IBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems(CHS)社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
フォルダのセキュリティを適切に設定するためには、Windowsのアクセス権設定の仕組みについて知る必要があります。 ファイルサーバを管理するシステム管理者の立場にある方であれば、Windowsエクスプローラでフォルダを右クリックして「セキュリティ」タブをクリックし、 アクセス権設定を見たり、変更したりしたことがあるはずです。しかし、自分が何をしているのかどうにも判りにくいと思ったことがあると思います。 私たちも、大規模ファイルサーバの運用現場でお客様からご相談をうける立場上、Windowsのセキュリティについて調べたのですが、当初は難解で腑に落ちないことだらけでした。 皆様が難しいと感じることを、できるだけ簡単にご説明いたします。(ただし、難しい概念を避けて通らずに正面から解説します) では、始めましょう Windowsの標準セキュリティ設定画面は役に立ちません Windowsエクスプロー
何気なく放送大学をつけていたら公開鍵暗号の話をしていた。 妻「この話、何度聞いてもわかんないのよね」 僕「え、どこがわからない?どこまではわかってる?」 妻「平文はわかるけど、鍵を共有するとか秘密にするとか、署名するとかがよくわからない」 僕「あー、鍵に例えているのが逆効果なのか」 「鍵」をNGワードに指定 僕「じゃあ『鍵』という言葉を使わずに説明してみよう。暗号って『平文を暗号文に変換する方法』で伝えたい文章を暗号文に変えて送り、受け取った人はそれに『暗号文を平文に戻す方法』を使って元の文章を得るわけだ。その目的は、途中の通信文が敵に取られたりしても通信の内容がバレないようにするため。」 妻「うん」 僕「昔の暗号化の方法は、片方の方法がわかるともう片方の方法も分かった。例えば『アルファベットを後ろに1個ずつずらすと平文に戻せます』って教えてもらったら、『なるほど、前に1個ずつずらせば暗号
1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、9つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの9つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み(の一部)を知りたい方はお読みください。 2. OpenSSLの脆弱性
インターネットに複数の端末をつなげられる家庭用ルーターを悪用する新たなサイバー攻撃があり、ネットが利用できなくなる通信障害が今春以降、多発していることが分かった。 少なくとも480万世帯が通信障害の影響を受けており、総務省は悪用されるルーターの利用者に対し、ソフトを更新するよう呼び掛けている。 この攻撃は「DNSアンプ攻撃」と呼ばれ、大量にデータを送りつけてサーバーを使えなくするDDoS(ディードス)攻撃の一種。 一部の家庭用ルーターが、本来受け付けない外部からの通信に応答してしまう弱点を悪用し、攻撃者がそのルーター経由でプロバイダーのサーバーにデータを送ると、データが数十倍に増幅される。これを繰り返してサーバーに過大な負荷を与え、ネット利用を一定期間できなくさせる。高度な技術を必要としないため、初心者ハッカーの腕試しではないかとみられている。 今年5月末以降、この攻撃による通信障害を明ら
特定の企業や組織を狙った「標的型攻撃」が後を絶たない。攻撃者は、標的とした企業・組織の従業員に対して、ウイルス(マルウエア)を添付したメールを送信。従業員がウイルスを実行すると、PCがウイルスに感染し、攻撃者に乗っ取られてしまう(図1)。そして、攻撃者はウイルスを使って社内ネットワークを調査し、機密情報を見つけて盗み出す。 つまり、攻撃者の狙いは企業や組織の機密情報だが、最初の“踏み台”にされるのは従業員のPCだ。攻撃者の手口は巧妙化の一途をたどっている。ただ、その手口の多くはほとんど知られていない。そこで本特集は、過去の事例や専門家への取材で判明した、脅威の手口の数々を紹介しよう。 「仕事用アドレス」は簡単に推測できる 標的型攻撃では、主にメールが使われる。従業員に送ったウイルス添付メールが攻撃の端緒となる。メールの宛先アドレスは、企業が従業員ごとに割り当てた、企業ドメインのメールアドレ
TOP > 話題 > 【情報流出】個人情報を個人が護るための古典的手法 Tweet カテゴリ話題 0 :ハムスター2ちゃんねる 2014年7月15日 18:30 ID:hamusoku ご参考に 個人情報を個人が護る古典的手法 ご参考に 個人情報を個人が護る古典的手法 pic.twitter.com/lFeGMqcM5Y— シャープ製品/ネットサービス【公式】 (@SHARP_ProductS) 2014, 7月 15 なるほど。面白い。でもこれって特定は出来ても護る効果はあるんだろうか。名簿業者からすると特定されやすそうな変な住所は避ける傾向にある、とか? 漏れた時に、漏れ元が特定できると、個人情報保護法に基づき調査を要求できます。何もせずに漏れた場合と比較てし、かなりの手間と精神的負荷はへりますよ。私何度か経験あります 漏れた時に、漏れ元が特定できると、個人情報保護法に基づき調査を要求
「Ciscoは全てのシステムに同じSSH鍵を使うという過ちを犯し、その秘密鍵を顧客のシステム上に残しておいた」とSANSは解説している。 米Cisco Systemsは7月2日(現地時間)、「Unified Communications Domain Manager」(Unified CDM)の脆弱性に関する情報を公開した。システムに特権アクセスできるデフォルトのSSH鍵が存在する脆弱性など、3件の脆弱性について解説している。 同社のセキュリティ情報によると、Unified CDMにはサポート担当者へのアクセス用にデフォルトのSSH鍵が存在し、この秘密鍵がシステム上にセキュアでない方法で保存されていることが分かった。攻撃者がこの鍵を入手でき、サポートアカウント経由でシステムにroot権限でアクセスできてしまう状態だという。 この脆弱性について米セキュリティ機関のSANS Internet
6月上旬に発覚したオープンソースのSSL/TLS実装ライブラリ「OpenSSL」の脆弱性について、いまだに脆弱性が修正されていない大手サイトが相当数存在するという調査結果をセキュリティ企業Qualysが公表した。 OpenSSLプロジェクトは6月5日にセキュリティ情報を公開して6件の脆弱性を修正した。中でも「SSL/TLSの中間者攻撃の脆弱性」(CVE-2014-0224)では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れが指摘されていた。 Qualysによれば、ほとんどのWebブラウザはOpenSSLに依存しておらず、ブラウザのユーザーの大半はこの問題の影響を受けないという。ただしAndroidブラウザはOpenSSLを使っているほか、コマンドラインなどのプログラミングツールはOpenSSLを使っているものが多く、特にOpenVPNのようなVPN製品は標
Symbian OS用アプリケーションのデジタル署名に使われていた暗号鍵を何者かが入手してNokiaを脅迫し、多額の現金を脅し取ったという。 フィンランドのテレビ局MTV Newsは6月17日、Nokiaが2007年にSymbian OSのアプリケーション署名に使っていた暗号鍵を盗まれ、多額の現金を脅し取られていたことが分かったと報じた。事件はまだ未解決だという。 MTVによると、2007年末頃に何者かがSymbian OS用アプリケーションのデジタル署名に使われていた暗号鍵を入手し、Nokiaを脅迫した。 もし暗号鍵が流出すれば、Nokiaが公認していないアプリケーションもSymbian OSに導入できる状態になり、安全性を保証できなくなる恐れがあった。当時は世界に流通していたスマートフォンの半分がNokia製だったとMTVは伝えている。 Nokiaはフィンランドの国家捜査局に通報し、犯
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
日本国内にもいよいよ、この種のウィルスが蔓延し始めたようです(下記、引用部分を読んでみてください)。 POS端末にサイバー攻撃 カード暗証番号盗難の危険 国内初トレンドマイクロ社確認+(1/2ページ) - MSN産経ニュース トレンド社は今年1~3月、国内のPOS端末のウイルス調査を実施したところ、端末内で顧客が入力したクレジットカードの暗証番号を盗むウイルス数件を検出した。 暗証番号はPOS端末に入力されると瞬時に暗号化されるが、このウイルスは入力のタイミングを監視し、暗号化の直前に暗証番号を抜き取るという。盗まれた情報は、攻撃者のサーバーに自動的に送信される仕組みだった。 わかりやすくこの内容を説明すると、お店でクレジットカード払いをしたら、それだけであなたのクレジットカード番号が悪い人たちにバレてしまう可能性がある…ということ。 当然、その目的は入手したクレジットカード番号の不正利用
情報処理推進機構(IPA)は6月11日、「情報処理推進機構:情報セキュリティ:CC評価のセキュリティアーキテクチャに関する説明会(7月8日開催)」において、Common Criteria(ISO/IEC 15408)におけるセキュリティアーキテクチャを解説する説明会の開催を伝えた。7月8日(火) 15時から情報処理推進機構の会議室において実施される見通し。 Common Criteria(ISO/IEC 15408)では評価の対象となるIT製品のセキュリティに関する機能がちゃんと機能するように設計および実装が実施されることが求められている。こうした目的を実現するための基本設計が「セキュリティアーキテクチャ」と呼ばれている。セキュリティアーキテクチャについて知ることでよりセキュアなシステムを設計しやすくなる。 説明会ではCommon Criteria(ISO/IEC 15408)および関連制
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
この度は弊社ダウンロードサーバーの休止で多大なご迷惑をお掛けしました事、深くお詫び申し上げます。 調査の結果、弊社委託のダウンロードサーバー内の一部のファイルが不正に改ざんされていた事が判明しました。 改ざんされたファイルをダウンロードし実行されたお客様のパソコンはウィルスに感染している可能性がございます。 早急にウィルスパターンファイルを最新にしていただきウィルスチェックをお願いいたします。 本件に関するお問い合わせは下記、専用窓口へお願いいたします。
1.概要 弊社ネットワーク製品の一部において、DNSサーバ機能に関する脆弱性が発見されました。この脆弱性によって、装置がDNSサーバ機能、および、DNSリレー機能を使用し、DNS情報をキャッシュする際に、悪意のある攻撃者から攻撃を受け、偽サイト・偽メールサーバ等に誘導される可能性があります。本脆弱の内容と対応策について通知致します。 2.内容 2-1.脆弱性の内容 悪意のある攻撃者が、DNSサーバ機能を使用した製品に対して、本脆弱性のキャッシュポイズニング攻撃を行うことにより、その製品へ偽DNS情報をキャッシュさせることができます。結果、その製品のDNS情報を使用しているノードが、偽サイト・偽メールサーバ等に誘導される可能性があります(フィッシング詐欺等への悪用の可能性あり)。また、DNSリレー機能を有した製品も、キャッシュポイズニング攻撃を受けた外部DNSサーバの偽DNS情報をノードにリ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く