!— Parisa Tabriz (@laparisa) 2016年12月25日 うっ…半年以上前… 意訳したりわからない部分もあったので、原稿の全てを反映できているか自信はありません。元ブログも是非ご一読ください。 —————————————- ここから翻訳 ————————————————- セキュリティ分野(コンピュータ、情報、サイバー…etc)でキャリアを積みたい人からメールをもらうことがある。素晴らしいことだと思う。テクノロジーを安全にしていくパション、創造性を持ち、ハードワークをこなせる仲間はいつだって必要
エクセル通知表はなんとか進んでます 多大な時間的犠牲を払ってカスタマイズしたエクセル通知表は、苦労の甲斐あってなんとか進んでおります。他の先生方も徐々に慣れてきた様子です。今回は通知表を自分もやらなくてはいけないのに逃避しつつこの記事を書いています。 justsize.hatenablog.com あまり更新しないと逃亡したと思われるので(どこから)、今回はエクセル通知表を進めるにあたって困ったことを。 マクロが消えた…? とある先生が、通知表のファイルを自宅にメールで送り、作業をして送り返してきたようなんです。 私自身はこの時点でもうアウトなんですけど(平文でやりとりするメールにそんなファイルを添付するなと言いたい)、セキュリティポリシーとしてエクセル通知表の扱いについて何も定まってないし何の指示も無いので、見て見ぬ振りをしております…が。 教室で作業していても呼び出される私 教室で丸付
ランサムウエア「WannaCry」にJavaのWebアプリケーションフレームワーク「Struts2」と、2017年前半は脆弱性にまつわる大規模なサイバー攻撃が発生し、日本でも被害が続出した。WannaCryの攻撃では電子メールや受発注のシステムが止まり、Struts2への攻撃ではクレジットカード情報が流出し、つい昨日も公表ベースで13件目の被害が判明した。攻撃者の悪意は高まる一方だ。 一方、世界に目をやれば米ロ、仏ロでは大統領選にロシアがサイバー攻撃で介入したとして政治問題に発展している。米国防総省がサイバー空間を陸・海・空・宇宙に続く「第5の戦場」と定義して久しく、米中央情報局(CIA)元職員のエドワード・スノーデン氏は米国家安全保障局(NSA)が開発したメールやソーシャルメディアなどの監視システムを日本に提供していたと暴露した。 国家を背景にしたサイバー脅威は高まるばかり。サイバー防衛
RC2 は1987年にロナルド・リベストが設計したブロック暗号。"RC" は "Ron's Code" または "Rivest Cipher" の略。リベストの設計した他の暗号として RC4、RC5、RC6 がある。 概要[編集] RC2のMIX変換 RC2 の開発資金は、Lotus Notesソフトウェアの一部として輸出可能な独自の暗号を探していたロータス社が資金提供した(輸出以前にNSAの評価が必要だった)。NSA はいくつかの修正を示唆し、リベストはそれを取り入れた。さらなる交渉の末、この暗号は1989年に輸出が許可された。RC4と同様 40ビットのキーを持つ RC2 はアメリカ合衆国の暗号輸出規制の中では重宝された。 当初、アルゴリズムの詳細は秘密とされたが(RSAセキュリティが権利を保有)、1996年1月29日、RC2 のソースコードが匿名でネットニュースの sci.crypt
セキュリティ情報ブログ「piyolog」のpiyokango氏などが「サイバーセキュリティに関する総務大臣奨励賞」初の受賞者に。 総務省は5月29日、サイバーセキュリティ分野で顕著な功績があった個人や団体を表彰する「サイバーセキュリティに関する総務大臣奨励賞」の初の受賞者として、セキュリティ情報ブログ「piyolog」を運営する「piyokango氏」など個人2人と団体1人を選んだと発表した。6月1日に都内で表彰式を行う。 同賞は、地方自治体や民間企業などの現場でサイバーセキュリティ向上の観点から顕著な功績があり、今後も活躍が期待される個人や団体に授与する賞で、今年スタートした。公募や推薦で候補者を募り、選考委員会で受賞者を選んだ。 初の受賞者となったのは、セキュリティリサーチャーのpiyokango氏と、日立製作所Hitachi Incident Response Teamチーフコーディ
国内でも大きな話題となっているランサムウェア「WannaCry」ですが、5月12日の世界的な大規模拡散以降、その侵入と拡散について大きな疑問符が付いたままとなっていました。トレンドマイクロでは侵入と拡散の手法について探るため、WannaCry のワーム活動について徹底解析を行いました。WannaCry はワーム活動としては Windows の「MS17-010」の脆弱性の利用を確認していますが、この解析では同時にバックドアツール「DoublePulsar」を利用する詳細な活動内容が確認できました。 トレンドマイクロの解析の結果、以下のワーム活動のフローが明らかになりました。 攻撃対象のスキャン: 1.1 ローカルネットワーク内の端末を列挙しスキャンする 1.2 グローバル、ローカル含め、無作為なIPアドレスに対してもスキャンする スキャン対象の端末に SMB の 445番ポートで接続し、「
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
5月12日以降、世界で流行したランサムウェア「WannaCry」(WannaCrypt、WannaCryptor)について、国内でも1万6000件以上の攻撃を確認・ブロックしたと、トレンドマイクロが16日に発表した。拡散手法については「メールベースでの大規模な攻撃が行われている兆候は確認していない」と、“ばらまき型”の可能性を疑問視し、脆弱性のあるPCがネット経由で直接狙われた可能性を示唆している。 WannaCryは、WindowsのMicrosoft Server Message Block 1.0(SMBv1)サーバの脆弱性を悪用したランサムウエア。端末のファイルを暗号化して読めない状態にし、復号のために金銭を要求する。 トレンドマイクロは、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を通じ、同社が確認、ブロックしたWanna
こちらは改訂前の旧版のページです。改題第2版の商品ページをご覧ください Webセキュリティ解説の決定版 "Bulletproof SSL and TLS" の全訳(原書2017年版へのアップグレード済み) Ivan Ristić 著、齋藤孝道 監訳 520ページ B5判 ISBN:978-4-908686-00-9 電子書籍の形式:PDF 2020年7月4日 第1版第5刷 発行(原書2017年版アップグレード対応済み) 本サイトにてユーザ登録のうえ購入いただくと、原著改訂第2版に収録されるTLS 1.3の解説章を付録として含んだ特別版PDFがお読みいただけます 現代生活を支えるネットワークにとって、通信の暗号化は不可欠の機能です。しかし、実際のインターネットで暗号化通信を利用できるようにするには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルとその実装技術、さらに、基盤となる信
「VR(仮想現実)を悪用すれば、相手の視覚をジャックできる」――PlayStation VR用ゲーム「サマーレッスン」を開発した、バンダイナムコエンターテインメントの原田勝弘チーフプロデューサーが3月4日、政府のサイバーセキュリティ啓発イベント「サイバー攻撃を目撃せよ!2017」(ベルサール秋葉原)で、VR技術に潜むリスクについて話した。VRを悪用すると、端末を装着したユーザーを嘔吐(おうと)させたり、洗脳したりできる可能性があるという。 「VRは近い将来、ゲームやエンタメに限らず、何らかの形で生活の中に存在するものになる」と原田さんは話す。例えば、Web会議システムにVR端末を導入して臨場感を高めたり、トラウマをVR世界であえて追体験し、徐々に慣れて克服したり――など、さまざまな用途が見込まれるという。 一方「VRゲームを研究する間に、さまざまな悪用の恐れを発見した」とも。「PCやスマホ
フィッシング対策の業界団体であるフィッシング対策協議会は2017年1月、TLS/SSLを使っているWebサイトにアクセスすると、正規のサイトであっても「信頼できないサイトです」といった警告が表示される場合があるとして注意を呼びかけた。「SHA-1」と呼ばれる暗号技術を使っているサーバー証明書が「安全ではないサイトの証明書」と見なされるようになったためだ。 安全でないサイトと見なされると、Webブラウザーによっては警告の表示どころか、アクセスの続行すらできない。国内にもそんなWebサイトが数%残っているのだ。 「SHA-1」は安全ではない SHA-1とは、任意のデータを固定長のデータに変換する暗号学的ハッシュ関数の一種。サーバー証明書の署名(デジタル署名)を作成する際などに使われている。米国家安全保障局(NSA)が設計し、米国立標準技術研究所(NIST)によって1995年に「FIPS PUB
トレンドマイクロが発表した「ウイルスバスター for Home Network」は、ルーターに挿し、管理用のスマホにアプリを入れるだけで“家族を守る”という、ちょっと変わった、そして現実的な解だ。ホームネットワーク内の機器を毎日スキャンし、簡易なパスワードがあれば管理者に連絡する。さらに、パケットのアプリケーション層までチェックするDPI(ディープ・パケット・インスペクション)機能に、ホームネットワークのWebレピュテーション機能。企業の話ではなく、これを「自宅」で実現するデバイスが登場したのだ。 今回、新たな守り方を1つのデバイスで実現したトレンドマイクロの開発者と、はてなのネットワークを管理して守ってきたエンジニアがざっくばらんにその思いを語った。「ウイルスバスター for Home Network」はあえて技術面の詳細を隠し、シンプルさを売りとして掲げる製品だが、エンジニアとしての視
スマートフォンなどの個人認証で利用が広がる指紋がインターネット上で狙われている。投稿された手の画像(写真)から指紋の模様を読み取り、個人情報として悪用することが可能だからだ。国立情報学研究所(東京)はこうした指紋の盗撮を防ぐ新技術を開発しており、犯罪防止に向け2年後の実用化を目指している。 指紋認証は人によって模様が違うことを利用した個人認証システム。IDやパスワードを使用せず、指一本で本人と確認できる利点があり、スマホやパソコン、マンションのドアロック解除、金融サービスなどに利用が拡大している。 その一方、スマホの普及でネット上に大量の画像が投稿されるようになったことでリスクも増大している。過去にはドイツで記者会見の画像などを基に「国防相の指紋を盗み取った」とある人物がネット上で発表し、衝撃を与えた事例がある。第三者に指紋のデータを読み取られた場合、プライバシーの侵害や金銭的な被害を受け
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く