高木浩光@自宅の日記 - iTunesストアの不正アクセス被害で問題にすべきポイントは何か
■ iTunesストアの不正アクセス被害で問題にすべきポイントは何か iTunesストアで不正アクセス行為が横行しており、身に覚えのない高額な請求をされて困ったという話は、昨年の秋くらいからチラホラとブログ界隈に出ていた。たとえば以下の報告では、中国語の商品等が不正に購入された被害を示している。 iTunesのアカウント不正利用に関する一例, 2009年10月31日〜11月4日 お問い合わせいただいたアカウントロック解除のお願いについてご案内します。 アカウント名 xxxxxxxxxxx は、お客さまの事前承諾なしに商品が購入されたというお問い合わせをいただきました。不正使用で、アカウント名 xxxxxxxxxxx は、変更されていますので、○○様のアカウントを有効かする事はできません。 アカウントロック解除はできませんご了承下さい。 ○○様のもう一つのアカウント名 yyyyyyyyyy
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
愛媛県の電子入札システム、最低制限価格がソースに丸見え | スラド セキュリティ
ストーリー by hylom 2011年09月13日 18時45分 なぜソースに書く必要があったのだろう? 部門より 愛媛県は12日、県発注の土木工事などに導入している電子入札システムについて、入札前に最低制限価格が見えてしまう不具合があった、と発表した(asahi.comの記事、読売新聞の記事)。 このシステムは2007年4月に導入されたもので、開発元はNEC。今月9日の入札で、最低制限価格と同額の入札があったことから応札した業者に確認したところ、ソース上に最低制限価格が見えていることが判明したという。問題発覚を受け、県は今後一ヶ月に予定していた入札を中止した。 元記事だと若干わかりづらいが、どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。
PHP5.3.7のcrypt関数のバグはこうして生まれた
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
Apache killerは危険~Apache killerを評価する上での注意~
Apacheの脆弱性(CVE-2011-3192)いわゆるApache killerが話題になっていますが、その脅威については一部誤解があるようです。 以下は、非常に脅威とする報告の例です。 一方今回のはプロセスの肥大化を伴うので、実メモリ消費して更にスワップも使い尽くしてOS毎激重になったあげくLinuxとかの場合はOOM Killer発動と、他のプロセスや場合によってはOSを巻き込んで逝ってしまいます。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.xより引用 以下は、それほど脅威でなかったとする報告の例です。 pooh.gr.jp は結構頑丈だったので 60 並列でやっと CPU idle 30% まで減らせた。 Apache Killer (CVE-2011-3192) 対策 for CentOS 5
ノートン「ネットライフゲーム」で不安を煽る脅し方を公開 - BTOパソコン.jp
セキュリティソフトなどを販売するSymantecのプロモーション。 Nortonインターネットセキュリティの宣伝として人生ゲームのような物が公開されており、オンラインの脅威を体感出来るとの事。セキュリティ専門の企業が、文章では伝わり難い部分をPC初心者にも分り易く説明するのだろうと期待してやってみたらひどかった。 ゲームをやる暇は無い人用に一部始終を撮って参りました。 ゲームをやる暇が有る人はこちら。10月過ぎるとリンク切れそうな有る為、手数ながらURLコピペにて。 ネットライフゲーム|Norton by Symantec http://japan.norton.com/game/ facebookやtwitterでログインしなくとも遊べます。 オンラインの恐怖を煽る「ネットライフゲーム」 アクセスするとアニメーションの後にゲームスタートボタンが出現。 Flashがインストールされていなけ
隠されていたSQLインジェクション ― @IT
サブクエリによって引き起こされるSQLインジェクションの被害 星野君 「へぇ~……」 星野君は、「なるほど」と感心した。しかし、少し考えた後で「これを悪用できるのだろうか?」という疑問がわいた。 星野君 「けど、結局のところ、メールアドレスが判別できるっていうだけの被害じゃないですか?条件文を追加したら登録情報が全件見えちゃった、とかいうわけでもないですし……」 赤坂さん 「えー。SQLインジェクションの被害って、そんな単純なのじゃないよ。この状態で、データベースの中の情報抜けちゃうって」 星野君 「え?マジっすか??」 赤坂さん 「例えば最初に、テーブル名の1文字目を判別する条件式を付けて……」 前述のように、追加するSQL文が「' and '1' = '1」などのような単純なものの場合は特に問題にならない。しかし、この条件文にはサブクエリのような複雑なものを入れることが可能なのである(
業務委託先の元社員の逮捕について | ソフトバンク
業務委託先の元社員の逮捕について 2011年7月8日 ソフトバンクモバイル株式会社 2011年5月25日に発生した関西地域(大阪府、兵庫県、京都府、滋賀県、奈良県)における通信障害について、本日、当社の業務委託先の元社員が、監視および制御を行うサーバーを経由して基地局とネットワークセンターを結ぶためのATM伝送装置の回線設定データを改ざんし、約7万2700人の利用者に通信障害を発生させた容疑で逮捕されました。 本件については、外部からの不正アクセスの痕跡もなく、人為的事故の可能性があると思われたことから、障害発生の翌日5月26日に大阪府警に相談し、6月6日に被害届を提出しています。捜査協力の観点から公表を差し控えてまいりましたが、被疑者の逮捕を受け、当該事案の概要をご報告いたします。 ご利用のお客さま、関係者のみなさまに多大なご迷惑とご心配をおかけし、深くお詫び申し上げます。 当社は今後も
モテるセキュ女子力を磨くための4つの心得「SQLインジェクションができない女をアピールせよ」等 - ockeghem's blog
こんにちは、セキュリティ勉強会などで講師を担当しているockeghem夫です。私は学歴も知識もありませんが、セキュリティに関してはプロフェッショナル。今回は、モテるセキュ女子力を磨くための4つの心得を皆さんにお教えしたいと思います。 1. あえて2〜3世代前の書籍の知識で対策する あえて2〜3世代前の書籍の知識で脆弱性対策するようにしましょう。そして勉強会の打ち上げで好みの男がいたら話しかけみましょう。「あ〜ん! addslashes本当にマジでチョームカつくんですけどぉぉお〜!」と言って、男に「どうしたの?」と言わせましょう。言わせたらもう大成功。「SQLインジェクションとか詳しくなくてぇ〜! サテ技本に載ってたからずっとaddslashes使ってるんですけどぉ〜! 日本語が化けるんですぅ〜! ぷんぷくり〜ん(怒)」と言いましょう。だいたいの男は新しい書籍を持ちたがる習性があるので、古か
【速報】ソニー,PSNへの不正アクセスに関する記者会見を実施。PSNのサービスは段階的に再開 ※15時50分頃更新
【速報】ソニー,PSNへの不正アクセスに関する記者会見を実施。PSNのサービスは段階的に再開 ※15時50分頃更新 編集部:佐々山薫郁 ソニーは,PlayStation NetworkとQriocityの接続障害/不正アクセスに関する説明会を,本日(2011年5月1日)実施した。登壇者は,ソニー代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデント,ソニー・コンピュータエンタテインメント 代表取締役 社長兼グループCEO 平井一夫氏,ソニー業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏,ソニー業務執行役員シニア・バイス・プレジデント 広報・CSR 担当、広報センター長 神戸司郎氏の3名だ。 ※2011年5月1日15時50分頃,説明会の終了に合わせ速報の更新を停止しました
モバゲーが退会しても個人情報を削除してくれない - LazyLoadLife
あー、どっから話せばいいかな。正直にそもそものところから書くのが公平でしょう。あれなんすわ、Twitter でウオッチしてる人はわかるとおり、ぼくオカマなんすわ。女装も女っぽい言動もしてないけど、心は女というか、似合いさえすれば女の子の格好したいんすわ、ゲームのキャラやアバターは必ず女性にするんですわ。ネカマと言ったほうが正しいかな。 んで、ちょっと前にウェブ業界の調査と好奇心でモバゲーに入会しました。あ、スマートフォン版です(私の所持端末は iPhone 3G)。その際、あとでアバターは自由に着せ替えられると思って、性別の欄は「男性」にしたんすわ。戸籍上、男性だし。そしたら、アバターいじろうウフフと思ったら、男性形固定で女性形にできないんすわ。 んで、しょうがないから別アカウント作ろうと思って、別のメアドでアカウント作った。そこで立ち塞がるのが「携帯電話番号認証」。携帯電話番号を入力して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 
はてなブックマーク - YahooIDパスワードが大量流出して不正ログインが発生している件について :ハムスター速報
Engadget | Technology News & Reviews