プライバシーマーク認定の一時停止について (三菱電機インフォメーションシステムズ) | スラド セキュリティ
MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。 (03)の部分が審査クリア回数(認定取得の審査を含む)を指します。 2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。 MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前) プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。 そして処分が決定したのが2011年1月25日。 プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。 >> という事だが、今回停止された認定
ドイツではパスワードを設定していない無線LANが罰金対象になりうる | スラド セキュリティ
独裁判所が「家庭用などのプライベートWi-Fiネットワークは、パスワードで保護する所有者義務がある」との判断を下したという(msnbc、本家記事)。 これは、あるミュージシャンが「違法コンテンツのダウンロードによって著作権を侵害された」として、Wi-Fiネットワークの所有者を相手取り起こした訴訟内での判断とのこと。ネットワークの所有者はコンテンツがダウンロードされた際は旅行で家を空けていたそうだが、裁判所は「第三者による悪用を防がなかったという点である一定の責任が生じる」と判断したそうだ。 元記事によると、Wi-Fiネットワークを保護しなかったことによって第三者による違法コンテンツのダウンロードなどが行われた場合、そのネットワークの所有者は最高100ユーロの罰金が科せられる可能性があるとのことだ。また、ネットワークセキュリティのアップデートを常に行う必要があるわけではなく、セットアップ時に
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 | スラド セキュリティ
ストーリー by hylom 2010年01月26日 20時28分 サイトによって傾向の違いとかもあるのかな、 部門より 米セキュリティ企業Impervaは3200万アカウントのパスワードを分析し、報告書(PDF)を発表した(本家記事)。 昨年12月、ソーシャルガジェット大手サイトRockyou.comがハッカーによって侵入され、3200万のアカウント情報が漏えいしたという事件があったそうだが、Impervaはこの件で漏えいしたパスワードを分析対象としたとのこと。報告書によると、約半数のパスワードは名前やスラング、単語、連番の数字やキーボード上の隣接する文字を使ったもので、「!@#$%^&*,;"」など特殊文字を使用したパスワードは4%にも満たなかったという。また、最も使われていたパスワードトップ10は以下の通りだそうだ。 12345612345123456789Passwordilove
パスワード管理の秘策は? | スラド セキュリティ
ストーリー by hylom 2009年11月13日 13時52分 最もよろしくないソリューション「全部同じパスワードにする」 部門より 最近自分のセキュリティに関して再考している。万が一ノートPCが盗まれた場合のことを考えると、Firefoxに自分の銀行サイトなどのパスワードを保存しておくのは良案とは思えない。またパスワードを全て覚えておくというのは、最近の記憶力の衰えた自分の脳みそにはなかなか厳しいのが現状だ。パスワード管理ツールの導入も検討したが、あまりに多くのツールが出回っていて正直把握しきれない。Firefoxのアドオンの「Magic Password Generator」などは良さそうだが、アドオンを入れていないコンピュータを使うこともあるかもしれないし、Firefoxで使う以外のパスワードも管理したい。 出来ればアプリケーションやブラウザ、また端末依存でなく、持ち運びしやすく
「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット | スラド セキュリティ
TechCrunchの記事「初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる」によると、ロシアのセキュリティグループが、「.svn」や「CVS」といったSubversionやCVSの管理ディレクトリを狙ってWebサイトの非公開ファイルを盗み出す手法により、3300あまりのWebサイトのソースコードを入手することに成功したそうだ。 原理は簡単で、Webサイトでうっかり公開されてしまっている.svnや.cvsといったディレクトリを探し、発見したらその中身のデータを吸い出すだけ。確かに言われてみればうっかり見逃しそうなミスではある。皆様もご注意くださいませ。 (追記@14:50)原文では.cvsとなっているが、コメント#1644247で指摘されているとおり、CVSの管理ディレクトリは「.cvs」ではなく「CVS」である。
Apacheに新たな脆弱性発見 | スラド セキュリティ
ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA
セキュリティ専門家が「30分でインターネットをダウンさせられる」と発言 | スラド セキュリティ
セキュリティの専門家であり、ハッキングコンテスト「Pwn2Own」の初代勝者であるDino A. Dai Zovi氏へのロングインタビューがTom's Hardwareに掲載されている(本家/.より)。 内容は彼の経歴や現在メインで使用しているシステム(MacBook ProとMac Proが含まれているそうだ)、リスクと脆弱性の違い、サンドボックスに関する見解、より安全なプラットフォームの選択など多岐に渡っている。 インタビューでは最後に「1998年にL0phtは『30分間もあれば世界中の全てのインターネットをダウンさせられる』と連邦議会で証言したが、(中略)それは今も変わらないと考えるだろうか?」との質問を投げかけている。この質問に対し、Dino A. Dai Zovi氏は「ダウンさせられる」と断言、「しかしそれ以上は言えない。インターネットは我々が考えるよりも脆く、コアとなっている多
SSH通信において低確率ながら一部データが漏えいする可能性 | スラド セキュリティ
JVNの記事によれば、暗号通信プロトコル「SSH」で使用される通信方式の一部に対する攻撃方法が報告されたらしい。低確率ながら、この攻撃が成立した場合、ひとつの暗号化ブロックから 32ビットの平文を取り出すことが可能とのこと。対策として、CBC(Cipher Block Chaining)モードではなく CTR(CounTR)モードを使用することが挙げられている。 また、セキュリティホール memoの記事およびCPNIのアドバイザリによれば、 少なくとも OpenSSH 4.7p1 に欠陥 2-18 という極めて低い確率ではあるが、任意の暗号化ブロックから 32bit の平文を取り出すことができる この手法の変形版を使用すると、2-14 の確率で 14bit の平文を取り出すことができる 他の SSH 実装での状況は不明 (だが同様か?!) OpenSSH の場合、OpenSSH 3.7 以
DNSキャッシュ汚染に関する脆弱性が公表さる | スラド セキュリティ
US-CERTは、DNSプロトコルおよび一般的なDNS実装における機能欠如により、DNSキャッシュ中毒攻撃(DNS cache poisoning attacks)を助長する脆弱性の存在を公表した(US-CERT Technical Cyber Security Alert TA08-190B, US-CERT Vulnerability Note VU#800113, CNET記事)。 US-CERT TA08-1908によると、影響するのは次の2点である。 キャッシングDNSリゾルバ DNSスタブリゾルバ の 2つである。この脆弱性を利用した効果的攻撃法も示される状態にある。解決する最善の方法としてはベンダのパッチを適用することだが、暫定的な回避方法として5点挙げられている。 アクセスの制限 ネットワーク境界点におけるトラフィックのフィルタリング ローカルでDNSキャッシュを行う 再帰
データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は? | スラド セキュリティ
INTERNET Watchの記事によると、さくらインターネットのレンタルサーバの1台がクラックされ、6月1日1時52分〜6月2日17時23分の期間、ARP spoofing攻撃が発生していたとのことです。これにより、さくらインターネットの「専用サーバ10Mスタンダード」プランの「219.94.145.0〜219.94.145.127」のIPアドレスのサーバの通信経路が変更されてしまい、クラックされたマシンを通して外部と通信する状態になっていたとのこと。セキュリティホールmemoの記事によりますと、さくらでホストされていたethna.jp や jp2.php.net などのウェブサイトで、HTMLにウイルスを埋め込む<iframe>タグが差し込まれていたと報告されており、どうやらクラックされたマシン上で通信の改ざんが行われたようです。 さくらインターネットは、障害情報のページで「6月4日追
靴底にRFIDを埋め込んで児童の居場所を把握する小学校が登場 | スラド セキュリティ
朝日新聞の記事と産経新聞の記事(共に写真あり)及び毎日新聞の記事によると、大阪教育大学付属池田小学校が、5年生と6年生の全児童の上履きの靴底にRFIDタグを埋め込み、玄関と運動場の出入り口のマットの下にRFID読み取り機のアンテナを配備して、そこを通る児童をコンピュータで記録するシステムを導入したという。記録された情報は、職員室のパソコンで閲覧できるほか、担任教師の携帯電話でも確認できるそうだ。1年間の実験とのことだが、継続することも検討するという。 同校の校長で学校安全が専門の藤田大輔大阪教育大学教授は、「くつの中に埋め込めばICタグを付け忘れる心配もない」、「地震や火災などで逃げ遅れた子供を早期に発見できればいい」などと話しているとのこと。4、5年前から繰り返されてきたこの種の実験には食傷気味だが、ここまで人間の尊厳に気を遣わない直球な手法が登場したのは今になってこれが初のようだ。文部
スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
SSL 証明書の運用管理どうしてますか? | スラド セキュリティ
uxi曰く、"今朝、livedoor wiki にログインしようとして気付いたのですが本日 10/20 の 9 時をもって SSL 証明書の有効期限が切れになってしまったらしく、接続時に警告が表示されるようになっていました。 (参考: SSL モードの livedoor ID 登録) 公式CAを通した証明書は、コストもかかりますから無駄に更新するのも馬鹿げていますが、スケジュールを詰め過ぎてしまうと、今回のように有効期限切れの期間が生ずる可能性があるかもしれません。また、スケジュールに相当余裕を見ていたとしても、更新手続きがスムーズに行かず、スケジュール通りに行かない事もあるかもしれません。 経路の暗号化のみを行いたい場合、独自CAによる証明書を使うことも少なくないと思いますし、 有効期限切れになったからと言って、即 SSL の安全性が大きく揺らぐわけではありません。 しかし SSL がど
知らぬ間にファイルに摺り込まれる情報、気にしてますか? | スラド セキュリティ
例えばMS-Excelなら、OSのセットアップ時やソフトウェア自体のインストール時に登録された「企業名」「担当者名」などの情報が標準状態では全てのファイルに書き込まれる(当人が意識できていない状況では、むしろファイル自体に摺り込まれていると云えるかも)訳ですが、それが元で談合の嫌疑がかけられたという事例が報告(日経BP KEN-Platz)されております。実態としては過去の類似案件にて施工業者から提供された(おそらくは納品物である)特定のファイルをそのまま転用してしまったと言う事のようですが、なるほど、確かにそのようなプロパティの存在を知らずに外部提供のファイルをそのまま転用しているという人は結構存在していそうです。 /.Jな皆さんはその辺は気にしているとは思いますが、それでもうっかり忘れで痛い目にあったり、逆に取引相手からもらったファイルが競合他社からの提出物(そのもの、或いは、転用物)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
