go.jpサブドメインが不正利用可能な状態だった件について:Geekなぺーじ
go.jpのサブドメインを含む名前の一部が不正利用可能だったことが話題です。 「"DNS浸透いうな"の先生」として一部界隈で有名な中京大学の鈴木教授によって発見され、関係省庁に報告されたうえで問題への対処が行われました。 本記事執筆時点において発見・報告が行われたと公表されているのは、総務省、厚生労働省、経済産業省、近畿経済産業局、経済産業省、中国経済産業局、関東経済産業局、文部科学省、国土交通省(2件)、国立教育政策研究所、東京都(tokyo.lg.jp)のサブドメインです。 今回、鈴木教授によって発見&報告されるまで、第三者によってgo.jpを含む名前空間が不正利用可能な状態で放置されていたようです。 総務省の Dangling (宙ぶらりんな) CNAME を保護した話 (続) 総務省の Dangling (宙ぶらりんな) CNAME を保護した話 “中央省庁の一部サイト 不正利用の
神奈川県立高校ネット出願システムのGmail到達性問題、改めて深堀りしてみた | DevelopersIO
神奈川県ネット出願システムのGmailへのメール到達性問題は、不適切なサーバー設定、大量メール送信、DNSミス、バウンスメール処理不備、急激な送信量増加、準備不足、新ドメインの低信頼性が複合的に作用して発生したと推測されます。 2024年1月、神奈川県のネット出願システムでGmailにメールが届かないトラブルが発生しました。 身内が受験するため、出願システムのトラブルに巻き込まれた当事者として原因調査を試みていました。 先日『日経クロステック』より、本件について取材を受ける機会がありました。 取材協力した記事で取り上げられた問題について、さらに深堀り、詳細な分析を行った内容を以下に紹介いたします。 問題の概要 概要 志願者登録時、二次元コード読み取りと空メール送信が必要 "@gmail.com"アドレスへの返信メールが届かない不具合発生 原因 システムのメールサーバ設定が不十分 大量メール
パスワードのない世界に向けて ~TechFeed Conference 2022講演より | gihyo.jp
本記事は、2022年5月に開催されたTechFeed Conference 2022のセッション書き起こし記事「パスワードのない世界に向けて(えーじ) — TechFeed Conference 2022講演より」を転載したものです。オリジナルはTechFeedをご覧ください。 皆さんこんにちは。えーじです。今日は「パスワードのない世界に向けて」というお話をしたいと思います。 パスワードだけでは守りきれない世の中に 皆さんご存知のように、今多くのWebサイトはパスワードを使ったログインが主流です。 しかし、どんなに堅牢なシステムでも、ユーザーさんが弱いパスワードを作ってしまったり、同じパスワードを複数サイトで使い回してしまったり、フィッシングに引っかかってしまえばアカウントは乗っ取られてしまいます。 近年フィッシングが急増していることからもわかるように、パスワードだけのシステムでは守り
ガーディアンズ・オブ・サイバースペース ~知られざる戦い~ | NHK | WEB特集
サイバー空間で“最恐”と呼ばれた、コンピューターウイルス、エモテット。 かつてないほど猛威を振るっていたこのウイルスが、ことし1月、制圧された。 日本を含む世界の200以上の国と地域の端末が感染、25億ドルの損害をもたらしたとされる。 世界8か国の捜査機関のおよそ2年間に及ぶ合同捜査の結果だったが、そこに日本の捜査機関の名前はなかった。 だが、この作戦には、日本の有志のホワイトハッカーたちの活動が、大きく寄与していた。 “最恐ウイルス”VS“ガーディアンズ” その知られざる戦いを追った。 (ネットワーク報道部記者 鈴木有) ウクライナ東部の町ハリコフ。 集合住宅の狭い路地を武装した捜査員らが駆け入っていく。 一つの部屋のドアをバールでこじあけ、蹴破って突入する。 捜査員が目にしたのは、数十台はあると思われるコンピューターやハードディスク。 そして、大量の紙幣と金塊。 世界中で猛威を振るって
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
大量出現したニセ通販サイトを探る - 午前7時のしなもんぶろぐ
こんにちは! しなもんです。 ふとしたきっかけから、日本語のニセ通販サイトが大量に作られたことが判明しましたので、注意喚起を兼ねて調査結果を公開します。 こうした偽サイトに個人情報や金融情報などを入力しないようにご注意ください。 はじめに 偽サイトの発見 ニセサイト群の特定 ドメインを分析 実際のサイトの様子 運営会社の身元 画像の出所 ソースの分析 注文してみた 評価サイトでの扱い 攻撃を仕掛けているのは何者なのか ニセサイトは平然と存在している 調査に使用したサービス 付録 調査対象のドメイン一覧 更新履歴 はじめに 調査はしなもんが自力で実施しましたが、ニセ通販サイトの存在自体は I 氏から教えてもらいました。 調査上の重要なアイデアのいくつかも I 氏によるものです。 この場を借りてお礼を申し上げます。 以下、不用意なアクセスの防止のために、URL や IP アドレスを 「hxxp
駆け出しエンジニアの皆さんに知ってほしい脆弱性のこと。
セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプリケーションを作り、公開することにチャレンジして欲しいと私は思っています。 一方、事実として、脆弱なアプリケーションが公開されている(サーバ上でアクセス可能な状態になっている)だけで、全く無関係な第三者が被害を被る可能性があることは知っておく必要があります。 それはWordPressを使った単なるWebサイトであったとしても同じです。 また、あなたのアプリケーションが破壊されて困らないものであったり、 個人情報を保持していないものであったとしても、です。 だから、知らなかった、では済まされないこともあります。 この記事では、PHPのソースを例に、 特にプログラミング初学者が生み出しやすいアプリケーションの脆弱性について、 具体的なコードを挙げながら解説します。 なお、本記事のサンプルコードはも
Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。 何が起きてるの? 誘導される詐欺サイトの一例 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。 どう対応すればよい? 不要なCNAMEレコードを削除する。 影響範囲は? 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認(2020年7月
メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め
注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ(36文字)のそれほど長くない列で構成されており、ブルートフォース攻撃(総当り攻撃)によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア
iOSアプリが公衆WiFiでハイジャックされる : Cartan's Blog
11月15 iOSアプリが公衆WiFiでハイジャックされる カテゴリ:iOSセキュリティ iOSアプリをパブリックWiFiで利用する場合,攻撃者が偽のデータをiPhoneやiPadに送ることができる危険性を,イスラエルのSkycureが警告しています.NetworkWorldの解説記事から. Many iOS apps found open to hijacking on public Wi-Fi Skycureが発見した方法は,"coding pitfall",または"HTTP Request Hijacking"と呼ばれるもので,アプリに偽のURLを送り,送信先を変更させるものです. ハイジャックを行うフローは以下の通りになります. 利用者は,アプリを信頼できないネットワーク(例.パブリックWiFi)に接続した状態で,アプリを起動するアプリが送信したHTTP Requestを,攻撃者が
パスワード用のハッシュとは(猛省用資料)
昨日の記事はだいぶ注目を集めたようです。今日は自分向けの技術的なメモです。 パスワード等に使うのにSHAなどのよく知られたハッシュ関数ではなぜダメなのか? パスワード用のハッシュ関数は何が違うのか? という話です。なお、今回はほんとに昨日今日でいろいろ仕入れたもののため、中身も薄いし間違ってるかもしれません(また、個別のアルゴリズムやテクニックなどは陳腐化しやすいので、後日にはいろいろ変わっていることでしょう)。その辺は注意してください。 ネタ元は http://throwingfire.com/storing-passwords-securely/#notpasswordhashes など 、あと https://plus.google.com/102550604876259086885/posts/4eoNnNSQ7W6 にコメントをいただいた皆さん(ありがとうございます!)。 で。
パスワード保存とソルトの話
先日、twitterへのハッキング行為が発見された、という発表がなされました。一部のユーザのデータが漏洩したということです。 この件について個人的に懸念を感じたため、それをこちらに書いておきました。原文では encrypted/salted password と呼ばれていたものが、日本語の公式ブログでは「暗号化されたパスワード」となり、これが朝日新聞では「パスワード」と表記されているという問題です。 専門知識があれば、ここにどういう違いがあるかはわかるのですが、そうでなければわからないのも無理はありません。しかし、わからないからといって省略して良いわけでもありません。パスワードと encrypted/salted password は大きく異なります。 ではどう違うのか? この話について、ひと通りの解説をしてみるのも良いのではないかな、と思ったのでしてみます。 「パスワード」は保存されない
『スマートフォン プライバシー イニシアティブ』がやばいので、法務系LTイベントで喋ることにしました(追記あり) : 企業法務マンサバイバル
2012年07月19日07:30 『スマートフォン プライバシー イニシアティブ』がやばいので、法務系LTイベントで喋ることにしました(追記あり) カテゴリ法務_情報法務 businesslaw Comment(0)Trackback(0) 何がやばいかって、読んでみたら全然スマートフォンの話に限定されていない総務省による「新しい個人情報保護法解釈基準」と「プライバシーポリシー作成ガイドライン」だったのです。タイトルにだまされて、スルーするところでした。 ▼総務省がスマホプライバシー基準を公開 端末IDに個人情報並みの扱い求める(日経コンピュータレポート) 今回の提言は、事業者への拘束力が弱い点は配慮原則と同じだが、各スマートフォンに固有のIDの扱いや、プライバシーポリシーに記述する項目の具体的な基準を示すなど、適正か、不適かの線引きをはっきりさせた点が大きく異なる。 例えば、利用者が簡単
ネットを利用するときに気をつけたいこと - ぼくはまちちゃん!
こんにちはこんにちは!! 昨日、こんな記事を見かけたよ。 » コドモのソーシャルネットワーク事情〜親ならこれだけはやっておけ なるほど、いいこと書いてあるし、わかりやすい。 そんなわけでぼくも、 「ネットを利用するときに気をつけたいこと」について、自分なりに思うことを書いてみるよ。 情報は紐付く ちょっとした情報を元に、 ネットAとネットBが紐付くのはもちろんだし、 リアルの情報まで紐付くこともよくあること。 ひとつひとつは大したことない情報でも、 情報が紐付くと、さらに色々なことが芋づる式に誰かにわかるよ。 過去と現在が紐付く 今は、君のことを気にかけているのは まわりの友達だけかもしれない。 けれど情報は残る。 将来、5年後、10年後…、 君がうっかり書いた言葉が、たまたま炎上した時、 犯罪者のようなレッテルとともに、過去の全てと、紐付いたリアルの情報を、大勢の人に晒されることになる。
GoogleがSafariの設定を迂回してトラッキングしていたとされる件について - 最速転職研究会
※この記事の完成度は85%ぐらいなので後で追記します。 http://webpolicy.org/2012/02/17/safari-trackers/ http://online.wsj.com/article/SB10001424052970204880404577225380456599176.html http://blogs.wsj.com/digits/2012/02/16/how-google-tracked-safari-users/ 合わせて読みたい。 http://trac.webkit.org/changeset/92142 https://bugs.webkit.org/show_bug.cgi?id=35824 一番上のJonathan Mayer氏の記事については純粋に技術的なレポートなので、特におかしなことは書かれていない。元はといえばSafariのCooki
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版
コドモのソーシャルネットワーク事情~親ならこれだけはやっておけ
