「gmeil」への誤送信で情報流出 「ドッペルゲンガー・ドメイン」は新種にも要注意
メールアドレスを入力する際、ドメイン(@から後ろの部分)を間違えてしまったが、エラーにはならず、なぜか送信できてしまったー。こんな事案が教育現場で発生し、結果的に生徒の個人情報が流出した。実は、ドメインは誤りではなく、著名なドメインに近い文字列の「ドッペルゲンガー・ドメイン」。不正な情報収集を狙って何者かが意図的に設定したものとみられ、専門家は対応の必要性を訴える。 「油断した」滋賀県教育委員会は5月31日、県立湖南農業高(草津市)の2~3年の生徒計140人について、氏名など個人情報が流出したと発表した。一部生徒は自宅の住所や保護者の氏名、携帯電話の番号なども漏れたという。 同校教諭が自宅に情報を持ち帰って作業するため、教頭の許可を得て、校内から自身の個人アドレス宛てにメールを送信。このとき、本来は「gmail」とするべきドメインを、「gmeil」と打ち間違えた。メールが届かなかったため確
複数の人気スマホアプリに資格情報窃取の恐れ、確認を
Symantecは10月22日(米国時間)、「Exposing the Danger Within: Hardcoded Cloud Credentials in Popular Mobile Apps|Symantec Enterprise Blogs」において、複数のモバイルアプリから潜在的な脅威を発見したと報じた。これらアプリはクラウドサービスの資格情報をハードコードしており、攻撃者がクラウドサービスに不正アクセスしてユーザー情報を窃取する可能性があるという。 Exposing the Danger Within: Hardcoded Cloud Credentials in Popular Mobile Apps|Symantec Enterprise Blogs 潜在的に脆弱なアプリ Symantecにより発見された、資格情報をハードコードしているアプリおよびクラウドサービスの種
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
フルスクラッチでSHA-256を作る
ハッシュ値の利用者として中身のアルゴリズムを知っておきたいと思ったのでTypeScriptで1からSHA-256を作ろうと思います。SHA-256は名前そのまま、どんな長さのメッセージでも256bitsのハッシュ値を返す関数です。 完成版はこちら 前提知識 論理演算(論理積とか論理和とか排他的論理和とか)とシフト演算が分かっていれば大体いけます。 論理積はAND。数式上では\land、コードでは&で表します。 論理和はOR。数式上では\lor、コードでは|で表します。 排他的論理和はXOR。数式上では\oplus、コードでは^で表します。 左シフト演算はビット列を左にnビット動かすやつです。値は2^n倍になります。数式上では\ll、コードでは<<で表します。 右シフト演算はビット列を右にnビット動かすやつです。値は2^{-n}倍になります。数式上では\gg、コードでは符号なしの右シフト演算
HashDoS脆弱性との戦い! Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ - エンジニアHub|若手Webエンジニアのキャリアを考える!
HashDoS脆弱性との戦い! Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ 過去、HashDosの影響を受けたRuby。言語開発者はいかにしてこうした問題に対応してきたのでしょうか。コミッターである卜部氏の貴重な記録を公開します。 2011年の末頃、HashDoSという脆弱性が公表され、Rubyもこの影響を受けた。本稿の筆者である卜部昌平(うらべ・しょうへい/@shyouhei/以下、卜部)は、報告当初からRuby側のチームメンバーとしてプログラム本体の修正を担当した。以下はその記録である。言語開発者たちが普段どのようなことを考え、どういった技術を用いて開発やバグフィックスを行っているのか。その概要を知ってもらえれば幸いだ。 オブジェクト指向スクリプト言語 Ruby HashDoSの概要 なぜ約6年後の今、修正内容を公開するに至ったか? 前史:すでに内包されていたリスク
iPhone Xの顔認証技術、マスクで破られる
Appleが先日販売を開始したiPhone Xには「Face ID」と呼ばれる顔認証システムが搭載されている。それまでのiPhoneにはTouch IDと呼ばれる指紋認証システムが搭載されており、登録した指をTouch IDの上に置くことでロックを解除することができたが、iPhone Xでは顔を認識させることでロックを解除できる。 この機能は発表されて以来、世界中で話題になっている。何とかしてこの機能をだまして、認証を破ってやろうというわけだ。例えば、仮面や化粧、双子などで顔認証システムを破ろうとする試みが行われている。双子の場合はFace IDは見分けることができないケースがあることがすでに報告されている。 仮面については先日、ベトナムのセキュリティベンダーであるBkavが、3Dプリントで作成されたマスクに2Dの写真データを貼り付けて作成した"擬似フェイス"を使ってFace IDを欺すこ
Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign
Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign Final update A fundamental design flaw in Intel's processor chips has forced a significant redesign of the Linux and Windows kernels to defang the chip-level security bug. Programmers are scrambling to overhaul the open-source Linux kernel's virtual memory system. Meanwhile, Microsoft is expected to publicly introduce
ヤフーが「パスワード」と“決別”する本当の狙い
ヤフーは4月20日、Yahoo! JAPANが提供する各サービスでパスワードを使わないログイン方法の導入を開始した。この第1弾として、iOS版「Yahoo!パートナー」アプリにおいて、スマートフォンなどのSMS(ショートメッセージサービス)を使って本人確認する方法を採用した。今後は生体認証によるログインなども検討していくという。 国内最大のポータルサイトを運営するヤフーがしたこの決断は、少なからず他社の動きにも影響をおよぼすだろう。なぜ同社は、長年にわたり採用してきたパスワードでのログインと“決別”するのか。プロジェクト担当者であるヤフー IDサービス統括本部IDソリューション本部の森健氏、渡邉康平氏、酒井公希氏の3人にその真意を聞いた。 ヤフー IDサービス統括本部IDソリューション本部 本部長の森健氏(右)、同開発部開発3 リーダーの渡邉康平氏(中央)、同企画部企画2の酒井公希氏(左)
機密情報管理を無視した日経ビジネスオンラインのiPad活用記事: 愛と苦悩の日記
もう一つ、日経ビジネスオンラインの奇怪な記事。こちらはiPadブームに便乗した連載だ。 「川口部長の仕事に使うiPad 第1話『クラウド三種の神器』の巻」(日経ビジネスオンライン2010/08/04掲載記事) 要約すると、iPadのことをパソコンと勘違いしている「川口部長」に、iPad用の3つのアプリ、Dropbox、Evernote、GoodReaderを紹介して、仕事に活用してもらうという、日経の大好きなストーリー仕立ての連載だ。 問題はこの3つのうちキーとなるクラウドサービスの「Dropbox」の利用規約にある。 この記事の中では「Dropbox」の利用規約について一切ふれられていないが、実際に「Dropbox」サービスのサイトに行って「Policies」をよく読んでみると、驚くべきことが、ちゃんとその部分だけ全て大文字で書いてある。以下に引用する。 「BY UTILIZING TH
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SMS Security & Privacy Gaps Make It Clear Users Need a Messaging Upgrade
https://eprint.iacr.org/2012/351.pdf