https://jp.techcrunch.com/2010/02/18/20100217please-rob-me-makes-foursquare-super-useful-for-burglars/
DNSリバインディング: かんたんログイン手法の脆弱性に対する責任は誰にあるのか - 徳丸浩の日記(2010-02-12)
_かんたんログイン手法の脆弱性に対する責任は誰にあるのか id:ikepyonの日記経由で、NTTドコモのサイトに以下のセキュリティ・ガイドラインが掲示されていることを知った。 iモードブラウザ機能の多様化により、機種によってiモードサイトにおいてもJavaScriptを組み込んだ多様な表現、CookieやReferer情報を有効に活用したサイト構築が行えるようになりました。 しかし、PC向けインターネットサイト同様に、セキュリティ対策が十分に行われていないサイトでは、そのサーバの脆弱性を突き(クロスサイトスクリプティング、SQLインジェクション、DNSリバインディングなど様々な攻撃手法が存在しています)、これらの機能が悪用される危険性があります。十分にご注意ください。 [作ろうiモード:iモードブラウザ | サービス・機能 | NTTドコモより引用] XSSやSQLインジェクションと並ん
SSL証明書警告の対処法、「無視する」はNGです | スラド セキュリティ
「3分セキュリティ講座」などのコンテンツを提供している「ソフトバンク ビジネス+IT」にて、サイト内のSSL対応ページを閲覧する際に証明書エラーが出るということで「SSL証明書エラーに関するお詫びと対処法」という対処法説明を出している。 ソフトバンク ビジネス+ITでは、セミナー申し込みページなど個人情報を入力するページでSSLが使われているのだが、IE6/7でこれらのページを閲覧した場合、「証明書に問題がある」と表示されるケースがあるようだ。 Internet Explorer 6 で2月1日以降、初めてセミナー登録ページを利用する際に証明書エラーが発生する場合や Internet Explorer 7におけるHTTPSセキュリティ強化により,Internet Explorer 7にバージョンアップ後に証明書エラーが発生するケースが確認されている 使用されているSSL証明書はSECOMが
日本は情報戦争を生き残れるのか ―中川信博
2001年、EU議会の委員会にある調査報告書が提出された。それはいわゆる「エシュロン」について調査したものである。エシュロンとはUKUSA協定に基ずくアメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの英語圏諸国による情報共有とそのシステム全体を指す言葉である。アメリカ政府はそのその存在を公式に認めてはいないのでこのエントリーは憶測にということになるが、提出された報告書ではアメリカNSAがエシュロンを使用して民間企業の通信を盗聴して米国企業にその情報を提供していると断罪している。 シギント先進国のイギリス 世界各地に植民地を保有していたイギリスは安全保障上の必要から通信インフラの整備を早くからすすめ、19世紀末には世界の電信電話回線の3分の1を保有するに至る。そしてナポレオン時代のフランスで、郵便制度が確立したと同時にその検閲がはじまったのと同様に、イギリス政府は電信電話通信を傍
TwitterがIDやパスワードの使い回しは危険と警告 | ライフハッカー・ジャパン
Twitterがフィシング攻撃を受けた可能性があるとして、一部ユーザーのパスワードをリセットしましたね。 つぶやきやニュースで見聞きした方も多いだろうと思います。このパスワードリセットに関するお知らせにアップされた詳しい経緯によると、当該ユーザーらはBitTorrentが絡んだフィッシング詐欺によって、ユーザーIDやパスワードを盗まれている可能性が高いそうです。 ログインとパスワードが必要なTorrentサイトやフォーラムを作った何者かがバックドアを仕掛けたうえで売り渡し、ユーザーのログイン情報を横取りしていた恐れがあるとのこと。この件を取り上げたメディアサイトCNET Japanの記事をかいつまんで紹介しましょう: この攻撃は、フォーラムへのログインを横取りし、サードパーティーのウェブサイトにリダイレクトさせたうえで、リダイレクト先のサイトでユーザーのログイン情報を取得するという仕組みで
日本初!無人島落札、1億円も出した「隣の島の会社」の理由 - MSN産経ニュース
広島県呉市沖の瀬戸内海に浮かぶ国有の無人島の一般競争入札が中国財務局呉出張所(呉市)で行われ、隣の島で操業する港湾荷役会社「三ツ子島埠頭(ふとう)」が1回目の入札で落札した。複数の参加者によると金額は1億1万円で、同社は「落札された場合に島で何が行われるか予想できず、当社の操業に支障が出かねないと判断した」。呉出張所は「財務省に残る記録を見る限り、無人島を競売に掛けた例はない」としている。島の究極の活用法は… 入札は遊休資産の売却促進の一環として9日行われ、応募した27の個人・法人のうち、東京や広島などの11人と8法人が参加した。無人島は呉市音戸町の約1キロ西の通称「三ツ子島」で、南北2島のうち、国が所有する北側の小島(外周約580メートル、面積約7600平方メートル)が売却対象。戦前の旧日本海軍病院施設の遺構がある以外は樹木や雑草に覆われ、着岸設備もない。瀬戸内海国立公園内にあり、埋め立
日本の年賀状に見せかけたPDF、特定組織を狙うスパイ行為に利用
フィンランドのセキュリティ企業F-Secureは、日本の年賀状に見せかけたPDFファイルが特定の標的を狙うスパイ行為へ利用されているを発見したとブログで伝えた。 F-Secureのブログに掲載された画像によると、問題のPDFファイルは2010年の干支である寅と花の画像と「謹賀新年」などの日本語の文字があしらってあった。 しかしこのファイルを参照すると、Adobe Readerの脆弱性を突いて「1.exe」というファイルが実行される。さらにバックドアが作成されて外部の不正サイトとの通信が確立されてしまう。これを利用すれば、リモートから狙った相手のコンピュータにアクセスできてしまうという。 F-Secureによれば、攻撃に使われた不正サイトは2009年から存在しており、当時は別のPDFファイルに同サイトと通信する機能が仕込まれていた。IPアドレスを調べたところ、シンガポールでホスティングされて
女子力Hacks ~カレのadmin権限を奪っちゃえ★~ | その他(IT) | 毎日がアップデート | あすなろBLOG
カソウケンの内田麻理香さんが昨日Twitterで「オライリーのシリーズで「女子力Hacks」という本を出してみたい。すごい売れなさそう。」と発言されていた。(※この女子力Hacksの関するTwitterの議論はこちらで確認できる。) 女子力Hacks、一体どのような内容になるのかわからないが、恐らく「ITリテラシーを駆使して彼を情報捜査☆」と言うことなのだろう。なるほど、確かに最近のIT女子的なニュース記事を見ると「婚活に役立つ? 男の下心を一瞬で見抜く簡単な方法 婚活ニュース」と題した記事で「彼のPCの全ドライブを対象に「.jpg」「.bmp」「.mpg」「.avi」「.wmv」「.rm」で検索だ!!」といった内容が話題になっている。心優しいIT女子は自分のカレシやダンナが悪いITコンテンツから守っているのだろう。というわけで、私も「女子力Hacks」を考えてみた。何かの役に立てれば幸い
英国政府に「IE6」からのアップグレードを求める嘆願書
英国政府はそろそろ「Internet Explorer 6(IE6)」の使用をやめてアップグレードするべきだとする嘆願書が、英国時間2月1日に提出された。2001年に導入されたIE6には問題もあるからだという。 ウェブサイトの設計や開発を手がけるInigoの管理ディレクターを務めるDan Frydman氏が提出した嘆願書には、「われわれ、以下に署名した者は、首相がInternet Explorer 6のアップグレードを政府機関に推奨することを嘆願する」と記されている。太平洋標準時1日午後の時点で、署名者は少し増えている。英国の国民または居住者のみが署名することができる。 「ドイツおよびフランス政府はすでに、Internet Explorer 6からのアップグレードを推奨し始めている。IE6には、セキュリティ上の問題がいくつか存在し、ユーザーのシステムに脆弱性を与える。ドイツおよびフランス政
asahi.com(朝日新聞社):住基ネット侵入実験、名古屋市実施へ 危険性立証の考え - 政治
名古屋市の河村たかし市長は1日の定例会見で、住民基本台帳ネットワーク(住基ネット)への侵入実験を実施するため、コンピューターのハッキング(不正侵入)に詳しい専門家らでつくる検討委員会を設置すると発表した。3月末までに立ち上げ、侵入実験のほか、住基ネットから離脱した場合の代替手段や離脱のための市民アンケートの実施について検討を始める。 住基ネットについて、河村市長はこれまで、全国民に番号を付けることが健康情報の管理などプライバシーの問題につながることや、コンピューターで国民の情報を管理することで個人の情報が漏出する危険性を指摘し、離脱の意向を示してきた。河村市長は、侵入実験によって情報漏出の危険性を立証し、市民アンケートで離脱に向けての理解を得たい考えだ。実験には総務省にも協力を求める。 また、河村市長は、菅直人副総理兼財務相が、国が導入を検討する納税者番号制度について「住基ネットの活用
「脆弱性」という思考停止 | おごちゃんの雑文
FFFTPが危ないらしいぞ。 フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです これ読んで、「うわ。FFFTP消さなきゃ」とか思った奴。はっきり言ってやろう、お前は馬鹿だ。 何が馬鹿だって? 「マルウェア」の類があったら危険なものを、今まさに何の疑問もなく使っていて、FFFTPだけを悪者にしているからだ。確かにこの問題だけを見れば、FFFTPはヤバい。でも、そのヤバいものを消したところでたいした解決にならない。 「マルウェアの類があったら危険なもの」の代表は、ウェブブラウザだ。だから、FFFTPだけ消して安心してウェブを見ていたら、何の対策も立てたことにならない。FFFTPを消すんだったら、まずウェブブラウザを消せよwww ウェブブラウザはパスワードを保存してくれる。ウェブブラウザに限らず、パスワードを保存するソフトは例
持ち出せない「持ち歩きPC」:日経ビジネスオンライン
「ところで御社は、ノート・パソコン(PC)の持ち出しについてどうしていますか」 「仕事に使うノートPCであれば原則として持ち出しはできません。どうしてもという場合、申請を出す必要があります」 「携帯しやすいPCを作って売っているのに、なんだかおかしくないですか」 「うーん。それはそうですが、顧客情報を入れたPCを持ち出して万一無くしてしまったら新聞沙汰ですからねえ」 注目集まる495グラムPCなのだが PCメーカー各社がいわゆる“春モデル”の発売を始めた。上記の会話はPC春モデルを売り出したメーカー数社の社員とのやり取りをまとめたものである。 1月19日付の朝刊を見ると、日本経済新聞も朝日新聞も、春モデルについてかなり大きな記事を掲載していた。その数日前、筆者は1月15日付の本欄で、PCについて「新聞においてはさほど大きな記事にならなくなっている。明らかに最近は、インターネットやスマートフ
「ホリプロ」サイト、ガンブラー感染公表せず : ニュース・新製品 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
東京都は21日、東京芸術劇場(豊島区)の演目を案内する専用サイト「東京芸術劇場チケットサービス」が改ざんされ、新型コンピューターウイルス「ガンブラー」に感染していたと発表した。 現時点で個人情報流出などの被害報告はないという。サイト運営業者は今月9日に感染に気付いていたが公表せず、サイトが閉鎖されたのは19日になってからだった。先月17日以降に閲覧した人は感染の恐れがあるといい、この間のアクセス件数は2万3181件。 発表によると、同劇場では今月19日、サイト利用者から「ウイルスに感染しているのではないか」との連絡を受け、サイトを閉鎖。しかし、サイト運営を委託されている芸能事務所・ホリプロ(東京・目黒区)はこれより前の今月9日に、別の利用者からの指摘で感染に気付いていたが、公表していなかったという。 同社は「担当者が重大性を認識しておらず、改ざん場所を復旧させただけで、公表しなかった。深く
e-TaxのWebサイト、Firefoxでは信頼できないSSL証明書を使ったサイトと認識される | スラド セキュリティ
昨年、還付金に目が眩んで e-Tax に登録してしまったのだが、つい先程のこと e-Tax を名乗るメールが届き申告のお知らせがあるので http://www.e-tax.nta.go.jp/ へ行ってメッセージボックス一覧表示を確認するようにと案内があった。 そこで早速、e-Tax のページへ飛び、指示のあったメッセージボックス表示 とやらを確認に行ったのだが、なんと SSL 証明書が sec_error_untrusted_issuer と警告されてしまい面食らっているところである。 よりにもよって国税庁のe-Tax関連サイトで独自書名というのは有り得ないにも程がある上、ガンブラーの亜種が猛威をふるっていると伝え聞く現状では、遂に国税庁までもが陥落してしまったのか?と疑いたくなってしまう。 まさか、本当に陥落してしまった訳ではないとは思うのだが、国税庁の一体何を考えているのか頭を抱える
IPA、「安全なウェブサイトの作り方 改訂第4版」を公開 | OSDN Magazine
情報処理推進機構(IPA)は2010年1月20日、Webサイト開発者・運営者が適切なセキュリティを考慮したWebサイトを作成するためのドキュメントの新版「安全なウェブサイトの作り方 改訂第4版」を公開した。とくに実践的な脆弱性対策を普及させるため、具体的な「失敗例」を従来版よりも拡充した。PDF形式で、自由にダウンロードできる。 IPAが受けた脆弱性関連の届け出の情報を基に作成した資料。件数や影響度が大きい脆弱性を取り上げて、それぞれの脅威の特徴や根本的な解決策、攻撃の影響軽減を期待できる対策などを解説する。改訂第4版は「ウェブアプリケーションのセキュリティ実装」「ウェブサイトの安全性向上のための取り組み」「失敗例」の3章構成。 失敗例では、「OSコマンド・インジェクション」「パス名パラメータの未チェック」「クロスサイト・リクエスト・フォージェリ」「HTTPヘッダ・インジェクション」の4種
過去の失敗例に学ぶウェブサイトのセキュリティ--IPAが資料の改訂版を公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は1月20日、ウェブサイト開発者、運営者向けの資料「安全なウェブサイトの作り方 改訂第4版」を公開した。脆弱性対策の普及促進のため「失敗例」の情報を拡充し、より安全にウェブサイトを作成できるように配慮した。同資料はPDF形式で配布されており、IPAのサイトからダウンロードできる。 同資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届け出件数の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、開発者や運営者がセキュリティに配慮したサイトを作成するため際に参考となる資料だ。 改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTP
内閣府ウェブサイトの常時暗号化による「https:」への切り替え - 内閣府
内閣府ウェブサイトの常時暗号化による「https:」への切り替え Always on TLS of Cabinet Office Website 2019(令和元)年11月更新 Update,November,2019 内閣府ウェブサイトは、2018年11月29日より、常時暗号化通信(TLS1.2)となり、URLが以下のとおり、「https:」に変更となりました。※ ブックマーク機能等に「http:」で始まるURLを登録している場合や、リンクを貼っている場合等は、「https:」から始まるURLに切り替えていただきますよう、お願いいたします。 ※参考:2018年11月から2019年10月までは、httpによる接続を可能とする自動遷移の経過措置をとっておりました。 内閣府ホームページ(https://www.cao.go.jp/) 内閣府共通検索システム Cabinet Office has
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トロイの木馬が含まれるFirefox用アドオン、公式アドオンサイト内で見つかる | スラド
東京芸術劇場チケットサイト改ざん、運営のホリプロ事実公表せず 
はてなブログ | 無料ブログを作成しよう
