Google、中国によるパスワード収集目的の攻撃に注意するよう呼びかけ | スラド セキュリティGoogle Official Blogにて、Gmailを狙ったユーザーアカウント乗っ取りのための攻撃があったことを明らかにし、注意を呼びかけている。 本家/.でも話題になっているが、ターゲットとなったのは米政府高官や中国の政治活動家のアカウント。ITmediaなどでも報じられているが、ユーザーのメールを監視する目的と推測されるとのことで、攻撃は中国から行われているそうだ。
ロッキード・マーティン社のシステムに大規模攻撃 | スラド セキュリティ
ちょうど 10 年前に生まれて初めて国際会議でフロリダに行ったんですよ、フロリダ。生まれて初めての海外旅行で、しかも 1人で。学生だったからクレジットカードの限度額も低くて、ホテルにチェックインしようとしたらカード会社から decline されたと言うんです。手持ちの現金は少なくて、でも Citibank にたっぷり入れてあるから Citibank の ATM を探せばいいやと街中を探してもどこにもない。真っ青になって、ひひひひ飛行場に行けばききききっと ATM があるはずと思い、数十 km 先にあるオーランド空港まで (この時点で正常な判断力を失っている) とぼとぼ歩き始めたところ、あっさり疲れてしまって、芝生がふかふかする気持ちの良い湿地帯を歩いていたら、なんだかむこうに立派な建物が見えて、青いランプを点滅させてるパトカーが芝生を一直線にこっちに、こっちに向かってくるゥゥゥ ! という
スクエニの欧州子会社 Web サイトから 25,000 件のメールアドレスが流出 | スラド セキュリティ
ロンドンに本社を置くスクウェア・エニックスの欧州子会社 SQUARE ENIX LTD. は、同社の運営する Edios Montreal の Web サイト Ediosmontreal.com のほか、2 製品の Web サイトが不正アクセスを受け、個人情報が流出したことを発表した (asahi.com の記事、ブルームバーグの記事、ニュースリリースより) 。 流出したのは同社の採用選考に応募した 350 人分の履歴書データおよび、新製品情報通知サービスに登録した 25,000 人分の電子メールアドレスとなっている。同 Web サイトではクレジットカード情報などは保持しておらず、上述以外の個人情報が漏洩した形跡も確認されていないという。同社は攻撃を検知後、Web サイトを一時オフラインにして調査とセキュリティ対策を実施しており、現在は復旧している。
Flash Player 10.3公開 | スラド セキュリティ
米Adobe SystemsはAdobe Flash Playerの最新版、10.3.181.14を公開した。 本バージョンでは深刻度が最も高い「Critical」に分類された全11件の脆弱性が修正されており、早急にアップデートすることが望ましい (Adobe Flash Playerのインストール、 Flash Player Features、 Security bulletin、 窓の杜の記事)。 主な新機能としては、OSのコントロールパネルからプラグイン設定を変更できる「Flash Player設定マネージャー」、ローカル記憶領域に保存したデータをWebブラウザーの履歴管理設定に連動して自動消去する機能、マイクを使用する場合にエコーやノイズを除去する機能などが挙げられる。
「WebGL」にセキュリティ問題、規格自体の大規模な修正が必要に? | スラド セキュリティ
具体的に仕様上の特定のここが危ない、って話ではないのか。出来ることが増えたけど、増えた部分のセキュリティはどうなってんのよ? みたいな。 変な例えだけど、圧縮された画像を展開するライブラリを下手に作ると、 「ある種の細工が施された偽JPEGファイル」を読み込ませたら任意のコードが実行されてしまうようなバグを盛り込んじゃうこともあり得る (実際に、解凍ソフトやTrueTypeのレンダリングエンジンにバッファオーバーランの脆弱性が見つかった例とかもある)。 もちろん、ブラウザにはそんな下手なライブラリは採用されない。 どんなに悪意を持ったページを開いても安全、と保証するためには、 正しい物から間違った物までどんなデータを食わせても、変なことが起こらないというのを徹底的にチェックする必要があるし、(多分)されている。 WebGLでは画像データに加えて、「3次元のジオメトリデータ」をWebページ上
PlayStation Networkの情報漏洩に関して、対策プログラムの無償提供が発表される | スラド セキュリティ
PlayStation Network/Qriocityの情報漏洩に関し、Sony Computer Entertainment AmericaおよびSony Network Entertainmentは5日、米国内のユーザーに対して個人情報漏洩対策プログラムを無償で提供することを発表した(PlayStation Blog)。 個人情報保護サービスを提供するDebix社との契約によるもので、「AllClear ID Plus」を申し込みから12ヶ月間、無償で提供される。 プログラムで提供される主なサービスは下記のようなもの。 インターネット上に個人情報が露出していないかを監視し、発見時にはユーザーに通知 個人情報の露出や、悪用された疑いがある場合などは、専門家による調査や個人情報回復手続きを優先的に受けることができる 個人情報悪用の被害者となった場合には最大で100万ドル(約8,000万円
Wall Street Journalが内部告発者向けのサイトを立ち上げ | スラド セキュリティ
米国の大手新聞社Wall Street Journal(WSJ)が、内部告発者向けのサイト「WSJ SafeHouse」を立ち上げた (Forbesの記事、 AFPBB Newsの記事)。 このSafeHouseは「Wall Street Journalとのセキュアな情報共有サイト」と題されており、送付された情報はWSJの記者や編集者が調査、フォローアップを行うという。データとしてはテキストから音声、写真まで、ほぼすべてのフォーマットを受け付けるとしている。 なお、情報の送信は匿名で可能だが、匿名性が必要でない場合は連絡先付きでの送信を勧める、としている。
筆記体の衰退が偽造リスクを高めるという懸念 | スラド セキュリティ
New York Timesの記事によると米国では学習時間の不足から筆記体の書き方を教える授業が少なくなっており、筆記体の読み書きができない人が増えているようです (NYTimes.comの記事)。 筆記体の読み書きは21世紀の子供たちに必要な能力ではないとする学校がある一方で、筆記体の衰退が署名の偽造によるリスクと高めるとの懸念する意見もあります。筆記体の書けない人はブロック体で署名することになりますが、ブロック体では署名が真似しやすくなるということのようです。セキュリティの専門家 Bruce Schneier氏は、大した脅威にはならないとブログでコメントしていますが、手書きの署名が重要な欧米社会では無視できないリスクになってくるのかもしれません(Schneier氏のブログ)。 活字のような字なら誰でも読むことができますが、達筆な人がいなくなることは文化的にもったいない気もします。 クレ
PlayStation Networkの情報漏洩事件、Sonyが状況を説明 | スラド セキュリティ
ソニー・コンピューターエンターテインメントは4月27日、PlayStation Network/Qriocityの障害と情報漏洩に関する報告を「重要なお知らせ」として発表した。また、PlayStation Blogでは、Q&A形式で状況を説明する記事が掲載されている (重要なお知らせ、 PlayStation Blogの記事)。 報告によると、クレジットカード情報は暗号化されており、攻撃者がデータを入手した形跡は見つかっていないとのこと。ただし、攻撃者がクレジットカード情報を入手した可能性は完全には否定できないともしている。クレジットカード裏のセキュリティーコードについてはサービス入会時に入力を求めないため、システム側にも保存されていない。 攻撃者が入手したとみられるデータは、クレジットカード情報と別に暗号化なしで保存されていたアカウント情報だ。攻撃者が入手したデータを悪用する可能性もある
PlayStation Networkが障害で長時間利用不可能に | スラド セキュリティ
PlayStation Blogによると、PlayStation Network(PSN)やQriocityサービスで使用するシステムが攻撃を受け、調査及び復旧作業のため4月21日の昼頃にサービスを停止したとのこと。23日夕方の時点では復旧していないようだ ( PlayStation Blog、 PSN - 障害・メンテナンス情報、 Qriocity - 障害・メンテナンス情報、 AV Watchの記事 ) 。 PlayStation 3などでは、オンラインゲームが利用できないほか、PlayStation Storeでの買い物やtorneのトルミル機能、トロフィー機能やフレンドリスト機能なども使えなくなっている。ただし、オフラインで遊べるコンテンツには影響はなく、トロフィーの獲得もできる。またtorneに関してはPSNを利用するのはトルミル機能だけであるため、スケジュール予約などにも全く問
米政府、インターネット ID 計画を発表 | スラド セキュリティ
米政府がインターネットにおける「信頼できる身元 ID 情報」を提供するシステムを計画しているそうだ (Computerworld の記事、本家 /. 記事) 。 政府と民間が協力して「共通 ID」を提供するシステムを作る、といったものになる模様。現状では消費者も政府組織も、そしてビジネスの場であっても脆弱な認証が使われていることによって ID やデータが盗まれる危険性がある。この危険性が故に多くの消費者は「ネットは信用できない」と考え、商業市場にせよ他の場にせよ十分なポテンシャルを発揮できていない状況を改善することにより、より活発な利用を後押ししようというものらしい。 民間がこの共通 ID システムの利用を導入するのはもちろん任意であるが、高水準のセキュリティが業界標準となっていくことになるならば歓迎したいところ。もちろんその一方で政府監視によるプライバシーの侵害には十分留意しなければなら
ヤマハのルーター製品に脆弱性、RT100iから現行機種まで該当製品多数 | スラド セキュリティ
ヤマハが11日、同社製ルーター製品にDoS攻撃を受ける可能性のある脆弱性が存在するとして情報を公表した(Internet Watch)。 RT300i/250i/200i/140シリーズ/107e/105シリーズ/103i/102i/100i/80i/58i/57i/56v、RTA55i/54i/52i/50i、RTV700、RTW65i/65b/60w、RTX3000/2000/1500/1200/1100/1000、SRT100。1995年発売の「RT100i」から現行機種まで多数の製品が対象となっている。 RT107e/58i、RTX3000/1500/1200/1100、SRT100の各機種については既に対策済みのファームウェアが公開されており、ルーターをアップデートすることで脆弱性を修正できる。またRT300i/250i/57i、RTV700、RTX2000/1000については対
クラックされた認証局から偽のSSL証明書が発行される | スラド セキュリティ
SSL認証局のComodo Groupがアカウント情報を入手した何者かの仕業により、偽のSSL証明書9件を発行してしまったそうだ(ITmedia記事)。Comodoで証明書発行の申請を審査しているアカウント情報が盗まれ、それによって偽証明書が発行された模様。 影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」(3件の証明書が関連)、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメイン。 FirefoxとWindowsには問題の証明書をブロックできるアップデートが既にリリースされているので、可及的速やかに適
イケてないハッカー、その所業を晒される | スラド セキュリティ
root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Exim 4.7x系のDKIM処理に脆弱性、任意のコードが実行される可能性 | スラド セキュリティ
Android向けの無料ファイアウォールアプリ登場 | スラド セキュリティ
クールなサイバーギーク高校生を探し出せ | スラド セキュリティ