フィッシング対策協議会~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~
脆弱性検査ツールってどうよ
4. 検査手法 • 動的検査 • ブラックボックステストや、Dynamic Application Security Test(DAST)とも呼ばれることもある • 静的検査 • ホワイトボックステストや、Static Application Security Test(SAST)とも呼ばれることもある 5. 動的検査 • 稼働しているアプリケーションに対して脆弱性検査を実施 • テストリクエストを送信し、そのレスポンスを解析して脆 弱性の有無を判断 • テストリクエストは正常系のリクエストを元に作成する テストリクエスト http://example.com/?param=“><script>alert(1)</script> テストレスポンス 6. 動的検査の特徴 • 脆弱性が存在することを確認、証明できる • 脆弱性のあるページとパラメーターがわかる • 以下のような脆弱性が検出出来
マイナンバーの漏えい対策にも利用される「検索可能暗号」とは――安全性と利便性の両立を目指す注目の暗号技術
マイナンバーの漏えい対策にも利用される「検索可能暗号」とは――安全性と利便性の両立を目指す注目の暗号技術:クラウド時代の暗号化技術論(7)(1/2 ページ) マイナンバー制度の施行を目前に控え、個人情報の管理に対する不安の声も高まっています。第7回では、マイナンバーを管理するシステムにも利用される注目の暗号技術「検索可能暗号」について紹介します。 連載目次 近年、さまざまな個人情報が一元的に管理される機会が増えています。例えば、2015年10月からマイナンバー制度が導入される予定です。マイナンバー制度は、住民票を持つ人全てに個別の番号を割り当てることで、社会保障、税などについての効率的な情報管理を行うためのものです。 ところが、機密情報を扱うサーバーへの不正侵入や、内部の人の不注意・不正な行動が原因となって個人情報が漏えいしたという事件がよく報道されています。マイナンバー制度に関しても、内
記者の眼 - 蔓延するセキュリティの勘違い、いま一度確認を:ITpro
自社ECサイトを開発したベンダーが、発注者の知らぬ間にテスト環境を構築。そのテスト環境に不正アクセスされ、そこからデータベース内のクレジットカード情報を盗み出された──。耳を疑うような話だが、2015年6月に公表された事件だ。ログが短期間しか残っていなかったため、実際の漏えい件数は明確ではないが、データベースには約2万8000件のクレジットカード情報が格納されていた。 発注者となるユーザーの多くは、「ITベンダーはきちんとセキュリティ対策を講じてくれている」と考えているだろう。しかし実際はそうではない。「要件として挙がってないことを勝手にやるわけにはいかない」「セキュリティ対策はコストがかかるから言いづらい」などと考えているITベンダーのエンジニアは多い。ユーザーもITベンダーも互いに異なる見解を常識だと思い、適切なセキュリティ対策をしていないまま、攻撃にさらされている。 攻撃が巧妙になっ
3年程運営していたwordpressのブログがウイルス感染して一瞬で消滅した : 宇佐美典也のブログ
宇佐美典也のブログ 宇佐美典也(うさみのりや)です。1981年、東京都生まれ➡暁星高校➡東京大学経済学部➡経済産業省➡ブロガー・ニート➡再生可能エネルギー業界の端っこ(今ココ)なにかあればinfo@unyconsulting.comまでご連絡を。 お問い合わせ プライバシーポリシー 個人情報保護方針 去る2015年9月19日、サーバーを借りているlolipopから通知が有りまして3年間程運営していたブログがウイルス感染のためあっけなく閉鎖することになりました。 9月15日頃にいわゆるボットが発動したものと思われ、私が借りていたサーバーから大量にSPAMメールが撒かれていたようです。以下9/15から9/16にかけてlolipopから通知があった撒かれたスパムメールの件数です。 (9/15 ) 21:39 ➡ 314通 22:12 ➡ 335通 23:09 ➡ 306通 (9/16) 0:18
検証結果:高木浩光氏がご立腹の「WiFiシェア」、暗号化してるはずのWi-Fiパスワードを平文で保存してた | Geekles
トップ > ガジェット > スマートフォン時事ネタ・統計 > セキュリティ > 検証結果:高木浩光氏がご立腹の「WiFiシェア」、暗号化してるはずのWi-Fiパスワードを平文で保存してた 日本のクラウドファウンディングサービス「Makuake」で160万円もの資金を調達した、『WiFiシェア』が9月18日にiOS/Androidアプリをリリースしてサービスを開始しました。 余らせている通信回線(通信量)を他者に売ったり買ったりすることで、余っているときはシェアをする、足りないときはシェアされるという形で通信の販売自由化を目指しているそうです。 具体的にはシェアしたい場合は、自身がアクセスすることができる(パスワードを知っている)SSIDとパスワードと位置情報を登録します。すると、近くにいるシェアされたい人はパスワードを知らずにそのアクセスポイントを利用することが可能になります。しかも通信は
Apple、偽造Xcodeで作られたアプリを全て削除 | NEWS | Mac OTAKARA
※本サイトは、アフィリエイト広告および広告による収益を得て運営しています。購入により売上の一部が本サイトに還元されることがあります。 WSJや、ロイターが、Appleは、App Storeの一部アプリがマルウエアに感染していることがわかり、同社は感染したアプリをApp Storeから取り除いていると明らかにしたと伝えています。 この感染の原因は、認証されていない改ざんされたXcodeをソフトウエア開発者が使用したことだそうで、Palo Alto Networksによると、感染アプリは30種類以上に及ぶそうです。 この偽のXcodeは、百度雲に投稿されていたそうですが、百度が削除したそうです。 Appleは、中国Appleサイトに「XcodeGhost FAQ」を公開し、特に影響がある25個のアプリを公開しています。 今回、マルウェアが含まれたXcodeが出回った背景には、中国のサーバーにX
国勢調査オンラインはトップページを http: で案内してるし、使っている証明書はOV SSL証明書だしちょっと問題あり - いろいろやってみるにっき
<20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> 【追記 2015/09/15 10:50】書き方が悪かったようで、go.jpなんだからEV SSL証明書じゃなくていいだろというコメントが付く。意図を説明しておく。 EV SSL証明書を使うと、下記のようにブラウザのURL欄を見れば正規のサイトであることが一目瞭然。そのため毎回細かくURLを確認する必要が無い。幅広い利用者がいる今回の国勢調査オンラインの場合、利用者にリテラシを求めるより、見て分かるほうが一定のセキュリティを担保しやすい(フィッシングサイトに引っ掛からない)と考える。 スクリーンショットは【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なん
「消費税をマイナンバーで還付」は可能なのか セキュリティ、導入負担……
消費税の10%への引き上げに伴い、飲食料品について2%分を消費者に還付する制度の導入を自民・公明両党が了承したという。飲食料品について税率自体を下げる軽減税率の導入には「計算が煩雑になる」などとして流通業界などが反対しており、間を取った苦肉の策と言えそうだが、還付のためにマイナンバー(社会保障・税番号)のカードを使うという。そんなことが可能なのか。 還付制度案は財務省が作成したという。報道を総合すると、その仕組みはこうだ。 (1)飲食料品の購入時にいったん税率10%を払う (2)店頭端末とマイナンバーカードを使い、還付される2%分のポイントがマイナンバーカードに付与 (3)ポイントが一定額までたまると、PCやスマートフォンなどで申請することで、銀行口座に相当額が還付される ──のだという。 日本テレビによると、還付額は1人当たり年間4000円を上限にすることを検討しているという。消費額は年
(緊急)BIND 9.10.2/9.9.7の脆弱性(DNSサービスの停止)について(2015年9月3日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.10.2/9.9.7の脆弱性(DNSサービスの停止)について(2015年9月3日公開) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2015/09/03(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.10.2/9.9.7における実装上の不具合により、namedに対する外部から のサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表さ れました。本脆弱性により、提供者
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
「line://msg/text/~ 」からのLINEメッセージ送信の仕様が危険なので注意
LINEにて、「line://msg/text/」で始まるURLが拡散されています。このURLは、「指定された文章を送信するためのURL」で、「LINEで送る」ボタンの中身として利用されているURLなのですが、このURLから送信に至るまでの画面遷移で、送信内容の確認画面が無い仕様のため、自分が何を送信するのかを確認できないまま送信してしまい、意図と反した投稿を行ってしまう危険性があります。 何を送信するのかが表示されないまま先に進む画面の途中で止める判断ができれば問題にはならないのですが、LINEのユーザー層と、実際送信してしまった人が多数見つかること、そして、「次こそ送信内容の確認画面が出るだろう」と考えて先に進む人(←以前の仕様では表示された)、などなどを考慮すると、今後悪用された場合に大きな危険を招きそうな仕様であると感じました。 今回ユーザーが意図せず送信してしまうのは「ずっと前か
年金機構、個人情報をパスワード同封で郵送 見直し方針:朝日新聞デジタル
日本年金機構が、厚生年金に加入する会社員などの個人情報をディスクに入れ勤め先に送る際、読み取るためのパスワード(PW)を同封し、普通郵便で送っていたことがわかった。封筒ごと他人の手に渡れば個人情報が流出しかねず、機構は問題だったと認め見直しを進めている。 機構は、事業主と従業員で折半する厚生年金保険料の額を算定するため、毎年1回7月に、全国約170万の加入事業所に従業員の給与データの提出を要請。希望する約10万事業所に、従業員ごとの氏名と前年度分のおよその月給額などを記録したディスクを事前に郵送している。昇給などがあればデータを上書きのうえ、返送してもらう。 機構のホームページから誰でも無料でダウンロードできるプログラムを使ってPWを入力すれば、ディスクからデータを引き出せる。このため、PWの管理は特に重要になる。 ところが機構によると、事業所を管理するためにつけた5ケタの番号をPWに転用
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Apache Cordova」を使ったハイブリッドアプリケーションの脆弱性に関する調査報告書
JPCERT コーディネーションセンター
【sorry-city-library】昨夜公開された海老名市立図書館のサイトがXSS等の不備により大喜利会場と化す。現在はSORRY中→復旧?!
http://agilecatcloud.com/2015/09/30/cookies-can-bypass-https/
「iPhone 6が当選しました」……突然表示されるポップアップメッセージに注意 
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
DeNA Engineering - DeNAエンジニアのポータルサイト
