https://jp.techcrunch.com/2010/01/13/20100112google-china-attacks/
おごちゃんの雑文 » Blog Archive » これは「エンジニアの反乱」ではないか?
ヨーカドーのネット通販が酷いことになっている。 セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が とうとう「オープンソース化」までされる始末。 セブンアンドワイ、今度はソースコードを流出させる。 svnで公開なんてやってくれるぜ。私は初期版をcvsの類で出すのは消極的なんだけど(これはいずれ連載の方で)。 ただ、この前の「はまちちゃん」もそうなんだが、これは実は「エンジニアの反乱」ではないか? もちろん、一連の事件はエンジニアが結託してサボタージュをやったとか、そーゆー類では断じてないだろう。みんなそれぞれのエンジニアは、自分の能力の範囲、自分の仕事の範囲では
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
中国資本が日本の水源地を買収 危機感強める林野庁、調査開始 (1/3ページ) - MSN産経ニュース
中国資本が日本の水源地を買収 危機感強める林野庁、調査開始 (1/3ページ) 2009.5.12 23:36 中国の企業が西日本を中心に全国各地の水源地を大規模に買収しようとする動きが、昨年から活発化していることが12日、林業関係者への取材で分かった。逼迫(ひっぱく)する本国の水需要を満たすために、日本の水源地を物色しているとみられる。 買収話が持ち掛けられた地元自治体などが慎重姿勢を示しているため、これまでに売買交渉が成立したり、実際に契約締結に至ったりしたケースはないというが、外国資本の森林買収による影響が未知数なことから、林野庁は都道府県に対して一斉調査を始めるなど危機感を強めている。 奈良県境に近い山あいにある三重県大台町。昨年1月ごろ中国の企業関係者が町を訪れた。水源地となっている宮川ダム湖北を視察した上で、「いい木があるので立木と土地を買いたい」と湖北一帯の私有地約1000ヘ
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
ノートPC紛失! それでも「謝罪不要」なセキュリティ・レベルを考える
ノートPC紛失! それでも「謝罪不要」なセキュリティ・レベルを考える 個人情報が入っていても“そのまま廃棄可能”にする手順はあるのか 『会社のノートPC(パソコン)を持ち出して紛失し,“○○万件の個人情報漏えいの恐れがあるPC紛失事故が発生した”という報道が後を絶たない。ところが実際のところ,Windowsパスワードをかけただけなど対策が不十分な場合でも,コストをかけて十分に情報漏えい対策を施していた場合でも,公表,謝罪する必要があるようだし,報道される内容もあまり変わらない。シン・クライアント採用以外で,ここまで対応したら大丈夫というセキュリティ・レベルの目安のようなものはないか。アドバイスしてほしい』。ある企業のシステム管理者から,こんな相談を受けました。確かに,コストを掛けて個人情報の情報漏えい対策を施していても同じトーンで報道されるとしたら,その企業は報われないと感じるかもしれませ
第2回 管理するのは常に「インシデント」
組織内CSIRT構築に関する相談を受けた際,現状と目標のフィット・アンド・ギャップ分析をしていると,理解を新たにしてもらうべきことが必ずと言っていいほどある。CSIRTは人を管理するのではなく,インシデントを管理し,それをコントロールするための組織(機能)だということである。 大抵の企業は既に,ファイアウォールやウイルス対策ソフトの導入,パッチの適用促進,教育など,様々なセキュリティ対策を講じている。ただ,その多くはあくまでも予防に主眼を置いたもの。社員に対策の励行を求め,対策を怠った社員には注意や処分を課している。 いくら予防に力を入れて対策を励行しても,最近の攻撃は必ずしも防ぎ切れない。大切なのは,いざ被害が発生したときに即座に認識し,対処できる体制作りである。これがインシデントの管理とコントロールである。 この視点に立つと,多くの企業は十分な対策ができていない。例えばウイルス対策ソフ
CAPTCHA解読ソフトの価格表に見るCAPTCHAのレベル差 | 秋元@サイボウズラボ・プログラマー・ブログ
via del.icio.us/popular Coding Horrorブログの記事Has CAPTCHA Been “Broken”?(CAPTCHAは破られたか?)では、CAPTCHAの解読ツールに値段をつけて売っている中国の業者の価格表を紹介していて、これが面白い。 CAPTCHA用の文字列画像を作るときは、文字を画像化したり、色をつけたり、線を引いたり、無関係な点や図形を足したり、湾曲させたり、と、いろいろな加工で「人には読めるけど機械には読めない」ように作るわけだが、この価格表では、単純なCAPTCHAで彼らの販売するツールで読み取れる可能性が高いものほど値段が安くなっているし、彼らのツールでは読み取れてない場合も多いような難しいものについては、ツールの値段も高くなっている。 この価格表で図らずも、いろいろな大手サイト(主に英語と中国語でのサイト)が使っているCAPTCHA図形
「内部統制報告制度に関する…:金融庁
英語版はこちら 平成20年3月11日 金融庁 「内部統制報告制度に関する11の誤解」等の公表について 平成20年4月1日以後開始する事業年度から導入されます内部統制報告制度は、企業等に過度のコスト負担をかけることなく、効率性と有効性のバランスをとりながら整備することを目指しています。 しかしながら、実務の現場では、一部に過度に保守的な対応が行われているとも言われております。金融庁では、そうした指摘も踏まえ「内部統制報告制度に関する11の誤解」を公表し、改めて制度の意図を説明することといたしました。 また、併せて、内部統制報告制度の円滑な実施に向けた行政の対応を公表することとしました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
行動ターゲティング広告はどこまで許されるのか インターネット-最新ニュース:IT-PLUS