パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
あのパスワード規則、実は失敗作だった - WSJ
パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
量子コンピュータ耐性があるランポート署名について解説して、シェルスクリプトで実装してみた - Qiita
こうすることで、アリスは自分で検証した署名と、元からボブからもらっていた公開鍵とを比べて等しかったら、検証が完了します。 もしボブ以外が署名を作った=本来とは違う方の乱数対を署名として配った場合、ボブの検証作業に必要な乱数対がアリスは手に入りません。なのでハッシュ値が合わなくなり、データが本物ではないことがわかります。 つまり 乱数をすべて知っているのはボブだけなのです。 つまり、送りたいデータの(ハッシュ値の)ビットごとに乱数を選んで、署名とすることで、自分だけが乱数を持っていると証明できます。 アリスは、元からボブの公開鍵を持っているので、ボブから渡された乱数(署名)のハッシュさえとれば、乱数が正しいかわかります。 まとめ 512個の乱数を作って、そのハッシュ値を公開鍵として公開。 署名したいデータのハッシュ値の2進数列を元に、乱数を選んでそのまま署名として公開。 署名の乱数をハッシュ
無線LAN無断使用「違法です」 無罪判決で総務省見解:朝日新聞デジタル
隣人の無線LANのパスワードを解読して使ったことが電波法違反にあたるかが争われ、東京地裁が4月に無罪判決を出したことに絡み、総務省は12日、「同様の事例は電波法違反にあたる」との見解を示した。パスワードの解読のために通信を傍受して悪用することが、電波法が禁じる「無線通信の秘密の窃用(盗んで使うこと)」にあたるという。 裁判では、パスワードそのものが通信の秘密にあたるかどうかが争われた。判決は、パスワードは通信されていないため通信の秘密にあたらないと判断され、電波法上は無罪とした。 総務省によると、今回解読されたのは「WEP」という古い方式の暗号で、解読する機器が出回っているという。利用者のパソコンなどが無線LAN機器に送っている通信を傍受し、それを複製して無線LAN機器に送ることでデータを入手、これを分析してパスワードを解読する仕組みだ。 この行為は電波法109条第1項に違反し、1年以下の
HPのPCにキーロガー? セキュリティ企業が指摘
全てのキー入力を記録したログファイルが、ユーザーにも読める状態で、Cドライブのフォルダ内に保存されているという。 スイスのセキュリティ企業modzeroは5月11日、HPのPC向けオーディオドライバに、入力内容を記録するキーロガーを見付けたと伝えた。 modzeroによると、問題のオーディオドライバは、半導体メーカーのConexantが開発したもので、HPのWebサイトでドライバパッケージとして提供されていた キーロガーは2015年の12月ごろからHPのコンピュータに存在していたことが判明。最新バージョンの1.0.0.46では、全てのキー入力を記録したログファイルが、Cドライブの「ユーザー」フォルダ内にある「パブリック」フォルダに「MicTray.log」の名称で保存され、ユーザーが読める状態になっているという。 このファイルはログインするたびに上書きされるが、プロセス実行やフォレンシック
GoogleとFacebook、詐欺メールに100億円以上を振り込んでいた
世界的なネット企業2社が、取引先を装った詐欺メールの被害に遭っていたことが分かって話題になっているが、その2社とはGoogleとFacebookであることが米Fortuneの取材で明らかになった。 近年、取引先企業や経営者の名前を装って企業の財務担当者にメールを送り付け、ダミーの銀行口座に多額の送金をさせる詐欺(標的型攻撃)が世界中で多発している。最近ではバービー人形で知られる玩具メーカーの米Mattelが、300万ドルの被害に遭う寸前だったことが報じられた。しかし今回は、Mattelのような一般企業ではなく世界最先端のIT企業2社が、より多額の被害に遭ったことで注目が集まっている。 米司法省によると、両者を狙ったのはリトアニア国籍のEvaldas Rimasauskasという人物。GoogleとFacebookの財務担当者のメールアドレス、取引先企業の請求書フォーマットなどを詳細に調べ上
人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ
通信の安全を保証するプロトコル「HTTPS」が採用されているURLの表記が正しければ、それが正規サイトだと認識するのは自然なことですが、ブラウザのURL表記上からは見抜けないフィッシング詐欺の危険性が指摘されています。このフィッシング詐欺は「homograph attack(ホモグラフ攻撃)」を進化させた手法を用いており、ブラウザに内在する脆弱性を突いたもので、人間が画面表示から詐欺サイトであることを見抜くことは不可能。現実問題として「ブラウザ側の対応を待つしか対策法はない」と言える状況です。 This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.htm
ビジネス用ソフトの欠陥突くサイバー攻撃相次ぐ | NHKニュース
国内の1万余りの企業などに採用されているビジネス用ソフトの欠陥を悪用し、特定の企業を狙って機密情報を盗み出すサイバー攻撃が相次いでいることが情報セキュリティー会社の調査でわかりました。欠陥を修正するソフトも配布されていますが、今も攻撃は続いているということです。 このソフトは、組織内のパソコンの使用状況を監視するもので、会社側の説明では国内の1万余りの企業や自治体などで採用されています。ところが、去年6月以降、このソフトの欠陥を悪用してシステムに侵入するサイバー攻撃が相次いでいることが情報セキュリティー会社の調査でわかりました。それによりますと、重要インフラの関連メーカーなど複数の企業が繰り返し侵入され、開発中の製品の情報や会議の議事録、メールなどが盗み出されたということです。ソフトを開発した会社では去年12月に欠陥を公表して修正用のプログラムを配布し、情報セキュリティーの専門機関なども注
仕事が大変です
セキュリティや情報流出を防ぐためにソフトやサービスの利用が制限されています。インターネットへの接続は外注ソフトでいつの間にか防がれていて、ログも取られているようです。情報システム部の人たちがニヤニヤしながら誰がどこにつなごうとしてブロックされてたと話していました。 ソフトもインストールできません。管理者権限は情報システム部の人たちが持っているので、ポータブル版のソフトを入れたとしてもバレます。 私はいわゆる社内SEという立場で社内用のWebサイトを作っているのですが、エディタがインストール出来ないのでWordで作っています。メモ帳ですとLFが認識できずに一行になってしまうので。PHPのコードもWordで書きます。PHPの実行環境(コンソール)は使えません。なので、社内サイトの本番ディレクトリ配下にPHPのコードを直接おいて、それをブラウザで読み込みリロードしながら作っていきます。 社内に外
「人類に生体認証は早すぎたんだ」(その1:銀行ATMの手のひら静脈認証編) - 🍉しいたげられたしいたけ
ブログタイトルの主語が大きいのはネタですからね。身の回りで生体認証に嫌われることが2件ほど連続しただけです。断っておかないと、ごちゃごちゃ言う奴がいるから。 メインバンクとして、某メガバンクを使っている。最初に口座を開いた時は、地元に本店のある地銀みたいな一応都銀だったが、何度かの合併再編を経てそうなった。いらんことだが今にして考えると、あっこいつもイメージカラーが赤系統だな。何の役にも立たない気づきだけど。 何年か前から、そこのATMに必ず手のひら静脈認証機がつくようになった。他人事だと思っていたが、何かの折に、生体情報を登録するとATMによる引き出しや資金移動の上限額が二倍になることを知った。年に一、二度、百万円をちょっと超すくらいの資金移動をする機会があるので、資金移動の上限額が百万から二百万になると、窓口を使わなくて済むから便利そうだと思った。 言っときますが、個人で百万というと大
ブラウザ拡張の権限でどこまで悪いことをできるのか?とその対策【デモあり】 - Qiita
[2018/07/07 追記] 本記事ではChrome拡張について説明していますが、Firefox1やEdgeの拡張機能もほぼ同じ仕組みで動いています。 [2023/11/06 追記] #参考 ページを追加しました。 Chrome拡張。便利な機能を簡単に追加できるので使っている人も多いと思います。 ただ、インストール時の権限の注意書きが分かり難いので無条件に承認(追加)していることもあるのではないかと思われます。 そこで、本記事ではChrome拡張の権限の種類・確認方法の他、拡張がどこまで(悪いことを)できるのかとその対策を3段階の権限(危険性)レベルごとに紹介していきたいと思います。 便利だが危険性もあるChrome拡張 Chrome拡張をインストールすると、Webページを読むというブラウザ本来の機能だけでなく様々なことができるようになります。 例えば、Webメールの新着通知や記事などの
LINE乗っ取られたのでその鮮やかなる手口を恥を忍んで公開しましょう - はてなブログを毎日書いていたら10Kg痩せました!
どうも、情弱です。 いやー、やられました。 先程見事にLINEを乗っ取られてしまいました。 今まではLINEで「今ひま?ちょっと手伝ってもらっていい?」というプリカをねだるメッセージが来る度に「情www弱www乙www」と笑っていたのですが、今日からぼくもそちら側です、よろしくお願いいたします。 今回の件で、やはり一番怖いのは機械的なハッキングでなくて心の隙を突かれるソーシャル・エンジニアリングだなと実感しました。 騙されちゃったらもう説得力ありませんが、僕は昔からネットのエロサイトで鍛えた眼力があって、そうそうネットのフィッシングなどには引っかかったことが無いのですが、それでもちょっと気が緩めばネットでは死んでしまうというよい事例です。 めっちょ恥ずかしいですが、自分の恥が誰かを助けるかもということでここは一発状況を共有しておきましょう。 LINE詐欺はLINE以外のメッセージで来た 僕
【道路崩落】 工事現場関係者、危険を察知し避難→車を使い自主的に交通規制→5分後に崩落→犠牲者ゼロ : 痛いニュース(ノ∀`)
【道路崩落】 工事現場関係者、危険を察知し避難→車を使い自主的に交通規制→5分後に崩落→犠牲者ゼロ 1 名前: ラダームーンサルト(北海道)@\(^o^)/ [ZM]:2016/11/08(火) 22:05:15.24 ID:B6sVcKgS0.net 11月8日、福岡市の博多駅前で、地下鉄の工事中に道路が崩落した事故。深さ15メートルもの巨大な穴があいたにも関わらず、巻き込まれた人はいなかった。早朝とはいえ、九州の玄関口である博多駅の目と鼻の先だ。人通りがまったくない地域ではない。現場では、何があったのか。 作業中に異常があったのは、11月8日午前5時ごろ。トンネル構内で水が噴き出し、工事を止めた。地上に影響が及ぶ可能性があるという判断から、10分後には交通規制が実施され、付近の道路が通行止めになったという。 そしてその5分後の、午前5時15分ごろ、道路が崩落。現場に通行する車両はなく、
Dropboxが6800万件超のアカウント情報を流出させていたことが明らかに
By Ian Lamont クラウドストレージサービスのDropboxが、なんと6800万件分ものアカウント情報をハッカーに盗まれていたことが明らかになりました。 Hackers Stole Account Details for Over 60 Million Dropbox Users | Motherboard http://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts Dropbox hackers stole e-mail addresses, hashed passwords from 68M accounts | Ars Technica UK http://arstechnica.co.uk/security/2016/08/dropbox-hackers-stole-ema
不倫サイトの流出パスワードを解読、強力ハッシュの突破に成功か
既婚者の不倫を奨励していた出会い系サイト「Ashley Madison」から会員情報が盗まれ、インターネットに暴露された事件で、流出したパスワードの保護に使われていた強力なハッシュを破ることに成功したとして、「CynoSure Prime」というクラッキング集団がブログでその方法を公開した。 この事件ではAshley Madisonに登録していた会員の氏名や住所、パスワードなどの情報が大量に流出した。しかし、パスワードは「bcrypt」というアルゴリズムを使ってハッシュ化されており、全てを解読しようと思えば何百年もかかるとも言われていた。 これに対してCynoSure Primeは9月10日のブログで、Ashley Madisonのbcryptハッシュを効率的に破ることに成功したと報告。同サイトから流出したコードを調べた結果、「2つの興味深い機能」が見つかり、この機能を利用すれば、bcry
JTBへの不正アクセスについてまとめてみた - piyolog
2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
C/C++セキュアコーディング File I/O part3:ファイル入出力と競合状態
C/C++ セキュアコーディング File I/O part3: ファイル入出力と競合状態 2010年3月23日 JPCERTコーディネーションセンター Japan Computer Emergency Response Team Coordination Center : Japan Computer Emergency Response Team Coordination Center DN : c=JP, st=Tokyo, l=Chiyoda-ku, email=office@jpcert.or.jp, o=Japan Computer Emergency Response Team Coordination Center, cn=Japan Computer Emergency Response Team Coordination Center : 2010.03.23 17:5
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
既存のx86/ARM CPUほぼ全てに通用するJavaScript攻撃が発見される ~アドレス空間配置のランダム化を突破
/blog/2016/09/msit_malware/
Is it safe to trust a Docker container?
「マイナンバーは必ず狙われる、そして攻撃者は侵入に成功する」、RSA幹部が警告
