Pick up the 9th-gen iPad with two years of AppleCare+ for only $298
本日、HASHコンサルティング株式会社セキュリティ・オペレーション・センター(HASH-C SOC)では、奇妙な攻撃リクエストを観測しました。それは、以下のようなURLによるものです。 http://example.jp/?s=/abc/abc/abc/$%7B@print(md5(base64_decode(MzYwd2Vic2Nhbg)))%7D/ s=以下をパーセントデコードすると下記となります。 /abc/abc/abc/${@print(md5(base64_decode(MzYwd2Vic2Nhbg)))}/ { } で囲まれた部分はPHPのスクリプトのように見えますが、2箇所文法違反があります。 MzYwd2Vic2Nhbg がクォートされていない } の前にセミコロンがない このうち、MzYwd2Vic2Nhbgのクォートに関しては @ 演算子によりエラー抑止され、'MzY
矛盾しているもの同士を勝負させる、フジテレビ系列のバラエティー番組「ほこ×たて」で6月9日、「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティプログラム」という勝負が放送される。 世界に1つしかない写真を3分割し、1枚ずつPCに、絶対に見つからないように保存。その写真を15時間以内にハッカーが見つけることができるかを競うという。 9日は5本立ての2時間スペシャルで、午後7時から放送。ハッカー VS セキュリティプログラムのほか、「絶対に引き裂かれないGパン VS 絶対に何でも引き裂くばんえい馬」「ショベルカー VS ホイールローダー 棒倒し対決!」などが見られる。ゲストはヒャダインさん、押切もえさん。 関連記事 Google独自のハッキングコンペ、「Chrome OS」を対象に3月開催 挑戦者は最新版のChrome OSを搭載したChromebookのセキュリテ
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
東京都足立区は、従来個別に構築、運用してきたシステムを統合し、新たなプライベート・クラウド型情報システム基盤「足立区プライベート・クラウド」を構築した。このシステムのセキュリティ確保には、エントラストジャパンの製品を用いた公開鍵認証基盤(PKI)を活用している。自治体が職員、教職員向けの認証や暗号化に全面的にPKIを採用した例は、これが初だという。 2013年4月26日に行われた説明会では、足立区CIO補佐の浦山清治氏がPKI採用の経緯について説明。「電子証明書を用いて全ての職員や教職員、全ての端末、サーバ、無線LANアクセスポイントをつなぎ、同時に電子証明書を用いた認証でバリアを張る形でシステムを保護していく」と述べた。 足立区プライベート・クラウドは、3つのシステムから構成されている。財務会計や人事給与、文書管理などの業務システムを提供する「内部業務基盤」、区内108校の小中学校向けに
トレンドマイクロが200万本のAndroid向けアプリを解析したところ、10%以上にあたる約29万本がマルウェアだったことがわかりました。中には中国やロシアの怪しいアプリストアからダウンロードしてきたものも含まれていましたが、約7万本はGoogle Playからダウンロードしたものだったとのこと。 Android Malware, believe the hype. | CounterMeasures - A Security Blog http://countermeasures.trendmicro.eu/android-malware-believe-the-hype/ モバイル端末向けのウイルス・マルウェアは、SymbianOS向けのCabirが2004年に出現して以来、毎年のように現れているものの、これまでは有害な活動をする前に除去されたり、危険なレベルにまで到達することはありま
詳報:libupnpに深刻な脆弱性、パッチ適用やUPnP無効化呼び掛け:数千万台ものネットワーク機器に影響の恐れ ルータやプリンタ、NASなどのネットワーク機器に採用されているUniversal Plug and Play(UPnP)プロトコルを実装したライブラリに、複数の深刻な脆弱性が見つかった。 各国の主要メーカーがルータやプリンタ、NASなどのネットワーク機器に採用しているUniversal Plug and Play(UPnP)プロトコルを実装したライブラリに、複数の深刻な脆弱性が見つかった。膨大な数の製品に影響を及ぼす恐れがあり、US-CERTなどはメーカーや企業に対し、アップデートの適用や、UPnPを無効にするなどの対策を呼びかけている。 US-CERTは1月29日、Portable SDK for UPnP Devices(libupnp)の脆弱性情報を公開した。それによると
センドメール株式会社 (Sendmail, K.K.) 末政 延浩 2010年1月 1. SPFの背景 2. SPFの標準化 3. SPFの仕組み SPF送信側の設定 4. SPFレコードの記述法 5. SPF受信側の処理 6. SPF認証結果 7. SPFにおける課題 転送問題 第三者サーバ利用問題 8. Sender ID とSPF spf2.0とspf1 9. SPFの実装 10. SPFレコードの記述例 11. SPFレコードの間違い 有用な参照先 電子メールの送信者偽称を防ぐ送信ドメイン認証技術には、ここで説明する「Sender Policy Framework(SPF)」のほかに、「DomainKeys Identified Mail(DKIM)」、「Sender ID」など様々な方式が標準化されている。その中でもSPFは、他の方式に比べて既存システムに影響を与えず早期に導入で
脆弱性を悪用すると、テレビを遠隔操作してチャンネルを変えたり、マルウェアに感染させて乗っ取ることができてしまうという。 韓国Samsungのスマートテレビを遠隔操作して、チャンネルを変えたりマルウェアに感染させたりすることができてしまう未解決の脆弱性が見つかったとして、脆弱性情報の売買を手掛けるReVulnが実証映像を公開した。 セキュリティ企業の英SophosやKaspersky Labのニュースサイトthreatpostが12月12日に伝えたところによると、ReVulnが公開した動画では、SamsungのLED 3D TVに存在する脆弱性を突いて、テレビの設定とチャンネルリスト、アカウントや設定などに関する情報、USB映画の履歴、ID、ファームウェアなどの情報にアクセスする場面を紹介している。 さらに、テレビに接続されたUSBドライブにアクセスして、保存されている情報を入手したり改ざん
Skypeのアカウント登録に使われている電子メールさえ分かれば、そのアカウントを乗っ取ることができてしまう問題があったという。 米Microsoft傘下のSkypeは11月14日、Webサイトで提供していたパスワードリセット機能にセキュリティ問題が見つかり、対処したことを明らかにした。 インターネットには、この問題を突いて他人のアカウントを乗っ取る方法について解説したブログも出現。Skypeのアカウント登録に使われている電子メールさえ分かれば、そのアカウントを乗っ取ることができてしまうと説明していた。 ロシアのKaspersky Labによれば、この情報はロシアの複数のブログで2カ月ほど前から出回っており、実際に悪用されているという。 Skypeは14日、問題が指摘されたパスワードリセット機能の提供を一時的に中止した後、パスワードリセットの手順を更新して、問題を解決したと報告した。 この問
■ My docomoはパスワードのコピペを禁止するな 今回SoftBankからdocomoにMNPしたので請求書の確認なんかをするのにWebサイトに登録しないといけないなと思って、My docomoにユーザ登録をした。携帯との紐付けにワンタイムパスワードをSMSで送ってきたりして、ほぼPCだけで完結する手順はまぁまぁわかりやすかったのだけど、パスワードを決めるところで途方に暮れてしまった。 8~20文字の英数記号と書いてあるので、いつものようにKeePass Password Safeで最大文字数・文字種のパスワードを生成し、さぁ入力、という段になってこれである: もうね、これでセキュリティが高まると思ってるんだとしたら大間違いだってことにそろそろ気づけよ。こんなこと言われたら、短くて入力しやすい文字種のパスワードしか作らないに決まってるだろ。この仕様を決めたのが発注者か開発者か知らんけ
Android搭載スマートフォン向けのアプリで個人情報が流出した、という話が後を絶たない。この話題が最初に一般でも大きく取り上げられたのは、4月に起きたいわゆる「the Movie」事件だろう。その後も個人情報流出事件は相次いでいる。 なぜそうしたアプリがなくならないのか? なぜ被害者が消えないのか? その理由はAndroidの特徴と、急速に普及しすぎたことの弊害だと考えられる。 ●Androidは「誰も守ってくれない」 iPhoneは、App Storeからしかアプリが入手できない。App Storeにアプリを登録するためには、専用の開発環境を購入しなければならず、アップルの審査を通過しなくてはならないという壁がある。ところが、Androidアプリの開発環境は無料で用意でき、登録にも基本的に審査はない。公開後に問題があれば削除されるという程度だ。 つまり、Androidの公式マーケットで
ロシアからサイバー攻撃を受けたと訴えているグルジア政府が、ハッカーのコンピュータを逆に乗っ取って撮影したとする写真を公表した。 ロシアからサイバー攻撃を受けたと訴えているグルジア政府が、この攻撃への関与が疑われる男のコンピュータにマルウェアを仕込み、Webカメラで写真を撮影することに成功したとして、男の顔写真を公表した。セキュリティ企業の英Sophosがグルジア政府緊急対策チーム(CERT)の報告書を引用して10月31日のブログで伝えた。 それによると、2011年初めにグルジアのニュースサイトがハッキングされ、重要情報を盗み出すマルウェアがグルジア国内でまき散らされた。このマルウェアは感染したPCのWebカメラを使って会話を盗み聞きする機能も持っていたとされ、政府機関や銀行、重要インフラなどのコンピュータが被害に遭ったという。 これに対する反撃として、グルジアCERTは意図的に自分たちのP
IPAでは「一歩進んだ自己防衛策」としてパーソナルファイアウォールの活用や操作内容の記録をアドバイスしている。 情報処理推進機構(IPA)は11月1日、月例のセキュリティ注意喚起情報を公開して、「遠隔操作ウイルス」事件などからユーザーが身を守るための方法を紹介した。ウイルス対策ソフトの利用など基本的な対策のほかに、パーソナルファイアウォールの活用や証拠の保全も推奨している。 「遠隔操作ウイルス」事件では「文字置換が簡単にできる」と称するプログラムをインストールしたユーザーのPCがマルウェアに感染。マルウェアは攻撃者が指示した掲示板サイトの投稿テキストと密かに読み取り、「クロスサイトリクエストフォージェリ」と呼ばれるWebサイトの脆弱性悪用攻撃を、感染PCのユーザーになりすまして実行、Webサイトに犯罪予告を書き込んだとされる。 IPAは、こうしたマルウェアに感染しないための「心掛け」に、(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く