「ほこ×たて」対決の功罪、ロシア人ホワイトハッカーに裏側を聞いた
なぜ、こうなった――フジテレビの人気番組「ほこ×たて」で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。 結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ×たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。 今回の「ほこ×たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への
「Wolfram Alpha」がFacebookアカウントの解析機能を公開して、ちょっとこわい | ライフハッカー・ジャパン
米Lifehackerでは知的派検索エンジンとして紹介している「Wolfram Alpha」が、Facebookでの自分の活動状況を分析し、チャートやグラフにしてくれるアカウント解析機能を公開しました。これを見れば、少なくともFacebookが私たちのことをどのくらいご存じでいらっしゃるのか、というのがわかるかと。 Wolfram Alphaのウェブサイトで、フォームに「Facebook Report」と入力すると、Facebookアカウントとの接続ができます。いくつかの承認を行うと、Wolfram AlphaはあなたのFacebookでの活動状況を60のセクションに分け、友達や恋人のクラスターマップやチェックインした場所、もっともFacebookを見ている曜日、最も多く使った単語、生まれた日の天気などの分析を行い、チャートやグラフで表示してくれます。身の毛がよだつほど興味深く、ギークな感
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
Facebookやtwitterのログイン情報は簡単に盗まれてしまうので要注意! – 現在できる限りの対策を | Token Spoken
Facebookやtwitterが普及する中、今そのログイン情報が常に漏洩の危険にさらされています。 以前、FiresheepというWi-Fiネットワークを飛び交うFacebookやTwitterのログイン情報(ユーザー名とパスワード)を抽出するアドオンが公開された際には、そのことが話題になりました。 ところが、今度はさらに強力なFaceniffというアプリケーションが公開されたのです。 このFaceniffは、Facebookとtwitterだけではなく、なんとAmazonやYouTubeのアカウントまでをも自動的に抽出します。 しかも、このアプリケーションはPC用ではなく、Androidスマートフォン用なのです。 前者は、PCを持ち歩かなければ飛び交うログイン情報を収集できなかったのですが、このFaceniffでは、普段持ち歩くAndroidスマートフォンにインストールして持ち歩くだけ
スマートフォンに迫るセキュリティ危機
いま、スマートフォンが急速に普及の度合いを強めている。街を歩く人がスマートフォンをいじっている姿も、もはや当たり前の光景として目に映る。その一方で、スマートフォンに関するセキュリティリスクも深刻度を増す。より多くの人がスマートフォンを使えば使うほど、悪意を持つ人たちのターゲットとなってくるからだ。 そこで、本特集では、全4回にわたってスマートフォンの機能や活用方法などを含めて、Androidを中心にスマートフォンのセキュリティの在り方を解説する。(1)一般ユーザーにとってスマートフォンの何が危険なのか、(2)企業がスマートフォンを活用する際に生じるリスクとは、(3)各通信事業者およびメーカーからのスマートフォン提供状況と脆弱性への対応状況、(4)アプリケーション開発者側から見たスマートフォンセキュリティ---といった点を明らかにしていこう。 目次
Facebook、写真の顔認識機能を標準搭載に--セキュリティ企業は注意を呼びかけ
Facebookがこのほど写真の顔認識機能を標準搭載したことで、顔に基づくコンテンツのマッチングが可能になり、タグ付けされた写真が一層拡大することになる。 手作業でのタグ付けも引き続き可能だが、顔認識ソフトウェアはユーザーの顔を検知して、友達の画面の右側に広告に似たスタイルで顔写真を表示する。 夜遊びの仲間を写した写真が大量にあり、そのすべてにタグ付けするのは面倒だと思っているユーザーにとって、これは非常に便利な機能だ。だがこうした場合でも、Facebookはデフォルトでオプトイン方式により機能を提供することが多く、一部にはその機能が存在することさえ知らないユーザーも出てくる。 Sophosの記事によると、この機能はしばらくの間、北米のユーザーに提供されていたが、このほど世界中のユーザーに提供開始されたという。どうやら再び、自分のFacebookの設定をチェックすべき時が来たようだ。 So
侵入テストを成功に導く10のヒント(後編)|経営者としての視点を忘れるべからず - CIO Online
ペネトレーション・テストはビジネス上の目標を達成するために行うべきで、手当たり次第にセキュリティ・ホールを探しても意味はない。前編ではペネトレーション・テストを効果的に実施するための10のヒントを5項目まで紹介した。後編では残りを見ていこう。関連トップページ: セキュリティ管理 IT運用管理 侵入テストを成功に導く10のヒント(後編) 経営者としての視点を忘れるべからず 2011/05/25 ペネトレーション・テストはビジネス上の目標を達成するために行うべきで、手当たり次第にセキュリティ・ホールを探しても意味はない。前編ではペネトレーション・テストを効果的に実施するための10のヒントを5項目まで紹介した。後編では残りを見ていこう。 ヒントその5:攻撃者をプロファイリングする ペネトレーション・テストでは、実際の攻撃者になりきって考え、行動する必要がある。だがその目的や行動パターンは攻撃
侵入テストを成功に導く10のヒント(前編)|経営者としての視点を忘れるべからず - CIO Online
ペネトレーション・テストはビジネス上の目標を達成するために行うべきで、手当たり次第にセキュリティ・ホールを探しても意味はない。本稿では、ペネトレーション・テストを効果的に実施するためのヒントを紹介する。関連トップページ: セキュリティ管理 IT運用管理 侵入テストを成功に導く10のヒント(前編) 経営者としての視点を忘れるべからず 2011/05/24 ペネトレーション・テストはビジネス上の目標を達成するために行うべきで、手当たり次第にセキュリティ・ホールを探しても意味はない。本稿では、ペネトレーション・テストを効果的に実施するためのヒントを紹介する。 ペネトレーション・テスト(脆弱性がないかどうか検査するための疑似侵入テスト)は、社内で実施したり、外部の専門家に委託するケースもある。実施のきっかけはさまざまで、規制や監査にやむを得ず対応することもあれば、または自社のセキュリティ強化を図
ソニー「PlayStation Network」、個人情報が漏えい--システムに不正な侵入
ソニーは米国時間4月26日、同社の「PlayStation Network」ユーザーの個人情報が漏えいしたことを認めた。 ソニーは26日、同社ブログを更新し、7000万人以上の同社顧客に対し、名前、住所、電子メールアドレス、生年月日、PlayStation Networkおよび「Qriocity」のパスワードとユーザー名などの個人情報と、オンラインユーザーハンドルが、「権限を持たない人物」によって不正に取得されたと警告した。ソニーによると、データへのアクセスがあったのは、4月17日から19日の間だという。 同サービスを介してコンテンツを購入またはレンタルするために多くのユーザーが提供したクレジットカード情報については、ソニーは何が漏えいしたかを完全に把握できていないという。 同社の広報担当者は26日、「現時点では、クレジットカードデータが流出したことを示す証拠がないが、その可能性は否定でき
よく使われるパスワードトップ10 - GIGAZINE
ネットサービスに限らずあらゆる場所で使われる「パスワード」ですが、イギリスで行われた調査結果によると、よく使われるパスワードの上位10個はなかなか興味深いフレーズが並んでいます。この中に自分のパスワードがある人は即座に変えた方がいいでしょう。 というわけで、10位から順番に見てみましょう。 Top 10 Most Common Passwords - Modern Life Is Rubbish 10. 'thomas' (0.99‰) 9. 'arsenal' (1.11‰) 8. 'monkey' (1.33‰) 7. 'charlie' (1.39‰) 6. 'qwerty' (1.41‰) 5. '123456' (1.63‰) 4. 'letmein' (1.76‰) 3. 'liverpool' (1.82‰) 2. 'password' (3.780‰) 1. '123' (
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
「使ってはいけないパスワード」トップ50が公開、1位は「123456」で2位は「password」に
先日GizmodoやKotaku、Lifehackerなどを運営するアメリカの「Gawker Media」のサイトがハッキングされ、ユーザー情報が大量流出するという事件が発生しましたが、流出したユーザーのパスワードの情報を元に「使ってはいけないパスワード」がランキング形式で公開されました。 使ってはいけないパスワードの1位は「123456」で、2位は「password」になるなど、安直すぎるパスワードを利用するユーザーが多いという結果になっているほか、複数のサービスで同じパスワードを使い回すことに対する注意喚起も行われています。 詳細は以下から。 The top 50 passwords you should never use | Naked Security セキュリティ企業のSophosの発表によると、「Gawker Media」のサイトがハッキングされたことを受けて、マイクロブログ
凶悪ウイルス「Zbot」が猛威、ツールキットで簡単作成
米マイクロソフトは2010年10月12日(米国時間)、「Zbot(ゼットボット)」と呼ばれるウイルスが猛威を振るっているとして注意を呼びかけた。加えて、同社が提供する無料のウイルス駆除ツールでZbotに対応したことを明らかにした。 Zbotはボットと呼ばれるウイルスの一種。「ZeuS(ゼウス)」などと呼ばれることもあるという。感染するとパソコンを乗っ取り、攻撃者が自由に操れるようにする。ユーザーがパソコンに入力したパスワードを盗む機能なども備える。 Zbotの挙動は複雑だが、作成するのは容易だという。作成ツールが出回っているためだ(図)。このため、多数の亜種(変種)が出現している。 これを受けてマイクロソフトでは、2010年10月13日に公開した「悪意のあるソフトウェアの削除ツール(MSRT:Malicious Software Removal Tool)」の新版において、Zbotに対応し
TwitterへのXSS攻撃--セキュリティ専門家が示す課題
ハッカーたちは米国時間9月21日午前、Twitterをワームの温床に一変させ、普通はAppleの製品ローンチでもなければあり得ないような熱狂的なニュース報道を引き起こした。急速に拡大した今回のセキュリティ侵害は2つのことを証明している。1つは、Twitterは今や間違いなくメインストリームのサービスだということであり、もう1つは、ハッカーの標的という点で、同サービスが大手テクノロジ企業と肩を並べるようになったということだ。 米CNETがインタビューした複数のセキュリティ専門家によると、Twitterはこれまで非常にうまく自らを防御してきたが、ニュースアグリゲーションや、企業サイト上での統合といった用途、便利な国際的コミュニケーションツールとして信頼を得たいのであれば、今後はコーディングに関してさらに慎重になる必要があるという。 Sophosのシニア脅威研究者であるBeth Jones氏は「
DNSSEC対応に向けて準備を整えるための5つのティップス
DNSSECは徐々に普及してきているものの、そのことがわれわれにとって何を意味しているのか、あるいは既存機器を継続して使用できるのかといったことはあまり話題に上っていない。そこで本記事では、こういった点について解説する。 DNSはインターネットを支える基盤技術となっている。DNSが危険であると断言できるわけではないものの、DNSからの応答に全幅の信頼を置くのは良い考えとは言えない。というのも、こういった信頼を悪用するDNSスプーフィングという手法が考え出されてしまっているためである。この説明だけではギークにしか理解できないということは筆者も承知している。このため、以下の例を読み進めていただきたい。 インターネットバンキングを使って資金移動を行うという例を考えてみよう。この場合、まずはブックマークに登録してある銀行のサイトを選択することになるはずだ。これで、その銀行のサイトがブラウザ上に表示
ウェブブラウザのセキュリティをテストする5つのウェブサイト
#2:BrowserSpy.dk 2009年に筆者はPanopticlickについての記事を執筆した。その後、筆者はBrowserSpy.dkという同種のウェブサイトを見つけた(図B)。このサイトでは、Panopticlickと同様のテストの他にも64種類のテストが実施される。ただし、残念なことにBrowserSpy.dkは問題の解決方法を提示してくれない。とは言うものの、ウェブサイトにアクセスした際に、どれだけの情報が危険にさらされるのかを実際に見せてくれるわけだ。 #3:PC Flank PC Flankはインターネットという観点から見たコンピュータのセキュリティを網羅的にテストしてくれるウェブサイトである。テストには「Stealth Test」や「Advanced Port Scanner Test」「Trojans Test」「Exploits Test」「Browser Test
企業内の電子証明書や暗号鍵を一元管理するソフト:ITpro
企業内ネットワーク上で使用されている電子証明書や暗号鍵を一元管理するソフト。有効期限やセキュリティ・ポリシーとの適合を検査してアラートを送り、電子証明書の期限切れでWebサーバーへアクセスできないといった問題を防ぐことができる。証明書のライフサイクル管理、認証局への発行要求、証明書の更新といった機能も持つ。 対応するプロトコルは、SSL、EV SSL、TLS、SMTPである。自己署名証明書にも対応する。企業内で利用する電子証明書を一元管理することで、証明書の集約や管理労力の軽減、安価な認証局への切り替えなどによるコスト削減を可能とする。 機能の違いによって、次の4種類の製品が用意されている。 「Discovery Services」は、指定されたIPアドレスの範囲内で、使用されている暗号鍵や証明書を検出してレポートする。スケジュールに従って定期的に検査を行うこともできる。 「Monitor
短期と長期で考える--“レガシーOS”に有効なセキュリティ対策とは?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 最終回の今回は、もう一度“レガシーOS”を使用し続けるセキュリティ上の不安(図1)を見直しながら、どのような対策が有効かを解説していこう。 Q:OSベンダーのサポートが切れているOSを使用している方、サポート終了後もそのまま「Windows 2000 Server」を使用すると答えた方に質問です。サポート終了後も使用し続けるうえで、セキュリティ上の不安はありますか?(いくつでも) これらの脅威に対してどのようなセキュリティ対策が有効なのだろうか? 基本的には新OSへ移行することが求められるのは間違いない。しかし、企業の実情としてシステムが対応していないなどの理由で移行ができない現実があるだろう。ここでは、1〜2年の短期的な対策と長期的な
「IE6の利用はやめて」、内閣官房が各省庁に移行を推奨
内閣官房情報セキュリティセンター(NISC)は2010年6月17日、各府省庁に対して、Internet Explorer 6(IE6)からInternet Explorer 8(IE8)への移行を推奨したことを明らかにした。 IE6は、2001年8月にリリースされたWebブラウザー。最近では、セキュリティや互換性の問題が頻発。例えば2010年1月には、IE6だけを狙った攻撃が確認されている。このためマイクロソフトなどでは、IE6のユーザーに対して、最新版IE8への移行を推奨(図)。グーグルなどのWebサービス提供者は、IE6への対応を順次打ち切っている。 しかしながらNISCによれば、中央省庁の中には、バージョンアップすることなくIE6を使い続けているところがあるという。組織内のシステム(Webアプリケーション)を、IE6用に構築しているためだ。IE8に移行するとなると、既存システムがIE
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IT news, careers, business technology, reviews
