クラウド時代のアカウント窃盗:Geekなぺーじ
管理者の知らない間にドメイン名を「盗まれた」事例が紹介されていました。 Dreamhostというアメリカの会社で登録していた「VL.com」というドメインを、勝手にバハマのレジストラにドメインへと移転されてしまったというものです。 「Boston Linux/UNIX General Discussion List - Dreamhost account hacked」 それによると、夜の1時頃にパスワードリセット通知メールとともに、新しい管理用メールアドレス追加されていたようです。 そのメールを発見するとともに、正規の管理者がログインしようとしたところ、既にアカウント情報が変更された後で、「no such account」という状態になってしまっていたと述べられています。 そこで困ったのがDreamhostへの連絡方法だったようです。 Dreamhostに連絡をしようと思っても、サポート
グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開 - builder by ZDNet Japan
Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っ
定番ソフトが惨敗!ウイルスソフト最強決定戦は意外な結果に | 教えて君.net
ニコニコ動画で、有名セキュリティソフトを使って実際にマルウェアを検出できるかどうかを実験した動画が話題となっている。対象となっているのは国内外の有料・無料ソフトのほぼ全て。注目の結果は、実に驚くべきものになっているぞ。 この動画の投稿主は、100体のマルウェアに感染した状態のパソコンで、各社セキュリティソフトを使ってスキャンを行い、検出力を比較したとのこと。結果は以下の通りだ。 1位 F-secure internet security 94/100 2位 kaspersky 93/100 3位 a-squared Free 89/100 4位 BitDefender 86/100 5位 ウイルスバスター 85/100 6位 GDATA 84/100 6位 COMODO Internet Security 84/100 8位 Mcafee トータルプロテクション 83/100 9位 Avi
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
マイクロソフト製の無料アンチウイルスソフト「Security Essentials」を実際に使ってみた
ついにベータ版から正式版になったこの「Security Essentials」は、正規品のWindows XP・Windows Vista・Windows 7に対応している無料のソフトとなっており、開発したのはあのマイクロソフト。 最新のPCではなく、古いPCやネットブックのような環境で動作させることも考慮しており、CPUやメモリ使用量は最初からある程度制限済み。また、常駐してリアルタイムに保護する際も可能な限り軽く動作するようになっており、「Dynamic Signature Service」によって常に最新のウイルス定義ファイルに更新されるようになっているそうです。 というわけで、ダウンロードとインストール、使い方などは以下から。 ウイルス、スパイウェア、マルウェア対策 | Microsoft Security Essentials http://www.microsoft.com/s
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
SaaS型セキュリティサービスが「mixi」「2ちゃんねる」に対して使用可能に
セキュリティベンダーの米ゼットスケーラーは2009年8月をめどに、SaaS型のセキュリティサービス「Zscaler」を「mixi」や「2ちゃんねる」へのアクセスで使えるようにする。従来、企業が従業員のmixiや2ちゃんねるへのアクセスを制限する場合、書き込みや閲覧をすべてできない状態にしていたが、Zscalerを導入すれば、閲覧はできるが書き込みはできないといった柔軟な設定が可能になる。 Zscalerはウイルス/マルウエア対策機能やWebサイトへのアクセス権限管理機能などを提供するSaaS。アクセス権限の管理では、ブラックリストのURLを管理するデータベースに加えて、コンテンツの内容から動的に分類をする検査機能を併用し、Webサイトへのアクセスを制限している。今回mixiと2ちゃんねるを管理対象のWebサイトに追加した。「企業はマーケティング活動の一環で就業時間中にこれらのWebサイトを
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した
The tech layoff wave is still going strong in 2024. Following significant workforce reductions in 2022 and 2023, this year has already seen 60,000 job cuts across 254 companies, according to independent layoffs tracker Layoffs.fyi. Companies like Tesla, Amazon, Google, TikTok, Snap and Microsoft have conducted sizable layoffs in the…
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
履歴消去じゃ消えないエロサイトの隠れた痕跡に要注意 - てっく煮ブログ
色んなホームページを見ていると閲覧履歴が自動で保存されます。恥ずかしいページを見たあとには、他の人にばれてしまわないように、こっそり履歴を消している人もいることでしょう。通常、ブラウザには「履歴を削除する機能」が備わっていて、ブラウザの履歴を削除すればあなたの悪行の数々は消え去ってくれるように思えます。しかし、ブラウザからは消せない履歴が残っているのです…ブラウザからは消せない履歴それが Flash の Local Shared Object です。Local Shared Object は Flash 版の Cookie みたいなもので、Flash で一時的なデータを保存するときにはよく用いられるものです。Local Shared Object は次の場所に保存されています。OS場所Windows XPC:\Documents and Settings\ユーザ名\Application
ゼロ円でできるインターネットVPN(1/4)
ゼロ円でできるインターネットVPN OpenVPNで手軽にVPN構築 オープンソースのソフトウェア「OpenVPN」を利用すれば、手軽にSSL-VPNによるインターネットVPN環境を構築することができます。そのインストール・設定方法を紹介しましょう。(編集局) Shin.鶴長 2008/5/2 元祖仮想化はネットワーク? 高速なCPUの普及を背景に、XenやVMwareのような仮想化技術が注目されていますが、ネットワークにおいても、ブロードバンドのような高速インターネット回線の普及を背景に、インターネットVPNが利用されるようになっています。 VPNはインターネット上に仮想的な専用線を構築し、離れた拠点間を直接つなぐことができます。VPNはNATルータやファイアウォールを越えた接続も可能なため、外部のインターネットからはアクセスできない社内ツールに、自宅に居ながらアクセスすることができます
Webサービスのセキュリティ概要
Webサービスセキュリティの技術要素 最近Webサービスをめぐった業界の動向がにぎわしくなってきた。サン・マイクロシステムズは2001年9月、XMLを使ったWebサービスによる認証などのための技術標準を推進する企業連合Liberty Allianceを設立した。またマイクロソフトは.NET戦略でのWebサービスを強力に推進している。さらにIBMも独自でWebサービスの陣営を固めようとしている。これらのグループに共通するのは認証やセキュリティの強化である。しかし、本稿ではこれらのグループの動向を紹介するのではなく、WebサービスのセキュリティのベースとなるXMLデジタル署名、XML暗号を基本とするWebサービスのフレームワークとその技術要素を述べることにする。 このようなインターネットによるアプリケーション統合の技術としてのWebサービスは、デジタル署名やプライバシーを強化したセキュリティを
Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! | Google Mania - グーグルの便利な使い方
Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! 管理人 @ 8月 20日 10:44pm Gmail(Gメール) 便利なGmailですが、SSL接続(https)で接続しないと簡単にハッキングされてしまうらしいです。 Webmonkey(英語)によると、Gmail Account Hacking Tool (Gmailアカウントハッキングツール)という物がリリースされているとのことです。(追記:詳しくはこちら→スラッシュドット・ジャパン | GmailのセッションIDを自動的に盗むツールが登場) 重要な記録も最近はメールで送ることが多いです。この記事を見た人は今すぐhttps接続に変更しましょう! 実はGmailはひっそりとhttps接続機能を追加しているのです。 https接続への変更方法は次の通りです。 Gmail画面右上の「設定」をクリック 表示される「全般
“添付ファイルにパスワード”の意味
最近,電子メールの添付ファイルにパスワードが設定されていることが多い。社外の寄稿者が原稿などを送ってくるメールである。WordなどのOffice製品が備えるパスワード,ZIPといった圧縮ソフトのパスワード,暗号化専用ソフトのパスワードを設定してある。パスワードを入力すること自体,大して手間がかかることではないのだが,“余計な手間”と思うためか面倒である。送ってくる寄稿者のほうも恐縮している場合がほとんどだ。会社のポリシーであり,パスワードを設定しなければ送れないという。 「仕方がないこと」と思いながら,添付ファイルにパスワードに意味があるのかをつらつらと考えてみることがある。 ファイルにパスワードをかけるのは,言うまでもなく「もしそのファイルが第三者に渡ったとしても,内容を見られないようにする」のが目的である。では,そのファイルが第三者が入手されるのはどのような場合なのだろうか? パスワー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Web屋のネタ帳