NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
スマートロックが解錠不能に、顧客500人に影響--アップデートの不具合が原因
玄関ドアなどのスマートロックシステムを手がけるLockStateの顧客(およそ500人に上る)が先日帰宅したところ、ドアの錠に取り付けた同社のロックシステム「RemoteLock LS-6i/6000i」が、ファームウェアアップデートの失敗によって操作できない状態になっていた。 LockStateの最高経営責任者(CEO)Nolan Mondrow氏は顧客に宛てたメールの中で、「ソフトウェアのアップデートがユーザーのロックに配布されたが、その後、当社のサーバへ再接続することができなくなった。このため、リモートで修正することができなくなった」と説明した。 この事故からは、いわゆるIoT(モノのインターネット)と自宅での居場所を争うようにして急増しているアプリで動くガジェットや機器の、安全性(と信頼性)に対する懸念が浮かび上がる。われわれが日常で使うデバイスにクラウドベースで機能するものが多く
美しすぎる「暗号」のエロティシズム──人類数千年の叡智を1冊に 講談社 今日のおすすめ
骨太な一冊だ。だいいち、見た目からして厚い。帯には「日本暗号学の不朽の古典」とも謳(うた)われている。ある分野で金字塔とされる大著は得てして、門外漢にとっては退屈な話ともなりうるから、身構えてしまう人も多いだろう。しかし、本書に限っては、まったくの杞憂。文系であれ、理系であれ、そんなことは関係ない。どちらにも門戸を開き、楽しい教養の旅とへ誘ってくれる好著となっている。 本書が扱う「暗号」のフィールドがとにかく広いことに驚く。一般に、暗号の定義は「意思の伝達を第三者に秘匿すること、あるいはその方法」とされているようだが、著者はこれを額面通りには受け取らない。「コトバを知らないものにとっては、コトバの使用そのものが秘匿の効果をもっていた」のだから、「コトバ」はすでに暗号だというのが著者の「暗号」観だ。「万葉集」の表記法しかり、フレイザーの『金枝篇』に記された未開社会の神話・古代信仰おける名づけ
情報セキュリティ白書2015:IPA 独立行政法人 情報処理推進機構
IPAでは、情報セキュリティ全般に関する状況をまとめた書籍「情報セキュリティ白書」を2008年から毎年発行しています。本白書は、企業・組織のシステム開発者や運用者を対象に、情報セキュリティインシデントや攻撃の手口に関する現状、及び対策に役立つ情報を提供すること、また、パソコンやスマートフォンを使用する一般の利用者に対しても、身近にある情報セキュリティ上の脅威への認識を促すことを目的に制作しています。 本白書が対象とする2014年度には、インターネット基盤を揺るがす複数の脆弱性が明らかになり、それを悪用した攻撃も確認されました。また、インターネットバンキングの法人口座における不正送金被害の拡大や、政府機関や重要インフラ企業の機密情報を狙った標的型攻撃も発生しました。さらに、外部からの攻撃だけではなく、内部不正による被害が相次いで表面化したことも特徴として挙げられます。法制面では、同年11月の
パスワードの最適変更間隔とその定量的効果の評価
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
パスワードを不要にする技術が次の10億ドル産業になる | ライフハッカー・ジャパン
Inc.:パスワードに頼ったオンライン生活はもはや安全とは言えないものになりつつあります。どんなに複雑なパスワードを使っていても、誰かに見破られ、オンラインで公開されてしまえばそれまでです。 これが、2要素認証ビジネスが拡大している理由です。2要素認証とは、ログインパスワードとは別に、携帯などもう1つのデバイスに、電話をしたり、テキストメッセージを送ったりして、本人確認を行う方法です。サインアップやログインの手続きがひとつ増えることになりますが、セキュリティはがぜん強固になります。携帯電話を手元から話さない限り、他者があなたになりすましてログインすることは不可能です。米紙 『ウォールストリート・ジャーナル』のレポーター、クリストファー・ミムズ氏が、自身が行った挑戦的な実験についてレポートしています。ミムズ氏は、2要素認証をオンにしてから、膨大な読者を持つ同紙に自分のTwitterパスワード
プロ仕様で価格10分の1のホームセキュリティ「Safie」が、「Makuake」で先行予約を受付開始 - BRIDGE(ブリッジ)テクノロジー&スタートアップ情報
自宅や店舗などで設置カメラをWi-Fiに接続すると、スマートフォンでいつでも動画が確認できるスマートセキュリティシステム「Safie(セーフィー)」が本日発表されました。ネットワーク型 防犯カメラ本体は1.98万円、録画とアラート機能は月額980円と、従来のサービスより圧倒的に安価なことが特徴です。 プロ仕様の10分の1の価格で高性能 商業施設や公共施設などはもちろんのこと、家庭でもセキュリティのニーズは高まる一方。ところが、思うように普及していないのが現状です。それもそのはず。従来の防犯カメラの導入初期費用は50万円以上で、そこに5,000円から1万円の月額運用費用がかかります。高額であるにも関わらず、録画された動画の解像度は低く(そもそも動画ではなく連続静止画の場合も)、保存も端末のみに行われるためネットワーク越しに見ることができないという不便があります。 そんな課題をいっきに解決する
DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点”
2015年10月、いよいよ日本で「マイナンバー制度」が始動する。同制度により、行政機関のみならず、全ての民間事業者に一層厳格な個人情報管理が要求されることをご存じだろうか? どのような理由で、何が求められ、どういった対応が必要になるのか──日本オラクルのスペシャリストが解説する。[セキュリティ対策][Database Security] 2015年10月、全ての日本国民に対する「マイナンバー(社会保障/税番号)」の通知が始まり、翌(2016)年1月から実運用が開始される。「社会保障と税の一体改革」を目的とする「社会保障・税番号制度(通称:マイナンバー制度)※1」が、いよいよスタートを切るわけだ。 ご存じの通り、この制度では日本国民全てに「唯一無二」の番号(12桁の番号)が割り当てられ、その番号に基づいて全国自治体/中央行政機関が個別に管理する個人情報の相互連携が実現される(ただし、連携はさ
2015年に求められる5つのITスキル
Erin Carson (TechRepublic) 翻訳校正: 川村インターナショナル 2015-01-05 06:00 データベース管理 データについては大げさな話も多いが、効果的に使えば強力なものになり得る。 「自分たちが集めているデータにはかなりの力があると、企業は気づいている。われわれはその可能性を生かす方法を見つけだして活用し、それを企業グループの手に返すことで、企業が優れたビジネス上の意思決定を下し、正しくトレンドをつかむための手助けができる」(Reed氏) Stanger氏は、データの収集に取り組む業務はどれも、関連テクノロジや、データベース管理とデータベース設計に関する業務と同じように、有望な業務だと考えている。 「優れたデータベース担当者は、MongoDBを理解できるようになったら(型通りなアプローチのようだが)、OracleやIBM DBだけでなく、MongoDBや、
【拡散希望】キャッシュカードを騙し取ろうとする手口が発生 !!
どうか被害が出ませんように! 「なにかあったらいつでも電話させてね」とおっしゃってくださるご相談者のお陰で、新手と思われる詐欺の手口がわかり、消費生活センター、警察、銀行が注意喚起し、新聞が報じてくれました。 「他の誰かが騙されるといけないから」と情報提供してくださったお陰です。 続きを読む
OCN、パスワード定期的変更しない利用者、ログイン制限へ
awamori @awamori_tt OCNから利用者宛てに「メールサービスのパスワードを定期変更しないと一定期間、接続制限するぞ」というメールが来た 2014-11-12 13:40:56 しの @SH1N0 OCNメールアドレス(OCN ID)のパスワード変更のお願いについて ocn.ne.jp/info/announce/… とうとうパスワードを定期変更しないとサービスを使わせないって所が出てきた。 2014-11-12 16:17:29
ソニーはパスワード数千個を「パスワード」というフォルダに保管していた
ソニーはパスワード数千個を「パスワード」というフォルダに保管していた2014.12.05 12:305,509 satomi それはあまりにも当たり前の場所だった。 北朝鮮(?)のハックで、社員6800人の給与がリークし年収1億円超えの経営陣が白人男性ばっかり(9割弱)なことが判明したソニー・ピクチャーズ・エンターテイメント。 ITの中の人かわいそうに…今ごろ死んでるだろうな…と心底同情していたら、こんなものが出てきました。 大事なパスワード保管庫の名前が「Password」って…壁に何発か頭ぶつけてよしだよ! どうりで昨日第2弾のデータの山がリークされたら、あっという間にBuzzfeedがFacebook、MySpace、YouTube、Twitterの「映画大作の公式アカウントのユーザー名とパスワード」を探し当ててしまったわけですよ。仕事早いと思ったらなんのことはない。「Passwor
「Bluetooth 4.2」発表 2.5倍高速になり、セキュリティも強化
Bluetooth規格を策定する「Bluetooth Special Interest Group」(Bluetooth SIG)は12月3日(現地時間)、Bluetooth無線技術の最新仕様「Bluetooth 4.2」を発表した。 セキュリティ、スピード、そしてIoT(モノのインターネット)のための接続性の強化が主な改定ポイントだ。 セキュリティ関連 新しいセキュリティ機能では、ユーザーの許可なしではBluetooth接続から端末を追跡することができなくなる。例えば米AppleのiBeaconや米SquareのSquare Cashなど、Bluetooth Low Energy(BLE)を採用するサービスが従来よりさらに安全になるとしている。 2.5倍高速化 「Bluetooth Smart」対応機器同士の接続でのデータ転送速度が従来の2.5倍になり、転送エラーもバッテリー消費も減少す
「ドメイン名ハイジャック」攻撃に残るリスク、企業はどう対処する?
「登録情報の不正書き換えによるドメイン名ハイジャック(ドメイン名乗っ取り)」という耳慣れない攻撃手法の多発によって、企業がセキュリティ事件に巻き込まれるリスクが高まっている。同攻撃手法による被害は2年ほど前から海外では確認されていたが、2014年に入ってついに国内企業にもその矛先が向けられた。9月から10月にかけて、日本経済新聞社やはてななど複数の国内企業のWebサイトが被害に遭っていたことが判明している。 こうした状況を受けて11月上旬、JPCERTコーディネーションセンター(JPCERT/CC)やJPドメイン名を管理する日本レジストリサービス(JPRS)は、国内のドメイン名ユーザーに対して広く警戒を呼びかけた(関連記事:登録情報不正書き換えによる「ドメイン名乗っ取り」、JPRSが緊急警告)。その後約1カ月が経過して、その後国内企業が被害に遭ったという追加報告は出ていないが、企業がドメイ
記者は「BadUSB」を試してみた、そして凍りついた
「BadUSB」という非常に危険な脆弱性をご存じだろうか。まだ大きな事件として明るみに出たものはなく、あまり知られてはいない。しかし今後、様々な方法でこの脆弱性が悪用され、企業ユーザーのITシステムが狙われる危険がある(関連記事:ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」)。危険性を正しく知ってもらうべく、また自分自身で怖さを理解すべく、記者は今回、自ら環境を構築してBadUSBの動作を確認した――。 セキュリティ分野は特に「自分で触ってみるとよく分かる」 記者は、自分の目で見たり触ったりして確認できたものしか基本的に信じない性格である。もちろん、記事を書くに当たって、あらゆる物事を自分で確認できるはずはない。確認できないケースについては、代わりにその事実を確認した人(一次ソース)に取材することなどにより情報を得るが、自ら確認できるチャンスが少しでもあれば、
ちっともかわいくなかった、セキュリティ界の「POODLE」
ちっともかわいくなかった、セキュリティ界の「POODLE」:セキュリティクラスター まとめのまとめ 2014年10月版(1/3 ページ) 2014年10月は、SSLv3の脆弱性、通称「POODLE」の対応に追われました。各種バグを見つけて報奨金を得るバグ・ハンターにも注目が集まります。 連載目次 2014年10月のセキュリティクラスターは、2014年9月末からの「ShellShock」を引きずっている人が多かったようですが、これを吹き飛ばすかのように、SSLv3の大きな脆弱性「POODLE」が発見され、この対処に追われた人が多く見られました。 そしてまたも、パスワードの定期変更の話題が沸き上がり、今度こそ一応の終結が見えそうな雰囲気でした。その他にも10月11日に開催された「PHPカンファレンス2014」において、セキュリティサイドの徳丸浩さんとPHPサイドの大垣靖男さんの直接バトルや、越
情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。 みなさんが勤める会社に、「パスワードは1カ月に1度変更しましょう」といった決まりはありますか。もしもあなたが(1人)情報システム部や(1人)システム管理者だとしたら、頭を悩ませている問題でしょう。 パスワードの定期変更は、ごく一部の事象には有効的です。よーく考えてみると、それ以前にやるべきことがたくさんあることに気が付くはずです。 パスワード定期変更が有効な場合って? 筆者もいくつかの企業を転々としていましたが、ほとんどの企業で「パスワードの定期変更」を強制されました。あるシステムでは1カ月経つとパスワード変更ダイアログが表示され、過去3回分とは異なるパスワードを求められたことも。 しかし、パスワードの定期変更は「何らかの方法でパ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
070900526
他人事ではないWebセキュリティ
