「アイティメディアの高橋と申します。今、Twitter上で、御社から顧客情報が漏えいしているのではないかという書き込みが複数流れているのですが、どういうことでしょうか?」──もし広報の窓口にこんな問い合わせが来たら、皆さんの会社ではどう対応するだろうか。クラウド型会計・人事サービスを提供するfreeeではこんな風に、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。 顧客・マスコミなど社外とのやりとりにもフォーカス freeeには2018年10月、会計処理の集中する月末に2時間半にわたってサービスが停止するという大障害を発生させてしまった苦い経験がある。その反省を踏まえ、記憶を風化させず、いざというときに適切な対処を迅速に取れるよう、全社にまたがる障害対応訓練を毎年10月に実施している。 21年の障害対応訓練は、今まさに猛威を振るうランサムウェアを題材にしたものだった。サプライチ
テクノロジーの発達によって、生活は便利になっている一方で、誰もがサイバー犯罪とは無縁でいられなくなった現代。株式会社網屋主催の「Security BLAZE 2022」では、セキュリティの最前線で活躍するエキスパートが集結し、さまざまなサイバー犯罪の手口や対策方法について講演を行いました。本記事では株式会社サイバーディフェンス研究所の名和利男氏による「有事と連動して発生するサイバー攻撃の手口」をお送りします。 有事と連動して発生するサイバー行為の手口 名和利男氏:サイバーセキュリティを専門にしている、名和と申します。本日は「有事と連動して発生するサイバー行為の手口」というタイトルで話をさせていただきます。 講演概要は、特にサイバー攻撃や認知戦というカテゴリーの中で、これまでとは大きく違うことと、またシステム構築、改修にあたって、その想定脅威となるリスクを大きく見直す必要があることを強くお伝
脆弱性診断ツール「OWASP ZAP」は、脆弱性だらけのWebアプリケーション「EasyBuggy」の脆弱性をどの程度検出できるでしょうか? 今回は次の基本的な機能で検証してみました。 簡易スキャン:WebアプリケーションのルートのURLを入力すると、OWASP ZAPがその配下をクロールして脆弱性があるか診断する。 静的スキャン:ブラウザ上でWebアプリケーションの基本的な機能を一通り手作業で動かすと、OWASP ZAPがレスポンスの内容などを検査する。 動的スキャン:静的スキャンで行った操作を、OWASP ZAPがリクエストパラメータを変えるなどして再実行し、診断する。 なお、検証で行った作業内容もこのページ載せていますので、OWASP ZAPを試してみたい方は参考にしてみて下さい。 はじめに OWASP ZAPとは その前にOWASP ZAPについて簡単に説明しておきます。「OWAS
先日 GHOST と呼ばれる glibc の脆弱性が発表された。なんでも、「リモートから任意のコードを実行できる可能性がある」らしいではないか。しかも様々なプログラムで利用されているライブラリ部分の問題とあって、影響範囲がとても広い。なかなか厄介なことである。 はて、しかし一体全体どうやってリモートから任意のコードを実行しようというのだろう? 話を聞くに、たかが数バイトの情報を範囲外のメモリに書き込める可能性があるだけだという。実際それだけのことでサーバーの乗っ取りなどできるものなのだろうか。そんなわけで、その疑問に答えるべく、本記事では以下の URL で解説されている実際の攻撃方法を若干端折って紹介してみようと思う。 http://www.openwall.com/lists/oss-security/2015/01/27/9 なお、本記事はこの脆弱性そのものに対する緊急度などについて言
設定したUSBメモリをPCから外すとPCの操作が不能になり、誰かが不正にPCを操作をすると警告を鳴らし、パスワード不要でUSBメモリを接続するだけで操作が再開できるフリーソフトが「Predator」です。Twitterと連携して警告をつぶやくこともでき、Windows XP・Vista・7・2003・2008上で起動可能です。 ダウンロード、インストール、設定方法、操作ムービーについては以下から。 Download PREDATOR Free Edition | PREDATOR http://www.predator-usb.com/predator/en/index.php?n=Main.DownloadFree 64bit版のWindowsにインストールするので、上記サイトの下部にある「Download Predator Free Edition for 64-bit Windows
[Android]落としたスマホを即発見!? 遠隔ロック/アラームが可能な無料アプリ『Avira Free Android Security』 #TABROID2012.03.29 18:30 TABROIDより転載 : あれ、私のスマホ、どこ行った!?という時に! パソコンから遠隔操作で操作ロックができるだけでなく、いまそのスマホがどこにあるのかを地図表示したりアラームを鳴らすことまでできるアプリ『Avira Free Android Security』。非常に多機能で、かつ確かな働きをしてくれるこのアプリが無料だというのに、まず驚きました。 機能は多々ありますが、特にこのアラーム機能、私はすごく気に入りました。本来はスマホが盗難に遭ったときを想定している機能だと思いますが、意外に身近なシチュエーションで使えるような気がするのです。 それは、部屋でくつろぎながら「さっきまで持ってたはずな
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
Androidスマートフォンにとって、今やセキュリティ対策アプリは必須の装備の1つとなりつつある。相次いで発見される、悪意を持ったアプリケーション(マルウェア)のニュースを目にしたことがある読者もいるだろう。Androidはもともとオープンを売りにするプラットフォームだけに、開発者やアプリケーションに対する審査が甘い。つまり、自由にアプリを作って配布するのが容易である一方、悪意を持ったユーザーに悪用される危険性と表裏一体となっている。特にAndroidはユーザーが急激に増えつつあるため、ターゲットになりやすい傾向にある。 大手アンチウイルスベンダーは続々と専用アプリの提供を開始し、PCと同じように、有料の期間契約で利用できるサポートサービスも登場している。たとえ有料でも、安心してスマートフォンを利用したいというニーズも、徐々に高まってきているようだ。また、無料のアプリでは本当に保護してもら
多くのユーザがSSL通信(https)の中身を傍受されていた可能性があるようです。 今回、この問題が報告されたのはイラン国内からのGoogleへの通信を行った場合です。 約2ヶ月間にわたってイラン国内からのSSL通信で、検索結果、Gmailに含まれるメールの中身、その他情報が傍受されていたかも知れません。 EFF: Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities Google Online Security Blog: An update on attempted man-in-the-middle attacks 傍受の手法 本来、暗号化されたSSL通信の傍受は困難です。 今回利用された方法はMan-In-The-Middl
Login with Google Account GoogleのアカウントにOpenIDでログインする実装チュートリアルが公開されています 実装コードはPHPで、参考にしてGoogleにログインして名前とメールアドレスを表示させるようなものになっているみたいです。 本番等にそのまま使うのはよくないと思いますが、たたき台として参考にできるかもしれません PHP+MySQL+PHP-Sessionを利用して実装されているみたいです。 関連エントリ ログイン/ユーザ登録といったフォーム実装用のフレームワーク「jFormer」 色々なサービスへ一発でログインできるオープンソース「Clipperz Community Edition」
ソニーが先日、「PlayStation Network(PSN)」および「Qriocity」ユーザー約7700万人の名前、住所、国、メールアドレス、誕生日、同サービスを利用するためのパスワード、オンラインID、購入履歴、請求先、パスワードセキュリティに対する回答を含む個人情報が流出した可能性があることを発表しました。 あくまで「流出した可能性を否定しきれない」とするにとどまり、実際に流出したかどうかは確認できていませんが、もしそれらの情報が流出した場合、裏市場ではいくらで取引されるのか……という興味深いデータをセキュリティ企業「G Data Software」が明らかにしました。 今後の対策などについての情報を合わせた詳細は以下から。 G Data Softwareが本日付で発表したプレスリリースによると、現在流出したおそれがあるとしているデータは「氏名」「住所」「国籍」「メールアドレス」
「モバゲーが退会しても個人情報を削除してくれない」の続きでございます。 多分、今日の昼間に会議があったと思うので、先のメールでこっちの提案を書いとけば良かったなーと後悔しつつ。「退会してから90日後にメールアドレスと携帯電話番号部分だけNULL埋め」が、モバゲーも開発コストがそれほどかからず(簡単なスクリプト書いて1日1回走るcronセットするだけ)不正を防げて、元ユーザーも安心で一番いいかなーと思っていたんですが。 モバゲー事務局から私への返信: 差出人: support <support@mbga.jp> 件名: お問い合わせについて[スマートフォン] 日時: 2011年4月25日 19:40:07JST 宛先: <xxx@example.jp> 返信先: support <support@mbga.jp> モバゲー事務局です。 このたびは、ご連絡が遅くなり申し訳ございません。 ご連絡
2月下旬にセキュリティソフト大手のシマンテックが日本語版Androidアプリケーションでは初となる、ウイルスが混入したものが配信されていることを発表しましたが、Googleがウイルスなどの悪意あるアプリケーションへの対応について正式に発表しました。 なお、上記写真は先日NTTドコモから発表された世界最薄スマートフォン「MEDIAS」です。 詳細は以下から。 An Update on Android Market Security - Official Google Mobile Blog Googleの公式ブログによると、同社は3月1日にAndroid Market上に複数の悪意あるアプリケーションが配信されている状態であることに気付き、即座に対応を行ったそうです。 これらのアプリケーションは既に明らかになっているAndroid OSの脆弱性をついたもので、バージョン2.2.2以上には影響
昨年末のスマートフォンラッシュにより、日本でも順調に普及し始めているAndroidスマートフォンですが、海外に続いて、ついに日本でもウイルスが混入したアプリケーションが配信されていたことが明らかになりました。 動作は正規のアプリとほぼ同じものであるため、一見しても悪意があるソフトウェアであるのかどうかは分かりづらくなっていますが、見分け方なども解説されています。 なお、上記画像は先日発表されたデュアルコアCPU搭載でタイムラグがほとんど無いマルチタスクなどを実現した超ハイエンドなAndroidスマートフォン「GALAXY S II」です。 詳細は以下から。 Android用マルウェア、日本語版アプリにも混入 - ノートン コミュニティ 日本版 セキュリティソフト「ノートン」シリーズでおなじみのシマンテックの公式ページによると、日本語版アプリで初めてマルウェア(悪意あるソフトウェア、ウイルス
独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)は、「コンピュータウイルス・不正アクセスの届出状況 【2011年1月分】」のなかで、Androidを採用しているスマートフォンやタブレット型端末の一部で感染力のあるウイルスが発見されたことから、国内スマートフォン利用者に注意をうながしている。 これまで、国内で使われていた携帯電話は、仕様その他がさまざまで、ウイルスなどの被害に遭いにくかったが、スマートフォンは世界的な規模で共通のOSを使用しているため、パソコンと同じようにウイルスの脅威に曝されているという。また、アプリ開発のための情報が公開されており、ユーザーが自由に開発できる環境にあること、またそのアプリを利用者が簡単にスマートフォンに追加できることも原因のひとつと考えられている。スマートフォンは自由度が高い反面、セキュリティー面では、従来の国内の携帯電話に比べると脆弱
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く