経産省、IT製品調達でのセキュリティ要件を公開
経済産業省は5月19日、政府機関などでのIT製品の調達に関するセキュリティ要件リストを公開した。対象製品分野で考慮すべきセキュリティ上の脅威や対策要件などを示したもので、民間企業や組織でも活用できるとしている。 同リストは、経産省が2011年に公開した「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」を改定・改名したもの。これにより、情報セキュリティに配慮したITシステムの政府調達を実効的、効率的に行えるという。 リストが対象とする製品分野は「デジタル複合機(MFP)」「ファイアウォール」「不正侵入検知/防止システム(IDS/IPS)」「OS(サーバOSに限る)」「データベース管理システム(DBMS)」「スマートカード(ICカード)」の6つ。対象候補に「USBメモリ」も挙げている。 例えば、MFPの項目ではセキュリティ上の脅威として「他の利用者による不正な操作」「通信デ
Wordを狙うゼロデイ攻撃発生、不正メールに注意
Wordの未解決の脆弱性を突いた「限定的な標的型攻撃」の発生が確認されたとして、Microsoftが注意を呼び掛けている。 米MicrosoftのWordに未解決の脆弱性が発見され、この脆弱性を突いた攻撃が発生していることが分かった。同社は3月24日にアドバイザリーを公開して注意を呼び掛けている。 Microsoftによると、脆弱性は特定の細工を施したリッチテキスト形式(RTF)のデータを解析する際のメモリ破損に起因する。 この問題を突いて、Word 2010を狙った「限定的な標的型攻撃」が発生。不正なリッチテキスト形式(RTF)ファイルを開いたり、Wordが電子メールビューワとして使われている環境において、不正なメールをOutlookで開いたりすると、攻撃者に任意のコードを実行される恐れがある。 Outlook 2007/2010/2013ではWordがデフォルトのメールリーダーになって
Google画像検索でSEOポイズニングが拡大
Googleの画像検索結果には、マルウェアにリンクさせたWebサイトが大量に表示されるとセキュリティ企業のF-Secureが伝えている。 Googleの画像検索結果に、ユーザーを脅したり、ソフトウェアの脆弱性を悪用したりする手口のマルウェアにリンクさせたWebサイトが大量に表示されているという。フィンランドのセキュリティ企業F-Secureが5月23日付のブログで伝えた。 同社によると、Googleの画像検索では検索エンジン最適化(SEO)の手法を悪用した「SEOポイズニング」による汚染が増大。その大部分は、安全なはずのWebサイトがハッキングされ、悪用されているケースが占めるという。 こうした問題が起きる一因は、Googleの巡回方法と画像ランク付けの方法にあるとF-Secureは解説する。たとえ正規のWebサイトがハッキングされ、別のWebサイトのURLを直貼りする「ホットリンク」を使
「フィッシング」の処罰化検討 警察庁対策会議が報告書 - 日本経済新聞
有識者で構成する警察庁の「総合セキュリティ対策会議」は12日、インターネット経由で個人情報を得る「フィッシング」について、処罰化も含めた防止策の強化を提言する報告書をまとめた。報告書は、不正アクセス禁止法違反の法定刑引き上げなども提言。警察庁は近く、総務省や民間事業者と不正アクセス対策全般に関する官民合同の委員会を設置、提言についての検討を進める。フィッシングを巡っては、実在の企業を装ったサ
誰が、なぜ? 史上最悪規模・ソニー個人情報流出事件を時系列順に整理
ソニーグループのオンラインサービスから合計1億件以上の個人情報が流出した可能性がある事件。ソニートップの経営責任の追及や、ソニーのタブレット端末などネットワーク製品戦略に与える悪影響への懸念など、史上最悪規模の個人情報流出事件のインパクトは大きい。今回の事件を時系列順に整理すると、その発端は1年半近く前にさかのぼることになる。 2009年後半:ハンドルネーム「geohot」で知られ、2008年にiPhoneのセキュリティを破った米国人ハッカー、ジョージ・ホッツ氏(1989年10月生まれ)がプレイステーション 3(PS3)のハックに挑戦する。 2010年1月:ホッツ氏、5週間をかけて、PS3のセキュリティを破るハックに成功したことをブログで報告。 4月:PS3にLinuxなどほかのOSをインストールする機能を4月1日付けのファームウェアアップデートで無効に。だがホッツ氏が早々に「復活可能」と
Androidもユーザーの位置情報を記録、Googleに送信か
iPhoneがユーザーの位置情報を記録・蓄積していることが明らかになったが、Androidも位置情報を取得・蓄積し、Googleに送信していることが分かったと、Wall Street Journal(Web版)が報じた。 セキュリティ専門家が台湾HTC製のAndroidスマートフォンを調べたところ、ユーザーの位置情報を数秒ごとに記録し、少なくとも1時間に数回、Googleに送信していたという。氏名や場所、付近のWi-Fiネットワークの信号強度も送信していた。Googleはコメントを拒否したという。 一方、Appleはユーザーの位置情報を12時間ごとにAppleに送信していることを米議員への手紙で明らかにしたという。 関連記事 iPhoneがユーザーの位置情報をこっそり記録――研究者の指摘で発覚 iPhoneでユーザーの位置情報を記録した隠しファイルから情報を取得して、自分がいつどこにいたか
iPhoneがユーザーの位置情報をこっそり記録――研究者の指摘で発覚
iPhoneでユーザーの位置情報を記録した隠しファイルから情報を取得して、自分がいつどこにいたかを地図上に示すアプリが公表された。 AppleのiPhoneと3G対応のiPadがユーザーの位置情報を定期的に記録して隠しファイルに保存していたことが分かったと、研究者が技術情報サイトのO'Reilly radarで発表した。 研究者のアレスデア・アラン、ピート・ウォーデンの両氏によると、ユーザーの位置情報とタイムスタンプは、iOS 4の登場以降、記録されるようになったという。両氏はiPhoneユーザーにこの事実を確認してもらうため、問題のファイルから位置情報を取得して、自分がいつどこにいたかを地図上に示すオープンソースアプリケーション「iPhone Tracker」を開発、公開した。 問題のファイルは暗号化などの保護がかけられておらず、端末を同期したマシン上にも保存されるため、不正に利用される
三菱東京UFJ銀行のシステム障害? いったい何の話だ
いったい、何の騒ぎなんだろうね。三菱東京UFJ銀行の“システム障害”の件だが、バカみたいな大騒ぎとなった。でも、セブン銀行との間で“たかだか”2万件の取引に影響が出ただけにすぎないし、ゆうちょ銀行など他の6行との間の取引で問題が発生したにすぎない。これは成功とは言えないかもしれないが、普通、想定の範囲という。なのに何故、こんなヒステリックな話になるのか。 同業他社とのシステム接続だ。完璧を期すのは、とてつもなく難しい。この程度で済んだのだから、よしとすべきである。今回の件で、三菱東京UFJ銀行に罪があるとしたら、利用者に対して事前に“自衛”を求めなかったことだ。「新システムへの移行に伴って、障害が発生する可能性があります。利用者の皆さんにおかれましては・・・」と告知しておけば、“完璧”にOKの話だ。 三菱東京UFJ銀行は日頃から「完璧を期す」と言っていたようだが、何故この面で完璧を期さなか
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! | Google Mania - グーグルの便利な使い方
Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! 管理人 @ 8月 20日 10:44pm Gmail(Gメール) 便利なGmailですが、SSL接続(https)で接続しないと簡単にハッキングされてしまうらしいです。 Webmonkey(英語)によると、Gmail Account Hacking Tool (Gmailアカウントハッキングツール)という物がリリースされているとのことです。(追記:詳しくはこちら→スラッシュドット・ジャパン | GmailのセッションIDを自動的に盗むツールが登場) 重要な記録も最近はメールで送ることが多いです。この記事を見た人は今すぐhttps接続に変更しましょう! 実はGmailはひっそりとhttps接続機能を追加しているのです。 https接続への変更方法は次の通りです。 Gmail画面右上の「設定」をクリック 表示される「全般
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
テクノロジー : 日経電子版
主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは
http://adeona.cs.washington.edu/
テクノロジー : 日経電子版
テクノロジー : 日経電子版
ついに起きたXSS攻撃・セキュリティーは1日にしてならず セキュリティー-最新ニュース:IT-PLUS
テクノロジー : 日経電子版