グーグル、社員への物理セキュリティキー導入でアカウント保護に効果
Google従業員のアカウントへのフィッシング対策の鍵となっているのは、実際の物理的な鍵であるようだ。 Krebs on Securityが報じたところによると、Googleは2017年初頭より物理的なUSBベースのセキュリティキーの使用を開始し、それ以来、同社の8万5000人以上の従業員の誰からも仕事用アカウントのフィッシング被害は報告されていないという。これらのキーは、2要素認証の代わりに使用される。2要素認証では、ユーザーはパスワードを使ってウェブサイトにログインした後、通常、テキストまたはアプリ経由でスマートフォンに送信される追加のワンタイムコードを入力する必要がある。 Googleではセキュリティキーがすべてのアカウントのアクセスに使われている、と同社関係者はKrebs on Securityに述べた。 同関係者はKrebs on Securityに対し、「Googleでセキュリ
Intel、プロセッサ脆弱性はAMDやArmにもあり、対策で協力中と説明
米Intelは1月3日(現地時間)、複数のセキュリティ研究者が開示したプロセッサの2つの脆弱性について、この問題はIntelのプロセッサ固有のものではなく、米AMDや英Arm、OS提供企業などと対策のために協力していると説明した。 この脆弱性は、オーストリアのグラーツ工科大学や米Googleの研究者が発見し、「Meltdown」と「Spectre」と名付けた。まだ対策はないが、Intelは「現在のメディアによる不正確な報道に対処するため」、脆弱性の存在を認める声明を出したとしている。具体的な対策については「対策のためのソフトウェアおよびファームウェアのアップデートが可能になる来週発表する」という。 Intelによると、この脆弱性を悪用されるとデータを盗まれる可能性はあるが、データを改ざんされたり削除されたりすることはないという。 ユーザーがこの脆弱性に対処するためには、各社のプロセッサを搭
HRzine
HRzine Day(エイチアールジン・デイ)は、人が活き会社が成長する人事のWebマガジン「HRzine」が主催するイベントです。毎回、人事の重要課題を1つテーマに設定し、識者やエキスパードが持つ知見・経験を、参加者のみなさんと共有しています。
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,
書式指定文字列攻撃 - kusano-k’s blog
このプログラムには脆弱性がある。 #include <stdio.h> #include <string.h> char target[] = "test"; int main() { char buf[1024]; fgets(buf, sizeof buf, stdin); printf(buf); printf("%p: %s\n", target, target); return 0; } $ g++ -m32 -o bug bug.cpp $ ./bug abcdefg abcdefg 0x80497fc: testprintf()の第1引数に外部から指定可能な文字列を渡してはいけない。これによって、ほぼ任意のアドレスの値を呼んだり、値を書き込んだりできる。 書式指定文字列攻撃という。CPUのアーキテクチャに依存しないし、スタックのアドレスがランダム化されていたり実行不可能だった
三菱東京UFJ 1万4000件の情報流出か NHKニュース
三菱東京UFJ銀行は、一部の口座で開設者からの取り引き状況の確認に応じるシステムに不備があったため、出会い系サイトなどに振り込みをした人の電話番号、およそ1万4000件が流出した可能性が高いと発表しました。 銀行には、ことし4月下旬以降に取り引き状況の確認が求められた記録が残っていましたが、それから半年分を調べたところ、出会い系サイトなどを運営する事業者の47の口座が不正なアクセスを受け、振り込みをした人のおよそ1万4000件の電話番号が流出した可能性が高いとしています。 このシステムは先月下旬に改修されましたが、平成16年2月から使われていたため、実際に流出した情報はさらに多いおそれがあるとしており、三菱東京UFJ銀行は、「関係者の皆様にはご迷惑・ご心配をおかけして誠に申し訳ありません」とコメントしています。
Dell、ルート証明書の脆弱性で対応表明 別の問題発覚
Dellはシステムから「eDellRoot」を恒久的に削除する方法について説明。一方、米CERT/CCは、Dellの別のルート証明書「DSDTestProvider」に関する脆弱性情報も公開した。 米DellのPCにルート証明書と秘密鍵が搭載されているのが見つかり、攻撃に悪用されかねないと指摘された問題で、Dellは11月23日、この証明書が脆弱性を生じさせていることを認めて対応を表明した。一方、米カーネギーメロン大学のCERT/CCは24日、この問題のほか、Dellの別のルート証明書と秘密鍵の問題についても脆弱性情報を出している。 今回の問題では、DellのPCに全て同じ「eDellRoot」というルート証明書と秘密鍵が搭載されているというユーザーからの指摘が相次いだ。CERT/CCによれば、これを悪用された場合、攻撃者が任意のドメイン用の証明書を作成してHTTPSなどの通信に割り込む中
Dellが脆弱性を指摘されたルート証明書「eDellRoot」の削除ツールを公開
Dell製ノートPCに同一のルート証明書&秘密鍵が搭載されている件について、故意ではないもののこの証明書によってセキュリティの穴ができていることをDellが認め、削除するためのツールの配布を始めました。 Response to Concerns Regarding eDellroot Certificate http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate Dellによれば、「eDellRoot」はアドウェアやマルウェアではなく、サポートの品質を上げることを目的としてサポートツールの一部としてインストールされているものだとのこと。あくまでユーザーがどの機種を使っている
DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か
米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。 Redditでこの問題を報
高木浩光@自宅の日記 - CCCはお気の毒と言わざるをえない
■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n
携帯キャリアの行う「通信の最適化」が大炎上。画像が劣化、通信の秘密や同一性保持権等を侵害の可能性も - すまほん!!
すまほん!! » 通信・モバイル » 障害・不具合 » 携帯キャリアの行う「通信の最適化」が大炎上。画像が劣化、通信の秘密や同一性保持権等を侵害の可能性も SoftBankの画像圧縮を伝えた記事が発端となり、ソーシャルネットワーク上で大きな話題となっています。 発端はソフトバンク ソフトバンクが「通信の最適化」と称し、画像データを圧縮していることが判明。ゲームアプリのサムチェックに支障が生じたり、写真の劣化やExif情報の消失したりするなどの事象が報告されており、「最適化」の範疇を完全に逸脱しているように見えます。 スマホゲームの不具合、原因はソフトバンクの画像圧縮 http://t.co/SPqoUUqExw 通信内容を判別して画像の場合勝手に圧縮しちゃうのか。それって電気通信事業法的にどうなんだろう — (・ω・ω・ω・) (@canotun) 2015, 6月 13 ダウンロードの時
そうだ、認証局行こう!SSLサーバー証明書発行の現場を見た
WebブラウザのURLバーでよく目にする「https」や「カギマーク」。参照するWebサイトが正規のサイトであり、SSL暗号化通信が確立できていることを示すSSLサーバー証明書は、サイト閲覧者に安心と信頼をもたらす重要な仕組みだ。そんなSSLサーバー証明書を発行するシマンテックの認証局を見学してきた。 ミリタリーグレードのセキュリティに守られた認証局 サンフランシスコ市街地から黒塗りのリムジンに揺られること約1時間(さすがに目隠しされることはなかったが……)。シリコンバレーの中心にあるマウンテンビューへ到着した私は、シマンテック本社からやや離れた建物へと案内された。標識も案内板も何もなく、他のビルに紛れ込むように佇む住所非公開のその建物が、シマンテックの認証局を擁するデータセンターだ。 受付に行くと、24時間365日体制の有人警備や監視カメラが配備されていた。そこから先の中枢部へ進むには、
DH鍵交換に存在する脆弱性「Logjam」、HTTPSなどのプロトコルに影響 | トレンドマイクロ セキュリティブログ
インターネットを保護する基礎的な暗号の仕組みに、またもう 1つの脆弱性が確認されました。この脆弱性は、複数の大学や企業のセキュリテイリサーチャーによって確認され、「Logjam」と名付けられています。この脆弱性を利用する攻撃者は、「Man-In-The-Middle(MitM、中間者)攻撃」を実行し、HTTPS や SSH、VPN といった安全な接続で利用される暗号強度を弱めることができます。理論上は、十分な計算能力があれば、暗号を解読して「安全」とされるトラフィックを読み出すことが可能です。 この脆弱性は、いくつかの点で 2015年3月に確認された脆弱性「FREAK」と類似しています。どちらも、「輸出グレード」の暗号水準をサポートするサーバを攻撃することが可能です。米国は 1990年代まで暗号を「軍需品」と見なしており、国外に輸出する製品がサポートする暗号の強さを規制していました。そして
クレジットカード処理におけるTLS 1.0の使用が非推奨に | スラド セキュリティ
各カード会社のログイン画面を調べたところ、セゾンカード [saisoncard.co.jp] が、TLS 1.0 までの対応で、脆弱な SSL 3 も有効という酷い状況でした。 なんとかして下さい中の人。セゾンカード持ってるんですorz セゾンカード … × TLS 1.1 と TLS 1.2 に非対応 (TLS 1.0 まで対応、SSL 3 も有効) [saisoncard.co.jp] ダイナースクラブカード … × TLS 1.1 と TLS 1.2 に非対応 (TLS 1.0 まで対応、SSL 3 は無効) [citicards.co.jp] 三井住友VISAカード … ◎ TLS 1.2 まで対応 [smbc-card.com]MUFGカード・DCカード・NICOSカード (三菱UFJニコス株式会社) … ◎ TLS 1.2 まで対応 (3ブランドとも) [cr.mufg.jp]
日本年金機構から約125万件の個人情報が流出 | yasuokaの日記 | スラド
日本年金機構において、職員の端末に対する外部からのウイルスメールによる不正アクセスにより、当機構が保有している個人情報の一部が外に流出したことが、5月28日に判明しました。現時点で流出していると考えられるのは、約125万件です。 とのプレスリリースが、本日(6月1日)付で日本年金機構から発表された。基礎年金番号を含む個人情報を扱う端末において、インターネットからの電子メール(ウィルス付き)を開封したとのことだ。 それが事実なら、現時点の日本年金機構に、個人番号(マイナンバー)を扱わせるわけにはいかないと思う。というのも、公的年金業務等に関する事務の特定個人情報保護評価書(全項目評価書)には、以下のような恐ろしいことが書かれているからだ。 個人番号管理サブシステムは、平成28年1月以降、20歳到達に伴う基礎年金番号新規付番者等について、住民票コードにより、月次で、地方公共団体情報システム機構
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Word - press-release
【チャイナネット事件簿】11月11日のオンラインショッピング祭りで記録的な金が動く ほか~2014年11月 
[PDF] 秘密情報の保護ハンドブック ~企業価値向上に向けて~ 経済産業省 (平成28年2月)
/blog/2016/02/it-ssltls-sha-1/
情報漏洩に打つ手なし 来月通知「マイナンバー」専門家が警鐘|日刊ゲンダイDIGITAL
