セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景 携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。Yahoo!ケータイでは、端末シリアル番号およびUIDの2種類の端末固有IDを提
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
WEBインベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処 4.今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください
G Data,手口が巧妙化してきたオンラインゲームのアカウントを狙うネット犯罪に注意喚起。オンラインゲーマーは更なる注意が必要
G Data,手口が巧妙化してきたオンラインゲームのアカウントを狙うネット犯罪に注意喚起。オンラインゲーマーは更なる注意が必要 編集部:Chun セキュリティソフトの開発/販売を行っているG Data Softwareは,オンラインゲームのアカウントを狙うネット犯罪手口の巧妙化に対する警鐘を鳴らしている。 偽装された「Worlf of Warcraft」のアカウント入力ページ G Dataによると,いかにもそれらしいURLの偽のWebページへ誘導して,アカウント情報を入力させ盗み取るという手口が,最近多く見かけられるとのこと。例として,世界最大のプレイヤー数を誇るMMORPG「World of Warcraft」(PC/MAC)が挙げられている。 具体的な手口であるが,World of Warcraftの開発/運営元であるBlizzard Entertainmentからのメールを装い,パス
サイバーエージェント「アメーバブログ」の「ノートン警察」がトロイの木馬に感染? - やまもといちろうBLOG(ブログ)
芸能人のブログに入り放題という前代未聞の新サービスを世に問い、問題作として話題を攫ったサイバーエージェントが、今度はノートンとのコラボサービスのブログパーツでトロイの木馬を搭載するという面白い試みをしているというので見物に逝ってきました。 ブログパーツ「ノートン警察」を使われていた方へ http://ameblo.jp/caetla-2008/entry-10427328482.html http://megalodon.jp/2010-0107-1225-07/ameblo.jp/caetla-2008/entry-10427328482.html 【ノートン警察】お粗末、Javascruptが・・・・ http://ameblo.jp/dendoshi/entry-10428673022.html http://megalodon.jp/2010-0107-1235-05/ameblo
オンラインゲームでも採用の動きが広まる「ワンタイムパスワード」ってなに?
不正アクセスの被害にあう前に 「ファイナルファンタジーXI」などで利用されている専用端末(セキュリティトークン) オンラインゲームなどでも、昨年ごろから採用の動きが強まってきている「ワンタイムパスワード」という認証方式。突然ですが、どういったものかご存知でしょうか? オンラインゲームでしばしば問題とされるのが、他人のIDやパスワードを盗み、アイテムやお金(ゲーム内通貨)などをかすめ取ってしまう「不正アクセス」問題。警察庁が公開したデータによれば、2009年上半期に検挙されたサイバー犯罪全3870件のうち、不正アクセスによるものは1965件と半分以上にものぼったそうです。 こうした不正アクセスを防ぐために考えられたのが「ワンタイムパスワード」。国内のゲームでは、2009年4月にスクウェア・エニックスの「ファイナルファンタジーXI」で正式採用されたのが最初で、最近ではガンホー・オンライン・エン
アメーバスタッフ『オフィシャルブログ不正アクセス被害について』
いつもAmebaをご利用いただきまして、ありがとうございます。 一部の『Ameba』オフィシャルブログの不正アクセス被害につきまして、 ご心配をおかけいたしまして申し訳ございません。 2010年1月1日未明、『Ameba』オフィシャルブログへ不正アクセスの被害を確認 いたしました。同時に、オフィシャルブログのID、パスワード約450件等を 記述したエクセルファイルが外部に流出したことを確認しております。 本不正アクセスに関して迅速に対応するため緊急対策チームを結成し、 流出したパスワードを1日正午までに変更するなど、対応策を実施いたしました。 また合わせて、渋谷警察署に被害状況の報告及び関連資料を提出し対応を進めて おります。尚、今回の件以外での不正アクセス・情報流出がないことを確認しております。 今後、より安全なサービスを提供できるように努めてまいります。
「裸が見える空港スキャナー」は児童ポルノ法違反? | WIRED VISION
前の記事 「iPod touchアプリが1000%急増」の意味 「裸が見える空港スキャナー」は児童ポルノ法違反? 2010年1月 6日 Noah Shachtman Photo credit: TSA 2009年12月25日(米国時間)、デトロイトへ向かう飛行機の中で、乗客が下着に仕込んだ爆発物を爆発させようとするテロ未遂事件が発生した。米国政府の当局者や元当局者たちは、今回の未遂事件を教訓として、このような爆発物を、(それ以外のさまざまなものと一緒に)見通せるスキャナーを空港に増やすべきだと主張している。 米運輸保安局(TSA)は近年、通常の金属探知機では探知できない脅威を見つけ出す一連の「全身撮像装置」(whole-body imager)の試験を行なってきた。これらの装置は、先述のクリスマスのテロ未遂事件でも機内に持ち込まれたとされる、隠れた爆発物を高い精度で発見できる唯一の手段だ。
「アメブロ」で芸能人パスワード大量流出 不正アクセスも(産経新聞) - Yahoo!ニュース
ブログサービス「アメブロ」などを運営するサイバーエージェント(本社・東京都渋谷区)は1日、同社の芸能人ブログのパスワードなどを列挙したデータが外部に流出、不正アクセスを受けたとして、警視庁渋谷署に届け出たことを明らかにした。 流出したデータは、芸能人ブログのIDやパスワードなど約450件を記述したエクセルファイル。ネット上に書き込まれた情報によると1日午前1時ごろ、タレントの藤本美貴さん(24)のブログに「お年玉」と題された画像が現れ、それをクリックすると、エクセルファイルが見られる状態になっていたという。 同様の現象はほかの複数の芸能人ブログでも確認され、そのIDとパスワードを用いて興味本位でログインを試みた人がいたとみられる。 不正アクセス防止法では他人のID、パスワードを無断で入力しログインする行為を禁じており、処罰の対象となる。サイバー社は流出したパスワードを同日正午までに変
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
ウイルスがPCに児童ポルノをダウンロード、危うく有罪に
ウイルス感染でPCに児童ポルノ、危うく有罪に 米国の男性が児童ポルノをダウンロードしたとして起訴されたが、コンピュータウイルスの仕業と分かって無罪になった。男性の仕事用ノートPCがウイルスに感染し、ネットから大量の児童ポルノ画像をダウンロードしたことが原因。男性のマシンが大量の帯域を消費していることを不審に思った勤務先が調査を行い、児童ポルノを発見。男性は解雇され、児童ポルノ所持で起訴された。彼は妻とともに戦い抜き、身の潔白を証明したが、25万ドルの裁判費用を投じたり、嫌がらせを受けるなど打撃は大きかったという。 Man Gets Virus - Virus Gets Child Porn - Man Almost Gets Jail (The Next Web) Appleストアで働くのはハーバード大学に入るより難しい? Appleが11月14日にマンハッタンのアッパーウエストサイドに新
パスワードのマスキングは廃止すべき | スラド
ウェブのユーザビリティの権威であるヤコブ・ニールセン氏が「パスワードのマスキングはセキュリティを向上することはなく、かえってユーザビリティを低下させる」との論を自身のサイトuseit.comで展開している(本家記事より)。 ニールセン氏によると、システムステータスを可視化しユーザにフィードバックを提供することはユーザビリティの基本原則であるとのこと。パスワード入力時に文字列を表示せずに「・」や「●」などの記号を表示することはこの原則と相反すると主張する。 入力時にパスワードがマスクされると誤入力が増えるだけでなく、入力内容を確認できないことからユーザは不安を覚えるという。この不安感からユーザは必要以上にシンプルなパスワードを設定したり、パスワードをどこかのファイルからコピペして、セキュリティを低下させる結果となるとのこと。パスワードのマスクは簡単である上、インターネットの黎明期からデフォル
中国で正規版セキュリティソフトが売れる理由 (1/2)
セキュリティーに高い意識を持つ中国の人たち 中国でコンテンツ事情を紹介する記事には、「海賊版天国」という枕詞がついて久しいが、セキュリティソフトだけは年々、より多くの利用者が正規版ソフトを購入、ないしは利用登録しているように感じる。 意外にも(失礼!?)多くの中国のパソコンユーザーは、コンピュータウイルスに対する心構えを持っているのだ。 例えばUSBメモリーを介してデータをやりとりする場合、中国のパソコンユーザーは筆者が渡したUSBメモリーに対して必ずウイルスチェックをかけるし、そもそも中国人の知人にUSBメモリーのやりとりをする際には「事前にウイルスチェックしてくれ」と念を押される。 中国での啓蒙活動は日本以上に活発で、テレビやバス、地下鉄内のテレビなどの多くの人の目に触れるメディアで、最新のウイルス情報や対策を紹介している。 中国市場で売られているセキュリティソフトは数多い。日本でもお
「データ消去費用を振り込め」――mixiかたる詐欺に注意
ミクシィは3月12日、同社をかたる悪質な詐欺メールが出回っていると注意を呼び掛けた。「あなたのデータがサーバに負荷をかけている」とし、ログイン情報の提供や費用の振り込みを要求する内容。同社は「非常に悪質な詐欺」とみて「しかるべき対応を行っている」という。 メール送信元のドメインは「mixi.jp」を偽装。mixi運営事務局名で、3回にわたって内容を変えながらメールを送ってくるという。文面は「あなたのデータがmixiのサーバに負荷をかけている。データ消去のため、メールアドレスやパスワード、手続き費用3万円が必要。連絡がないとアカウントを削除する」という内容だ。 同社は、こういったメールを受け取っても返信せずISPなどに問い合わせるよう、また、被害にあった場合は警察に通報するよう呼び掛けている。 関連記事 mixiのアカウント盗むフィッシング詐欺に注意 「mixi」のメッセージ機能を悪用し、ユ
セキュリティの専門家が語る「不思議の国、日本」
情報セキュリティの最先端で日夜闘う人々にとって今年以降のホットな話題とは何か。毎年日本で開催されているセキュリティテクニカルセミナー「PacSec」の主催者であるドラゴス・ルーユー氏に話を聞いた。 Windows7に対するハッキングコンテストも 世界の情報セキュリティ産業の専門家と日本の研究者が交流し、コンピュータネットワークへのハックアタックの最新手腕と技術を論じ合うことで知られるセキュリティテクニカルセミナー「PacSec」カンファレンス。毎年、コンピュータセキュリティに関する最先端の研究やリサーチを中心に、脅威に対する防御策、システム監査や実践報告などが話題となるが、内容も先鋭的なもののため、広く一般に知られることの少ない特異なイベントでもある。その主催者で、カナダに本社を置くコンピュータセキュリティ企業のドラゴステックコムのCEOであるドラゴス・ルーユー氏が来日。昨年11月に開催さ
バレンタインに検索すると「危ない」有名人カップルは?
バレンタインの参考にラブソングや有名人カップルを検索するときはご用心。検索結果に危険なサイトが紛れている可能性がある。 バレンタインのカードにラブソングの歌詞を書きたい人、有名人カップルを恋愛の参考にしたい人は、ネットで情報を探すときに気をつけた方がいい。セキュリティ企業Trend Microは2月12日、検索するとマルウェアに感染する恐れがある有名人カップルとラブソングを発表した。 同社によると、最も危険な有名人カップルはキム・カーダシアンとレジー・ブッシュ。このカップルをネットで検索すると、検索結果にアクセスしたときにマルウェアに関連する可能性が15%もあるという。次に危険度が高いのはウィル・スミスとジェイダ・ピンケットだ。 検索すると危険な有名人カップル トップ5 1 キム・カーダシアンとレジー・ブッシュ 2
オバマアイコンを表示するウイルス発生――小学生に作成の疑い
米国の小学校で「オバマワーム」という名称のマルウェアが見つかり、ちょっとした騒ぎになっている。セキュリティ企業のTrend MicroやThompson Securityがブログで伝えた。 それによると、この「ワーム」はオバマ米大統領の出身地であるイリノイ州の小学校のネットワークで出回った。校内のPC約100台のすべてに、オバマ氏の顔のアイコンが表示されたという。 この「攻撃」は学校の児童が仕掛けたとの見方が強まっているという。マルウェアキットで遊んでいて作成してしまったとみられる。ただし、オバマアイコンの表示以外に不正な機能はなく、悪質なファイルと言えるほどのものではないと研究者らは指摘する。 Trend Microはこの騒ぎについて、初歩的なマルウェア作成のツールが簡単に入手でき、小学生でもこのような「攻撃」を実行できてしまうというのは恐ろしいことだと述べている。 過去のセキュリティニ
PS3の仮想空間「Home」がハッキング
ソニー・コンピュータエンタテインメントが公開したばかりの「プレイステーション 3」(PS3)向け仮想空間サービス「Home」がハッキングされたと、セキュリティ企業のPanda Securityが英紙Telegraphの報道を引用して伝えた。 Telegraphの記事によると、ソフトウェアの脆弱性を突くことにより、ソニーが提供している範囲を超えてHomeをカスタマイズできる方法が発見されたという。 Panda Securityのブログでは、ユーザーがHomeサーバ上のファイルを削除したりアップロード、ダウンロードしたりできると指摘。個人情報の盗難やマルウェアの拡散につながる恐れもあると警鐘を鳴らしている。 過去のセキュリティニュース一覧はこちら 関連記事 12月15日から企業Webへの攻撃が激化、ラックが緊急警告 ラックによると、12月15日からWebサイト改ざんなどを試みる不正アクセス攻撃
Googleの広告サービスで悪質ソフトを配布
セキュリティ企業のWebsenseは、Googleの広告サービスが偽のウイルス対策ソフトウェアの配布に利用されているのを見つけたと報告した。 Websenseによると、この手口は人気圧縮ツール「WinRar」のダウンロード配布を利用している。Googleで「Winrar」を検索すると、Winrarの無料配布をうたった広告のリンクが表示され、CNETを装った偽のダウンロードサイトへユーザーを誘導。ここで提供しているWinrarのインストーラには「explore.exe」という悪質なファイルが仕込まれている。 explore.exeはユーザーのシステムのホストファイルを書き換え、大手サイトのホームページを偽のMicrosoft Security Centerサイトに変更してしまう。さらに、1分ごとに「interval hehehe!!!!!」というメッセージがポップアップ表示されるようになる。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
人間をコンピューターウイルスに感染させる初の実験、英研究者が自身の体で 
http://twitter.com/kotoriko/statuses/1064444774