不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog
2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決
「ウイルスには該当しない」 Coinhive裁判、無罪判決の理由
「不正な指令を与えるプログラムと判断するには、合理的な疑いが残る」――Webサイトの閲覧者に仮想通貨をマイニングしてもらうことで収益を得られる「Coinhive」について、横浜地裁はそのように判断した。同地裁は3月27日、閲覧者に無断でCoinhiveを自身のWebサイトに設置したとして、不正指令電磁的記録保管罪に問われた男性に対し、無罪(求刑罰金10万円)を言い渡した。 刑法上、不正指令電磁的記録(ウイルス)は「(PCの持ち主の)意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と定められている。裁判の争点は(1)Coinhiveが、この不正指令電磁的記録に該当するか、(2)男性がCoinhiveを使用した目的、故意の有無――だった。 Coinhiveを「広告の代わり」に導入 Coinhiveは、Webサイトの運営者が専用のJavaScript
リンクを作る時の target="_blank" の危険性 - 隙あらば寝る
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
宅ふぁいる便もAWSを攻められた - Fox on Security
宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 1.漏洩したお客さま情報 (1)内容 ・「宅ふぁいる便」のお客さま情報 ・メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ) (2)件数 約480万件 2.経緯、原因 ・1月22日11時、当社が認識していないファイルが「宅ふぁいる便」サーバー内に作成されていることを確認し、システムを管理している社員およびパートナー企業に確認。 ・1月22日13時、社員およびパートナー企業から作成していないとの報告を受け、第三者機関を含めて、原因の究明、被害状況などの調査を開始。 ・1月22日19時、「宅ふぁいる便」サーバー内に不
Slackを導入するまでの話 - ぐるなびをちょっと良くするエンジニアブログ
自己紹介 どーも、はじめまして。ネコが大好き、こゆいです。 開発推進チームという、開発メンバーがより楽しく効率良く働けるようにするためのチームに所属しています。 社内エンジニアLT大会を企画したり、コミュニケーションツールを導入したり、EFKスタック(Elasticsearch + Fluentd + Kibana)の導入を進めたりなど、業務内容は多岐にわたります。 初回のこの記事はSlack導入周りのお話をしていきたいと思います。 「Slackを導入したいけど、どう進めるのがいいのかなー」と悩んでいる方々の参考になれば幸いです。 読んだら参考になるかもしれない人 わりと大人数でSlackを導入したい人 わりとセキュリティや費用対効果などを聞かれる事情がある人 弊社のSlackアカウント推移 弊社は企画開発本部のメンバーを中心に、今年の4月からSlackの本格導入を始めました。社内での評価
公開鍵暗号と電子署名の基礎知識 - Qiita
とくに、英語の decryption を日本語でなんと呼ぶかは人によってまちまちです。 復号 と呼んでいる人もいるのですが、復号は decode の訳語として使いたいので、このエントリでは 平文化 を使います。 公開鍵暗号とは 玄関の鍵は閉めるときも開けるときも同じ鍵を使います。金庫の鍵も普通はそうです。では 金庫に貴重品を詰めて送ってもらう時はどうでしょう? 金庫を閉める鍵と開ける鍵が同じだと、金庫にものを詰めてもらう相手にその鍵を渡す必要があります。その鍵を郵送で送ろうとしたら、途中で誰かに見られて複製を作られてしまうかもしれません。大事なものを送るために鍵をかけようとしているのに、同じ労力をかけて鍵を受け渡さなければいけないとなると本末転倒です。 これは、暗号通信でも同じことが言えます。 そこで、暗号通信において 閉めることしかできない鍵 と 開けることしかできない鍵 のペアを使うこ
なるほど、パスワードは絵文字の時代
その手があったか! みなさん、スマートフォンのパスワードには何を使っていますか? たぶん、味気ないランダムな数字の人も、思い出の数字の組み合わせを使っている人もいるかと思います。でも、とあるイギリス企業が開発した絵文字によるパスワードなら、もっと簡単&セキュアにスマートフォンにロックがかけられるそうなんです。 この企業によると、絵文字の組み合わせは数字の組み合わせよりも覚えやすいそうです。へー、そうなのかな? そしてもちろん、0~9までしかない数字の組み合わせよりもずっと推測することは難しくなります。こちらはわかりやすいメリットですね! ちょっと数学チックな話になりますが、同じ数字が連続しない4桁の数字の組み合わせは7,290通りあります。ところが、同じように44個の絵文字でパスワードを組み合わせれば、なんと3,498,308通りもの組み合わせが! 圧倒的ではないか…絵文字パスワード。 こ
6つのステップとイラストでわかるフェイク指紋の作成方法
By CJ Isherwood iPhone5sのホームボタンには指紋認証が搭載され、セキュリティ対策として指紋を使う方式が徐々に一般的になりつつある中、他人の指紋のコピーを作る方法がwikiHowで公開されています。 How to Fake Fingerprints: 6 Steps (with Pictures) - wikiHow http://www.wikihow.com/Fake-Fingerprints ◆1:オリジナル指紋の入手 指紋の良い入手方法としては、ガラス、ドアノブ、光沢紙です。指紋の付着したアイテムへ色のついた粉を吹きつけると、脂に付着し、指紋を視覚化することが可能。これは科学的犯罪捜査でも使われます。 ◆2:指紋検出シアノ法 アロンアルファのような強力接着剤、またはシアノアクリレート(強力接着剤の主成分)を含むものを用意したら、瓶のフタなどに少量を注ぐと気化した
ロリポップのハッキング被害ドキュメント①:復旧のため実施した作業内容
2013年8月28日の午前、当ブログ「りくまろぐ」はハッキング被害に遭い、一時的にブログが表示されない状態となっておりました。 調査していくうちに背筋の凍る思いがしました。まさか自分のサイト(ブログ)がハッキング被害に遭うなんて夢にも思っていませんでした。 ブログが破壊されたことに気付いて、ものすごく落ち込みました。セキュリティ対策などもほとんど無知で、WordPressについても勉強を始めたばかりの初心者でしたから、何をどうすれば良いのか全く分からず、放心状態になりました。 今回の記事では、ハッキング被害が判明した経緯と、復旧させるまでの対応内容をまとめました。 繰り返しになりますが、セキュリティー対策に関しては知識がほとんどないため、今回の暫定的な対応についても「それは不要ではないか?」というものがあるかもしれません。 とにかく「やれることは全てやろう」という方針のもと、パニックになり
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
