つい最近、筆者は不幸にしてインシデントの被害者&発見者になってしまった。自分のメールアドレスを含む大量のアドレスが、ネットに漏えいしていたのだ。漏えいしている企業に、通報しようかとも思ったが、あまりにも低レベルな問題なので「サイバーノーガード戦法」で逆切れされる危険性もありそうだった。こういう時に、いったいどういう行動をとるのが、安全、安心なのか、今回は「サイバーセキュリティ賢者の選択」を考えてみた。繰り返すが、このケースでは筆者は自分のアドレスが流出している被害者なのである。以下、空想の会話。 サイトの人「どうやって、インシデントを発見したんですか?」 筆者「自分のメールアドレスをgoogleで検索したら、ヒットしたんです」 サイトの人「そのような閲覧は、私どもでは想定していません。想定していないアクセス方法は、不正なアクセスと判断させていただきます」 筆者「ええっ、だっ
ネットでサーバ管理などに広く使われているツール「SSH」に不具合があることが発覚、セキュリティ関連機関のJPCERT/CCやIPA/ISECらが注意を呼びかけている。しかし、これに対して一部で 「すばらしい」 「長年の夢がかなう」 などと狂喜乱舞する謎の人々が涌いており、当局を困惑させている。 大喜びしているのは、主に30代以上の声優オタク。JPCERTが「SSH通信において32ビット平文を取得される可能性がある」と警告したにもかかわらず、 「32ビット平野文をゲットできるんだって!」 「ついにリアルラムちゃんとお話できるのか!」 「しかも、えすえすエッチらしいぞ。ゴクリ…」 などと、意味不明の反応を示している。 若年層の声優オタクからは 「文? 綾と字間違えてね?」 「つーか“だっちゃ”ってなんだよ」 「貧乳でも水着が上下さかさまでも綾のほうがいいよな」 と諌める指摘が出ているが、中年声
セキュリティコラムやヘタマンガを書いている PRISONER LANGLEY のブログ セキュリティコラムやヘタマンガを書いている PRISONER LANGLEY のブログです。コラムや日々雑感などを書いています。 先日、このブログとScanさんの記事で書いた情報漏えいの件ですが、善意の協力会社さんがあらわえました。無事に、そちらのお会社さん経由で、問題サイトおよびIPAへの連絡は完了しました。 みなさん、ありがとうございました。 問題のサイトは複数あるのですが、ひとつのサイトでは、とりあえず情報漏えい元のファイルを削除したようです。 発見した事件や脆弱性の通報先 誰か受け取って! 民間のセキュリティ研究者がセキュリティインシデント通報先を募集 IPAさんも今回は迅速に対応していただけたようで、善意の協力会社さんがIPAさんに連絡して、すぐに当該問題サイトに連絡をしていただけたようです。
先日、こういうセミナを見つけたわけですが・・・・ このページをみて思うこと。個人情報保護方針とかプライバシーポリシーとか、一切無いんですけど、どこに書いてるんでしょうか。 もう少し、詳しくみてみると「懇親会の参加有無」ってのが必須になってます。 でも、、、懇親会の費用がどこにも書いてません。時間的な制約とかも有りますけど、えっと・・・、金銭的な事が書いてないと、おいそれと「参加」できないわけで。 たま〜に、無償な懇親会が有りますけど、こういうセミナって、多くは有償な訳で・・・。そんな状況で、「参加」して、懇親会費用として3万円とか請求されても、払えません。 そして、、、、登録してから表示される「個人情報保護方針」って文字。えーっと。えーっと。この会社、本気で勘違いしてませんか? こんな製品が発売されるらしい。 発売するのは良いんですが、搭載OSが「Linux」って・・・・。 えーと。種類は
トレーラー誉めていただいたり、ビルの名前で盛り上がっていただいてる最中ですが、 先日、初めてクレジットカードを悪用されました。 朝、まだ眠いところにクレジット会社のセキュリティカウンターから電話があって、いきなり 「今朝八時半にチケットぴあ様にてチケットを購入されましたか?」 と聞かれ、 「いや」 と答えると、 「ではご本人様に憶えはないということですね?」 と言われて、 「うん。何を買ったっての?」 と聞いたら、 「コンサートのチケットを78万円ほど」 と、言われて目が覚めた。 で、そこからはあたふたしたやりとりがしばらく続いたのですが、 要するにスキミング、もしくはクレジットカードのフルナンバーを知った人間が暗証番号を登録せずとも購入できる手段で物品を購入しようとしたらしい。 ちなみにチケットを買うパターンは後者が多いらしい。 で、物品購入パターンが特殊なのでカード会社の方でその時点で
what 携帯サイトで、セッションID付きURLを利用して、セッションIDを引き回すと、セッションIDが漏えいするケースが多いため、セッションハイジャックにつながりやすいので、なるべくセッションIDを漏えいしにくい作りにしたい。 ちょっとググればたくさんこの話題は出てくるが、自分なりにまとめる。 結論 セッション付きURLを利用している限り、セッションIDの漏えいの可能性を0にすることは難しい。ただしセッションIDの漏えいとセッションハイジャックの可能性を下げることは可能なので、可能性を下げる努力をする。 一番良いのは、「ログインごとに新しいセッションIDを発行する」だと思う。 ただし、携帯サイトとPCサイトで同じセッションを利用している場合、PC側で「次回から入力を省略する」ということができなくなる。諸刃の剣ですなぁ・・・。 セッションIDが漏えいするケース セッションID付きURLをG
先週Googleが公開した米国内インフルエンザ流行予測サイトについて、案の定、一部の個人情報保護団体が懸念を表明した。 Electronic Privacy Information Center(EPIC)とPatient Privacy Rightsは先週、Googleの最高経営責任者(CEO)であるEric Schmidt氏に書簡を送り、記録データが「開示され、それにより利用者が特定された場合、教育、雇用、保険、さらには旅行にさえも不利な結果をもたらし得る」としてGoogle Flu Trendsにおける個人情報の保護方法について開示するよう求めた。 しかし、同サイトには利用者個人を特定するような情報はまったく含まれてない。 インフルエンザ関連の症例に対する検索に基づいて推定された数字が州ごと1つずつ並んでいるだけで、これはCenters for Disease Control and
グーグルの「Google Notebook」はWebベースのアプリケーションで、ユーザーはWebページのクリッピング、関連したメモ、検索結果、画像など、Web上で見つけたさまざまな情報を保存できるというもの。Google Notebookは、ヤフーのMyWebやアスクドットコムのMyStuff、あるいはdel.icio.us、digg.comといったサービスに似ている。これらのサービスはいずれも、メモを保存・整理するのに便利な機能を提供する。しかしスパイダーマンの信条ではないが、「大いなる力には、大いなる責任が伴う」のである。 Google Notebookなどのサービスの機能を理解するために、こういったサービスがなかったころのことを考えてみよう。報告書の作成、休暇の計画、自分の趣味などでWeb上で調べ物をすると、データのクリッピングが山のように集まることが多い。かつて(6カ月前)は、ユー
Webブラウザを狙う中間者攻撃についてご存知ない方のためにまず説明しておこう。昔からあるMan-in-the-Middle(中間者)攻撃を,ずる賢くもWebブラウザ向けに特化させ,攻撃用コード(一般的にスクリプト対応プロキシ技術が使われる)をWebブラウザに仕掛ける攻撃手法が存在する。この攻撃を受けたWebブラウザは,最終的に中核機能を掌握され,送受信するデータが攻撃者に筒抜けとなり,好きなようにデータを操作されてしまう。 この種の手口は「Man-in-the-Browser(Webブラウザを狙う中間者)攻撃」と呼ばれ,2年前に初めて登場して以来,銀行を狙ったトロイの木馬で使われる例が増えてきている。 銀行の顧客に対する攻撃手段としてMan-in-the-Browser機能を実装している最近のマルウエアは,非常に高度化している。そのため,オンライン・バンキング時にWebブラウザ経由で顧客と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く