正しいウェブページの代わりにエラーページを強制表示させる新型サイバー攻撃「CPDoS」が発見される
ケルン工科大学の研究チームが、コンテンツ・デリバリ・ネットワーク(CDN)で配信されているウェブページの代わりにエラーページを強制的に表示させる新型のサイバー攻撃「Cache Poisoned Denial of Service(キャッシュ汚染型DoS攻撃、CPDoS)」の存在を明らかにしました。 CPDoS: Cache Poisoned Denial of Service https://cpdos.org/ CDNは、ウェブ上で表示されるコンテンツのデータ(キャッシュ)を世界中のサーバー上に分散させ、ユーザーが地理的に近い場所に存在するサーバーからデータにアクセスすることが可能にすることで、データ転送を高速化・安定化させるというシステムです。CDNはデータがサーバー上に分散して保存されるため、元のサーバーがダウンしていても別のサーバーからデータにアクセスできようになります。 そんなC
長崎県職員による業務ネットワークへの不正アクセスについてまとめてみた - piyolog
2019年9月26日、長崎県警は長崎県庁職員が業務ネットワークで不正アクセスを行ったとして不正アクセス禁止法違反の容疑で書類送検したと発表しました。ここでは関連する情報をまとめます。 事案の概要 容疑は2017年1月6日~2019年2月25日にかけ、自分の業務用PCを使い、他職員61人のID、パスワードを入力して業務ネットワークに324回にわたり不正アクセスを行った疑い。*1 長崎地検へ書類送検されたのは長崎県 県民生活部 係長 男性 50歳。 普段の勤務態度にも問題はなかった。 男性は容疑を認めている。 「異動が心配で、異動先部署の業務内容を知りたかった」と動機を供述している。 日時 出来事 2015年9月頃 男性職員が不正アクセス行為を始める。 : 長崎県が職員の不正アクセス行為を把握。*2 2019年4月 長崎県が長崎県警へ不正アクセスの被害相談。*3 2019年9月26日 長崎県警
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる
(追記)これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます
エフセキュアブログ : GameOver ZeuSが盗んだお金はいくら?
GameOver ZeuSが盗んだお金はいくら? 2014年06月03日23:12 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン FBIによる指名手配:Evgeniy Mikhailovich Bogachev。別名「slavik」。 ついに…顔と本名に、悪名高い偽名が結びついた。 昨日FBIは、よく知られたバンキング型トロイの木馬GOZ(GameOver ZeuS)の運用者に対する、複数の国家による取り組みの成果を公表した。 我々はこれを待っていた。 詳細はGameOver Zeus Botnet Disrupted(GameOver Zeusのボットネットが遮断される)にある。 本日、我々は(はやる気持ちで)関連ドキュメントを読んだ。そして、GOZがらみの損害額は非常に衝撃的であった。 以下はGOZの被害者の例だ。 フロリダの銀行1行で「700万ドル」
殺人予告:遠隔操作の可能性 捜査員「ウイルス検出困難」- 毎日jp(毎日新聞)
大阪市のホームページに無差別殺人予告を書き込んだとして逮捕、起訴されたアニメ演出家の北村真咲さん(42)が無関係だった可能性が高まり釈放された事件は、サイバー犯罪の捜査現場に波紋を広げている。同様のケースで逮捕された津市の男性(28)も釈放され、警察庁は第三者がパソコン(PC)を遠隔操作する「成り済まし」に注意するよう各都道府県警に指導した。捜査員は「検出されにくいウイルスが次々と出てくる。膨大なデータから見つけ出すのは困難だ」と本音を漏らす。 大阪府警は北村さんを逮捕後にPCを押収し、削除された膨大なファイルを復元し、多数のウイルス検索ソフトを駆使したが、ウイルスは見つからなかった。北村さんのPCを遠隔操作した第三者は、殺人予告を書き込んだ後にファイルを消去したとみられている。 しかし、伊勢神宮爆破を予告する書き込みをしたとして津市の男性を逮捕した三重県警の捜査でウイルスのファイル名が判
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
Evernote Blog � Blog Archive � New updates to Web and Windows
에버노트에 뭐가 새로워요?에버노트에서 무슨 일이 일어나고 있는지 궁금하신가요? 아래의 기사들을 확인하여 우리가 작업 중인 흥미로운 것들을 모두 볼 수 있습니다. 새로운 소식레거시 버전 Evernote 앱 사용 중지2024년 3월 26일, 저희는 레거시 버전 Evernote 앱에 작별을 고합니다. v10 이전의 Evernote 경험을 단일화하면 보안 수준을 크게 높이고 더 빠른 개발을 위해 더 많은 자원을 투입할 수 있습니다. 더 읽기 14가지 주요 기능이 이제 모든 사용자에게 제공됩니다이 중요한 Evernote 기능들은 검색, 첨부 관리, 노트 액세스 등 핵심적인 제품 성능을 높여줍니다. 이제 누구나 그 기능을 사용해 Evernote의 잠재성을 최대한 활용할 수 있습니다.
経産省にサイバー攻撃、「標的型」一斉メール : 社会 : YOMIURI ONLINE(読売新聞)
昨年11月、パソコン内の情報を抜き取るウイルス付きのメールが経済産業省の職員に一斉に送られ、省内のパソコン約20台が感染していたことが21日、わかった。 情報漏えいは確認されていないが、中央省庁や企業を狙う「標的型攻撃」は近年、急激に増えており、同省では「今後の対策を取るためにも、被害情報を共有するルール作りを進めたい」としている。 同省によると、メールには「最新資料送付 取扱注意」と書かれ、その日、実際に行われた大畠章宏経産相(当時)とカザフスタンの下院議長の会談を伝える内容だった。アドレスは、会談を担当する実在の職員のものに酷似しており、約20人がメールの添付ファイルを開けてしまったという。
Hideki SAKAMOTO の雑記 (2010-06-23)
◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記1」記載、微修正^J2010/6/28: 脚注*5 修正 まとめ ソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード(ファイル4/4)にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。 解説 この本の第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ
実在証明つきSSL(企業認証SSL)は無意味じゃね? | beroの日記 | スラド
まとめ: 一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味。 「VeriSignシール」という幻想(高木浩光@自宅の日記) VeriSignのセキュアシールを間違って使ってるサイトがある、という話なのだが、 開発会社ですらこうなのだから、まして一般利用者が理解してるかどうか。 あの「セキュアシール(サイトシールと呼ぶ業者も)」(VerisignとかGlobalSignのロゴ画像)がただの飾りではなく、クリックして確認するものである、ということを(自称詳しい人も含めて)自分の周りでは誰も知らなかったことに愕然とした。 webの安全啓蒙資料の類でも、「クレジットカードや個人情報を入力するときは鍵マークを確認しましょう」くらいは説明していても、セキュアシールに言及しているものは(SSL業者自身の広報資料を除くと)少ないと思う。 シールをクリックして実在証明を確認するという
最近一週間ほどのえび日記 | 水無月ばけらのえび日記
字幕職人の朝は早い……公開: 2019年7月11日21時0分頃 2019年7月20日、JACことJapan Accessibility Conference - digital information vol.2 (japan-a11y-conf.com) が開催されました。私は実行委員、スタッフ、スポンサー担当、司会、登壇といった役割で関わりました。 なお、各セッションの内容については、セッション一覧 (japan-a11y-conf.com)をご覧ください。 個人的に最も印象に残ったのは、セッションB-5の "Ask Us Anything" の一幕。とある動画サービスで、「補聴器ユーザーの葛藤と苦悩」という番組があったのですが、なんと、そういうテーマであるにもかかわらず字幕がついておらず、補聴器ユーザーが視聴できなかったのだそうです……。 さて、そんなJACですが、一部を除いてセッシ
日垣隆(T-Higaki) on Twitter: "けさ、八十二銀行の私の預金から1208000円が、山田という東京青山支店の行員により同僚とグルで横領していたことが、口座解約に行って偶然発覚。他言しないでと懇願されるも、謝罪も返金もなし。余罪は多そう。隠し通すのではないか。舐められた政権下では。詳しくは、また。"
けさ、八十二銀行の私の預金から1208000円が、山田という東京青山支店の行員により同僚とグルで横領していたことが、口座解約に行って偶然発覚。他言しないでと懇願されるも、謝罪も返金もなし。余罪は多そう。隠し通すのではないか。舐められた政権下では。詳しくは、また。
Error 404 | Absolute
Sorry, we can't find that page. The page you are looking for has been moved or doesn't exist anymore. To see if the page is still available or to find similar information, please try the following: If you typed the URL yourself, please make sure that the spelling and letter cases are correct. Helpful Links Visit our home page Learn about our products Browse our resources Get support Absolute empow
pitぽーと:avast!ご乱心、誤検知祭り! - livedoor Blog(ブログ)
December 03, 2009 avast!ご乱心、誤検知祭り! 起床してPC付けたらプーワ!プーワ!avastが警報鳴らしたので見てみると spybotに反応しやがったので、あ、これは俺のPC終わったかな?と首を… 一応2chも見てみるかとavastスレ見てみると何やら様子がおかしい! 纏めたぞ! スタートはココから 613 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/12/03(木) 09:39:30 今朝PC起動したら、あヴぁすとたんが反応しまくりで何もできない以下誤検知祭り 614 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/12/03(木) 09:40:04 shareもjaneにも反応しまくりワロタ615 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/12/03(木) 09:42:02 avastがspybotに反応してんだ
スピンドクターと脆弱性関連情報 | 水無月ばけらのえび日記
公開: 2009年11月10日22時5分頃 読み終わったので。 スピンドクター “モミ消しのプロ”が駆使する「情報操作」の技術 (www.amazon.co.jp)スピン = 情報操作のお話。さまざまな操作の例が紹介されているのですが、興味深いと思ったのは、先に情報を出してニュースとしての価値を低下させてしまうという手法。「しんぶん赤旗」にスクープさせると、他紙が後追い取材をしなくなるとか……。民主党偽メール事件の話も非常に興味深かったですね。 ※個人的に期待していたネット情報操作の話は、最後にちょこっと出ていただけで、ほぼ既知の話でした。そこは少し残念でしたが、他の部分は読み応えがあったかと。 しかし考えてみれば、脆弱性関連の報道やリリースなんてのは「スピン」の典型例でしょうね。 私が発見・報告して報道された事例としては、最近ではサンシャイン牧場、古くはニフティのXSS、JVNアンケート
サンシャイン牧場のクレジットカード脆弱性について@ssig33
ssig33: サン牧で他人のクレカ情報取るの、セッション ID を偽装して Get するだけで、セッション ID はマイミクリスト経由で取れますよ [http://twitter.com/ssig33/statuses/5111706038] ssig33: 一応運営に連絡済、もう直ってると信じたい [http://twitter.com/ssig33/statuses/5111712163] ssig33: あとちょこちょこ SQL インジェクションが残ってたりスウィフファイルが逆コンパイル対策されてなかったり、中国人にセキュリティ対策を求めるのが酷なんじゃないかと思えるレベル [http://twitter.com/ssig33/statuses/5111734931] ssig33: 基本的なこととして、中国人がやってるサービスに個人情報を預けるべきではない、というのはこれはあると
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)
まもブロ:ウイルスセキュリティがやらかした!
ウィルスセキュリティゼロのバカ野郎 | かずとおふぃしゃるぶろぐ
「ウイルスセキュリティ」PCが起動できなくなる不具合、誤検知で 