ATMから際限なく現金を引き出す方法みつかる、ハッカーがどんどん先に…
ATMから際限なく現金を引き出す方法みつかる、ハッカーがどんどん先に…2014.04.08 19:006,629 そうこ なんとかならんのか!? すでに米国全土にお達しがいっているようですが、今まで以上に危険なATMハッキング方法が出回っています。アカウントの残高に関わらず、際限なく現金を引き出せるというとんでもないハッキング。それだけじゃなく、現金引出しを例えば休日や週末にスケジュールすることもできるという、もう何が何だかどうなってんだ…。 以前も、とんでもATMハックが話題になりましたが、もうそんな段階じゃありません。 ATMから引き出せる金額はもちろん自分の残高以内ですが、それ以前にそもそも1度に引き出せる額には制限が設けられています。が、この新ハックはその制限すらもないという、一般利用者のラインを遥かに超えてくるもの。その際限しらずなハックを、シークレットサービスさえも「Unlim
「YouTube」に攻撃ツールの宣伝ビデオ、「わずか15ドルでお手元に」
セキュリティ企業の米トレンドマイクロは2010年6月28日、動画共有サイト「YouTube」において、ある攻撃ツールを宣伝する動画が投稿されたことを報告した。攻撃ツールの価格は15ドル。動画は既に削除されている。 トレンドマイクロによれば、YouTubeや「Facebook」「Twitter」といったソーシャルメディア(ソーシャルネットワーク)は、ビジネスでも利用されるようになっているという。例えば、多くの企業がこれらをマーケティングのツールとして活用している。 攻撃者も例外ではない。攻撃ツールなどの宣伝媒体として利用し始めているという。例えば最近では、DDoS攻撃を仕掛けるツールを宣伝する動画が、YouTubeで確認された(図)。 動画では、攻撃ツールの詳細や、ツールの販売サイトのURL、価格などを説明している。ツールの価格はわずか15ドル。動画はYouTubeによって削除済み。削除され
自動起動を無効にしても防げないUSB攻撃、ほとんどのOSが該当 | エンタープライズ | マイコミジャーナル
Taranfx.com - Your Gateway to Technology, Redefined. ウィルスやマルウェア、スパイウェア、悪意あるプログラムはあの手この手でPCに侵入を試みる。特定のルートがあるわけではなく、その時々の流行に合わせてさまざまな方法が発見される。たとえば古くはFDDからの侵入、不正なプログラムを含んだアプリケーションをダウンロードさせる形式での侵入など。現在ではブラウザの特性を活かして不正なプログラムをインストールすることなく重要な個人情報を取得したり、クッキーを取得してから総当たり手法でサーバへの侵入を試みるなどがある。 そうした侵入経路の一つに、USBメモリに不正なプログラムを仕込んでおき、USBポートにさしたときに自動実行するというものがある。この侵入自体は自動起動機能を無効にしておけばいいし、特定のOSに限定されるためそれほど驚異的というものではな
Webサイト改ざん攻撃「Nine-Ball」,4万サイト以上に影響
米Websenseは米国時間2009年6月16日,Webサイト改ざんによる大規模攻撃について,警戒を呼びかけた。同社が「Nine-Ball」と名づけたこの攻撃は,6月3日に追跡を開始して以来,4万以上のWebサイトに影響を及ぼしているという。 Nine-Ballは,難読化したコードをWebサイトに埋め込み,ユーザーが感染サイトを訪れると,複数のリダイレクトを経由して,閲覧者を攻撃用コードを埋め込んだWebページに導く。攻撃用のページでは,Acrobat ReaderやQuickTimeなどの脆弱性を突いてトロイの木馬をインストールし,ユーザーの個人情報を盗むdllファイル「SOCKET2」を,Windowsのシステム・フォルダにダウンロードする。 攻撃用のページが表示されるのは,最初にアクセスしたときのみ。同じIPアドレスから再び訪れると「ask.com」サイトに誘導し,正体が突き止められ
解雇に逆襲:4000台のサーバー破壊を企てたファニー・メイのIT技術者 | WIRED VISION
前の記事 物理学の基礎を築いたベル研の歴史:画像ギャラリー ブラックホールから噴出する「宇宙ジェット」の高解像度画像 次の記事 解雇に逆襲:4000台のサーバー破壊を企てたファニー・メイのIT技術者 2009年1月30日 Kevin Poulsen メリーランド州にあるファニー・メイのデータセンター 米国の金融機関、ファニー・メイ(Fannie Mae)の元エンジニアが2008年の秋にこっそり仕掛けたとされるロジック・ボムは、 4000台ある同機関のサーバーを完全に破壊する威力を持つものだった。[ファニー・メイは米連邦住宅抵当公庫の呼称。当初は政府系金融機関だったが、1968年に民営化。サブプライムローン問題が明るみにされるまでは、ファニー・メイ発行の証券は政府機関債と見做され、米国債に次ぐ高い信用力を保っていた。2008年9月以降、米政府の管理下にあり、普通株および優先株の配当が停止さ
SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック | スラド セキュリティ
TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。 HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。 現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」というこ
キーワードは「Webセキュリティ」「クラウド」「中間者攻撃」--CSI 2008にて
米国時間11月15日から,メリーランド州のゲイロード・ナショナル・リゾート・コンベンション・センターでセキュリティ会議が開催された。筆者が同カンファレンスに参加したのは今年で2回目だ。従来のカンファレンスとは少し趣が異なり,出席者やトピックからみて,RSAとBlackHatの中間といった感じの内容となる。筆者は18日火曜日に,二つのセッションで講演した。 セッション1 最初のセッションは,「Web 2.0 Security Summit」だ。公開討論会の形式をとり,議題に関するプレゼンテーションがいくつか行われた。壇上に登場したのは,Jeremiah Grossman氏(米ホワイトハット・セキュリティCTO(最高技術責任者)),Tara Kissoon氏(米ビザ,Global Information Security Office,Information Security Services
「WPA突破」よりも重要なセキュリティ問題とは? − @IT
2008/11/11 11月12日、13日にわたってセキュリティをテーマとしたカンファレンス「PacSec.jp」が都内にて開催される。その主催者であるドラゴス・リジュ氏は、@ITの取材に対し「WPAの暗号鍵が破られたことを取り上げるプレゼンテーションに対する関心が高まっているが、自分としてはむしろ、マーク・ダウド氏が行うセッション『Browser Memory Protection Bypasses: Virtual Machines』のほうが重要性が高いと考えている」と述べた。 このセッションは、Webブラウザのセキュリティ保護機能を迂回してしまう攻撃方法について取り上げる予定だ。「伝統的なバッファオーバーフローの代わりに、FlashやJavaScriptといったリッチでパワフルなコンテンツを用いて、バイトコードを直接、ブラウザのコンテキストで実施してしまうという方法で、非常に驚くべき
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
ロシアより愛を込めて
恋愛ではバカな振る舞いをするものだ。恋人が見つかったときの高揚感は,人間が経験できる素晴らしい感情の一つだろう。しかし,この感情の高まりは,我々を注意散漫にもする。恋愛が最高潮に達すると,幸せのあまり理性や論理など簡単に吹き飛んでしまう。 オンライン詐欺に身を投じる人々はこうしたことをよく理解している。偽のロマンスを持ちかける詐欺メールが何よりの証拠だ。このような「偽ロマンス」の詐欺メールは,獲物の信頼を少しずつ勝ち取るため,やり取りが数カ月にわたることもある。多くの場合,会うと見せかけてお金を無心する。最終的にデートが実現することはなく,お金だけが奪われてしまう。被害者に残されるのは,ただ心の痛みだ。 幸運にも,ペテン師の多くはこの最終目的を達成できるほど巧妙ではなく,たいていは自分たちが偽物であるというボロを出す。もっとも,いくつかの兆候に注意しておけば,このような詐欺など簡単に避けら
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。 ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一報 10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。 10:31 (mikapon) おはようございます 10:32 (mikapon) ethnaのサイトなんですが 10:32 (mikapon) mlの保存書庫の所にiframe埋め込まれてませんか? ちょうど出社中の時間で、この発言をリアルタイムでは見れなかったのですが、土曜日に tiarra を入れたおかげで、発言を見ることが出来ま
公的機関をかたるメールに注意――IPAが注意喚起
情報処理推進機構(IPA)は2008年5月2日、4月の「コンピュータウイルス・不正アクセスの届出状況」を公表した。その中で、公的機関になりすましたメールに対して注意を促している。 それによると、最近、官邸や警察機関などを発信元に見せかけたメールが出回っているとしている。実際、2008年4月には、IPAをかたって添付ファイルとしてウイルスを送りつけるメールが出回った。添付されているファイルは、Adobe Readerの脆弱(ぜいじゃく)性を悪用するPDFウイルスだった。このウイルスに感染すると、攻撃者にパソコンを乗っ取られる恐れがある。 IPAでは、送信元メールアドレスに公的機関であることを示す「go.jp」があったとしても、こうしたメールを受け取ったら、「不用意に添付ファイルを開かず、当該機関に本物のメールかどうかを問い合わせる」ほか、「OSやアプリケーションを常に最新の状態に更新し、脆弱
サイバー攻撃にさらされる市民活動団体:日経ビジネスオンライン
気になる記事をスクラップできます。保存した記事は、マイページでスマホ、タブレットからでもご確認頂けます。※会員限定 無料会員登録 詳細 | ログイン Brian Grow (BusinessWeek誌アトランタ支局記者) 米国時間2008年4月11日更新 「Activist Groups Under Cyber Attack」 関連記事:2008年4月21日発行号カバーストーリー「ネット時代のスパイ活動、発信源は中国にあり」 25歳の薬剤師コナル・ワトソン氏は2007年6月、国際団体「自由なチベットを求める学生の会(SFT)」(本部:米ニューヨーク)英国支部の役員の座を退いた。この時、インターネット上でワトソン氏の行動を注視している人物がいた――ただし、ワトソン氏の友人ではない。 時間を見つけてはチベットの解放運動に取り組んできたワトソン氏は、退任の挨拶と新しいアドレスを知らせる電子メール
ウイルスがブラウザを狙っている 第4回 ダウンローダをブロックする手段:ITpro
改ざんされたサイトも見破る新サービス ただ最近,ダウンローダ型ウイルスへの感染,あるいはその後のウイルスへの感染を防ぐための新しい手段が登場してきた。その一つが,Webサイトの危険性を事前にチェックする,Webサイト評価サービスである(図4,表1)。 図4●Webサイトの危険性を事前に評価してアクセスを回避する仕組み 不正サイトや,不正コードが仕込まれた正規サイトの検出の効果も期待できそうだ。 [画像のクリックで拡大表示] 従来のURLフィルタリングでは,「ギャンブル」,「アダルト」といったカテゴリ別にWebサイトを分類して,アクセスを制限する。悪質なサイトを事前に見つけてカテゴリに登録するが,一般的に使われる正規サイトの改ざんを検知して防御するのは難しい。Webサイト評価サービスを使って,アクセス前に不正コードが埋め込まれた疑いがあることに気付ければ,サイトへのアクセスを避けられ,感染を
暗証番号入りスマートカードに対する不正操作
インターネット・セキュリティの専門家たちは、昔から「物理的なアクセス手段があれば、乗っ取れる」と言ってきた。残念なことに、この考えを理解すらできない組織があまりにも多い。この状況を端的に示す例を紹介する。それは、スマートカードと暗証番号をやり取りするカード・リーダーだ。 英ケンブリッジ大学の研究者が「Thinking inside the box:system-level failures of tamper proofing(きょう体内部に関する考察:不正操作防止機構におけるシステム・レベルの欠陥)」(PDF形式の論文)と題する非常に興味深い内容の論文を書き、不正操作を防止できると考えられる技術の弱さを検証した。 この論文が重要なのは、暗証番号を読み取るスマートカード用リーダーの弱点を詳細に記しているからだけでない。多くの銀行が新たな詐欺対策技術を導入しようとしている一方、顧客に強いるセ
GmailのCAPTCHAが破られている | スラド セキュリティ
ストーリー by nabeshin 2008年02月29日 11時59分 hotmailやYahoo同様にGmailもデフォルト拒否のサービスが増えてしまうか 部門より 本家ストーリーより。WebsenseによるとGmailのCAPTCHAが破られ、成功率2割でボットがアカウントを作っているとのこと。Websenseのレポートに詳細が載っているが、それによるとボットネット内の2つのコンピュータを組み合わせて処理が行われている模様。第二のホストの役割は、第一のホストが失敗した場合のバックアップか、もしくは何らかの精度チェックをしている可能性があるとのこと。さらに、ボットはCAPTCHAを解読している間ヘルプを読むふりをしてタイムアウトを防いでいるという。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20090213/10.html
http://japan.internet.com/webtech/20090107/13.html?rss
セキュリティ対策のラック|情報を守るセキュリティ対策のパイオニア
