事業共創プログラム OPEN HUB for Smart World 未来をひらく「コンセプトと社会実装」の実験場 OPEN HUB for Smart Worldは、社会課題を解決し、わたしたちが豊かで幸せになる未来を実現するための新たなコンセプトを創り、社会実装を目指す事業共創の場です
当社への不正アクセスによる情報流出の可能性について
事業共創プログラム OPEN HUB for Smart World 未来をひらく「コンセプトと社会実装」の実験場 OPEN HUB for Smart Worldは、社会課題を解決し、わたしたちが豊かで幸せになる未来を実現するための新たなコンセプトを創り、社会実装を目指す事業共創の場です
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる
(追記)これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます
マルウェア解析奮闘記 ~難読化JScriptを解析せよ~ | セキュリティ研究センターブログ
先日、あるマルウェアを入手しました。フィッシングメールの添付ファイルとして配送されていたもので、拡張子「.js」のJScriptファイルでした。中身は難読化処理が施されておりました。その解読手法および解析した結果を記します。 ■JScriptとは JScriptはスクリプト言語であり、ファイルをダブルクリックした場合はWindows Script Hostがその実行エンジンとなります。そのため、Windows環境は標準でJScriptファイルを実行する事ができます。厳密にはJavaScriptと異なるのですが、JavaScriptが読める方であれば、何をしているかはきっと理解できます。 アイコンは以下の通りです。 図1、JScriptのアイコン ■検体の調査 検体をテキストエディタで開くと以下の通りとなっておりました。 図2、検体のソースコードの一部 一見すると解析を諦めたくなるような綺麗
みずほ銀行のセキュリティ対策が酷すぎるのでまとめてみた - Windows 2000 Blog
目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/〜」を「http://www.mizuhobank.co.jp/〜」に修正し(httpsの”s”を削除)、エンターキーを押してください。 https://www.mizuhobank.co.jp/〜は2014年11月27日よりご利用いただけなくなりました。 https://www.mizuhobank.co.jp/〜でブックマーク(お気に入り)に登録されているお客さまは、http://www.mizuhobank.co.jp/〜に登録先の変更をお願いします(httpsの”s”を削除してください)。 Firefox 18 で、SSL (https) ページ上で非 SSL (http) サイトのコンテンツ読み込みをブロックする設定が追加されました。ユーザのセキュリティを高めるため、これらの
MS-CHAPv2プロトコルの破綻 | セキュリティ対策のラック
2012年8月31日 改訂 本件につきましては、7月29日ごろに問題が公表されてから8月20日前後まで、メーカーや公的機関等からの詳細な情報提供がありませんでした。弊社としては、早期の告知を優先し、まずは明らかになっている情報を報告させていただいたため、初版のリリース時には脆弱性の影響範囲について過大な評価となる記述となっておりました。 一部のお客様、および関係者の方々よりご指摘をいただき、ご迷惑をおかけしたことをお詫び申し上げます。メーカーからのアドバイザリや追加情報をもとに記載内容を見直しましたため、以下の通り改訂させていただきます。 暗号化通信(VPN)や無線LAN(WPA2)の認証として、一般企業で広く使われているMS-CHAPv2(Microsoft CHAP version 2)というプロトコルに、パスワードが完全に解読されてしまうという脆弱性が発見され、公表されました。 その
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
ringo-sanco Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認
複数の報告によると、一部の携帯電話販売代理店において、Androidスマートフォンの契約時、ユーザーにGoogleアカウントのIDおよびパスワードの記入または新規作成のうえの記入を契約必須条件として、代理店側が開通作業の際にユーザーのIDとパスワードでAndroidマーケットにログインし、スマートフォンにアプリケーションをインストールして販売する例があることを確認しました。 取材したところ、契約ユーザーは契約時に別途代理店が用意した「GoogleアカウントのID」および「同アカウントのパスワード」の記入欄が設けられている用紙への記入を契約必須条件と案内され、アカウントを所持していない場合は新規アカウントを作成する必要があったとのことです。 代理店側は開通作業時に端末を操作するとき、ユーザーの記入したGoogleアカウントとパスワードを使用して、Androidマーケットにログインし、指定のア
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
asahi.com(朝日新聞社):アプリ利用時間や回数丸わかり 「アップログ」に批判 - 社会
印刷 関連トピックスKDDI端末に表示された、アップログが情報を送信する許可を求める画面。文言は3日に改修される前のもの「アップログ」の仕組み スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。 このプログラムは、ベンチャー企業「ミログ」(東京)が作成した「アップログ」。基本ソフト(OS)「アンドロイド」を搭載した携帯端末向けで、先月27日からアプリ開発者向けに無料で提供されている。 プログラムを組み込んだアプリがスマートフォンに導入されると、端末の固有番号、他に導入済みのすべてのアプリの名前、各アプリを使った時間帯などのデータを1日1回、同社に送信する。ア
解雇されたエンジニアが外部からVM削除で業務停止:Geekなぺーじ
解雇された37歳のエンジニアが、隠し持っていたパスワードを利用してマクドナルドから企業ネットワークへとログインし、次々と重要な業務システムをVMWareホストシステム上から削除していったとComputerworldの記事にあります(米国の事件です)。 事件そのものは2011年2月3日に発生し、7月に起訴されました。 Computerworld: Fired techie created virtual chaos at pharma company 記事によると15のVMWareホストシステム上で稼働していた88個のサーバを次々と削除していったようです。 外部からVMを削除されたシオノギ製薬の業務は数日間停止してしまったと記事にあります。 従業員は製品の出荷などの業務をできなくなるだけではなく、メールのやりとりも出来ない状態だったようです。 記事によると、容疑者が解雇されたのは2010年7
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
今ツイッターで流れているPixivのセキュリティ問題関連の情報はどこまで正しいのか?現役プログラマーの見解
女性声優 @ssig33 @mittsmame メールアドレスパスワード云々の件は完全にデマだけど、ここから平然と火に油を注ぐのが Pixiv という感じがしますね、、、 2011-08-08 18:33:58 女性声優 @ssig33 パスワードブルートフォースすればアプライアンスのファイアーウォールで止まるし、そういうのいれてなければふつうログインまわりに一定回数以上試行で止まるし、それで止まらなくても高速にブルートフォースすればアプリケーション落ちて止まる 2011-08-08 18:35:43 女性声優 @ssig33 今のは一般論で Pixiv は同一 IP から一定速度以上でアクセスくると 500 だか 502 だか返すようになるのでブルートフォースむり。 mx レコード見えてたらメールアドレス漏れるとか言ってるやつは、論外すぎる、、、 2011-08-08 18:36:30
secure.softbank.ne.jp廃止できません!? | 水無月ばけらのえび日記
公開: 2011年7月15日2時10分頃 これは驚きました……「モバイルバンキングは今でもsecure.softbank.ne.jp方式が主流 (d.hatena.ne.jp)」。 以下は、ログイン画面のURLがhttps://secure.softbank.ne.jp/~となっています。大手都市銀行は全てという感じです。 三井住友銀行三菱東京UFJ銀行みずほ銀行りそな銀行セブン銀行じぶん銀行住信SBIネット銀行楽天銀行新生銀行secure.softbank.ne.jpはホワイトリスト方式で残されるということでしたが、上記モバイルバンキングは、そのホワイトリストの対象なのでしょう。 なんということでしょう。 7月からは、secure.softbank.ne.jpで表示されるのは公式サイトのみ (かつ、ソフトバンクに申請したサイトのみ) になりましたから、公式サイトと無関係の者が罠コンテンツ
ネットワールド、攻撃検知スイッチとUSB型ウイルス対策の「セキュア工場パック」
ネットワールドは2011年7月13日、工場のLANなどのようにインターネットに接続していない環境に向けたウイルス対策システム「セキュア工場パック」を出荷した。ウイルスに感染したPCを検知/隔離するLANスイッチ製品と、インストールしなくても使えるUSBメモリー型のウイルス対策ソフト製品を組み合わせた。価格は、LANスイッチが15万9000円(税別)から、ウイルス対策ソフトが5本で12万4000円(税別)。 セキュア工場パックは、工場のウイルス対策を目的に、(1)韓国HanDreamnetが開発したセキュリティ機能付きのLANスイッチ「SGシリーズ」と、(2)トレンドマイクロが開発したUSBメモリー型のウイルス対策ソフト「Trend Micro Portable Security」(TMPS)を組み合わせた。LANスイッチが検知/隔離したウイルス感染PCに対してTMPSを適用するシナリオだ。
高木浩光@自宅の日記 - 富士通総研が研究員のコラムを削除、国民ID・共通番号制度を巡る現況
■ 富士通総研が研究員のコラムを削除、国民ID・共通番号制度を巡る現況 先週の金曜日、富士通総研のコンサルタントらによるコラムのサイトに掲載された、「国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを」という記事が、その日のうちに説明なく削除されるという事件があり、いったい何があったのかと憶測を呼んでいる*1。 国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日(現時点では「エラー404 お探しのページは存在しません」と表示される) 政府からの圧力を疑う人が続出していたが、私の感触では、番号制度*2をめぐる現在の状況では、そういうことは考えにくいのではないかと思う。それよりも、この記事の主張の組み立て手法に見られる典型的な不味さが、富士通総研やその周辺の関係者に見抜かれたためではないか。私はそう憶測する。 榎並氏の3
evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog
このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。 昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。 その場で、malaさんが「Eve
経済産業省 確定 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~ <=うーん。。。 - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
ハッカーになりたい:ハムスター速報
ハッカーになりたい カテゴリ☆☆☆ 1 :以下、名無しにかわりましてVIPがお送りします:2011/02/21(月) 19:15:52.34 ID:LkhFxZy40 どうしたらいい? 5 :以下、名無しにかわりましてVIPがお送りします:2011/02/21(月) 19:18:15.50 ID:mdpApofM0 ドロップスで最後まで残るやつな 7 :以下、名無しにかわりましてVIPがお送りします:2011/02/21(月) 19:18:26.22 ID:s+Dh3JLS0 >>1 http://hackme.netfire.jp/start >>7 lv1で詰まった 20 :以下、名無しにかわりましてVIPがお送りします:2011/02/21(月) 19:24:52.97 ID:cClxWIhV0 >>7 これのLv.2が本気で分からん… 21 :以下、名無しに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
仮想化技術を用いたマルウェア解析
twitterセキュリティネタまとめ