銀行に期待した「常時SSL」 その後……
[凡例] HTTPS利用可能:銀行のTOPページにHTTPSでアクセスできるか? HTTPだと強制的にHTTPS:HTTPでTOPページにアクセスすると、強制的にHTTPSに変更されるか? Google検索からHTTPS:Googleで銀行名を検索し、その結果からTOPページにアクセスするとHTTPSになっているか? 上記の銀行に編集部を通じて質問をしたところ、一部を除いて回答をいただいた。回答を得られなかった銀行については、上記の表では行名を伏せている。回答いただいた銀行のコメントを紹介したい。 新生銀行 「Webサイト『www.shinseibank.com』では現時点でHTTP通信によるセキュリティ面でのトラブルや被害などは確認されておりません。SSL暗号化通信を全面導入する場合は、その効果に加えて導入による影響を慎重に検討する必要があると考えており、技術動向も注視して包括的に精査を
「Superfish」以外にもセキュリティを脅かすソフトが複数--研究者ら
Lenovoは今後製品に「Superfish」をプレロードしないことを約束した。また、自社製コンピュータから同ソフトウェアの痕跡すべてを削除するSuperfish削除ツールをリリースしている。 FacebookのThreat Infrastructureチームが米国時間2月20日に公表したSuperfishの分析結果によると、PC製品にアプリケーションがプリロードされていることは珍しくはないが、Superfishが他とは異なるのは、SSL/TLSを用いたウェブサイト接続を傍受できる能力だという。Superfishは、コンテンツの傍受が可能で、Komodiaからのサードパーティーライブラリを使って「Windowsのネットワーキングスタックを修正し、新しいルート認証局(CA)をインストール」する。その一方で自身がSSLの有効なあらゆるウェブサイトになりすますことを可能にする。 このKomodi
レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴
レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴2015.02.20 04:1621,109 satomi レノボPCの人は今すぐココ開いてSuperfishの脆弱性にやられてるかどうかチェックしてください! 「Good, ~」って水色の文字で出たらセーフ。「Yes」はアウトなので後述の指示に従ってね。 レノボ製の2014年9月~12月製造(lenovo発表)のパソコンに工場出荷の段階で「セキュアな取引きまで傍受できる」とんでもないアドウェアがプリインストールされていたことが、同社フォーラムに寄せられた苦情多数で明らかになりました。 ソフトの名前は「Superfish」。グーグルの検索結果やサイトを開くとユーザーの許可なしにサードパーティー製の広告を挿入するアドウェアで、少なくともChromeやIEでは動作が確認されています。 広告挿入もひどいけど、問題はそれだけじゃあ
ARM、IoTのセキュリティ強化に向け新興企業Offsparkを買収
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ARMは英国時間2月9日、自社が開発する「モノのインターネット(Internet of Things:IoT)」用OS「mbed OS」のセキュリティ強化に向けて、オランダの新興企業Offsparkを買収したと発表した。この買収により、ARMはOffsparkが開発および保守する「PolarSSL」の技術を手に入れる。PolarSSLはオープンソースのSSLライブラリで、ARMによれば、組み込みシステム間の通信を暗号化するTLSとしては、世界で最も普及している技術だ。 Offsparkは、LinkedInのプロフィールによると、サイバーセキュリティ、デジタル諜報活動、暗号化技術、ハイテクビジネス開発に特化したコンサルタント企業であり、P
HTTP接続は「安全でない」と明示すべし――Googleが提案
HTTPSを使ったセキュアな接続の普及を目指す米Googleが、ユーザーエージェント(UA)の仕様を段階的に変更して、通信が暗号化されないHTTP接続に対して「安全でない」と明示することを提案している。 この提案の狙いは、「HTTPには情報セキュリティ対策が施されていない」という事実を、もっとはっきりユーザーに示すことにあるとGoogleは説明。「Web上のデータ通信はすべてセキュアでなければならない。情報セキュリティが存在しない場合はそのことを明示して、ユーザーが情報を得たうえで対応を決められるようにしなければならない」と主張する。 背景として米国家安全保障局(NSA)などがネットの監視活動を行っていると伝えられた事例を列挙し、「Web上では改ざんや監視などの攻撃が、理論上ではなく実際に横行している」とした。 具体的にはセキュリティ状況を3段階に分類し、有効なHTTPSなどを使っている場
「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に | スラド セキュリティ
最近SSL関連の脆弱性がたびたび話題になったが、これに関連してか、HTTPSを利用しているのにCookieのsecure属性を設定していないサイトについてが話題になっているようだ(セキュリティ研究家高木浩光氏によるTogetterまとめ)。 Cookieのsecure属性については、2004年に高木浩光氏がまとめた「安全なWebアプリ開発の鉄則 2004」の「CookieにSecure属性を」以下が分かりやすいが、この属性をセットしておくと、HTTPSでの通信時にのみそのCookieが送信される、というもの。secure属性が設定されていない場合、HTTP通信の際にもそのCookieが送信されるため、通信内容を傍受するなどでセッションIDなどが盗まれる可能性がある。 高木氏が検証したところ、secure属性が設定されていないサイトとしては全日空やニコニコ動画、OCNメールなどがあった模様。
HTTP/2から見えるTLS事情 - あどけない話
これは HTTP/2 アドベントカレンダー19日目の記事です。 この記事はたくさんの資料を読んだ上で書きましたが、間違いとか勘違いとかがあるかもしれません。もしあれば、指摘していただけると幸いです。 実質的に必須となったTLS HTTP/2は、HTTP/1.1と同じく、暗号化なし/ありのポートとして、80と443を使います。そのため、通信開始時にHTTP/1.1とHTTP/2をネゴシエーションするための仕組みが、HTTP/2で定められています。 このように仕様としては暗号化なしのHTTP/2が定義されていますが、Firefox や Chrome が TLS を要求するために、実質的は暗号化ありが必須となっています。これは、米国の監視プログラムPRISMに代表される広域監視(pervasive surveillance)に対抗するために、IETFがさまざまな通信にプライバシの強化を要求する方
迫る期日と進まない移行……SHA-1の脆弱性放置の危険性 | RBB TODAY
11月に入って、ブラウザでSSL証明書が付いたページ表示にワーニングが表示されて戸惑った人はいないだろうか。現在、SSL証明書の署名に使われている技術に脆弱性があるとして、グローバルで署名方式を新しいものに切り替えようとしている。 ワーニングの表示は、Googleが古い署名ハッシュアルゴリズムの証明書を使っているサイトに対して注意喚起を行うための機能を新しいChromeに実装したためだ。Mozillaやマイクロソフトもこの動きに追従すると目されており、FireFox、IEといったブラウザでも今後はこのような警告を目にするようになるかもしれない。 SSL証明書の署名の脆弱性問題は以前から議論され、セキュリティ担当者などは十分認識している問題だ。しかし、実際にはなかなか新しい証明書への切り替えが進んでいない。なぜだろうか。 ●SSL証明書の署名に潜む脆弱性とは? その理由を議論する前に、古い(
無料で容易なHTTPS導入を支援する「Let's Encrypt」、2015年に運用開始へ
ハイテク業界の複数企業が参加する団体は米国時間11月18日、ウェブ上のプライバシーを例外的なことではなく常に考慮すべきものとなるよう支援するある動きを発表した。 ウェブプライバシーは、接続を暗号化し、ウェブページやウェブアプリをホストしているサーバと閲覧用ブラウザの間のネットワークを経由して送られるデータをスクランブルすることで確保される。しかし、サイト運営者にとっては、暗号化された接続を設定する上で必要不可欠な証明書を取得するには、多少の手間と費用がかかる。証明書は、ブラウザにウェブサーバの暗号化を信頼させるデジタルの仕組みを提供する。 ここで登場するのが、「Firefox」ブラウザの開発元であるMozilla、ネットワーク機器メーカーのCisco Systems、インターネットコンテンツ配信業者のAkamai Technologies、デジタル時代の権利擁護団体である電子フロンティア財
「HeartbleedもShellShockもPOODLEもWAFでまとめて止められる」F5がデモ
Heartbleed(OpenSSLの脆弱性)、ShellShock(GNU Bashの脆弱性)、POODLE Bites(SSL3.0の脆弱性)など、2014年に入って立て続けにWebサーバーを脅かす深刻な脆弱性が見つかっている。こうした脆弱性に対抗するには「パッチの適用」がベストだが、脆弱性が見つかってからすぐにパッチが出るとは限らないし、稼働中のシステムに対して即座にパッチを適用するのが難しいケースもよくある。 そんなWebサーバー管理者の悩みに対して、一つの解となるのがWAF(Web Application Firewall)の導入だ。WAFを導入することにより、Webサーバー自体に脆弱性が残っていても手前で攻撃を見つけて止められる。実際にどれくらい効果があるものなのか、2014年10月29日から31日まで幕張メッセで開催された「第5回情報セキュリティEXPO」において、F5ネット
グーグル、セキュリティテストツール「nogotofail」を公開--TLS/SSLの正しい実装を促進
Googleは、よくある設定ミスや既知のバグによってHTTPS接続の安全性が損なわれることを防ぐためのセキュリティテストツールをリリースした。「nogotofail」という、2014年に入って「Mac」と「iOS」に影響を与えた「goto fail」バグにちなんで名付けられたらしい同ツールは、インターネットに接続された端末やアプリケーションが、既知のバグや設定ミスといった、TLS(Transport Layer Security)やSSL(Secure Socket Layer)の暗号化の問題にさらされていないことを確認するための手段を提供する。 nogotofailのリリースに先立ち、TLS/SSLプロトコルには最近、複数の脆弱性が発見されていた。例えば、SSL 3.0で最近発見された「POODLE」や、OpenSSLの「Heartbleed」だ。どちらもサーバを深刻な攻撃にさらし、業界
シマンテック、SSL 3.0の脆弱性「Poodle」のリスクと対処法を解説
シマンテックは10月20日、同社のブログに、SSL 3.0の脆弱性「Poodle」のリスクに関する解説記事を掲載した。SSL 3.0は古いプロトコルながら、多くの WebブラウザとWeb サーバでサポートされているため、脆弱性は現在でも悪用される恐れがあるという。 現在、SSLの代わりに後継のプロトコルであるTLSが広く利用されているが、多くのTLSクライアントは、レガシーサーバと通信する必要がある場合に、使用するプロトコルをSSL 3.0にダウングレードするという。したがって、新たなプロトコルがサポートされている場合でも、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害すると、 SSL 3.0の使用を強制できてしまうため、脆弱性が存在することになる。 脆弱性を発表したGoogleによると、攻撃者がその悪用に成功すると、中間者(MITM)攻撃を実行してセキュアHT
Androidアプリの多くにSSLセキュリティ脆弱性 - MITM攻撃が可能な状態
FireEyeは8月20日(米国時間)、「SSL Vulnerabilities: Who listens when Android applications talk?|FireEye Blog」において、人気のあるAndroidアプリ1,000個に関して調査を実施したところ、そのうち約68%にSSL関連の何らかのセキュリティ脆弱性が存在していたと伝えた。これらセキュリティ脆弱性を利用されるとMan-in-the-Middle攻撃(MITM)を受ける危険性があるとされている。 アプリの中には機能や利便性を優先させるためにホスト名のチェックを無効にしているものがあったりSSL関連のエラーを無視しているものがあったと説明がある。Man-in-the-Middle攻撃を受けると、攻撃者は通信内容を傍受することができるほか、接続先をほかのサイトへ変更するといったことができる。 記事ではこうした問
患者450万人の個人情報流出、発端はOpenSSLの脆弱性だった
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems(CHS)社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
モジラ、グーグルと同様の証明書失効チェック方法を採用へ
Larry Seltzer (Special to ZDNET.com) 翻訳校正: 編集部 2014-08-11 12:05 OpenSSLのソフトウェアバグであるHeartbleedが4月に発覚して以来、証明書の失効確認をめぐる議論が高まってきた。こうした問題ではGoogleの対応が早いことが多いが、MozillaはGoogleの手法に準じて証明書の失効確認方法を改善する計画を公表した。 Heartbleedが厄介視される理由の1つは、セキュリティ対策を施している多数のWebサイトがTSL/SSL証明書の失効と再発行を余儀なくされることだ。これまで公開鍵基盤(PKI)における証明書失効確認には、証明書失効リスト(CRL)とオンライン証明書ステータスプロトコル(OCSP)が使用されてきたが、いずれのシステムも問題を抱え脆弱性の不安を排除しきれなかった。 OCSPはCRLの問題に対処するた
15年超IT系記者のプライドがポッキリ折れた話
「固定観念を捨てろ、既成事実や常識を疑え」。記者が新社会人としてこの仕事を始めた16年前、先輩記者から言われたのがこのセリフである。取材記事を書く際に、勝手な思い込みや事実誤認、重要事項の見落としなどがあってはならない。「とにかくあらゆることをまず疑ってかかれ。相手の言うことをうのみにするな。一次ソースに当たり、裏を取れ」。こう叩き込まれながらこれまでやってきた。 「そんなに片っ端から疑ってかかったら、人間不信にならないか?」。こんな質問を受けることもあるが、記者からすればむしろ逆である。どんな人でも勘違いをすることはある。取材時に主張したいことをうまく伝えられず、誤解することを口走ってしまうケースもあるだろう。根拠とするデータがそもそも間違っている可能性だってある。そうした諸々の可能性を先回りして考え、フォローする。そして最終的には信じる。そこに人間不信など入る余地はない。 実際に、この
「今なお3桁以上のJPサイトが“心臓出血”を放置」、トレンドマイクロの染谷氏に聞く
インターネットセキュリティ分野における“史上最悪の脆弱性”とも言われるOpenSSLの「Heartbleed(心臓出血)」脆弱性。様々なメディアで大きく報じられた後、騒ぎはかなり収まったように見えるが、肝心な対策はどれくらい進んでいるのか。トレンドマイクロでセキュリティエバンジェリストを務める染谷征良氏に聞いた。 2014年4月7日に公表されたOpenSSLのHeartbleed(心臓出血)脆弱性。きわめて単純な操作で痕跡を残さずにサーバーのメモリー情報を抜き出せるという事実に、衝撃を受けた人は多いだろう。インターネットを安全に利用するための土台を大きく揺るがすこの史上最悪の脆弱性発覚により、世界中にある多数のWebサイトやサービスが早急に対策を講じる必要に迫られた。 対策の進捗状況を調べている会社の一つに、大手セキュリティベンダーのトレンドマイクロがある。同社では、米Amazon.com
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「常時SSL」がセキュリティ対策の抜け穴に、対策を急げ
TechCrunch | Startup and Technology News
