上場企業などに対し無断で攻撃を行ったセキュリティ企業、対象からの同意なしでの侵入テスト合法化を主張 | スラド セキュリティ
ストーリー by hylom 2015年04月28日 19時21分 セキュリティ企業から営業という名の攻撃を受ける日は来るのか 部門より セキュリティ関連企業スプラウトが、自民党本部 IT戦略特命委員会に対し「グレーゾーン解消制度又は企業実証特例制度適用申請の背景と主旨」という提案を行っている(提案資料PDF)。 現在、対象企業などの同意無しにサーバーなどに対して実際に攻撃や侵入を行って調査するペネトレーションテストは不正アクセス禁止法に抵触する可能性がある。これを合法化することで、研究活動やリスクの早期発見を目的とした調査を迅速に進められるとしている。 政府・自民党は今後セキュリティ技術者を増やすことを目指す政策を進めているが、スプラウトによると「研究活動とリスクの早期発見を目的とした企業ネットワーク・サーバーへのペネトレーションテスト」などを合法化することによってこれを推進できるという
グレーゾーン解消制度・プロジェクト型「規制のサンドボックス」・新事業特例制度 (METI/経済産業省)
事業者単位の規制改革推進に向けて 事業者の個々の事業内容に即して規制改革を進めていくことを狙いとして、グレーゾーン解消制度・プロジェクト型「規制のサンドボックス」・新事業特例制度という制度が創設されました。
グレーゾーン解消制度又は企業実証特例制度適用申請の背景と主旨 株式会社スプラウト
This domain may be for sale!
若きホワイトハッカーの悩み
この脆弱性はいわゆるホワイトハッカーによって発見され、彼らの属する株式会社スプラウトからソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に通知され、それを受けてLINE株式会社が対応してアプリを修正したものだった。 世界中で5億人以上が使っているメッセージアプリLINE。今回の脆弱性は利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがあるというもので、深刻だったと言える。今回は、発見された脆弱性が正式なルートで通知され、そして改善された上で公表された、といういい結果になったわけだが、それはこれを発見した人たちがいわゆるホワイトハッカー(善意のハッカー)だったからだ。もしこれがホワイトハッカーではない悪意のあるハッカーによって発見されていたら、LINE株式会社に対し巨額金銭を要求するとか
「強い」と判定されたパスワードが実は脆弱な場合も - ライブドアニュース
2015年4月11日 7時0分 リンクをコピーする by ライブドアニュース編集部 ざっくり言うと 強度判定には矛盾があると研究で判明した 強度メーターの中には非常に脆弱で一貫性がないものがある、と研究者 一貫性のない強度判定でユーザーが混乱し、問題に繋がる恐れも 強度メーターが誤解を生じさせる。 あなたがもし強度メーターを信頼して強度を判定しているとしたら、悪いニュースをいくつかお知らせしなければならない。コンコルディア大学の研究者らによる新たな研究によると、こういった強度判定にはかなり矛盾があり、ユーザーに悪影響をおよぼす恐れもあることが分かった。 われわれが行った大規模な実証分析によると、一般に使われている強度メーターにはかなり矛盾があり、首尾一貫したフィードバックを得ることはできませんでした。中には明らかに誤解を招くような強度判定を行う場合もあることが分かりました。 研究者のグザヴ
ラックの扱われ方に見る脆弱性調査のあり方 | クロスジール
SQLインジェクション判決が広まりを見せています 先日、以下の記事を書きました。 ・SQLインジェクション脆弱性の有無が重過失の判断に影響を与えた判決 http://www.crosszeal.co.jp/blog/20150209_sqlインジェクション脆弱性の有無が重過失の判断に影響を与えた判決.html この記事にも書いたとおり、北海道大学の町村先生、HASHコンサルティングの徳丸先生のエントリでこの件を知りブログを書いたわけですが、同じ方々も多いようで、この判決に関する情報や意見が検索で多くヒットするようになりました。 中には「脆弱性が一つでもあったら損害賠償が認められる」といった誤っている認識であったり、「SQLインジェクション対策をしたら費用が多くかかってしまう」といった首をかしげる意見もありますが、こういった情報が広まるのは良いことだと思います。今後広まっていく中で、正しい認
JVN#41281927: LINE における意図しないアプリ内関数が呼び出される脆弱性
Android 版 LINE バージョン 5.0.2 およびそれ以前iOS 版 LINE バージョン 5.0.0 およびそれ以前 LINE株式会社が提供する LINE は、コミュニケーションアプリです。LINE は、WebView 上の通信の一部で SSL/TLS を使わない HTTP 通信を許可しているため、中間者攻撃により通信内容を改ざんされた場合、意図しないアプリ内関数が呼び出される等の可能性があります。 中間者攻撃 (man-in-the-middle attack) によって通信内容を改ざんされ、不正な JavaScript コードが実行される可能性があります。結果として、意図しないアプリ内関数が呼び出される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は次のように述べています: サーバー側での修正が完了していますが
『HASHコンサルティング株式会社』の全発行株式を取得 サイバーセキュリティ分野へも本格的参入 | ニュースリリース | 新着情報 | イー・ガーディアン
2015年03月11日 ニュースリリース 『HASHコンサルティング株式会社』の全発行株式を取得 サイバーセキュリティ分野へも本格的参入 X Facebook 印刷 イー・ガーディアン株式会社(http://www.e-guardian.co.jp/、所在地:東京都港区、代表取締役社長:高谷 康久 以下イー・ガーディアン)はサイバーセキュリティを専門とするHASHコンサルティング株式会社(https://www.hash-c.co.jp/、所在地:東京都品川区、代表取締役社長:徳丸 浩 以下HASHコンサルティング)の全発行株式を取得し、完全子会社化することを決議いたしましたのでお知らせいたします。 本株式の取得により、HASHコンサルティング株式会社が提供する「脆弱性診断サービス」に加え当社の監視センター運営ノウハウや人材を活かしたセキュリティ監視やソフトウェアの販売をセットで提供するこ
高木浩光@自宅の日記 - 匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15)
■ 匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15) 個人情報保護法の改正を含む法案が、国会に提出されたとのことで、条文がWebに掲載された。 内閣官房 国会提出法案 第189回通常国会 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案 概要 要綱 法律案・理由 新旧対照表 参照条文 新旧対照表をパッと見てスッと気づくのは、「匿名加工情報」の取扱い義務の規定ぶりに重大な不具合がある点である。 まず「匿名加工情報」の定義を見てみると、次のようになっている。 第二条 9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元する
高木浩光@自宅の日記 - 世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14)
■ 世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14) 前回、1月5日の日記で、最後に「どうすればよいか」を書こうとしたものの、完成しないうちに急ぎ途中までで公開したところ、あれよあれよと展開し、けっきょく書くタイミングを逸してしまった。 当時は、各方面向けにいくつかのバージョンのスライド資料を作成し、パーソナルデータ関連制度担当室の担当者も出席する1月21日の研究会向けに「パーソナルデータ論点メモ(2015年1月21日)」*1を作成していた。しかし既に、正論を述べたところでどうともならない状況となっており、原案を正当化しようとするばかりで、OECDガイドラインには違反しないだの、OECDガイドラインに違反しても違法ではないだのと、「これはもうだめかもしれない」という状況だった。スライド資料を一部の産業界の方々に託すとともに、22日には一般公開して、どこかに届けばいい!
クロスサイトスクリプティング(XSS)ってたまに聞くけどいったい何のこと? | hi-context
クロスサイトスクリプティング(XSS)とは? クロスサイトスクリプティングとは、攻撃者がセキュリティ上穴のあるWebサイトへ、悪意のあるスクリプトを埋め込む攻撃です。 世間を騒がせた大きな事件としては、パソコン遠隔操作冤罪事件で横浜市のサイトに小学校襲撃予告の書き込みがされたことは、皆さまも記憶に新しいかと思います。 この時に行われた攻撃手法がXSSの一種であるクロスサイトリクエストフォージェリ(CSRF)というものです。 XSSは、悪意のあるスクリプトを埋め込む攻撃の総称であり様々な攻撃手法があります。 具体的にそれらがどのような、攻撃方法なのか解説して行きたいと思います。 セッションハイジャック 例えば、ショッピングサイトで買物をしたことがある方は想像しやすいと思います。 買物かごの情報を複数ページ間で持ち回り、内容が保持された状態になっている体験をされたことがあると思います。こ
MyJVN - MyJVNバージョンチェッカ for .NET
※ Windows10,11では .NET Framework 4.8 がインストールされており、追加で .NET Framework 4.6 をインストールする必要はありません。 .NET Framework 4.8 は、.NET Framework 4.0 から 4.8 用のアプリケーションを実行できます。 ご利用のPCで有効になっている.NET Frameworkのバージョンを確認する方法については、FAQをご参照ください。(FAQ:Q4-2) 利用方法 (ステップ1)MyJVNバージョンチェッカ for .NETのダウンロード 「利用規約(PDF形式)」について同意の上、以下のリンクから、MyJVNバージョンチェッカ for .NETのパッケージをダウンロードしてください。 (パッケージ更新日:2023年08月24日) ※「一般的にダウンロードされていません」というメッセージが表示
ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第4四半期(10月~12月)]:IPA 独立行政法人 情報処理推進機構
また、図1-3は、届出開始から2014年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かったのは2009年の1,401件でした。2014年は、ソフトウェア製品が140件、ウェブサイトが633件の合計773件でした。2014年はソフトウェア製品の修正が、最も多く完了した年となりました。これは、本制度が開始してから10年が経過し、「製品開発者の脆弱性に対する理解が浸透してきた」ためと考えられます。 1-3. 連絡不能案件の取扱い状況 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、まず最初に当該製品開発者名等を公表しています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、その後製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提
セッション管理がダメダメな図書館システムを 3 年も前に見つけてしまった顛末
やっと、ベンダー側での全ての対応が完了したということが確認できたので、事の顛末を公開できる状況になったのですが、文京区の図書館システムは、個人情報が漏洩しかねない脆弱性を抱えていました。 自分の中での整理も含めて、どんな状況だったのかまとめておきたいと思います。 #自分には、Web アプリとか Web システムを作った経験はありませんが、見つけた時には「これは、ひでぇ…」と思いましたよ。 一体、どんな問題であったのか? 問題があったのは、文京区立図書館システムで使用されている ELCIELO という図書館業務のパッケージシステム。 2010 年 4 月にプロポーザル形式での業者選定で京セラ丸善システムインテグレーションに決まって、システム自体の稼働は 2011 年 1 月初めから。 自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたの
Canvas Fingerprintingはクッキーより怖いのか技術的に調べてみた|TechRacho by BPS株式会社
morimorihogeです。最近忙しくて遠征すらおぼつかない状態です。夏イベント資源足りるのかこれ。 なんかはてブ界隈などでCanvas Fingerprintingの話題が出ていて、Cookieより怖い!とか、Adblockみたいに無効にする方法がないのにユーザトラッキングできて怖い!!といったアオリの記事がぽこぽこ出てきているようです。 でも、ざっと調べた限りの日本語のどの記事を読んでも、具体的にどうやってユーザ個々のトラッキングができるようになるのか、技術的に解説されている記事が見つかりませんでした。 というわけで、エンジニアとしてはここは一つキッチリ理解しておきたいと思い、調べた結果をまとめます。 もし僕の読解がおかしくて変なことを言っている部分があれば、はてブやTwitter、コメント欄などで指摘して頂ければ更新していこうと思いますので、マサカリ上等です ;) Canvas F
韓国国情院がLINE傍受
韓国国情院がLINE傍受 仮想空間はとうに戦場。国家の「傭兵ハッカー」たちが盗み、奪い、妨害し、破壊する無法地帯で、日本も巻き込まれた。 2014年7月号 BUSINESS [サイバー戦争の「臨界」] 5月下旬、官邸内に衝撃が広がった。韓国の国家情報院(旧KCIA)が、無料通話・メールアプリ「LINE」を傍受し、収拾したデータを欧州に保管、分析していることが明らかになったからだ。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター(NISC)との協議の場であっさり認めた。システムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピング(傍受)するから、「通信の秘密」を守る法律がない韓国側は悪びれない。だが、LINEの登録ユーザー4億人余のうち日本人は5千万人。その通話データなどが韓国にすべて送られ、丸裸にされているのだ。 「指名手配」隣国ハッカーの脅威 それ
ビッグデータ「同意なしで提供も可能に」 NHKニュース
プライバシーに配慮しながらビッグデータの活用を進めていくためのルールを盛り込んだ「個人情報保護法」の改正を目指している政府の検討会は、「個人が特定されないようにデータを加工した場合は本人の同意を得なくても第三者に提供できる」などとした大綱の原案をまとめました。 商品の購入履歴や位置情報などのビッグデータは、新たな産業の創出につながると期待される一方、ほかの情報と組み合わせることで個人が特定されるおそれもあり、企業が活用に慎重になっています。 このため政府の検討会は、プライバシーに配慮しながら活用を進めるためのルールを盛り込んだ個人情報保護法の改正に向け検討してきました。 まず、今の「個人情報保護法」では、企業などが集めたデータをさらに別の企業など第三者に提供する場合、本人の同意を得ることが義務づけられていますが、大綱の原案では、企業の負担などを考慮して「個人が特定されないようデータを加工し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
/blog/2015/04/azure-project-spartan/
プライバシーを守ろう! iPhoneのパスコードの桁数を変更して予想されにくくする方法 - 週刊アスキー
模倣サイトとして各所から注意喚起が出されているサイトは、模倣サイトではなくAnonymous Proxyサービスと呼ばれるもの
