このJPRSの発表に対し、この欠陥を発見した中京大学の鈴木常彦教授、前野年紀氏は「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」を懸念し、下記のブログ記事等でこの問題の危険性を訴えています。 この問題はインターネットの根幹に関わるものですが、どんな問題を孕んでいるのでしょうか。それを理解するために、まずはDNSの仕組みから見て行きましょう。 DNSの仕組みとDNSキャッシュサーバDNSとはインターネットの根幹に関わる仕組みで、目的のサーバにアクセスする為の重要な役割を持ちます。簡単に説明すると、"http://www.example.jp"というURLのサイトを見たい場合、それを管理するサーバのインターネット上の住所(IPアドレス)が必要になります。そこで、DNSサーバに上記URLのラベル(ドメイン)に相当する"www.example.jp"を管理するサー
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
脆弱性のある出口ノードのユーザートラフィックが平文で流出し、ホスト名やダウンロードしたWebコンテンツ、セッションIDなどの情報が露出していることが分かったという。 OpenSSLの脆弱性が見つかった問題で、匿名化ツールTorの多数のノードが影響を受け、トラフィックが平文で流出する恐れがあることが分かった。Tor Projectは脆弱性のあるノードのブラックリストを公表している。 セキュリティ研究者のコリン・マリナー氏は、4月11日から13日にかけ、約5000のTorをスキャンして脆弱性の影響を調べた。 その結果、約20%に当たる1045ノードにOpenSSLの脆弱性が存在することを確認。流出したメモリを調べたところ、脆弱性のある出口ノードのユーザートラフィックが平文で流出していて、ホスト名やダウンロードしたWebコンテンツ、セッションIDなどの情報が露出していることが分かったという。 T
カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する
Map Your Next Move at VMware Explore Join peers and leaders at the essential cloud event for IT professionals. Learn More Join Broadcom Rewards Join the Broadcom Rewards Program to earn exclusive swag and experiences. Register for Broadcom Rewards Map Your Next Move at VMware Explore Join peers and leaders at the essential cloud event for IT professionals. Learn More Welcome to the Broadcom Commun
HeartBleedの影響についての情報のまとめです。(OpenSSL情報集約のページに書いていましたが量が増えてメンテナンスが大変になってきたため別記事としました。) 「影響あり」は特に記載無い限り、修正版の公開、または対応が済んでいます。随時更新・修正しています。piyokangoが勝手にまとめているだけですので、リスト掲載の情報だけを鵜呑みにせずリンク先の情報を確認してください。また掲載されていない情報があれば、@piyokangoまで教えて頂けると嬉しいです。 1. OS 対象名 CVE-2014-0160の影響 対象製品・バージョン Windows 影響なし − OSX 影響なし − Android ●影響あり(修正版提供時期不明) 4.1.1 iOS 影響なし − BlackBerry(smartphone) 影響なし − RHEL ●影響あり(日本語) 6.5,7 Beta
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
by snoopsmaus 2012年から存在し、2014年になって存在が明らかになったOpenSSLのバグ「Heartbleed」の影響を受けるサイトは約50万にも上ると見られています。一方で、Android 4.1.1やAndroid 4.2.2の一部など、Android端末の中にも脆弱性の影響を受ける可能性のあるものがあることがわかりました。また、その他の端末も気をつけておく必要があります。 Heartbleed disclosure timeline: who knew what and when http://www.smh.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140414-zqurk.html Vicious Heartbleed bug bites
Googleは、暗号化を採用しているサイトの検索順位を上げることを検討しているという。The Wall Street Journal(WSJ)が報じた。 GoogleのDistinguished Engineerで、検索結果からスパムを取り除くウェブスパムプログラムを統括するMatt Cutts氏の発言をもとに、WSJは同氏が最近のカンファレンスでその可能性を「ほのめかした」と報じている。 Googleの広報担当者は、現時点で発表することはないと述べた。 Googleの検索順位のアルゴリズムは、サイトの表示順位を上げ下げする変数が多く、複雑なことで知られる。上記のような変更があった場合、少なくとも短期的には、Googleの検索順位を操作しようとするサイトに有利になる可能性がある。 もっとも、ウェブページへのSSL/TLS暗号化の導入拡大は多くの専門家が推進していることであり、Googleは
新千歳空港の立ち入り制限区域への扉の位置などを記した図面がインターネット上で誰でも閲覧できる状態になっていた問題で、空港の運営会社が、国土交通省の通知に違反して、無断で図面をグーグル社に提供していたことが分かりました。 この問題は、インターネット上でメールの内容を共有できるグーグル社の無料サービス「グーグルグループ」に、新千歳空港の立ち入り制限区域への扉などを記した図面が、グーグル社のミスで誰でも閲覧できる状態で掲載されていたものです。 空港ビルを管理する北海道空港会社は、非公開とすべき部分を加工せず、グーグル社にそのまま図面を提供していたということですが、その際、国からの通知に反して、国土交通省の空港事務所に事前に相談していなかったということです。 空港会社は当初「事前に空港事務所の許可を得て提供した」と説明していましたが、その後の調査で相談は提供後だったことが分かったということです。
エドワード・スノーデン氏も愛用、超匿名OS「Tails」とは?2014.04.16 20:0021,029 福田ミホ 自分の身は自分で守る、そんな人のために。 米国政府によるインターネット上のスパイ活動を告発したエドワード・スノーデン氏は、自分自身の通信内容を傍受されないよう細心の注意を払っています。コンピューターのOSも、プライバシー保護に特化した超セキュアなバージョンのLinux、TailsなるOSを使っています。TailsはUSBメモリに収まってどのコンピューターでも動かすことができ、しかも使った形跡が残らないんです。 USBメモリ上で動くLinuxは特に新しいものじゃありませんが、Tailsの特長は徹底的な匿名性の保護にあります。エドワード・スノーデン氏や、彼の資料に基づいてNSAを告発したジャーナリストのグレン・グリーンウォルド氏といった人物は、デジタルライフの安全性を確保するた
By TonyM33 アメリカや日本を含む世界中で問題となっているスマートフォンの盗難犯罪に立ち向かうべく、アメリカでは盗難抑止対策として「Kill Switch」というスマートフォンの紛失・盗難時に遠隔システムやユーザー設定を通じ使用できない状態にする盗難防止ソフトウェアの導入が進められていましたが、大手キャリアが反対したことにより、導入は頓挫していました。 しかしながら、2014年4月15日、モバイル無線通信に関する国際団体「Cellular Telecommunications and Internet Association(CTIA)」がスマートフォンの盗難対策案「Smartphone Anti-Theft Voluntary Commitment」を発表し、Apple・Samsung・Google・Microsoftなどのスマートフォンメーカーやアメリカの大手キャリア会社が参加
攻撃者が不正な証明書を使って証明書チェックをかわし、正規のWebサイトやサーバを装って中間者攻撃を仕掛けることが可能だという。 Red Hatなどの主要Linuxディストリビューションに使われているオープンソースのSSL/TLSライブラリ「GnuTLS」に脆弱性が見つかった。通信に割り込む「中間者攻撃」に使われる恐れがあることから、米US-CERTは3月5日にセキュリティ情報を出し、脆弱性解決のためのアップデートを適用するよう呼び掛けている。 GnuTLSチームのアドバイザリーによると、脆弱性はGnuTLSの証明書チェック機能に存在する。この問題を突いて細工を施した「X509」証明書を利用すれば、証明書チェックをかわし、正規のWebサイトやサーバを装って中間者攻撃を仕掛けることが可能だという。 脆弱性を修正するためには、GnuTLS最新バージョンの3.2.12/3.1.22にアップデートす
今年もまた、内閣府による「青少年のインターネット利用環境実態調査」の平成25年度版が発表された。昨年度の結果なので、今年の現状はさらに傾向が加速している可能性は十分あるのだが、毎年毎年定点観測的に子供のネット利用傾向を俯瞰していくことは重要であろう。 調査としては、携帯電話とスマートフォン、ゲーム機・タブレット・音楽プレーヤー、PCの利用実態と、保護者の意識調査から成っている。今回はこの中でスマートフォンと、ゲーム機その他のネットデバイスに関する項目を取り上げてみる。 まず携帯電話・スマートフォンの所有状況だが、全体の所持率としては、高校生が97%前後でほぼ飽和状態、中学生がざっくり50%程度という傾向は、ここ数年変わっていない。今回の調査で明らかになったのは、小学生の所持増加だ。平成23年度から24年度でおよそ7ポイント、25年でさらにおよそ9ポイント増加と、伸びが顕著である。 その内訳
LINEは4月17日、ユーザーが制作したLINEスタンプを販売できるプラットフォーム「LINE Creators Market」のWebサイトで、クリエイターとスタンプの登録受け付けを始めた。登録されたスタンプの審査を順次始め、審査を通過したスタンプは5月以降に発売する。 法人・個人問わず登録できる。審査を通過したスタンプは、1セット40種類100円で「LINEウェブストア」(日本・タイ・台湾・インドネシアで展開)を通じて販売。クリエイターには売り上げの50%が分配される。 LINEウェブストアは順次、対応国を拡大する予定だ。 関連記事 LINE、国内外の固定/携帯電話への格安通話「LINE電話」開始 自作スタンプ販売も可能に 「LINE」の新サービスとして、国内外の電話と格安通話が可能になる「LINE電話/LINE Call」、自作スタンプが販売できる「LINE Creators Mar
断片的な情報を目にしてる人も多いでしょう。簡単に解説。登場人物ひろゆき=元2ちゃんねる管理人、パケットモンスター社、未来検索ブラジルJim=フィリピンでサーバー屋を運営、レースクイーン社CodeMonkey=現2chのSEでアメリカ人まず理解して置かなければならない事「●」は2ちゃんねるで規制された時に年間3,600円で書き込めるようになる課金システム。これでサーバー管理人のJimに管理費が支払われていた。この「●」が2013年8月、さっしーえっちを名乗るハッカーによって流出する。 最も問題だったのは、①書き込み情報と紐付け、②クレジットカードはセキュリティコードも保存、していた事。さらに、2011年から荒らし対策として、書き込み者を特定するための「忍法帳」。これも外部に情報送信していた形跡が確認されている。 2012年からパケットモンスター(ひろゆき)からレースクイーン(Jim)に2ちゃ
私はAmazonで物を売っていた。 そう、残念なことに過去形で。 というのも、何故かAmazonから出品用のアカウントを 一方的に停止させられてしまったのだ。 [現在、ご利用のアカウントは Amazon.co.jpにより一時停止されています。] 正直なところ、理由はよくわからない。 メッセージの詳細を見ると 「以前当サイトにて 閉鎖いたしましたアカウントと 関連があると判断しました」 と書いてある。 警告をもらうようなことは、しているつもりがないし お客様からのストア評価も致命的というほど悪くない。 本当に心当たりがなかったので いつもお世話になっている、ヘルプデスクに電話をしてみた。 アカウントの状況をオペレーターの方が調べること1分。 「はい、ただ今確認いたしました。 アカウントが停止されてますね」 それはわかってるけど、理由がサッパリわからないことを伝える。 「申し訳ありません、それ
米Facebookは4月17日(現地時間)、位置情報を利用して友達同士で居場所を確認できる新機能「近くにいる友達」を発表した。まずは米国で、iOSおよびAndroidの公式アプリにこの機能を追加する。 この機能は「オプトイン(初期設定では無効になっており、利用するには自分で有効に設定する必要がある)」になっており、自分の居場所を公開する範囲の設定もできる。相手の居場所を表示するには、相手もこの機能を有効にし、かつ自分を公開相手に含めている必要がある。 上記の条件を満たした友達が物理的に近くに移動してくると、端末のロック画面にプッシュ通知が表示され、スワイプすると近くにいる友達のリストが表示される。 上の右の図の友達の名前の右側にある方位磁石のようなアイコンをタップすると、その友達に対して自分の正確な現在地をメッセージ付きで一定時間地図上で知らせることもできる。友達と待ち合わせしている場合な
現在2ch.netの権利を巡って元管理人ひろゆきが現管理人であるJimを攻撃し続けているが、ひろゆきがJimに対しJim息子の彼女を晒すぞと脅したところJim息子は平気な顔をして自ら彼女の写真を公開、それどころか名無しがリークしていた「西村博之の彼女」として晒した人物をJimが「彼女は素敵な嫁さんだ」と発言したことでむしろ自らが彼女を晒すことになるという事件が起きたようだ。展開が早く、あまり詳細を追えてないのだが、概要は以下の通りだと思われる。 雑 談 専 用 ス ッ ド レ ★ 9 - 2ch.sc http://sweet.2ch.sc/test/read.cgi/patisserie/1397733789/ 128 :ひろゆき@どうやら管理人 ★:2014/04/17(木) 20:58:36.11 ID:??? >>106 サイトを作ってた証拠として、 モデルをRonの彼女にしようっ
1 :Ψ:2014/04/17(木) 19:20:15.68 ID:vgbsQArC0 【これまでの全体的な流れ】 西村は訴訟回避のためにjimの会社に2ch.netの権利を渡してスケープゴートにする(2013年3月~) ●の売上をjimに渡すことで子飼いにし実権は西村が握る ↓ ●の流出(2013年8月~)によって資金が絶たれたjimの会社は資金繰りが悪化し、スタッフの解雇に追い込まれる jimは西村にヘルプを求めるが西村は無視 ↓ 窮地に追い込まれたjimは西村に反旗を翻す(2014年2月~) jimは転載禁止を打ち出し、広告付き過去ログの開放で資金を得ることにする ↓ 西村はホットリンク(2chのデータを解析したり炎上火消しなどを行う会社)とつながっており、そこに2chのデータ(書き込みと忍法帳・IPが含まれると思われる) を独占的に渡すことで金を貰い、win-winの関係を築いてい
シャドーITというと和製英語かと思われるかもしないが、実はれっきとした英語(Shadow IT)である。また、個人所有デバイスを業務利用する「BYOD」(Bring Your Own Device)と混同されることもあるが、シャドーITは対象がデバイスに限らず、「会社で承認されていない」という点がBYODとは異なる。 個人が使い慣れたデバイス/サービスを企業でも取り入れようとする「コンシューマライゼーション」の流れや、ワークスタイルの多様化などを背景に、企業におけるシャドーITは年々広がっている。では、シャドーITは具体的にどのようなリスクをもたらし、企業はそれにどう対策すればいいのだろうか。 本連載では「総論」「事例」「対策」の流れで、日本企業に求められるシャドーITとの向き合い方を考えていきたい。今回はまず、シャドーITがもたらす3つの代表的な脅威を紹介しよう。 ケース1 会社に持ち込
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く