AppleとGoogleのスマホデータ暗号化にFBIが懸念
米連邦捜査局(FBI)のJames Comey長官が、米Appleと米Googleのスマートフォン向けセキュリティ対策に異論を呈したと、複数の米メディア(Wall Street Journal、PCWorld、Bloombergなど)が報じた。 Comey長官は現地時間2014年9月25日の会見で、プライバシー保護のためにスマートフォン内のユーザーデータを暗号化するAppleやGoogleの取り組みについて言及。「私が懸念しているのは、人々を法律の届かないところに置くことが可能だと明示しているものを両社が販売していることだ」と発言し、誘拐やテロ事件などの捜査において当局がスマートフォン内のデータにアクセスする必要性を強調した。 Appleは先週、「iCloud」から著名人の画像が多数流出した騒動に対応するべくプライバシーポリシーの改訂を発表した際に、新たなモバイルOSには強固なプライバシー
「Shellshock」:どのように被害をもたらすか | トレンドマイクロ セキュリティブログ
Linux などで使用されるオープンソースプログラム「Bourne Again shell(bash)」に存在する脆弱性「Shellshock」が確認されたすぐ直後に、トレンドマイクロでは、この脆弱性を利用した攻撃を複数確認しました。それは、「分散型サービス拒否(DDoS)攻撃」を行う不正プログラムを Linuxシステム上に侵入させるものでした。しかし、この脆弱性の重大性を考えると、さらに大規模で、より深刻な被害をもたらす攻撃を確認することになるのは、ほぼ間違いないと思われます。いったい、どのようなシナリオが想定されるでしょうか。 ■シナリオ1:サーバ 「Shellshock」を利用した攻撃を受ける危険性が最も高いのは Webサーバです。現時点では CGIスクリプティングが、この脆弱性を利用した攻撃に最も利用されやすいと言われています。これまでの記事で述べたように、弊社ではこの手法を利用し
次期OS「Windows 9」の正式名称は「Windows TH」か?
Microsoftは次期Windows OSを2014年9月30日に開催されるプレス向けイベントで発表する予定ですが、その名称が「Windows TH」になる可能性が指摘されています。 Microsoft reveals 'Windows TH' naming on new Technical Preview site | The Verge http://www.theverge.com/2014/9/27/6855139/windows-technical-preview-for-enterprise-download-site-windows-th Microsoft offers first look at new Windows - and gives it a name | Reuters http://www.reuters.com/article/2014/09/26/us
Facebook、コメント欄でもスタンプ利用が可能に まず日本から
米Facebookは9月29日、これまでメッセージ機能およびFacebookメッセンジャーアプリで提供しているスタンプを、ニュースフィード上の投稿のコメント欄でも利用できるようにしたと発表した。この機能はまず、日本で初めて公開された。
「あとで読む」機能 - はてなブックマークヘルプ
「あとで読む」機能 「あとで読む」機能は、「あとで読む」もしくは「後で読む」タグを付けてブックマークした記事のうち未読の記事について通知する機能です。未読の記事をiOSアプリとAndroidアプリ、PC版、スマートフォン版で一覧表示して読むこともできます。アプリについては、以下のページを参照ください。 ▽ 「あとで読む」機能(アプリ向け) - はてなブックマークヘルプ 通知先は、「あなたへのお知らせ」欄と、iOS・Androidアプリへの通知に対応しています。 通知タイミングの設定 通知のタイミングはこちらから設定できます。 あとで読むリマインダー 通知を行う曜日と時間を指定することができます 未読のブックマーク一覧を見る iOSアプリとAndroidアプリ、PC版とスマートフォン版のユーザーページで、「あとで読む」が閲覧できます。「あとで読む」もしくは「後で読む」タグを付けてブックマーク
目の前にいるかのように画像付きで「これ忘れ物ですよ」と尋ねてしまうと困ります、という話
ゲーセンで忘れ物発見した時にその忘れ物の写真を撮って「○○のゲーセンで○○の忘れ物ありました~」ってやるのやめてくれ頼む 店員としてはその忘れ物の特徴聞いて本人かどうか確認してるんだから写真上げられるとあかんのや — yoshi (@yoshi3098) 2014, 9月 27 先ほどの御嶽山での噴火に際しての取材周りの話でも感じた、さらにはLINE絡みの色々な問題でも思ってはいるんだけど、Facebookと比べてツイッターはオープン性が高く、しかも発信側の身元を隠せる手立てが多い上に、インターフェイスが閉鎖的コミュニケーションツールのLINEなどのチャットツールとも似通っていることから、つい自分の話を身の回りにいる人たち向けに考えている錯覚を起こしてしまう。ブログが流行り始めた初期における「ブログは自分が知っている人にしか公開されていないはず」という誤解と同じ感じ。良くて「自分にとって都
魔法のハサミはどこにもないという話。 - orangestarの雑記
そしてみんなそれを欲しがるという話。 ブクマが1000単位、イイねが1万単位ついてる記事の少なくない話が(もしかしたらほとんどの話が)人とうまくやる万能の方法論でこんなにうまくいったという話や、とても有能な上司とその上司が採用している方法論の話、優秀な保母さんの奇跡のような育児術、電車の中で出会った親切なおばあさんの話、顔はブサイクだけれどもNo1になったホステスの話、偏差値30からの大学受験、秒速で1億稼ぐ話、虐めも解決する鏡の法則、とても優秀なコンビニバイトの女の子は一体何を見ているのか、仕事は人並みだけれどもとても人に教えるのがうまい派遣社員の話、何も仕事をしてないのにそこにいるだけで現場がうまくまわるパートのおばちゃんの話。 そして、どれも、ほんの小さな“気づき”で、それを手に入れられるようなことがかいてある。素敵だ。ここに書いてあるようなことをやってみれば、自分も明日からかわれる
噴火直前に画像をtwitterにあげていたenariさんの生存が確認される! : ツイッター速報
enari@setori_ 皆さん、ご心配おかけしましたが、今朝無事に下山しました。このアカウントは削除します。
「Bash」のバグを利用する攻撃、早くも見つかる
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「shellshock」とも呼ばれるBashのバグに関して情報が公開されてから1日も経たないうちに、攻撃者がすでにこれを利用する方法を模索していることが明らかになった。 セキュリティ研究者は今週、Bashに存在する深刻なバグを悪用する概念実証コードを発見した。US CERTによれば、この問題はLinuxと「Mac OS X」に影響がある。 幸い、一部のLinuxディストリビューションでは、情報公開当日である米国時間9月24日のうちにパッチが公開されたが、これらのパッチはまだ不完全であることが明らかになっている。Red Hatはユーザーに対し、同社は新しいパッチを準備中だが、当面はこの不完全なパッチを適用することを推奨している。 セキュリ
bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も
9月24日に公開されたbashのパッチは不完全だったことが分かった。既に脆弱性を突く攻撃が出回っているとの報告もある。 LinuxやMac OS XなどのUNIX系OSで標準的なシェルとして使われている「bash」に重大な脆弱性が見つかった問題で、9月24日に公開されたパッチは不完全だったことが分かった。攻撃の発生も確認され、影響の大きさは4月に発覚したOpenSSLの脆弱性(Heartbleed)に匹敵すると指摘されている。 米セキュリティ機関US-CERTが9月25日に出したアラートによると、脆弱性はGNU Bash 1.14~4.3に存在し、CentOS、Debian、Mac OS X、Red Hat Enterprise Linux、Ubuntuなどが影響を受ける。24日に脆弱性(識別番号CVE-2014-6271)を修正するパッチが公開され、主要Linuxディストリビューションも
更新:bash の脆弱性対策について(CVE-2014-6271 等):IPA 独立行政法人 情報処理推進機構
GNU Project が提供する bash は、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル(OS の一部としてプログラムの起動や制御などを行うプログラム)です。 bash に任意の OS コマンドを実行される脆弱性 (CVE-2014-6271) が発見され、2014 年 9 月 24 日に修正パッチが公開されました。 ただし、CVE-2014-6271への修正が不十分であるという情報があります。その修正が不十分であることによる脆弱性 (CVE-2014-7169) に対応したアップデートまたはパッチも各ベンダから順次公開されています。 bash を使用して OS コマンドを実行するアプリケーションを介して、遠隔から任意の OS コマンドを実行される可能性があります。 図:脆弱性を悪用した攻撃のイメージ 警察庁によると本脆弱性を標的としたアクセスが観
Bashの脆弱性ShellShockはHeartbleedよりも危険?
Unix、Linux、OS X に影響するBashの脆弱性は、インターネット全体に影響するバグです。多くのエキスパートが、OpenSSLのHeartbleedよりも危険であると述べています。 インターネット全体に影響を及ぼす脆弱性がBourne Again シェル(Bash)に存在することが今週明らかになりました。このBashの脆弱性(ShellShock)はOpenSSLのHeartbleed以降に発見された脆弱性の中でも最大級であり、あちこちで話題となっています。 Bashとは何か BashはGNU Projectによって1989年に開発されたコマンドラインシェルプログラムで、ユーザーやマシンからのコマンドを受け付け、システムレベルで実行します。基本的な機能は、コマンドを発行して解釈することです。もう少し詳しい説明は、GNUのBashに関するページをご参照ください。 Bashは、Uni
bashにおける脆弱性「Shellshock」について
2014/09/26 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 bashにおける脆弱性「Shellshock」について LinuxやMac OS XなどのUNIX系OSで広く使用されているbashに見つかった脆弱性(Shellshockと呼ばれています)が先日から話題になっています。 弊社でもこのbashの脆弱性について調査を行いました。 ■概要 環境変数に特定の文字列を設定するだけでその環境変数内の文字列をシェルが関数として実行してしまいます。 シェルを通じてコマンド等を実行する幅広い環境で影響がありますが、特に顕著に影響を受けるのはCGI等のWebアプリケーション環境です。 CGIをはじめとするWebアプリケーションではWebブラ
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
2012~13年度のセキュリティ被害額、日本は83%増も米国では50%減に
MM総研は9月25日、日米のユーザー企業における情報セキュリティ被害の実態調査の結果を発表した。 それによると、2012年度から2013年度にかけて主要な手口別にみた被害額は、米国では「情報機器の紛失・盗難」を除く項目の全てで減少する一方、日本では「脆弱性悪用」「DDoS(分散型サービス妨害)攻撃」を除いて増加した。 2013年度における1社あたりの被害平均額(加重平均により算出)は「なりすまし」の場合で、米国が72%減の2億8200万円、日本が141%増の26億4600万円、「ウイルス感染」では米国が56%減の5億2100万円、日本が108%増の23億600万円、「標的型攻撃」では米国が35%減の4億300万円、日本が75%増の22億7100万円、「手口はわからない」では米国が50%減の99億6500万円、日本が83%増の195億800万円だった。 同社は、米国では特に外部攻撃の対策に成
意図しない投稿? リンクに注意 NHKニュース
24日、ツイッター上で「ミッキー」や「運転手」といったことばを含むつぶやきが急増しましたが、これは「着ぐるみを着た数人が自動車事故の相手に暴行を加える」という動画へのリンクを紹介するツイートが拡散したことによるものでした。 投稿を見た人がリンクをクリックすると意図しない形でツイートされる仕掛けによって広がったものとみられ、情報セキュリティ-会社では注意を呼びかけています。 どういう仕組みで拡散したか 24日ツイッター上で拡散した投稿は、事故の相手に着ぐるみを着た数人が暴行を加える動画を紹介するもので、ある投稿は4万を超えるリツイートがされていました。 文面では「動画はこちら」とリンク先が紹介されていて、これをクリックすると「ツイッターのアプリ連携」の設定画面に移行します。 そして、さらに進むと、意図しない形で同じ内容の投稿が自身のツイッターから発信されてしまう仕組みです。 これにより投稿を
71%の米国人がデジタルのプライバシーとセキュリティに懸念
7月に公開された調査結果から、米国人の大多数がオンラインプライバシーに不安を感じていることがわかりました。また、自分のデジタル情報の権利を求める声も強まっています。 今年の夏に公開された調査結果から、大多数の米国人がオンラインプライバシーに不安を感じており、自分のデジタル資産の所有権を求める声が強まっていることがわかりました。 セキュリティソフトウェア企業WP Engineが7月に実施した調査では、71%の米国人がオンラインプライバシーに「強い不安」を抱いています。 「インターネットユーザー同士が互いに大量の個人情報にアクセスできる今、プライバシーとして本当に尊重すべきはどんな情報なのかという議論はこれまで以上に重要」(WP Engine、ヘザー・ブルンナー氏) デジタルセキュリティに対する不安が強まったのは、昨年明らかになった米国家安全保障局(NSA)による諜報活動が原因とみて間違いない
日本航空の顧客管理システムへの不正アクセスについてまとめてみた - piyolog
2014年9月24日、日本航空(以降JALと表記)が同社のPCがウイルスに感染し、顧客情報(JALマイレージバンク会員情報)が流出した可能性があると発表しました。ここではその関連情報をまとめます。 公式発表 2014年9月24日 JAL顧客情報管理システムへの不正アクセスによる個人情報漏えいの可能性について(魚拓) 2014年9月24日 JALマイレージバンク特典「Amazonギフト券への特典交換サービス」の再開延期について(魚拓) 2014年10月29日 JAL顧客情報システムへの不正アクセスによる一部のお客さまの個人情報漏えいの特定について(中間報告)(魚拓) 2015年1月21日 定例記者会見(2015年1月21日)(魚拓) 2015年1月21日 JAL顧客情報システムへの不正アクセスによるお客さま情報の漏えいについて<最終報告> (魚拓) 2015年1月21日 (PDF) 検証報告
JALマイレージ会員の個人情報流出 最大75万件 社内PCにマルウェア、遠隔操作か
日本航空(JAL)は9月24日、同社の顧客管理システムが不正アクセスを受け、「JALマイレージバンク」会員の個人情報最大75万件が漏えいした恐れがあると発表した。社内の一部PCにマルウェアが仕込まれ、遠隔操作で外部にデータが送られた可能性があるという。 流出した可能性があるのは、マイレージ会員の氏名、生年月日、住所、電話番号、勤務先、電子メールアドレス、会員番号、入会年月日などだが、具体的な中身は特定できていないという。 流出した件数も特定できていないが、外部に送信されたデータ量は把握しており、1人当たりの情報量で割ると11万件になるが、データが圧縮されていた場合は最大75万件に上ると推定している。JALマイレージ会員の総数は2800万。 原因は特定できていないが、社内のPCにマルウェアが仕込まれ、外部からの遠隔操作ができる状態になっていた可能性があるという。マルウェアは7月30日以降、2
緊急地震速報を装った迷惑メールにご注意下さい | 気象庁|報道発表資料
最近、緊急地震速報を装った迷惑メールが届いたという情報が寄せられております。このような迷惑メールは、気象庁とは全く関係ありません。 心当たりのないアドレスから届いた緊急地震速報を装ったメールや、知らないアカウントで投稿された緊急地震速報を装ったSNSの投稿などについて、記載されているリンク先にアクセスしないようにご注意ください。
クロネコメンバーズWebサービスへの不正ログインに関するお知らせ | ヤマトホールディングス
このたび、ヤマトホールディングス傘下のヤマト運輸株式会社(本社:東京都中央区・代表取締役社長 山内 雅喜)が提供するクロネコメンバーズ(主に個人の方を対象とした会員制サービス)のWebサービスにおきまして、外部から不正ログインがあり、一部のお客様の個人情報が閲覧された可能性があることが判明しました。クロネコメンバーズのお客様をはじめとする皆様にはご迷惑とご心配をお掛けいたしましたことを心よりお詫び申し上げます。 平成26年9月25日(木)、特定のIPアドレスからの不正なログインを確認し、緊急の措置として、該当のIPアドレスからのログインを遮断するなどの対策を講じました。調査の結果、不正なログインに使用されたID・パスワードは弊社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用した「パスワードリスト攻撃※」による不正ログインと判明しました。
ウェブカメラをスタイリッシュに隠して盗撮を防止する「Nope」
コンピューターのウェブカメラを使った盗撮は実際に行われており、過去にフィンランドのセキュリティ企業が「使わないならテープでふさぐべき」と注意を呼びかけたこともありました。「Nope」は盗撮を防止するため、テープよりも確実に、かつスタイリッシュにウェブカメラをふさぐことが可能なアイテムとなっています。 Nope - Live Free by Ananda Svarupa Das — Kickstarter https://www.kickstarter.com/projects/1893116150/nope-live-free 過去の研究で、2008年までにリリースされたiMac G5および初期のインテルベースのiMacを含む、MacBookおよびMacBook Pro内蔵のiSightウェブカメラは警告灯の点灯なしにカメラを起動できることが判明しています。またPC修理のお礼にウェブカメラ
【セキュリティ ニュース】多数Androidアプリに「中間者攻撃」のおそれ - IPAが注意喚起(1ページ目 / 全1ページ):Security NEXT
SSLサーバ証明書の検証処理に問題があるAndroidアプリが多数見つかっていることから、セキュリティ機関が、アプリ開発者や利用者に対して注意を呼びかけている。 HTTPS通信の際にSSLサーバ証明書を適切に検証しないため、通信経路上で通信内容の盗聴や改ざんなど「中間者攻撃」を受けるおそれがあるアプリが多数存在することから注意喚起を行ったもの。 米CERT/CCでは、同脆弱性を含むアプリのリストについて公開を開始している。9月18日時点で617件にのぼり、日本国内で開発されたと見られるアプリも含まれる。調査は現在も継続中で、今後も公表されるアプリは増加が見込まれる。 同様の脆弱性は、これまでもたびたび情報処理推進機構(IPA)へ報告され、JVNが更新されているが、セキュリティベンダーによる調査でも、脆弱性が多数残っていることが明らかとなっている。 ソニーデジタルネットワークアプリケーション
人気のAndroidアプリがプライバシーを危険にさらしている
ニューヘイブン大学の研究者グループが、多数のAndroidアプリのぜい弱性を発見しました。データが暗号化されておらず、パスワードなどの重要な情報が流出する可能性もあります。 ニューヘイブン大学のサイバーフォレンジック研究・教育グループ(Cyber Forensics Research and Education Group:cFREG)のリサーチャーらが、Instagram、Vine、OKCupidなどの人気Androidアプリのぜい弱性を明らかにしました。これらのアプリをAndroidデバイスにインストールしている人は約9億6,800万人いますが、このバグのために個人情報が流出する恐れがあります。 Threatpostを担当している私の同僚、クリス・ブルック(Chris Brook)の記事によると、これらのバグの大半は、ぜい弱性を抱えたアプリを管理するサーバーに暗号化されていないコンテン
「Bump」Android版に脆弱性 使用停止呼び掛け
BumpのAndroid版に脆弱性。Bumpで取得した連絡先情報の一部が第三者に漏えいする可能性があり、使用停止を呼び掛けている。 JPCERTコーディネーションセンターと情報処理推進機構(IPA)はこのほど、連絡先交換アプリ「Bump」のAndroid版に脆弱性があるとし、脆弱性報告サイト「JVN」で使用中止を呼び掛けた。 Bumpは、モバイル端末同士を物理的にぶつけて連絡先情報やファイルをやりとりするアプリ。脆弱性により、Bumpで取得した連絡先情報の一部が、不正なAndroidアプリ経由で第三者に漏えいする可能性があるという。 Bumpは米Googleが昨年9月に買収。今年1月31日にサービスを終了している。開発も終了しているため脆弱性の修正予定はなく、使用停止を呼び掛けている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
