タグ

セキュリティに関するkawachoのブックマーク (184)

  • 楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明

    ※この記事は「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」の続きですので、1目の記事を読んでいない方はまず1目の記事に目を通してからご覧ください。 「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」という記事中でも触れましたが、楽天は2005年7月の個人情報流出騒動によってシステムを変更し、楽天に出店しているショップに対してはメールアドレスを「非表示」にしているとお伝えしましたが、実際にはまったく違っていました。 なんと、楽天市場に登録した個人情報のほとんどを各ショップは閲覧することが可能で、なおかつメールアドレスを含む個人情報については楽天市場自身が各ショップに1件10円でダウンロード販売しているとのこと。ダウンロードはCSV形式のファイ

    楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明
  • [PR] カスペルスキー、サイバー犯罪について大いに語る | ライフハッカー・ジャパン

    ダンディな見た目とは裏腹に、とてもお茶目で親しみやすい方でした。 世界最高水準のウイルス検知率を誇る、アンチウイルスソフト『カスペルスキー』。その開発者であるロシアのユージン・カスペルスキー氏が、情報セキュリティEXPOで講演をするため来日したとのこと。 なにしろ、氏はITセキュリティに関するプロ中のプロ。その分野のハックについて、きっととっておきの話があるはずです。 というわけでさっそく、そそくさとご挨拶に行ってきましたよ。案の定、とても有益なTipsを教えてもらうことができました。インタビューの詳細は、以下にてどうぞ。 ---------- ライフハッカー編集部(以下、LH) : 2007年から2008年にかけて爆発的にウイルスの数が増えたと聞いています。2009年になって、その現状はどうなっているのでしょうか? カスペルスキー氏(以下、KS) : 残念ながら、その状況は、いまだ続いて

    [PR] カスペルスキー、サイバー犯罪について大いに語る | ライフハッカー・ジャパン
  • ClamXav Sentryを使って「ダウンロード」フォルダを監視させてみた。

    何を今更!?的な内容ですが、iAntiVirusの代替手段をちゃんと用意しておかないとな〜と感じていたので、ClamXavを再び触ってみました。今回は、1年程前に書いたClamXavのエントリでスルーした「ClamXav Sentry」を取り上げてみようと思います。 ClamXav Sentryを利用すると、特定のフォルダを監視する事ができます。例えば、「ダウンロード」フォルダに追加されたファイルを、自動的にスキャンして、問題があれば通知してくれるようになります。 以前は、動かすまで面倒そうだな〜と敬遠してしまったのですが、今回改めて使ってみると、驚くほど簡単にセットアップできる事が分かりました!困った事に、書くまでも無いなぁ...と感じてしまう程に。ただ、作業ログ的な意味でも書き残してみようと思います。なお、ClamXavは、バージョン1.1.1を使っています。 ■ClamXav Sen

    ClamXav Sentryを使って「ダウンロード」フォルダを監視させてみた。
  • 産総研:主な研究成果 抜本的なフィッシング詐欺防止技術を開発

    独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【センター長 今井 秀樹】とヤフー株式会社【代表取締役社長 井上 雅博】(以下「Yahoo! JAPAN」という)は、2006年1月から進めてきたインターネットにおけるセキュリティ強化技術の共同研究の成果として、ウェブでの利用に適したパスワード相互認証プロトコルを開発しました。  技術は、近年インターネット利用の安全を脅かすものとして社会問題となっているフィッシング詐欺と呼ばれる手口に対して、パスワードや個人情報を詐取される被害を防止するための抜的な解決策です。PAKEと呼ばれる暗号・認証技術に新たな手法で改良を加え、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用したもので、ユーザーがパスワードでサイトの真偽性を確認できる仕組みを提供することによりフィッシングを防止し

  • 第1回■ぜい弱性がなくならない本当の理由(わけ)

    2008年に入り,SQLインジェクション攻撃が猛威を奮い続けている。8月6日には,アウトドア商品などを扱う通販サイト「ナチュラム・イーコマース」が外部からSQLインジェクション攻撃を受けたことを明らかにした(関連記事)。約65万件の個人情報が流出した可能性があるという。その少し前の7月23日には,ECサイト事業を手がけるアイリスプラザが攻撃を受けたと発表した。使っていない古いプログラムのぜい弱性を突かれ,カード情報2万8000件が漏えいした可能性があった。 SQLインジェクション攻撃では,情報を盗み出すものだけでなく,サイト改ざん事件も多発している。例えば(米国のビジネスウィーク誌のサイトが乗っ取られた事件(関連記事)。Webページではないが,ゴルフダイジェストオンラインもSQLインジェクション攻撃によって,メルマガ配信用のコンテンツを書き換えられた。 SQLインジェクション以外のぜい弱性

    第1回■ぜい弱性がなくならない本当の理由(わけ)
  • 第三者中継 - Wikipedia

    第三者中継(だいさんしゃちゅうけい)または“Third-Party Mail Relay”とは、インターネット関連の用語で、関係の無い第三者が自由に、電子メール送信に用いる事が可能なメールサーバの設定、もしくはそのような状態を指す。 この第三者中継メールサーバは、不特定多数のインターネット利用者が、自由にメール送信時に利用する事ができるが、これは同時に迷惑メール送信者であっても、自由に利用できる事にも繋がるため、今日では「可能な状態のまま、放置すべきでは無い状態」とされており、それらを専門に監視・警告する団体も存在している。 監視団体の例 ORDB.orgでは、第三者中継設定を放置するメールサーバは、無差別にメールを送信するスパムメール業者に悪用されかねず、そのメールサーバが送信元のメールは、スパムメールの可能性が高いため、受信しないよう設定するのが良いとすら公言している。 なお、それ以外

    kawacho
    kawacho 2009/04/21
    “Third-Party Mail Relay”
  • SQLインジェクション - Wikipedia

    SQLインジェクション(英: SQL injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。 SQLに別のSQL文が「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」もしくは「SQL注入」と呼ばれることもある。

  • IPA セキュア・プログラミング講座:Webアプリケーション編

    IPA 独立行政法人 情報処理推進機構 セキュリティセンターによるセキュア・プログラミング講座:Webアプリケーション編

  • ハッカーがiTunes ギフトのアルゴリズムをクラック!?

    iTunesで音楽・アプリなどを購入できる「iTunesギフト」のアルゴリズムがハッカーによって解析され、不正に生成されたコードが中国で販売されているようです。[source: AppleInsider] iTunesのギフトは16桁のアルファベットと数字で形成され、そのコードをiTunesへ入力するとアカウントにクレジットが追加されます。ギフトはカードの裏にコードが記載されるものと、メールなどで16桁のコードを直接贈ることができるタイプとがあります。 問題となっているのは、この16桁のコードを生成するアルゴリズムが解読(または流出)され、大量に販売されているという点です。 アルゴリズムがあればコードの生成にコストがかからないため、$200(約19,500円)分のiTunesギフトが$2.6(250円)で販売されている例もあるようです。 不正に生成されたコードの利用はiTunesの規約違反

    ハッカーがiTunes ギフトのアルゴリズムをクラック!?
  • クリックジャッキングってこうですか? わかりません

    ↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります

  • 高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..

    Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私のにRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo

  • KasperskyのサイトにSQLインジェクション攻撃仕掛けられる | スラド セキュリティ

    Kaspersky LabのUSサイトにSQLインジェクション攻撃が仕掛けられ、データ一部漏洩しているようだ(家/.より)。公開されたスクリーンショットやテーブル名から推測すると、ユーザーやバグ、またリセラーアカウントに関するデータが漏洩している模様。ハッカーは「機密情報はネット上に公開しない」としているが、使われたURLの大部分はスクリーンショットから読み取ることができ、修正されなければ同様の手口で攻撃を仕掛けられるのは時間の問題ではないかとのこと。 なお、現時点ではカスペルスキーからこの件に関する発表はなされていない模様。 このタレコミのあった後、Kaspersky Lab側もプレスリリースを公表しました。ただし同社は、usa.kaspersky.comの脆弱性を突いた攻撃があったことは認めたものの、それは失敗に終わり、機密情報へのアクセスはできなかったし、社サイト(www.kas

  • Google検索、世界で不具合 「人的ミス」で全URLに「コンピュータに損害を与える可能性」

    Googleは1月31日、日を含む世界のGoogle検索で約40分間にわたり、全検索結果に「このサイトはコンピュータに損害を与える可能性があります」と表示された不具合について、「問題のあるサイトリストを提供しているStopBadwareの人的ミスだった」と説明し、ユーザーやサイトオーナーにブログで謝罪した(Googleに不具合 全検索結果に「コンピュータに損害を与える可能性」とメッセージ)。 (※)2月2日午後3時30分追記:Googleのブログの記述に対してStopBadwareが反論。Googleはブログの説明を訂正した。(Googleの障害、原因はうちじゃない――StopBadware.orgが反論) 検索担当副社長マリッサ・メイヤー氏の名で更新されたブログによると、不具合が起きたのは、太平洋標準時で31日6時30分~7時25分ごろ(日時間の31日午後11時30分~2月1日午前

    Google検索、世界で不具合 「人的ミス」で全URLに「コンピュータに損害を与える可能性」
  • 高木浩光@自宅の日記 - 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート

    楽天ad4Uの隠しリンクを露出させるユーザスタイルシート 脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手に手を出した、掟破りの(自称「次世代」)行動ターゲティング広告「楽天ad4U」について、amachangの「IEのinnerHTMLやappendChildで要素が挿入された瞬間を取得する方法」を参考に、その隠しリンクを露出させるユーザスタイルシートを作ってみた。(Internet Explorer用。) #ad4u_list { display: expression(function() { if (!this.__mark) { this.__mark = true; // alert(this.innerHTML); var o = '<div style="overflow:scroll; border:dashed 4px red;">'; o = o + this

  • 「セクハラ」「ストーカー」「レイプ」 早大悩ませた相談719件の中身

    ファイル交換ソフトを介した情報流出が相次ぐなか、あろうことか、早稲田大学でハラスメントに関する相談を受ける部署の相談内容が流出した。リストには、相談者と、「加害者」と名指しされた人物の実名・所属や、「セクハラ」「ストーカー」「レイプ」などと、相談内容が記されている。関係者にとっては、単なる「流出」よりも深い傷を残すことになりそうだ。 女性非常勤講師が名誉教授の男性からセクハラ? 早稲田大学が2008年12月1日に明らかにしたところによると、流出したのは、「ハラスメント防止委員会」に寄せられた相談内容をまとめた電子ファイル。12月2日までの調査で、99年度から07年5月までに受け付けた質問・相談など719件の流出が確認されている。そのうち51件は、ネット掲示板上にも流通。この51件は、流出したエクセルファイルを何者かが画像ファイルに加工、相談者などの実名を消した上で掲示板上にアップロードした

    「セクハラ」「ストーカー」「レイプ」 早大悩ませた相談719件の中身
  • 高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない

    はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)

  • 高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ

    当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。

  • Railsの脆弱性: XML実体爆発攻撃 | 水無月ばけらのえび日記

    RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 XML entity explosion attackというのは、実体宣言の中で別の実体を参照することを繰り返して実体参照の処理負荷を高める手法のようですね。掲げられているサンプルコードは短いですが、実体参照を展開するとデータは30メガバイトにもなります。展開の処理方法によっては、メモリをい尽くしてしまうのでしょう。 外部からXMLデータのPOSTを受け付けるようなサイトは注意……と言いたいところですが、XMLデータのPOSTを受け付けないはずの

  • 「ストリートビュー問題」をセキュリティ観点から整理する

    ■ 「ストリートビュー問題」をセキュリティ観点から整理する ※以下の文章はブルース・シュナイアー『 セキュリティはなぜやぶられたのか』の受け売りなので、未読の人はとっとと買って読んだ方がよっぽどためになります。 要約 Googleマップの「ストリートビュー」機能に関する議論の多くは、これをプライバシー問題として捉えているが、ほとんど議論がかみ合っていないばかりか、なぜかみ合っていないのか当人たちもわかっていない。この問題をセキュリティの観点から捉えなおすと、守るべき資産価値やリスクの算出方法が個人個人の主観をよりどころにしていることがわかり、なぜ議論がかみ合わないのかが明らかになり、ネットでの議論よりも有効なアクションが見えてくる。 セキュリティとは 『セキュリティはなぜやぶられたのか』によれば、人生セキュリティの連続である。旅行に使う交通機関を選ぶのもセキュリティだし、賞味期限切れ牛乳

    「ストリートビュー問題」をセキュリティ観点から整理する
  • http://e0166nt.com/blog-entry-514.html

    http://e0166nt.com/blog-entry-514.html