米カード決済会社が不正侵入の被害に,過去最大規模のカード情報が流出か
クレジットカードやデビットカードなどの決済処理を手がける米Heartland Payment Systemsは米国時間2009年1月20日,同社の処理システムが不正侵入の被害に遭い,カード情報が流出したと発表した。米メディアの報道によると,米国で過去最大規模の情報流出となる可能性があるという。 不審なカード決済に関して米Visaおよび米MasterCardから通報を受け,同社が調査を進めたところ,処理システムに不正なソフトウエアが組み込まれていたことが前週判明。同社のネットワークで処理したカード情報が流出していたという。これを受けて同社は,連邦捜査機関とカード会社各社に報告した。世界的に広がるサイバー犯罪による犯行の可能性があるとみて,米財務省検察局や司法省と密接に連携を進めているという。 流出したデータの内容について,同社の公式発表では,「買い物の情報,カード所有者の社会保障番号,暗号化
yebo blog: いかに情報セキュリティをダメにするのか
2009/01/18 いかに情報セキュリティをダメにするのか SANS DiaryにLenny Zelster氏の「How to Suck at Information Security」という記事がある。参考までに超訳を。 セキュリティポリシーとコンプライアンス 法令遵守要件を無視する 利用者はあなたがお願いすれば、セキュリティポリシーを読むと決めてかかっている (そんな事はない) カスタマイズせずにセキュリティテンプレートをそのまま利用する 十分に準備する前にISO 27001/27002のようなフレームワークに飛びついてしまう 実行できないセキュリティポリシーを作ってしまう 十分に承認を得ずにポリシーを強制してしまう 全体のセキュリティアーキテクチャを作成せずに順守要件に盲目的に従ってしまう チェックボックスだけのセキュリティポリシーを作成する あなたの会社のビジネスやプロセスの知識
ニッチー・ブラックモア
このブログについて - ニッチ過ぎて殆どの人にはどうでもいいけど、マッチした人にはすごく便利or共感される。そんな事ばかり書いてあります。
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
正体が見えた「クリックジャッキング」
9月末,Internet Explorer(IE),Firefox,Safariなど主要ブラウザやFlashPlayerなどのプラグイン・ソフトに潜む「クリックジャッキング」のぜい弱性が報告された。想定される影響範囲が広いうえ,決定的な防御策がなかったことから情報公開が遅れていたが,10月7日に,いくつかのベンダーによる防御策とともにようやく詳細が公開された。 クリックジャッキングを端的に説明すると,悪意あるWebコンテンツに“見えない”ボタンを埋め込み,それをユーザーにクリックさせる攻撃手法である。ユーザーは目に見えているボタンをクリックしているつもりで,悪意あるコンテンツにアクセスしてしまう。 このぜい弱性の主な特徴は, ・JavaScriptの利用を必要としない ・複数のWebブラウザに影響がある ・何度もクリックさせることが可能 の3点だ。クリックジャッキングのぜい弱性報告者の一人
ドライブバイ・ファーミング
ドライブバイ・ファーミングとは,ユーザーから個人情報を盗み出す新しい手法である。ユーザー宅に置かれているブロードバンド・ルーター(BBルーター)の設定を書き換えることで,Webアクセスを偽サイトに誘導する。そこでID/パスワードやクレジットカード番号などを盗み出すというものだ。 ほとんどのBBルーターは,ユーザーがWebブラウザで各種設定を変更できるようになっている。ドライブバイ・ファーミングはそこを狙う(図)。悪意のあるユーザー(クラッカ)はWebページを用意し,そこにBBルーターの設定を変更するスクリプトを埋め込んでおく。何かのきっかけでユーザーがそのWebページにアクセスすると,ユーザーのWebブラウザがスクリプトを読み込んで実行し,BBルーターの設定を書き換える。 スクリプトが書き換えるのは,BBルーターがDHCPサーバーとしてパソコンに配布するDNSサーバーのIPアドレス情報。こ
武田圭史のセキュアーで行こう! > 【攻撃手法】HTTP REQUEST SMUGGLING : ITmedia オルタナティブ・ブログ
このブログはアイティメディア株式会社のブログサイト「オルタナティブ・ブログ」で運営しています。 アイティメディア株式会社運営サイト ITmedia @IT Pickup オルタナブログ通信:補聴器から国産テルミン系まで――ブロガーが提案するiPhoneアプリの使い方NEW!(10/10) 170組を超えるオルタナティブ・ブロガーが参加する、ITmediaのビジネス・ブログメディア「オルタナティブ・ブログ」では、ITにまつわる時事ネタなどが日々、発信されている。今週はその中から、AndroidとiPhone、オラクル、Webサービス、著作権、金融危機などを紹介しよう。 オルタナブログ通信:iPhone、Eee PC、Windows Vista――【.99】はアメリカ的なメッセージ(10/3) ITmediaのビジネス・ブログメディア「オルタナティブ・ブログ」では、170組を超え
危険度増すDNS乗っ取り攻撃
インターネットを安心して利用できるのは,前提としてネットワーク・インフラが健全な状態にあると考えているためである。例えばIPアドレスやドメイン名だ。メールもWebも,IPアドレスやURLが偽りでないと考えるから利用できる。 ところが,こうした前提を崩しかねない,ネットワーク・インフラに直接ダメージを与える攻撃がじわじわと増えている。代表例が,ユーザーが運用するDNSサーバーのぜい弱性を突いて偽のドメイン名情報を記憶させる「DNSキャッシュ・ポイズニング(汚染)」だ。7月には新しいDNSキャッシュ・ポイズニングの攻撃手法が見付かり,短期間のうちにわき出すように攻撃コードが登場。インターネット接続事業者(ISP)やソフトウエア・ベンダーに衝撃を与えた。 新たに見付かったDNSキャッシュ・ポイズニングの攻撃手法は,ダン・カミンスキー氏が発見・リークしたもので,従来の同攻撃手法よりも効率よく攻撃で
MD5 considered harmful today
Creating a rogue CA certificate Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger [Dec. 31, 2008] Responses from Verisign (RapidSSL), Microsoft and Mozilla. [Jan. 2, 2009] Responses from TC TrustCenter and RSA, and a US-CERT Vulnerability Note. [Jan. 8, 2009] Video and audio files of the 25C3 presentation are available from CCC. [Jan. 15,
| ^^ |秒刊SUNDAY | IPA職員がwinnyでエッチ後画像など大流出
2009年01月04日 IPA職員がwinnyでエッチ後画像など大流出 カテゴリ:ネット・PC さて、プログラマ・SEなどソフトウェア技術者の資格を持っているという人は大変ショックな事件が起きました。またもやファイル交換ソフトWinnyにより流出事件が起きてしまいました。しかも情報処理を行う団体が流出させた為、事はすぐには収まらない模様。 ◆情報処理推進機構の正式報告 調査によると、流出させてしまったのは、IPA職員の岡田賢治さん(仮名)だと言う。 IPA職員の私物パソコンによる情報流出について 2009年1月4日 独立行政法人情報処理推進機構 当機構職員が自宅において保有する私物のパソコンでファイル交換ソフトを使用した結果、コンピュータウイルスに 感染し、パソコン内の情報が流出したという事実を確認しました。 これにより、当該職員に関わる個人情報等や一部の公開画像が流出したと見られま
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ
本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Scanless PCI - The Fastest, Least Intrusive, and Cost Effective PCI Certification Available.
SANS.edu Internet Storm Center - SANS Internet Storm Center
milw0rm - exploits : vulnerabilities : videos : papers : shellcode
日本ベリサイン - Enterprise & Internet Security Solutions
ニュースリリース | セキュリティ対策のラック
https://labs.cybozu.co.jp/blog/kazuho/archives/2008/12/textmicrotemplate.php
Google Code Archive - Long-term storage for Google Code Project Hosting.
United States
