技術評論社のWebサイト（gihyo.jp）が、12月6日11時から14時のあいだ、改ざんされていた件について、技術評論社がその詳細を発表した。 これによると、gihyo.jp上のコンテンツが入れ替えられ、アクセスしたユーザーが外部サイトにリダイレクトされるようになっていたという。経緯としてはフィッシングサイトに引っかかり、Webサーバーの管理用コントロールパネルに不正アクセスされてしまったのが発端のようだ。また、サーバーを管理しているさくらインターネットとの認識の違いにより攻撃者がログインできるルートをふさいでいなかったためサイト改ざんに至ったとも報告されている。 gihyo.jpはさくらのVPSを使って運用されていたとのことで、管理コントロールパネルへのアクセス権限を奪取した攻撃者はOSの入れ替えを行うことでサーバーを乗っ取ろうとしたようだ（技術評論社が公開している経緯詳細）。 経緯詳

2004年11月27日以降、みずほ銀行のWebサイトにHTTPS（SSL/TLS） で接続すると 「https://www.mizuhobank.co.jp/～は2014年11月27日よりご利用いただけなくなりました」 というエラーメッセージが表示されるようになったことが時代に逆行しているとスラドでも話題になったが、2015年4月10日現在、再びHTTPSでアクセスできるようになったようだ（みずほ銀行のトップページ）。なお、この件について、みずほ銀行はプレスリリース等による告知を行っていないが、EV証明書の有効期間が延長されていることから、恒久的な対応であると思われる。 みずほ銀行は、邦銀で唯一インターネットバンキングでトランザクション認証を導入（2015年3月15日）している銀行であり（過去記事）、今後ともセキュリティの強化を期待したい。

フィンランドのセキュリティ企業F-Secureによると、1時間あたり2ドルからでDDoS攻撃を行うという業者が存在するという。F-Secureのブログでは、YouTubeにアップされている業者の広告ビデオとともに業者のWebサイトを紹介している（日経PC Online）。 このブログによると、業者は「安価なプロフェッショナルDDOSサービス」「信頼でき、強力で高速なサービス」「大規模Webサイトや掲示板、ゲームサーバーなどをダウン」「時間制限なし」といったうたい文句を掲げており、料金は1～4時間までが1時間あたり2ドル、12～24時間までが1時間あたり4ドル、24～72時間までは1時間あたり5ドル、1か月間で1000ドルだそうだ。

カリフォルニア大学サンディエゴ校の研究者が暗証番号を入力したキーパッドに残った熱をサーモグラフィーで読み取ることで暗証番号を盗み取る手法を検証した (Naked Security の記事、本家 /. 記事、論文 PDFより) 。 21 人のボランティアを対象として 27 種類のランダムな暗証番号を入力してもらい、指が接触した後の余熱を熱探知カメラを用いて計測する。実験はプラスチック製のキーと金属製のキーとで行われた。金属製のキーでは押されたキーを追跡できるほどの余熱を計測することはできなかったが、プラスチック製のキーの場合、触れたあと 10 秒以内であれば 80 % の確率で暗証番号を特定することができ、45 秒後であっても 60 % の確率で特定することができたという。 熱探知カメラはまだまだ高価であるが、利用時の設置も隠蔽も簡単に行えるため、その見返りを考えればこの手法が利用される余地

米シティグループから21万人ものクレジットカード顧客情報が盗まれた事件（/.J過去記事）の手口は驚くほど単純なものだったそうだ（Mail Online、本家/.）。 「ここ最近最も大胆な手口の銀行データ盗難」などと言われたこの事件、大量の顧客情報を盗んだ手口は驚くほど単純なものだったそうだ。なんとシティグループのウェブサイトのクレジットカード顧客が利用するページのURLには顧客の口座番号が埋め込まれていたそうで、犯行グループは単にこの番号を他の番号に置き換えていくことでデータを手に入れていたとのこと。 犯行グループはこの口座番号を入れ替えてデータを取得するプログラムを開発し、大量のデータを持ち逃げしたとのことだ。

今年 3 月に RSA はクラッキングを受けてシステムに侵入されたのだが (本家 /. 記事) 、この際に盗まれた技術情報が実際に使用されたことが判明したため、世界で累計 4000 万台出荷されている SecurID ハードウェア・トークン交換という事態になるようだ (THE WALL STREET JOURNAL の記事、日本経済新聞の記事、Help Net Security の記事、本家 /. 記事より) 。 実際に使用された事例というのが先日 /.J の記事にもなったロッキード・マーティン社への攻撃。本家 /. 記事では攻撃直後に既に RSA への侵入との関連が報じられていた。業界的には PSN の一件以上のショッキングな事件ではないだろうか ? 日本でも金融、証券関係などのシステムにも用いられていたはずなので、どこまで影響が及ぶのか気になるところである。 RSA はこの件に関して原

シマンテックは、Kingsoft Internet Securityの「WebShield」モジュールを悪用してInternet Explorerのスタートページを書き換えたり、特定のドメインへのアクセスを広告サイトにリダイレクトしたりするマルウェアを発見した(Symantec Connectの記事)。 これはWebShieldの設定がテキスト形式のファイルに書き込まれていることを悪用したもので、設定ファイルを置き換えてリパッケージングしたトロイの木馬として配布されているようだ。すべてのモジュールは正しく署名されており、その他の機能は正常に動作するため、インストールしてしまうと発見するのが困難になる。セキュリティソフトとマルウェアが紙一重、という点でなかなか興味深い話といえそうだ。 なお、キングソフトのアナウンスによれば、「Kingsoft Internet Security日本語版」には

セキュリティ会社のネットファイアが、ハッキング (クラッキング) 力を検定するサイト「Hackme」を公開した。 まだα版ではあるが、実践的な Web サイトの攻略方法を基本とした課題を解くことで力量が認定されていき、「素人」から「ハッカー」レベルへと認定が段階を追って進化していく模様。 腕に覚えのある諸兄は、是非試してみてはいかがだろうか。

root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?

MDISのプライバシーマーク認定番号は「11820285（03）」で、2010年10月28日が有効期限でした。 (03)の部分が審査クリア回数（認定取得の審査を含む）を指します。 2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。 MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。（発覚したのはさらに前） プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。 そして処分が決定したのが2011年1月25日。 プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。 >> という事だが、今回停止された認定

ネット通販で他人名義のクレジットカード情報を使って本人になりすまして買い物する手口の被害が増えているため、日本クレジット協会と日本クレジットカード協会は、決済時にパスワードを入力するシステムを導入すると発表したそうだ (asahi.com の記事より) 。 国内の多くのネット通販ではクレジットカード番号と有効期限を入力するだけで商品を購入できるが、これを利用して本人になりすまして勝手に契約する被害が後を絶たないそうだ。そのため、両協会は加盟する国内のカード会社全て (約 280 社) に対し、利用者があらかじめ登録したパスワードを入力しなければ商品を注文できないシステムの導入を来年 3 月以降に開設されるネット通販サイトに義務づける。既にこの本人認証システムを導入しているカード会社もあるが、両協会は未対応の会社に協力を要請する。一方、既存の通販サイト側にもパスワード入力がなければ取引が成立

Amazon が提供しているクラウド型の計算リソース提供サービス Amazon EC2 のメニューに、新しく「クラスタ GPU インスタンス」が追加となった。この強力な計算リソースを、早速パスワードクラックに使ってみた人が出たようだ (stacksmashing.net の記事、本家 /. 記事より) 。 Amazon EC2 の新メニュー「クラスタ GPU インスタンス」では、1 インスタンスあたり CPU: Xeon X5570 x2、メモリ: 22 GB、ストレージ: 1.69 TB に加え、NVIDIA Tesla M2050 x2 が割り当てられ、1 時間 2 ドル 10 セント (EC2 とのデータ転送料金等は別途) で利用することができる (Internet Watch の記事) 。この計算リソースを利用して今回試みられたのは、14 個の SHA1 ハッシュの値 (リスト)

今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと（LZH書庫のヘッダー処理における脆弱性について）。 Micco氏はこれをJVN（Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト）に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー， JVN / IPA 等共に『LZH 書庫なんて知らねぇ～よ』という態度から変わることはない」と判断できましたので， UNLHA32.DLL， UNARJ32.DLL， LHMelt の開発を中止す

レコードチャイナによると、中国では指紋認証システムによる出勤管理を導入する企業が増えているそうで、「タイムカードによる管理と異なり『代返』が行えない」点を売りにしているという。しかし、これに対抗する「指紋複製キャップ」なるアイテムが人気になっているそうだ。 この指紋複製キャップ、その名の通り指紋をコピーしたシリコン製のキャップで、100 % の確率で機械をごまかせるという。価格は 1 個 100 元 (約 1340 円) とのこと。もし日本でも指紋認証が普及すれば、日本でも話題になるかもしれない。

Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog）。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ

個人情報といえば、以前会社で有給取れた時に 丁度とある場所で開催されていた大規模な技術展を見学しに行ったのですが、 その時、受付とこんな会話をしました。 (ちょっとした遊び心です) 受付「名刺ありますか？」 私「無職なので無いです」 受付「ではここに、名前と住所・電話番号を(ry」 私「書かなければ入場出来ないのですか？」 受付「任意ですので強制ではありません」 私「では、書かなくて問題ないですね」 受付「それは・・・・」 と受付嬢が困ってると、上司がきて、 "もういいから、通しちゃって"的な会話がなされたようで、 名前だけ適当に書いて入場しました。 こういうそれなりのイベントになると、 個人情報などを躊躇せずに記入する人は多いんではないでしょうか？(自分も含め) 量販店などでもポイントカードなるものを 作る際に個人情報を記入させられたりしますし、 案外、個人情報って集められるものなのかも

朝日新聞の記事によると、外務省は来月1日から局長・部長級以上の全幹部の執務室への携帯電話持ち込みを禁止するそうだ。携帯電話の持ち主が知らない間に、遠隔操作で端末のマイク機能を使って周囲の会話を盗聴する「ロービングバグ」と呼ばれるケースがあるそうで、秘密保全の観点から禁止対象の拡大に踏み切ったそうだ。 外務省では2006年から大臣室、事務次官室など一部で携帯電話の持ち込みを禁止し、入室者は入り口で専用の箱に端末を預けていたそうだが、今後は他の幹部室でも同様の措置を取るそうだ。これは、外部の訪問者だけでなく外務省職員も持ち込みを禁じられるという。なお、外務省によると、防衛省や内閣情報調査室でも同様の対応が取られているそうだ。 正直、このような遠隔操作が可能だったのが意外なのだが、改めて自分の携帯電話を見て、何だか得体の知れない機械に思えてきた。