JR東の「My JR-EAST」サイトに2万件の不正ログイン、サービス停止
東日本旅客鉄道(JR東日本)は2014年9月12日、同社の各種サービスと連携する統合IDサービスの「My JR-EAST」で大量のログイン試行を受け、サービスを停止したと発表した(画面)。再開時期は未定としている。 同社によると、9月10日から11日にかけて、約1152万件という通常では考えられないアクセスがあったため、11日10時55分からサービスを停止している。約2万1000アカウントで実際に不正ログインが成功したことが判明した。氏名を閲覧された可能性があるが、それ以外の個人情報漏えいについては確認されていないという。不正ログインされた利用者には個別にパスワード変更を依頼する。 My JR-EASTが連携している4つのサービスのうち、きっぷ予約サービスの「えきねっと」、クレジットカード情報照会サービスの「VIEW's NET」、携帯電話・スマートフォン向け電子マネーサービスの「モバイル
『Gmailアドレスとパスワードが漏えい』という記事タイトルは釣り - Windows 2000 Blog
米Googleのインターネットメールサービス「Gmail」のアドレスとパスワード約500万人分が漏えいしたと、複数の米メディア(USA TODAY、TNW、IBTimesなど)が現地時間2014年9月10日に報じた。しかし、パスワードにはGmailやGoogleアカウントに使われていないものも含まれているという。 『500万件の Gmail や Yahoo などのアドレスとパスワードをロシアのハッカーがまとめたものを公開』しただけだったというオチっぽいですね ここまでの有効性が低いデータということはハッキングしたいろいろなサイトでGoogleのメールアドレスを利用している人のIDとパスワードを集積しただけで篩(ふるい)にもかけていないんじゃないんでしょうか? なんでこんなタイトルにするのか訳が分からない・ω・ 正しくは 過去にハッキングしたGmail アドレスを利用したサイトのパスワードを
グーグル、「Chrome Canary」でパスワード自動生成機能をテスト
パスワードをさらに改良する取り組みがインターネット全体で行われているが、Googleはこのほど、「Chrome」ブラウザの実験版に独自のパスワード生成機能を組み込んだ。 この機能は2012年からChromeのオプション機能となっているが、Googleは米国時間9月4日、遅ればせながらこの機能に注目し、まだ荒削りな「Chrome Canary」の新しいインターフェースに追加した。安定版のChromeに搭載される保証はないが、新しいインターフェースに入っているというのは、Googleがもっと一般的なバージョン向けに準備を進めている可能性があることを示している。NetMarketShareの報告によると、Chromeは世界で2番目によく使われているブラウザで、市場シェアは19.61%だという。 Googleの従業員でChromeの動向に詳しいFrancois Beaufort氏はGoogle+で
ベネズエラからLINEアカウントにログインされて、セキュリティの心構えを改めて考えた
各種Webサービスのアカウントへの攻撃はとどまるところを知らない。ITproでも「『iCloud』にハッキング攻撃か、セレブのプライベート画像が多数流出」「組織の窓口狙い多重攻撃、相手の反応を読み手口を巧妙化」「『サイバー闇市場』は数千億円規模、サイバー攻撃のSaaSも用意」などといったニュースを掲載している。 記事によると、プライベート画像が多数流出した件は、米アップルのサービスにあった脆弱性を利用した比較的単純な手口で漏れたようだ。セキュリティ対策ベンダーである米ファイア・アイは「2要素認証を有効にしていたら防止できたかもしれない」とのコメントを出している。 アカウントに対する攻撃が広がり、手口が多様化する一方で、Webサービスやアプリを提供する各社は認証方式を変更したり強化したりしている。認証強化は、利用の簡便さと引き換えになることが多いが、何かが漏れてからでは遅い。常用しているサー
ヌード写真大量流出の原因判明!iCloudのハッキングは「iPhoneを探す」の脆弱性を狙ったブルートフォースアタック | 男子ハック
「iPhoneを探す」の脆弱性をついたブルートフォースアタック現在では既にこの脆弱性はパッチがあてられ悪用することはできなくなっていますが、今回のヌード写真などが大量流出した騒動はiCloudの「iPhoneを探す」という機能の脆弱性をついたものだったことが判明したそうです。 この脆弱性を悪用するツールはGithub上に2日前に公開されていたようで、Appleが気がついてパッチを適用したのか、偶然だったのか、Appleからのコメントはいまだされていません。 「iPhoneを探す」機能ではパスワードを複数回間違えてもロックアウトされることもなく、繰り返し施行することができるということを利用したブルートフォースアタックだったようです。現在は複数回間違えるとロックアウトされるようになっています。 iCloudのセキュリティ対策には、簡単なパスワードではなく複雑で強力なパスワードを設定。そしてAp
Android OSのパターンロック認証はアルファベット3文字程度のセキュリティ
Androidスマートフォンのロック画面の解除方法にはパスワードやPINコードの入力に加えて、9つのドットをなぞっていく「パターン」があります。しかし、このパターンによる認証のセキュリティは高そうで高くなく、かといって低いのかというと低くもないようです。 delight-im/AndroidPatternLock · GitHub https://github.com/delight-im/AndroidPatternLock 世界中の人々に自分のソフトウェアのプログラムコードやデザインデータを公開し共有できるサービスGitHubに、Android OSのパターン認証全リストなるものが公開されています。パターンリストを作成したのはdelight.imで、パターンロック認証で使われるドットに1から9までの番号を振り、ドットをなぞる順序を数字で羅列することでパターンを文字化しています。 例えば
2015年にはパスワードがなくなる可能性も - WSJ
パスワードは2015年までにはなくなるかもしれない。 これは、1960年代の初めに始まったパスワードという本人確認の方法を刷新しようと競争するセキュリティー専門家たちが予測し、また期待していることだ。パスワードはいまや、利用者やセキュリティー責任者だれにとっても面倒な存在になっている。いつも忘れてしまうし、どうしても盗まれてしまう。ロシアのマフィアが10億以上のログイン認証情報を集めたという最近のニュースでも明らかだ。 ベライゾンによる2014年の調査報告書によると、3件のデータ盗難のうちの2件は十分複雑でないパスワードか、あるいは盗まれたパスワードの利用に絡んでいる。その上、パスワードを複雑にすることもそれほど役立っていない。 専門家らは、ウェブサイトが使用可能なパスワードに条件を課せば課すほど――例えば最低文字数を満たし、大文字、小文字、特殊文字の組み合わせを使い、これまでのパス
あなたのアカウントが漏洩したかを教えてくれる『Have I Been Pwned?』 | 100SHIKI
最近はアカウント漏洩が激しいですな・・・。 以前は面倒だなぁ、と思っていたパスワード管理ツールが手放せなくなった人も多いのでは。まだの人はなるべく早く導入したほうがいいだろう。 そしてそうした危機感を高めてくれるのがHave I Been Pwned?だ。 このサイトでは過去にあなたのアカウント情報が漏洩したかを教えてくれる。使い方は簡単で、よく使っているユーザー名かメールアドレスを入れるだけでいい。 こちらで調べてみて大丈夫だったら100%安心というわけでは決してないが、こうしたツールが出てくるぐらいなのでパスワード管理は厳重にした方がいいですな。
簡単なパスワードの再利用がセキュリティ管理上有効であることが数学的に判明
By alexljackson 危険なパスワードランキングで常にトップを争う「123456」を使うのはもっての他で、英語・数字に大文字・小文字まで混ぜた複雑なパスワードを作成し、かつ、複数のサイトで同じパスワードを使い回さないなど、パスワード管理はもはや無理ゲー状態ですが、Microsoft研究所から、「簡単なパスワードも使い古したパスワードもOK」という世間の常識に逆行するパスワード管理法に関する研究が発表されています。 (PDF)passwordPortfolios.pdf http://research.microsoft.com/pubs/217510/passwordPortfolios.pdf Mathematics makes strong case that “snoopy2” can be just fine as a password | Ars Technica ht
無料でiOS/Android/Windows/Mac間を同期可能なパスワード管理ソフト「PasswordBox」
インターネット上ではSNS・ショッピング・メールなどなど、ユーザー名とパスワードを入力してログインする必要のあるサービスが多く存在します。セキュリティを高めるには推測されにくいパスワードにする必要があり、同じものを使用しないのが好ましいのですが、増えすぎると管理するだけで大変になってしまいます。そんなパスワード情報を軍レベルのセキュリティで保護しながら一元管理してくれる無料かつWindows/Mac/iOS/Android、IE/Firefox/Chromeと各種OS・ブラウザで使用&同期可能なパスワード管理ソフトが「PasswordBox」です。 無料のパスワードマネージャー | PasswordBox https://www.passwordbox.com/ja ◆iOSアプリ あらゆるプラットフォームで使用できるPasswordBoxのiOSアプリは以下のページからインストールできま
トレンドマイクロ、「クラウド管理で楽するパスワード」構想開発中
クラウドベースのパスワード管理構想を説明してくれた、Trendmicro CEO and Co-founder エヴァ・チェン氏(右)と動作デモを紹介してくれたイアン・チェン氏(左) トレンドマイクロは、Androidデバイス向けの「ウイルスバスター モバイル」や、PC、タブレット、スマートフォンとマルチデバイスユーザーを想定した「ウイルスバスター クラウド」といった、モバイルユーザー向けにもセキュリティアプリを提供している。 もともとは、PCユーザーを想定したセキュリティー対策からスタートしたトレンドマクロだが、この当時のPCユーザーと、最近増加している携帯電話やスマートフォンユーザーとでは、セキュリティーに対する知識や意識が大きく異なる。 いまから20年ほど前のPCユーザーは、ネットワークに接続する場合に、ローカルデータの保護や情報流出、リモートによる不正アクセスなどの危険が存在し、そ
Mozilla、Firefox のシングルサインオンシステム「Persona」の開発を中止 - インターネットコム
米国 Mozilla は3月7日、Web 認証システム「Persona」に対し、今後フルタイムの開発者を配置しないと発表した。 これは本当に残念なことだ。Mozilla による、オープンで安全なインターネットを構築する取り組みは悲劇的な失敗に終わった。 私が Persona について初めて書いたのは、まだそれが BrowserID と呼ばれていた頃のことだ。BrowserID とは、様々な Web サービスに対して、1つの認証済みの E メールアドレスだけでログイン可能にするもの。認証済み E メールアドレスは Firefox 内に安全に保存される仕組みだ。 2012年、Mozilla は BrowserID を Persona へとリブランド。同時にかつて「Personas」と呼ばれていたものを「Themes」に名称変更した。 Web 認証システムとしての「Persona」は、優
Mozillaの「Persona」、普及進まずコミュニティ主導に
Mozillaの「Persona」、普及進まずコミュニティ主導に:複雑な機能が分かってもらえなかった? Mozillaは2014年3月7日、パスワード不要のログイン認証システム「Persona」のプロジェクトをコミュニティ主導に切り替えると発表した。フルタイムでPersonaに取り組んでいたMozillaのデベロッパーは、別のプロジェクトに振り向ける。 Personaはより安全で使いやすく、プライバシーに配慮した認証システムを目指して開発が進められてきた。しかしさまざまな理由から、「我々が望んだほどには普及しなかった」とMozillaは説明する。 具体的には、Firefoxのユーザーベースを活用できなかったことや、大手サイトに採用されなかったこと、競合する「Facebook Connect」のようなインセンティブを提供できなかったなどの理由が挙げられている。また、「ユーザーが望まない複雑な
「パスワードに引退してもらう」--シマンテック、アカウント保護で新認証技術
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます シマンテックは2月19日、オンラインアカウント保護製品「Symantec Validation and ID Protection(VIP)」にAccess Push(モバイルプッシュ認証)の機能を追加したと発表した。代表取締役社長の河村浩明氏は「最もエキサイティングな発表」で強調した。世界に先駆けてのもので、海外では2月24日に発表する予定だという。 日本での先行発表、提供開始の理由として河村氏は「ひとつは日本のコンシューマーは世界でもセキュリティの要件が高い。最初の取り組みを日本で行うことで製品をブラッシュアップしていく。もうひとつは、もともとSymantec社内の認証用に使っており、非常に大きな可能性を確信した。パスワードはセキュ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.asahi.com/tech_science/list/nikkanko/Cnikkanko20140605005.html
巧妙なのであらためて注意、Google ドライブ上の偽Googleログインページ再び 
https://jp.techcrunch.com/2014/04/18/20140417chromebooks-could-soon-be-unlocked-automatically-when-your-smartphone-is-near/
https://jp.techcrunch.com/2014/03/18/20140317here-are-all-the-sites-you-should-enable-two-factor-authentication-on-and-the-ones-you-should-yell-at/
Askの本日の質問が危ない - Togetterまとめ
https://jp.techcrunch.com/2014/02/27/20140226openid-foundation-launches-openid-connect-identity-protocol-with-support-from-google-microsoft-others/