2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。 ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。 インシデントタイムライン 以下は主に国内の関連事象を整理したもの。 日時 出来事 2016年9月16日 MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。 2017年1月16日 US-CERTがSMBv1

By Sean MacEntee SSLを用いたHTTP通信の暗号化を誰でも手軽に行えるようにするために立ち上がったのがEFF、Mozilla、Cisco Systems、Akamai Technologies、IdenTrust、ミシガン大学の研究者などで、これらのメンバーがHTTPS普及のためにスタートした取り組みが「Let's Encrypt」です。これまで手間がかかり金銭的な負担も大きいと言われてきたサーバー証明書の発行を無料で行えるようになるのですが、同取り組みはついにベータ版から正式版にサービスを移行しています。 Leaving Beta, New Sponsors - Let's Encrypt - Free SSL/TLS Certificates https://letsencrypt.org//2016/04/12/leaving-beta-new-sponsors.h

12. 調査方法 ❶ URLの#以降にU+2028とDOM based XSSが起き得る文字列をつけて まわる ❷ 変なエラーがでないかみる http://host/#[U+2028]'"><svg/onload=alert(1)> 13. すると Benesseのサイトにメチャ普通のDOM based XSSがあった https://web.archive.org/web/20130723155109/http://manabi.benes se.ne.jp/#"><svg/onload=alert(1)> function writeAccesskeyForm(){ var htm = ''; var ownURI = location.href; //略 htm+= '<input type="hidden" name="backurl" value="' + ownURI + '"

ウイルスチェッカー・SecURLにできること 全体像・URLウイルスチェッカー「SecURL」 URL(リンク先ホームページ)の安全・危険をチェック SecURLがあなたのかわりに、リンク先のホームページに訪問。安全・危険度を判定し、危険度とともに、サイトの構成を訪問前に確認することができます。 ご自身のPCを危険さらすことなく、事前に危険度を判定できる仕組みとなっております。とくに危険とされる海外サイトもリスクゼロで訪問・閲覧することができます。 仮想ブラウザで安全ブラウジング アクセスはSecURL内で動作する仮想ブラウザで行われ、閲覧者の皆様に危険が及ぶことはありません。 サイトの状況にはフルサイズの画像にて表示され、目的のサイトのすみずみまで目視することが可能となっております。 作成されたキャプチャには個別のURLが与えられ、お知り合い等にそのURLを連絡することでキャプチャを共有

2. アジェンダ • SQLインジェクション対策もれの責任を開発会社に 問う判決 • PHP入門書のSQLインジェクション脆弱性の状況 • O/RマッパやSQLジェネレーターのSQLインジェク ションの話題 – Rails SQL Injection Examplesの紹介 – Zend FrameworkのSQLインジェクション – JSON SQL Injection – Drupageddon(CVE-2014-3704) Copyright © 2008-2015 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何

今年の5月1日に、仙台市内のホテルで多重予約のトラブルが発生したと報道されています。 部屋数２０３室の仙台市のビジネスホテルで、９月１８～２３日の宿泊予約を数千件受け付けるトラブルがあった。アイドルグループ「嵐」のライブが宮城県内で開催される期間だった。インターネットでの申し込みが殺到し、システム障害が起きたとみられるという。 トラブルがあったのは、仙台市泉区の「ホテルルートイン仙台泉インター」。ホテルなどによると、９月１９、２０、２２、２３日に宮城スタジアム（宮城県利府町）で嵐がライブを開くことが明らかになった後の５月１日午前５時ごろ、ネットを使った予約申し込みが殺到していることに気づいたという。 ２０３室のホテルなのに「予約」数千件　嵐公演で殺到か：朝日新聞デジタル より引用 5月1日の朝に何があったのか調べてみると、この日の早朝にテレビや新聞でコンサートの情報が流れたようですね。 お

スーパーマーケットなどのレジスターと連動して、商品の売れ行きの把握などに用いられるＰＯＳと呼ばれるシステムに感染し、クレジットカードの情報を盗み出すコンピューターウイルスが日本で初めて確認され、情報セキュリティー会社が注意を呼びかけています。 情報セキュリティー会社のトレンドマイクロによりますと、このＰＯＳシステムを狙ったウイルスが去年、日本国内の事業者の８つのコンピューターから見つかったということです。 こうしたウイルスにはインターネットを通じて感染しているとみられ、顧客が利用したクレジットカードの情報を盗まれるおそれがあるということです。 ＰＯＳシステムのウイルスを巡っては、アメリカで大手ディスカウントストアのチェーンから、クレジットカードなどの情報４０００万件余りが流出するなど被害が多発していて、日本で見つかったウイルスの中には、アメリカで見つかったのと同じ種類のものもあったというこ

Windows 7の起動画面で使っているパスワードを忘れてしまい、ログインできないという非常事態に出くわしたときに、管理者権限を取得した状態でコマンドプロンプトを立ち上げられる裏技を知っておけば、コマンド入力であっという間にパスワードを設定し直してログインすることが可能です。ということで、実際にうまくいくのか、管理者権限を強制的に取得する裏技を試してみました。なお、この裏技は手順を間違えるとPCが正常に起動しなくなる危険がある点には注意が必要です。 A tutorial on how to get into an admin account on ANY computer. - Imgur http://imgur.com/gallery/H8obU 電源ボタンを押してPCを起動させ、「Windowsを起動しています」と表示されている間に、PCの電源ボタンを長押しして強制的にPCをシャット

ネット中心に発展していく世界において、増え続けるのがパスワードと呼ばれる文字の羅列ですが、簡単すぎてもセキュリティが危ういし、難しすぎると忘れてしまうし、となかなか良いバランスを見つけ出すのが大変です。今回は、パスワード管理のお手伝いをしてくれる便利なパスワード管理ツールを5つほどご紹介！ 全てのアカウントなどに同じパスワードを使うと確かに楽ですが、これは危険極まりない行為です。逆に、全てのアカウントのパスワードを違うもの、かつ強力なものにしてしまうと、常人の頭脳ではとても覚えきれる数ではないかと。 パスワード管理ツールとは「少ないパスワードの使い回し」と「自分でも覚えられない複雑すぎるパスワード」の絶妙なバランスを保つことを目的としてこの世に誕生したツールなのです。下記の5つのツールは強力なパスワードを設定し、かつ、それらを管理する、という正義の味方のようなツールです。 ■KeePass

まじめに、じゃなくてこういうのってどうなんだろねっていうレベルの話。 今年は特にパスワード情報の流出と、それを使ったリスト型攻撃による不正アクセスや個人情報の流出といった話題が数多く世間を騒がせましたが、ここで問題になるのが、多くの人がやってしまいがちな、「パスワードの使い回し」。 パスワードの使い回しは危ないよっていうお話 Google、5分でできる強固なパスワード設定方法をアドバイス 確かに、複数の Web サービスのパスワードを覚えておくのは大変 （パスワード管理ソフト使えという話なんですが一般の人にはそれ程浸透してなさげ） ですし、まぁ気持ちはわかるんですけどね。 そこで、パスワードの使い回しは防げないとして、サービス側で多少でもセキュリティリスクを減らす方法ってないのかね？ ってことで、もしパスワード使い回されても、必ず頭の数文字だけはサービス側で自動生成したランダムな値が入るっ

技術を活かし、新しい価値を創造する DeNAのエンジニアは、想像を超えるDelightを届けるために何ができるかを考え、技術力と発想力で新しい価値を生み出しています。 多様な専門性を持ったエンジニアが切磋琢磨し、互いに刺激し合える環境や制度がさらなる成長へとつなげます。

この記事は脆弱性"&'<<>\ Advent Calendar 2014の17日目の記事です。今日は少し昔話をしようと思います。がはは。 かつて、日本製TwitterのようなWassrというサービスがありました。当時、Twitterは数日に一度くらいはサービスが落ちていて、Twitterユーザーも「またか」と思いながら我慢して使うようなサービスであり、Twitterが落ちるたびにWassrはユーザーを増やすとともに、画像の添付のように当時Twitterにはまだなかった機能をどんどんアグレッシブに取り入れていく、使っていて楽しいサービスでした。 さて、そんなWassrがある日絵文字機能を導入しました。当時はUnicode絵文字もなくスマートフォンも普及しておらず、主にレガシーな携帯電話で使える絵文字をなんとかWeb上でも使えるようにしたという感じのものでした。 絵文字をパレットから選択すると

Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 Hiromitsu Takagi @HiromitsuTakagi その後、電通大の研究グループによりA

By Creative Heroes 2013年はNSA監視システムの暴露問題が話題となりましたが、「いつの間にかPCがスパイウェアで監視されている」ということは人ごとではなくなってきています。監視用スパイウェアはメールを盗み読んだり、Skypeの通話の傍聴、ウェブカメラの遠隔操作などを可能にしてしまうわけですが、スパイウェアがPCに仕込まれていないかどうかを一瞬でスキャンしてくれる無料ツールが「DETEKT」です。 Resist Surveillance https://resistsurveillance.org/ 日本を含む世界各国の政府が国民監視用スパイウェアを利用していると言われており、巧妙に仕掛けられた監視用スパイウェアを発見するのは素人には至難の業。 「DETEKT」を利用するには、ウェブサイト最下部の「Download Detekt」をクリック。 GitHubページが開いた