LINE Developer Meetup in Fukuoka #16 http://connpass.com/event/38413/
![実例に学ぶXSS脆弱性の発見と修正方法/line_dm 16 20160916 how to find and fix xss](https://cdn-ak-scissors.b.st-hatena.com/image/square/e11e4f3633c4a4b47615102c364a08e3fe6bc717/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F42f96bfa19aa47c2b5e2bf59d2b24a82%2Fslide_0.jpg%3F6898712)
LINE Developer Meetup in Fukuoka #16 http://connpass.com/event/38413/
左から:青木英剛氏(グローバル・ブレイン ベンチャーパートナー)、上前田直樹氏(グローバル・ブレイン ベンチャーパートナー)、百合本安彦氏(グローバル・ブレイン 代表取締役)、David Michael Uze 氏(Trillium 代表取締役)、小山伸彦氏(Trillium 取締役)、Aaron Benedek 氏(Trillium チーフアーキテクト) (下線部と訂正線部については、6月30日に加筆および訂正した。) 名古屋に本社を置き、コネクティドカーや自動運転車向けのセキュリティ・ソリューションを開発する Trillium(トリリウム)は28日、グローバル・ブレインをリードインベスターとし、シリーズAラウンドで資金調達を実施したと発表した。調達額については明らかにされていないが数億円規模とみられる。このラウンドはクローズしておらず、今後、他のベンチャーキャピタルや事業会社などから追
VMware Explore Registration Is Open Map your next move at the industry’s essential cloud event in Las Vegas and Barcelona. Register Now Welcome VMware Members We are pleased to announce that VMware Communities, Carbon Black Community, Pivotal Community, and the Developer Sample Exchange will go live on Monday, 5/6. Stay tuned for updates. Read More Welcome VMware Members We are pleased to announ
Malwarebytes was founded on the belief that you and everyone have a fundamental right to a malware-free existence. Malwarebytesは9月30日(米国時間)、「Lesser Known Tricks Of Spoofing Extensions|Malwarebytes Labs」において、マルウェアの感染には拡張子やアイコンを詐称するテクニックが使われるが、そうしたテクニックの中でもあまり知られていない2つの方法を紹介した。偽の拡張子を見せることはそれほど難しくないため、ユーザーはそうしたことが簡単に実現できること、表示されている拡張子が本物とは限らないことなどを認識しておくことが望まれる。 攻撃者は自前でアイコンデータを用意することで本来想定されているものとは違うア
QuadRooterは、クアルコム製チップセットを搭載したAndroid端末の一部に存在する脆弱性である。管理者(root)権限の奪取につながる4つの脆弱性という意味で「QuadRooter」と名付けられた。 これらの脆弱性を悪用すると、ローカル環境にインストールしたアプリが不正に管理者権限を奪取できる。管理者(root)権限の奪取につながる4つの脆弱性という意味で、チェックポイントはこれらの脆弱性を「QuadRooter」と名付けている。独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する「JVN iPedia」(脆弱性対策情報データベース)などでのリスク評価値は、QuadRooterのいずれの脆弱性も7.8以上と高い(CVSS v3による脆弱性評価値。スコアは0~10で、値が大きくなると危険性が高いことを示す)。 Q
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日立ソリューションズはメール利活用基盤「活文 Enterprise Mail Platform」のオプションとしてメール無害化機能を11月1日から提供する。10月6日に発表した。 価格はオープンだが、税別の参考価格は1000ユーザーの場合、活文 Enterprise Mail Platformが155万2000円、メール無害化オプションが124万3000円、上長承認オプションとウェブアップロードオプションが各60万円。初期導入費用と年間保守費用が別途必要。 同機能は、添付ファイルの画像形式への変換や削除、HTML形式のメールのテキスト形式への変換を強制的に実行することで、企業の情報システムや自治体の総合行政ネットワーク(LGWAN)への
GE Digital WurldtechのTom Le氏によれば、産業用のモノのインターネット(IIoT)で適切に安全性を確保するには、ITとOT(運用技術:Operational Technology)を組み合わせたアプローチが重要だという。Le氏は、サンフランシスコで開催された「Structure Security 2016」カンファレンスで、産業用IoTが直面しているさまざまな課題について語った。 一般のIoTと産業用IoTの最大の違いは、産業用IoTへの攻撃が成功してしまった場合、物理的な悪影響が発生する可能性があることだ。従来のIoTに対する攻撃では、危険に晒されていたのはデータやプライバシーだったが、Le氏によれば、産業用IoTに対する攻撃は、ともすれば人間の安全に対するリスクや、環境に対するダメージ、大規模なシステム障害などを引き起こす可能性がある。 Le氏は、デバイスがどれ
セキュリティ事故対応に備えて知っておきたい「ディスクコピー」の手順:セキュリティ教育現場便り(7)(1/2 ページ) セキュリティ教育に携わる筆者が、今本当に必要なセキュリティ教育を解説する本連載。第7回では「証拠保全」の方法を、具体的なツールの操作手順とともに解説します。 連載目次 情報セキュリティ事故が起きたときには、証拠となるPCやデータを確保し、分析を行う必要があります。今回は前回に引き続き、そんな分析に役立つディスクコピーツールの使い方を紹介します。また、ディスクのコピー作業やログの分析を行う担当者に求められる「事故対応中の心構え」についても解説します。 証拠保全に利用できるツールその2――「FTK Imager」 前回は、メモリのコピーを取得できる「DumpIt」を紹介しました。今回は、ディスクとメモリの両方のコピーを取得することができる「FTK Imager」を紹介します。
From a new Nominations dashboard in App Store Connect, developers will be able to create their nominations, either one by one or by uploading a spreadsheet to nominate apps in…
9月2日、アカマイ・テクノロジーズは先日発表した2015年第2四半期「インターネットの現状」セキュリティレポートの説明会を開催した。同レポートによると、DDoS攻撃の件数は昨年同期と比べて2倍以上に増え、100Gbpsを超える大規模攻撃が増加傾向にある。 ゲーム業界だけを狙い撃ち、100Gbps超の大規模DDoS攻撃は12件 アカマイのデータによると、2014年には「320Gbps」という最大規模のDDoS攻撃が発生しており、それと比べると2015年(第2四半期まで)は最大240Gbpsと、一見パワーダウンしているようにも見える。しかし、アカマイの新村信氏によれば、攻撃の「持続時間」が増える傾向にあり、影響力は大きいという。 第2四半期に発生したDDoS攻撃の内訳を見ると、トラフィックが100Gbpsを超える攻撃は12件あった。うち10件がISPなどの通信事業者を狙ったもの、そして残りの2
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「企業のソフトウェア開発は“インナーソース”が当たり前になる」――。 そんな興味深い流れがグローバル企業の間で始まっている。インナーソースとはオープンソースソフトウェア(OSS)の開発手法を企業内に取り入れ、柔軟かつスピーディーで質の高いソフトウェアを開発するというもの。 OSS開発手法は大手ITベンダーが戦略として取り入れるほど効果があることが知られてきたが、一般の企業内でも同様の効果が期待できるとここ数年で話題になっている。具体的にどのような企業がどう取り入れ、どう運用しているかという最新事例がGitHub主催の開発者向けイベント「GitHub Universe 2016」で紹介された。 導入にあわせて体制も変化 GitHubは昨年
IT調査会社のガートナー ジャパンは10月5日、「日本におけるテクノロジのハイプ・サイクル:2016年」を発表した。ITやビジネスに関する38のキーワードについて9月時点の普及動向をまとめた。 ハイプ・サイクルは、市場に登場した技術がもてはやされ、熱狂が冷める時期を経て市場を確立し、市場で意義や役割が理解されるようになるまでの典型的な経過を示したもの。 それによると、AI(人工知能)やIoT(モノのインターネット)、データサイエンスなどは「過度な期待のピーク期」にあると分析。今後は期待の反動から「幻滅期」へ次第に移行していく。一方、これまで幻滅期に位置付けていたクラウドコンピューティングは、本格的な普及段階に突入しつつあるとした。
10月3日(米国時間)、Threatpostに掲載された記事「Hack Crashes Linux in Just 48 Characters of Code|Threatpost|The first stop for security news」が、いくつかの主要Linuxディストリビューションで採用されているsystemdにユーザーがクラッシュさせることが可能な脆弱性が存在すると伝えた。「NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""」というコマンドを実行するだけでクラッシュが可能だと説明している。 systemdはこれまでinit(1)が行ってきた機能を担うソフトウェア。サービスの起動や停止、モニタリングなどを担うなど、従来のinit(1)と比較してさまざまな機能を持っているという特徴がある。いくつかの主要ディストリビューション
米国の銀行であるBB&TのiOS向けオンラインバンキングアプリ「U by BB&T」に通信内容が盗聴されるおそれがある脆弱性が含まれていることがわかった。修正版は提供されていない。 10月7日の時点で最新版である「同1.5.4」や以前のバージョンに、SSLサーバ証明書の検証処理に不備がある脆弱性「CVE-2016-6550」が判明したもの。「マンインザミドル(MITM)攻撃」により通信内容が盗聴されたり、改ざんされるおそれがある。 同アプリのアップデートなどは、10月7日の時点で提供されておらず、セキュリティ機関では、同アプリの使用を避ける、信頼できないネットワークを使用しないなど、利用者へ注意を呼びかけている。 (Security NEXT - 2016/10/06 ) ツイート
10月5日(米国時間)、Threatpostに掲載された記事「IoT Botnets Are The New Normal of DDoS Attacks|Threatpost|The first stop for security news」が、IoTデバイスを悪用したDDoS攻撃はもはや日常と化しており、今後かなり長期にわたってこうしたデバイスを悪用したサイバー攻撃が実施されることになるだろうと伝えた。 記事では、デジタルビデオレコーダ、カメラ、セットトップボックス、監視カメラ、ホームルータなど、インターネットに接続して利用するタイプのデバイスは日々増加の一途をたどっており、ボットネットを構築するためのプラットフォームとして気がつかないうちに悪用されていると指摘。こうしたデバイスはデフォルトの設定のまま使われていることが多く、アップデートが適用されないことも多い。そもそも、アップデート
We have been monitoring a large-scale Layer 7 HTTPS flood attack (i.e., application level DDoS) against a customer over the past few weeks. It is being distributed across 47,000 IP addresses and has been pushing over 120,000 HTTPS requests per second (RPS) to the website. Unlike volumetric attacks that target the network link (measured in bits per second), application-based attacks are designed to
The source code that powers the “Internet of Things” (IoT) botnet responsible for launching the historically large distributed denial-of-service (DDoS) attack against KrebsOnSecurity last month has been publicly released, virtually guaranteeing that the Internet will soon be flooded with attacks from many new botnets powered by insecure routers, IP cameras, digital video recorders and other easily
なかなか語られることの少ないAndroidのセキュリティ対策について、グーグルが記者勉強会を開催した。漠然としたセキュリティへの不安を抱いているユーザーが多いAndroidだが、これらの取り組みを知ると安心できるかも? JellyBean以降、多くの改良が加えられてきたOSのセキュリティ機能 Androidのセキュリティは「ユーザー」「アプリ開発者」「端末メーカー」と3方向に向けた取り組みがある。ユーザーに対してはGoogle Playを通した安全なアプリの提供、アプリ開発者には正規のSDK配布やAPI情報、ベストプラクティス情報などの提供、端末メーカーとはセキュリティアップデート配信における協業といったものだ。 もちろん、根幹となるのはOSのセキュリティレベルの向上。グーグル デベロッパーリレーションズ デベロッパーアドボケイトの松内 良介氏が書き出したAndroid4.0以降の主なセキ
こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。今回は、8月2日にリリースした「Anniversary Update」で追加された新機能「Windows Defender ATP(Advanced Thread Protection)」をご紹介します。 今や多くの企業にとって、標的型攻撃をはじめとするサイバー攻撃は、経営を揺るがしかねない脅威となっています。もし自分の会社が攻撃に遭ってしまったらどうすればいいのか――と対策を進める企業は多いのではないでしょうか。 これまでWindowsでは、端末への攻撃を未然に防ぐ機能をそろえてきましたが、Windows Defender ATPは“端末が攻撃され、マルウェアに感染した後”に重点を置いているのが特徴だと言えます。 マルウェア感染後に重点を置いた「Windows Defender ATP」 通常の標的型
FaceTimeやSkypeなどを使ったビデオ通話の内容などがマルウェアに盗撮されてしまう恐れがあるという。 AppleのMacBookなどに内蔵されたWebカメラやマイクを使って、マルウェアが映像や音声が盗撮・盗聴できてしまう問題が報告された。セキュリティ企業Synackの研究者パトリック・ウォードル氏が10月6日、Virus Bulletinのカンファレンスで発表した。 ウォードル氏によると、この問題ではリモートの攻撃者がmacOSに感染するマルウェアを使って、ユーザーに気付かれることなく映像や会話を記録できるという。Macは企業のエグゼクティブから個人まで幅広く利用され、ユーザーは機密情報やプライベートな情報をSkypeやFacebookなどで日常的にやり取りしている。この問題が悪用されれば、ユーザーのあらゆる情報が攻撃者に筒抜けになると指摘した。
被害者支援サイトの「No More Ransom」では、KasperskyとIntelが開発した各種ランサムウェア用の復元ツールを提供している。 ロシアのセキュリティ企業Kaspersky Labは10月3日、データを人質にして身代金を要求するランサムウェア「Polyglot」(別名MarsJoke)に暗号化されたファイルの復元ツールを開発したと発表した。他のランサムウェア用の復元ツールも、被害者支援サイトの「No More Ransom」を通じて提供している。 Kasperskyによると、Polyglotは不正なファイルを添付したスパムメールを通じて拡散し、感染先のマシンのファイルを暗号化してアクセスできなくしてしまう。画面にはビットコインで身代金を支払うよう要求する内容が表示され、指定した期限までに支払わなければ、Polyglotはそのマシンから消滅し、ファイルは暗号化されたままになる
米セキュリティ情報サイトの「Krebs on Security」が大規模な分散型サービス妨害(DDoS)攻撃を受けてダウンした。攻撃の規模は665Gbpsに達していたという。別のWebサイトでは1Tbps近い規模のDDoS攻撃も伝えられ、史上最大規模のDDoS攻撃が相次いで発生している。 Krebs on Securityは米東部時間の9月20日夜から大規模なDDoS攻撃の標的となり、21日の時点では、同サイトをホスティングするAkamai Technologiesのおかげでもちこたえていると報告していた。 攻撃の規模は20日午後8時の時点で665Gbpsに達し、その後の分析では620Gbpsという数字が出た。Akamaiがこれまに経験した攻撃は、今年(2016年)に入って発生した363Gbpsが最大だったという。 これと前後してフランスのインターネットサービスプロバイダーOVHは9月22
evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性があります。 Googleの調査によると、CSPによるXSSの防止は現実的にデプロイの欠陥によりXSSの防止効果がないことを示しています。調査は「CSP Is Dead, Long Live CSP!」としてACMのカンファレンスで発表され、ペーパーも閲覧することができます。 9月に行われたW3C TPAC 2016のWebAppSecのミーティングで議論され、GoogleのMike West氏より新しくXSS Protectionという仕様が提案されて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く