98サイト改ざん被害、広告配信通じウイルス : 社会 : YOMIURI ONLINE(読売新聞)
毎日新聞のニュースサイトなど国内98サイトが24日夜、ネット広告会社の広告配信を通じて改ざんされ、コンピューターウイルスを埋め込まれていたことが分かった。 サイトを閲覧すると別の不正サイトに自動的に移動、偽のウイルス対策ソフトによってクレジットカード番号などの個人情報を盗まれた恐れがある。延べ閲覧者数は約800万人に上るとみられる。 ほかに改ざんが確認されたのは、口コミでグルメ情報を紹介する「食べログ」や家電などの価格を比較する「価格.com」、ニュースを配信する「J―CASTニュース」など。 これらのサイトにバナー広告を配信しているネット広告会社「マイクロアド」(東京)のサーバーが海外からのサイバー攻撃を受けてプログラムを書き換えられ、契約している各サイトへの広告配信を通じて次々と感染を広げたとみられる。同社によると、24日午後9時半頃改ざんされ、午後11時半頃に修復した。同社はその間の
すれちがったーのプライバシー問題 - _development,
すれちがったーを使用するうえでのプライバシー問題について、何人かの方からご指摘をいただきました。そのご指摘をふまえて、すれちがったー及びBluetoothのプライバシー問題について述べます。 まず、以前よりBluetoothのプライバシー問題について述べておられる高木浩光さんのブログエントリを紹介しますので、ご一読されることをお勧めします。 高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」.. http://takagi-hiromitsu.jp/diary/20090301.html 高木浩光@自宅の日記 - 首都高速都心環状線でBluetooth追跡できるか + 続・山手線 http://takagi-hiromitsu.jp/diary/20090307.htm
asahi.com(朝日新聞社):ソフト会社、図書館側に不具合伝えず アクセス障害問題 - ネット・ウイルス - デジタル
愛知県岡崎市立図書館のホームページにサイバー攻撃をしたとして男性(39)が逮捕された後、朝日新聞の取材で図書館のソフトの側に攻撃を受けたように見える不具合があることが発覚した問題で、ソフトを開発した三菱電機インフォメーションシステムズ(MDIS)は、2006年の段階で不具合を解消した新しいソフトを作っていたことがわかった。 同社は岡崎の図書館には不具合の情報を伝えていなかった。旧ソフトを使い続けた図書館側は、攻撃を受けたと考えて県警に被害届を提出。男性の逮捕につながっていた。 逮捕され、起訴猶予となった男性は自作プログラムで図書館のホームページから蔵書の新着情報を集めていた。旧ソフトは、蔵書データを呼び出す電算処理を継続したままにする仕組みで、アクセスが集中するとホームページが閲覧できなくなり、サイバー攻撃を受けたように見える不具合があった。 MDISは06年、不具合を解消した新ソフ
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
やんちゃ坊主のWinnyから脱却--配信基盤「SkeedCast 2」を金子氏に聞く
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ドリームボートが開発するP2P型コンテンツ配信プラットフォーム「SkeedCast 2」には、ファイル共有ソフト「Winny」で知られる金子勇氏が開発に参加しており、氏による新たな技術も投入されている。 2009年11月には特許も取得しており、よりセキュリティに配慮したプラットフォームになっているという。今回、そのSkeedCast 2について、ドリームボートに話を聞いた。 やんちゃ坊主のWinnyを優等生に SkeedCast 2は、P2P技術で大容量のコンテンツを配信するためのASP型配信プラットフォーム。大容量データを高速に配信し、DRM(デジタル著作権管理)や課金システムなどを備え、セキュアに配信できるようにしている。 今回新た
学校裏サイトチェッカー
学校裏サイトとは、小学校・中学校・高校に通う生徒達が、学校の公式サイトとは別に同じ学校に通う生徒間での交流や情報交換を目的に立ち上げた非公式なサイトのことを指します。 しかし昨今では根拠のない誹謗・中傷、氏名・住所・電話番号などの個人情報の流布が問題で問題になることがあります。 問題がある表記・不適切な書込み等を発見された場合には書き込みが行われている旨を、書き込みが行われているサイトのサーバ管理者に通報し、被害を最小限に押さえるように協力し合いましょう。当サイトからのリンクの閉鎖も致しますので発見された場合には、お問い合わせフォームよりお問い合わせください。 [参考サイト] 警視庁情報セキュリティ広場:誹謗・中傷・個人情報の流布
UnLHAがIPAで不受理だという件 hasegawayosukeさんの見解
Yosuke HASEGAWA @hasegawayosuke そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので不受理だろう(経産省告示第235号)。 ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。 2010-06-07 17:00:52 Yosuke HASEGAWA @hasegawayosuke LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲しいなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本でメジャーなのかをきちんと伝えること。 2010-06-07 17:02:08
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏 「HTML5の最大の問題は、優先順位を間違ったことだ。機能について議論する前に、セキュリティの扱いについて検討すべきだった」こう語るのは、JSONの発明者として知られ、Yahoo!のシニアJavaScriptアーキテクトでもあるDouglas Crockford氏。5月4日に行われたオライリーのWeb2.0 Expo 2010でのインタビューでのことです。 「もうそれを議論するには遅すぎるという人もいるが、そうは思わない。正しいことをするのに遅すぎることはないのだから」(Crockford氏) Crockford氏はHTML5は機能が重複しすぎていることも指摘しています。「Local StorageとLocal Databaseの両方が本当
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
ゲームでウイルス拡散→名前暴露→削除料要求 : 社会 : YOMIURI ONLINE(読売新聞)
コンピューターウイルスを使ってパソコンから個人情報を流出させたうえ、感染者に流出情報の削除を持ちかけて金をだまし取ったとして、警視庁がウイルス作成者の男ら2人を詐欺容疑で逮捕していたことがわかった。 男らはウイルスをアダルトゲームなどに仕込み、ファイル交換ソフトを通じて拡散させており、感染者は5000人以上に上るとみられる。ウイルス作成者の摘発は、京都府警が2008年1月、「原田ウイルス」作成者を著作権法違反容疑で逮捕して以来、2例目。ウイルスを使った詐欺事件の摘発は全国初。 逮捕されたのは東京都北区、会社員岡顕三容疑者(27)と、ネット広告会社「ロマンシング」(埼玉県志木市)役員の男(20)(事件当時19歳)。岡容疑者は25日、役員は10日に逮捕された。 同庁幹部によると、2人は昨年11月頃、アダルトゲームに仕込んだウイルスに感染して、パソコン内の個人情報を流出させたファイル交換ソフト利
セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード
『AV Comparative 2010年2月発表』
アンチウイルスソフト評価の権威のひとつでもある AV Comparativesが2010年最初のメインテストの結果を発表した。 今回から4つ新たなソフトが増えたのが、目玉だろう。 4つのうち二つが日本でシェアの大きいソフトなのが、特徴といえる。 ひとつはトレンドマイクロ。日本ではウイルスバスターの名前で知られている。 もうひとつはK7。日本ではソースネクストからウイルスセキュリティゼロの名前で知られています。 評価としては、 アドバンスト・プラス G Data/AVIRA/TrustPort/PC Tools/Syamntec F-Secure/ESET/BitDefender/eScan/Avast/Kaspersky アドバンスト McAfee/Panda/Microsoft/Sophos/AVG スタンダード K7(ソースネクスト) テステッド Norman/TrendMicro/K
セキュリティの神話 -- 研究とビジネスのあいだ - 武蔵野日記
オライリーさんから セキュリティの神話 作者: John Viega,葛野弘樹(監訳),夏目大出版社/メーカー: オライリージャパン発売日: 2010/04/26メディア: 単行本(ソフトカバー) クリック: 123回この商品を含むブログ (22件) を見るを献本してもらった。感謝! というのも、これの監訳をしている @khiro くんは NAIST の同期であり、修士のとき一緒に SICP 勉強会をやった仲なので、今度本が出るのでお送りしていいですか、とメールいただいたからである。彼は修士を卒業したあとセコムIS研究所に勤めているが、在学中は未踏ユースに採択されたり、情報処理学会の論文誌に採録されたりと活躍しており、自分もいろいろと刺激になった。 さてこの本だが、McAfee というアンチウイルスソフトの現CTO(最高技術責任者)、元副社長の人が、セキュリティ関係のソフトについてぶっちゃ
Twitterによる簡易版OAuth: "xAuth"
最近にわかにTwitter APIのxAuth認証が話題になっています。これは主にデスクトップアプリケーション向けに用意される認証方式で、簡潔に言うと「Webブラウザで認証画面を開く必要のないOAuth」といったところです。 従来のOAuth認証ではまずアプリケーション(OAuthコンシューマ)がTwitterに接続してRequest Tokenを取得し、認証画面を開いてRequest Tokenを承認させ、承認されたRequest Tokenを使ってAccess TokenとToken Secretを取得することによって各APIにアクセスできるようになります。しかしこれはアプリケーション側の実装が複雑になる上、デスクトップアプリケーションの場合はわざわざWebブラウザへ切り替えなければならず(ブラウザを内包するものもありますが)、ユーザにとっても面倒なものです。 そこで提案されたのがxA
Googleの認証コードが盗まれる! | ライフハッカー・ジャパン
パスワードをサイトごとに変更すること(英文記事)、容易にハックできないパスワードを設定することを、ライフハッカーでは推奨してきました。それをふまえつつ、一月に起きた中国へのサイバー攻撃により、Googleのパスワードと認証システム「Gaia」が危険にさらされた(英文記事)という報道があったことを、お伝えします。 Googleによると、侵入者から実際のパスワードにはアクセスされなかったものの、事件後すぐにGaiaに変更を加えたとのことです。しかし、GoogleのGaiaソースコードにアクセスされたことは、Googleにさまざまな問題を引き起こす可能性があるようです。そして、破られないと信じていた人たちにとっては、かなりショッキングな出来事であったといえます。 みなさんのパスワード設定、セキュリティ対策は万全ですか?過剰に意識しすぎることはないのかもしれませんが、備えあれば憂いなし。パスワード
IP制限のかけられたモバイルサイトのソースを見る方法 - komoriyaのはてなダイアリー
モバイルサイトのコーディングをする際、他サイトのコードを参考にしたいけど携帯端末以外のIP制限がかけられておりソースが参照できない場合があります。 そういったときはGoogleを使ってPCのブラウザなどから見る事ができます。 まずGoogleサイト検索を使って見たいモバイルサイトのURLで検索します。 例えば、はてなダイアリーモバイル場合 site:d.hatena.ne.jp/mobile ※はてなモバイルはIP制限をかけておりませんが例として。 普通に検索結果をクリックしますとPCページへリダイレクトされてしまいますので、「キャッシュ」の方をクリックします。 そうするとGoogleにキャッシュされているモバイルページが閲覧することができます。 あとはブラウザからソースを表示すればGoogleの注意書き以降は対象ページのソースとなります。 その他 ・Googleのキャッシュを見る事になる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/kanda_daisuke/status/22043550350
高木浩光@自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)
ma<s>atokinugawaの日記
指を右へずらすだけで、覚えやすく強固なパスワードが作れる!? | ライフハッカー・ジャパン