bash脆弱性、国内メーカーの対応まとめ(10月7日現在)
LinuxなどUNIX系OSで使われているシェル「bash」にOSコマンドインジェクションの深刻な脆弱性が発覚した問題で、国内メーカーなどの対応状況を10月7日午後2時現在で取りまとめた。なお、編集部で確認できた範囲のため、情報が網羅されているわけでないことをあらかじめお断りしておく。脆弱性の詳細などについて、JPCERT コーディネーションセンターが情報を公開している。 メーカー 10月7日更新 アライドテレシス 該当製品あり(詳細)……Unified Wireless Controller(UWC) 2.1.0以前、AT-UWC-APL-Z1 2.1.0以前 バッファロー 影響を受ける製品(対策ファームウェアあり)……TS5000シリーズ 調査中……ストレージ関連製品(外付けHDD/ポータブルHDDなど)、NAS関連製品(その他のTeraStation/LinkStation) ※Te
Amazonの本の補充はなぜ遅いのか
Twitterのタイムラインで、本の著者になった人がAmazonへの自著の入荷状況に一喜一憂する姿を良くみかけるようになった。 Amazonで本が売り切れたあと、なかなか在庫ありのステータスにならない。補充されるまでのタイムラグに苛立つ著者は多い。 こういった間、出版社が何もしていないのかというとそうではなく、何もできないというのが実情に近い。私も編集者として苛立つ著者に説明しても、著者の勤務先や出版産業に対する不満をかえって大きくするだけだっだので、ここで説明しても同じ結果かもしれないけれど、書いてみる。 最大の理由は何と言っても、Amazonからのオーダーから本が納品されるまでに通る流通過程が複雑で時間がかかるためだ。 出版社がAmazonに本を納品するまでの流通過程のパターンは実際いろいろあるのだが、筆者の環境では以下のようになっている。 Amazonが本のオーダーデータを送信。 ↓
ソーシャルゲーム開発者のもつ罪悪感
「先月は売り上げ○億円達成!、今月は△億円目指してがんばりましょう」なんて経営者から話を聞くたびに悲しい気分になる。 この人達は、分かっていない。何も分かっていないな。 現在の日本のソーシャルゲームのほとんどは、ガチャという凶悪なギャンブル要素が組み込まれており、売り上げの大部分を占めている。 偉そうな人が、「このゲームのマネタイズ戦略は〜」とか言ったところで、結局ガチャである。 ある日の俺。 おもむろにターミナルを起動して、ゲームサーバーに接続。 tail -f access.log | grep purchase_hoge と入力。 リアルタイムに課金情報が画面に出力されるコマンドで、誰かが課金すると表示が1行増える。 「ああ、これが△億円目指してコツコツと積み立てられているのか」 ガチャの確率アップや割引なんかがあると、その表示速度も速く、ゲーム内の勢いを感じながらも、エラーが発生し
パスワード変更・振込限度額変更 - 20140414_pw_limit.pdf
パスワード変更手順 インターネットバンキングのセキュリティ保全のため、定期的な(少なくとも1日1回、もしくはログアウト前) パスワード変更を推奨いたします。 「管理」をクリックします。 「利用者管理」をクリックします。 「パスワード管理」をクリックします。 1 / 4 ページ 【パスワードに使う文字について】 半角英数6文字以上、12文字以内で決めて下さい。 ×:文字数不足(5桁)以下、数字のみ、英字のみは登録できません。 ×:ログインID、ログインパスワード、確認用パスワード、それぞれ同じ文字列は使えません。 *確認用パスワードも同様に変更できますが、変更しない場合は「変更しない」を選択できます。 (変更を推奨しますが、登録済のパスワードは大切に保管して下さい) 現在利用中の「ログインパスワード」を入力 新しい「ログインパスワード」を入力 確認のため再入力 全て入力したら「実行」をクリッ
総務省|報道資料|「ICTサービス安心・安全研究会 報告書~消費者保護ルールの見直し・充実~~通信サービスの料金その他の提供条件の在り方等~」(案)に対する意見募集
総務省では、平成26年2月より、「ICTサービス安心・安全研究会」の下に設置された「消費者保護ルールの見直し・充実に関するWG」において、消費者保護ルールの見直し・充実、通信サービスの料金その他の提供条件の在り方等について検討を行ってまいりました。 今般、本研究会の報告書として「ICTサービス安心・安全研究会 報告書」(案)が取りまとめられましたので、これに対する意見を募集します。
総務省|報道資料|我が国のインターネットにおけるトラヒックの集計・試算
総務省は、我が国のインターネットにおけるトラヒック(通信量)の実態を把握するため、インターネットサービスプロバイダ(ISP)6社(注1)、インターネットエクスチェンジ(IX)5団体(注2)及び研究者(注3)の協力を得て、2014年5月のトラヒックの集計・試算を行い、今般その結果を別添のとおり取りまとめました。 2014年5月の我が国のブロードバンドサービス(注4)契約者の総ダウンロードトラヒックは、推定で約2.9T(テラ)(注5)bpsであり、前年同月比27.1%増となりました。引き続きトラヒックは増加しています。 他方、ブロードバンドサービス契約者の総アップロードトラヒックは、推定で約905Gbps(前年同月比17.5%増)であり、トラヒックは増加しています。 注1:「インターネットイニシアティブ」、「NTTコミュニケーションズ」、「ケイ・オプティコム」、「KDDI」、「ソフトバンクテレ
パスワードの定期的な変更を勧める企業にその根拠を聞いてみた
先日、とある企業からメールにて会員向けに「なりすましログイン」に関する注意喚起メールが届きました。 その中にパスワードを定期的に変更することが推奨されていたので、その根拠について質問し、先方の担当者とやりとりした結果を記録として残しておきます。長文の割にとくにオチはありません。 メール内容の引用は全文ではありません。文頭の挨拶文など、本筋に関係ない部分は省略しています。 当該企業を晒し上げることが目的ではないため、サービス名、担当者名は伏せています。 まず最初に、会員向けに届いたメール(の一部)がこれです。 本メールをお送りしているメールアドレスのIDでは、なりすましログインは確認されておりませんが、今後、会員情報が不正に利用されることを防ぐため、定期的なパスワードの変更をお勧めいたします。 ※なりすましログインが確認された方については、別途、弊社より個別にご連絡を差し上げております。 今
使わなくなったスマホがホームセキュリティ装置に早変わり! | Techable(テッカブル)
先日発売されたiPhone 6をいち早く入手して愛用している読者も多いことだろう。iPhoneに限らず、次々に新しいスマートフォンが出てくる昨今、古い端末を引き出しの片隅で眠らせている人も多いのではないだろうか。 そんな“任務終了”となったスマホを、ホームセキュリティとして活用できるようにするガジェット「Rico」がこのほど資金調達サイト「Kickstarter」に登場した。 ■Wi-Fiで情報をクラウドへ Ricoは一見、ただのプラスティック容器。だが、内部にスマホを入れるスペースがあり、そこにセットしてWi-Fiにつなげるとホームセキュリティの“ブレイン”になる。 このスマホ内蔵Ricoで何が出来るかというと、 ・カメラ撮影 ・録音 ・動作検知 ・煙探知 ・温度・湿度計測 など。撮影はスマホのカメラを使い、動作や煙などを検知するセンサーはRico本体に備わっている。 ■侵入、煙探知でア
TCP 10000番ポートへのスキャンの増加に関する注意喚起 / JPCERT-AT-2014-0038 JPCERT/CC 2014-10-10
各位 JPCERT-AT-2014-0038 JPCERT/CC 2014-10-10 <<< JPCERT/CC Alert 2014-10-10 >>> TCP 10000番ポートへのスキャンの増加に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140038.html I. 概要 JPCERT/CC では、TCP 10000番ポートへのスキャンが 2014年9月下旬より増加 していることを、インターネット定点観測システム (以下、TSUBAME) *1 にお いて確認しています。 TCP 10000番ポートは、ウェブベースのシステム管理ツールである Webmin の 標準ポートとして利用されることが多く、開発者によると Webmin は先日公開 された GNU bash の脆弱性の影響を受けるとのことです。 Changes since Webmi
ツイッターが米政府を提訴、監視活動の情報公開で
仏レンヌ(Rennes)で、スマートフォンの画面に表示された米ツイッター(Twitter)のロゴマーク(2013年11月7日撮影)。(c)AFP/DAMIEN MEYER 【10月8日 AFP】米短文投稿サイト大手ツイッター(Twitter)は7日、米政府が同社に要請したユーザーデータの提出について、その詳細に関する情報開示が政府によって制限されていることによって同社の言論の自由の権利が侵害されているとして、米政府をカリフォルニア(California)州の連邦地裁に提訴した。 同社による提訴を受け、国家安全保障の名の下で実施されてきた米政府による大規模な監視活動についてどれだけの情報を開示できるかに関して、IT各社と政府の闘いは一段と激しさを増すことになる。 ツイッターのベンジャミン・リー(Benjamin Lee)副社長はブログへの投稿で、「合衆国憲法修正第1条の下、当社には政府の監視
「1日限定サイト」トップ50ドメインの22%がサイバー攻撃に利用、ブルーコートが公表
セキュリティ製品を提供するブルーコートシステムズ合同会社は2014年10月10日、長期間にわたって1日しかアクセスされない「1日限定サイト」についての調査レポートを発表した。調査の結果、1日限定サイトで利用されるトップ50のドメインのうち、22%がサイバー攻撃に利用されているという。 同レポートの調査期間は90日。世界7500万人のユーザーがリクエストした6億6000万以上の固有のホスト名を調査した。その結果、全体の71%である4億7000万のホスト名が、生成されてから24時間未満でアクセスされなくなるという。 1日限定サイトの過半数を生成しているのは「google.com」や「amazon.com」。加えて、コンテンツの配信に関するSEO(検索エンジン最適化)などを手掛ける企業も上位を占める。そのうちの大多数はWebサービスなど提供する上で合法的なサイトだという。 しかし、調査結果によれ
IPA、不正アクセスの兆候を検知する無償ツールを公開
Webサイトの脆弱性を突いて行われる不正アクセスの兆候を検知する機能を搭載した「iLogScanner」の新バージョンをリリースした。 情報処理推進機構(IPA)は10月9日、Webサーバのログからサイバー攻撃を検知する無償のセキュリティツール「iLogScanner」の新バージョンをリリースした。新たに不正アクセスの兆候を検知する機能を搭載したほか、PCにインストールして使用するオフライン版も提供している。 iLogScannerは、中小企業や個人事業主などWebサイトのセキュリティ対策に多額の費用をかけるのが難しいサイト運営者向けに、2008年から提供している。 新機能ではWebサーバのログから、攻撃の有無の判断に役立つアクセス時刻やアクセス元のIPアドレス、管理者アカウントへの権限昇格の有無などに関するログを抽出、解析できる。対象はSSHやFTPなどWebサイトの管理に影響する攻撃と
セキュリティは1日にして成らず 「成果はまだ?」という経営者へのお願い
セキュリティは1日にして成らず 「成果はまだ?」という経営者へのお願い:萩原栄幸の情報セキュリティ相談室(1/3 ページ) この分野の仕事をしていると、しばし経営者からすぐに成果を出すよう求められる。だがセキュリティは一朝一夕で誕生するものではない。なぜ、経営者はこう要求されるのか――。 筆者は情報セキュリティを主体にしたコンサルタントを実施している。その中で経営者との打ち合わせを頻繁に行っているのだが、どうにもご理解いただけないことがある。今回は昨年、実際にあった某製造業(関東に3つの工場がある)での事例を紹介したい。ただ、今回の事例はこの会社に限らない。これから取り上げるシーンは他のどんな会社でも起きているものだ。だから、悩んでしまう。 「成果はまだ?」 その会社は工場である建築部品を製造している。筆者は情報セキュリティを中心に、コンサルティング業務を取りあえず1年契約で実施することに
現金引き出しを可能にするATM感染マルウェアが見つかる
銀行のATMに感染して攻撃者による現金の引き出しを可能にしてしまうマルウェアが見つかったとして、ロシアのセキュリティ企業Kaspersky Labが10月7日のブログで報告した。 それによると、Kasperskyは金融機関からの要請を受けてATMに対するサイバー攻撃について調べる過程で、東欧の金融機関が運営する50台以上のATMがマルウェアに感染しているのを発見した。 このマルウェアは「Backdoor.MSIL.Tyupkin」と呼ばれ、Microsoftの32ビット版Windowsを搭載した大手ATMメーカー製のATMに感染する。VirusTotalの情報から判断すると、東欧以外にも米国、インド、中国など複数の国で出回っている様子だという。 Tyupkinは検出を免れるため、夜間の特定時間にのみ動作する。攻撃者がATMに物理的にアクセスし、攻撃者のみが知るアルゴリズムを使ってその都度生
Windowsシェルにもbashに似た脆弱性か
Windowsのコマンドシェルスクリプトにコマンド挿入の脆弱性を発見したとセキュリティ企業が報告。ただしShellshockほどの重大な影響は及ぼさないとみられる。 LinuxなどUNIX系OSで使われているシェルの「bash」に「Shellshock」と呼ばれる深刻な脆弱性が発覚したことに関連して、Windowsスクリプトにも似たような脆弱性が報告された。ただしShellshockほどの重大な影響は及ぼさないとみられている。 ベルギーのセキュリティ企業Security Factoryは、Windowsのコマンドシェルスクリプトにコマンド挿入の脆弱性を発見したとして、Webサイトに情報を掲載した。 脆弱性はShellshockと同様、環境変数を処理する方法に存在するとされ、「ネットワーク上のユーザーが自分のアクセスできるディレクトリの1つに特殊な名称のディレクトリを作成するだけで、Wind
ネット検索で危険なセレブ、2014年首位はジミー・キンメル
米国で最も検索されているのはミュージシャンとコメディアンが多く、検索結果から悪質サイトに誘導される危険性が高い。 米McAfeeは10月7日、毎年恒例となっている「インターネット検索で最もリスクの高い有名人」の2014年版ランキングを発表した。今年のトップは著名な司会者/コメディアンのジミー・キンメルとなっている。 この調査は8年連続で実施され、インターネットで有名人を検索した場合の総合的なリスク割合を計算している。これまでは俳優が上位を占める傾向にあったが、今回はコメディアンやミュージシャンの検索リスクが高い状況にあることが分かったという。 同社によると「ジミー・キンメル」の検索は、19%以上の確率でマルウェアサイトや詐欺サイトなどの危険なWebサイトに誘導される。ジミー・キンメルは、2008年調査の男性部門でブラッド・ピットに次ぐ2位を獲得していた。今年の調査の第2位は人気DJのアーミ
スマホの周囲の会話はジャイロスコープ経由で盗聴可能
By Kārlis Dambrāns 近年のスマートフォンに必ずといっていいほど搭載されているのが、物体の角度や角速度を検出するためのジャイロスコープ。位置情報の精度を高める役割も果たしているので、iOS・Androidのアプリがジャイロスコープを利用するときは、特別な許可を取らなくても使うことができます。しかし、最新のジャイロスコープはスマートフォン周辺の音響信号を測定することが十分に可能なほど高性能になっており、スタンフォード大学の研究チームが「ジャイロスコープから得られる超長波情報をもとに、スマートフォンの周りで行われた会話の内容を認識可能なレベルにまで解析する」という、なにやらとんでもないことを成功させました。 Mobile Sensors Exploitation http://crypto.stanford.edu/gyrophone/ Gyrophone: Recognizi
街中の公衆電話に誰がいつどこにいたかを記録できるBluetoothビーコンが大量に仕掛けられていたことが判明
By David Minder デジタル広告会社のTitan 360が、ニューヨーク内にある公衆電話に「Gimbalビーコン」と呼ばれる近距離無線通信装置を多数設置していたことが判明しました。 Exclusive: Hundreds Of Devices Hidden Inside New York City Phone Booths http://www.buzzfeed.com/josephbernstein/exclusive-hundreds-of-devices-hidden-inside-new-york-city-ph New York City orders Bluetooth beacons in pay phones to come down | Ars Technica http://arstechnica.com/tech-policy/2014/10/new-yo
USBに設計上の致命的な脆弱性が発見され、そのコードが公開される
PCの接続端子として不動の地位を確立したUSBに設計上の致命的な脆弱性が見つかり、この脆弱性を突くハッキング手法「BadUSB」が2014年8月に開催された開発者会議Black Hat 2014 USAで発表されていました。BadUSBについて公表した技術者は有効な対策のない脆弱性の危険性を勘案してコードを公開しませんでしたが、DerbyCon 4.0の講演でBadUSBのコードが別の技術者によって公開されてしまいました。 SRLabs-BadUSB-BlackHat-v1.pdf (PDFファイル)https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf The Unpatchable Malware That Infects USBs Is Now on the Loose | WIR
あらゆるUSBデバイスを攻撃に転用可能な「BadUSB」、Black Hatにてデモ予定 | スラド セキュリティ
WebカメラやキーボードなどのUSBデバイスを攻撃プラットフォームにするための技術「BadUSB」が開発され、デモが2日から7日まで開催されるBlack Hat 2014 USAで行われる予定だ(Ars Technicaの記事、 Black Hat - BadUSB、 本家/.)。 記事によるとファームウェアを改ざんするものであるらしい。このBadUSBハッキングは、理論的にどんなタイプのUSBデバイスにも有効で、ハッキングされたUSB機器を検知するのはほとんど不可能だという。その上、仕掛けられたものを解除することも難しいとしている。 BadUSBはUSBデバイスのファームウェアを書き換えることで、システムから種類の異なるUSBデバイスとして認識されるようにするというもの。例えば、USBメモリーをUSBキーボードとして動作させ、悪意のあるコマンドを入力させるといったことが可能になるとのこと
iPhoneひとすじ! かみあぷ速報
どうも、じんないたくみです。 あなたが今手に持っているiPhoneには友人の個人情報や各種サービスのパスワード、クレジットカード情報など、重要な情報がたくさん保存されています。 そこで、かみあぷではiPhoneでできるセキュリティ対策を可能な限りまとめました。これさえチェックすればiPhoneのセキュリティはバッチリです! 早速見ていきましょう。 早速ひとつ目からチェックしていきましょう。 1.ロック画面でコントロールセンターを使えないようにする ロック画面でコントロールセンターにアクセスできてしまうと、第三者があなたのiPhoneを入手した際に「フライトモード」をオンにすることができてしまいます。 フライトモードをオンにされると「iPhoneを探す」が使えなくなってしまうので、アクセスできないように設定しておきましょう。 「設定」→「コントロールセンター」→「ロック画面でのアクセス」をオ
アップル、「Mac OS X」のマルウェア検出機能を更新--猛威を振るう「iWorm」に対応
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Appleは、「Mac OS X」が搭載するマルウェア対策のブラックリスト機能「XProtect」を更新した。1万8500台以上のMacに感染したとみられているマルウェア「iWorm」による攻撃を遮断するためだ。 先週、ロシアのウイルス対策企業Dr.Webが、Mac OS Xを標的とした新しいマルウェアを発見したと伝えた。同社によって「iWorm」と名付けられたそのマルウェアは、自身を「com.JavaW」という名称のアプリケーションに偽装し、感染したMac上で自動的に起動する。 MacRumorsは米国時間の10月4日、AppleがiWormを検出および遮断するため、マルウェア対策の定義ファイル「XProtect.plist」を更新し
さらに感染が広がり1万8000台以上のMacに潜んでいるとされる「Mac.BackDoor.iWorm」の感染経路が特定される。
Mac.BackDoor.iWormは感染するとボットネット形成のためReddit.comのMinecraftのスレッド検索経由でコマンド&コントロールサーバーのリストを手に入れるようで、Redditはこのsubreddit(2chでいうところの「板」)を凍結、これに危機を感じたRedditユーザー達が感染経路の特定を進めた結果、以下の様な感染経路&方法をまとめたドキュメントを公開しています。 When a Mac is infected with Mac.BackDoor.iWorm, the program tries to make a connection to a command server. The iWorm reportedly uses Reddit’s search function to find comments left by the criminals in
カフェで写真撮ってツイートしてる人のアカウントを特定する方法
よくカフェとかレストランで「カシャ♪」ってケータイで写真撮った後に なにやらメッセージを添えてどこかに送信してるような人っているじゃない? そういう人のアカウントを特定できたら面白いよねー ・・・今回はそんな方法を紹介するというライフハック。 ただ先に言っておくと、そもそも相手が実はTwitterを使ってない!っていうとアウト 送信先が友達へのメールでもアウト LINEだったりしてもアウト なので、必ず出来る!・・・とは言い切れない。 まー、せいぜい10回やって1度できるかどうかくらいの割合なので、レストランで料理が出てくるまでの時間つぶし程度のネタと思って大目に見てほしい。 肝心の方法の説明・・・の前にお店の名前とか、料理の名前・名物メニューとか話題の定番メニューが分かるなら、それで検索してみて素直にヒットするならそこで完了! 検索ワードのチョイスは推理力というか、もしも自分がそのお店を
SIMロック来年度解除 総務省が最終報告書 「2年縛り」解消見送り、携帯料金下げ道半ば - 日本経済新聞
総務省は8日、国際的に割高な携帯電話の料金を引き下げるための制度見直し案を決めた。端末をほかの携帯会社では使えないよう制限する「SIMロック」の解除を来年度から義務づけ、格安スマートフォン(スマホ)へ乗り換えしやすくするのが柱だ。契約を2年単位にして解約しにくくする「2年縛り」などの見直しは見送った。利用者が望む低価格で自由に選べる携帯サービスへの移行は途上だ。通信サービスの向上を議論した総務
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トレンドマイクロ、「bash」関連の診断ツール2種を無料公開 
総務省|報道資料|ドメイン名政策委員会 報告書(案)に対する意見の募集
米主要企業のほとんどが、中国のサイバー攻撃を受けている:FBI長官発言
「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS) | ScanNetSecurity