「MSは日本で発生したゼロデイ攻撃にすぐ対応しない」、ファイア・アイの三輪CTOが指摘
セキュリティ機器メーカー、ファイア・アイの日本法人でCTOを務める三輪 信雄氏(写真1)は、「マイクロソフトは、同社製品のゼロデイ脆弱性に対する攻撃が日本国内だけで見つかったときは修正プログラムをすぐに提供しない。このため、国内企業のゼロデイ脆弱性に対応するための費用が海外に比べて大きくなっている」と指摘した。2014年5月28日に開催したファイア・アイのプライベートカンファレンスの講演で、サイバー攻撃の最新動向を紹介するなかで取り上げた。 三輪氏は、Internet Explorer(IE)を例に挙げて、「もしIEのゼロデイ脆弱性に対する攻撃が米国で見つかったら、マイクロソフトは1週間程度で修正プログラムを提供する。ところが、日本だけで攻撃が見つかった場合は、1カ月以上かかる」という。2013年8月に見つかったIEのゼロデイ脆弱性は、国内の官公庁をはじめ、複数の機関や企業が攻撃を受けてい
Nessus on EC2でシステムの脆弱性を検査する | DevelopersIO
はじめに セキュリティはクラウドでもオンプレミスと変わらず重要です。AWSの共有責任モデルにおいて、物理的なファシリティやインフラ部分のセキュリティはAWSにて担保されますが、OSやミドルウェア、アプリケーションについては利用者自らセキュリティレベルを高める必要があります。 そこで今回はAmazon EC2で、脆弱性スキャナであるNessusを使ってみました。 脆弱性スキャナとは 自身が管理しているサーバに対し、侵入やサービス妨害などに用いられる攻撃手段を試行して、脆弱性の有無を確認するツールです。広義で言えば、開放されている通信ポートを調べるポートスキャナも脆弱性スキャナの一種と言えるでしょう。脆弱性スキャナは攻撃手段をパターンとして持ち、ポートスキャンで発見された開放ポートに対して攻撃手段を試行することで、攻撃を受けるリスクの高い脆弱性を発見することが出来ます。 有名なものではReti
mixiの脆弱性報告制度について - Shira's blog
mixiが2013年9月31日からはじめた脆弱性報告制度を利用し、いくつかの脆弱性の報告を行ったので、その結果とミクシィセキュリティチームの対応について記載しようと思う。 脆弱性報告制度 https://developer.mixi.co.jp/inquiry/security/ 1. 報告内容と報酬について 対象・脆弱性・報酬を表にまとめてみた。 対象脆弱性報酬 Find Job! XSS 12.5万円 Open Redirect (なし) mixi Open Redirect / OpenID漏えい 6万円 mixi research SQL (ログイン) 50万円 SQL (ログイン(Ciao)) SQL (検索) SQL (検索(Ciao)) SQL (パスワードリマインダ) 他人のデータの閲覧・改ざん (なし) 他人のデータの閲覧 (なし) XSS 12.5万円 XSS XSS
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | キングソフト、無料ウイルス対策ソフトとして"初"の試み!フィッシング対策協議会と提携したフィッシング対策機能を提供
キングソフト株式会社(代表取締役社長:翁永飆、本社:東京都港区 以下、キングソフト)は、無料セキュリティソフト『KINGSOFT Internet Security 2014』において、フィッシング対策協議会(運営事務局:一般社団法人JPCERTコーディネーションセンター)よりフィッシングサイトのURL情報の提供を受け、フィッシングサイト対策機能の提供を開始いたしました。 この度の提携により、キングソフト独自のデータベースとフィッシング対策協議会から提供される情報を合わせ、毎月月間1,000件程度の国内外のフィッシング詐欺サイトの判定が行えるようになります。 これにより、『KINGSOFT Interntet Security 2014』は、日本国内や欧米、アジアなどで被害が報告されているフィッシングサイトを判定し、ユーザーのPCをフィッシング詐欺の脅威から保護する事ができるようになります
(緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年5月30日更新)
--------------------------------------------------------------------- ■(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について(2014年4月15日公開) ~問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨~ 株式会社日本レジストリサービス(JPRS) 初版作成 2014/04/15(Tue) 最終更新 2014/05/30(Fri) (対策に関するDNS運用者向け文書へのリンクを追加) --------------------------------------------------------------------- ▼最近の状況 最近、日本の大手ISPにおいてカミンスキー型攻撃手法によるものと考えら れるキャッシュDNSサーバーへのアクセスが増加している旨、JP
使ってわかったLINE電話のカラクリ - 週刊アスキー
鳴り物入りでサービスが始まった『LINE電話』。実際に使ってみて、その仕組みが見えてきた。 LINE電話とは、LINEのプラットフォーム上で携帯電話や固定電話といった、電話番号に発信ができるサービスのこと。インターネット回線を用いており、仕組み的にはIP電話に近いが、電話番号を持たずLINE電話への着信はできない。代わりに、電話を発信した相手には、LINEに登録した携帯電話番号が表示される。 『30日プラン』を使用した場合、携帯電話への発信は1分6.5円と格安だ。では、この料金をなぜ実現できているのだろうか。 サービス発表時にLINEは「複数の大手回線事業者のプレミアム回線を採用」したとのリリースを出していたが、LINE電話から発信された電話番号の表示を見るとその謎の一端がわかる。 ↑LINE電話の料金。プレスリリースに掲載された比較にもあるように、通話料は他社より割安だ。 LINE電話に
「闇グーグル」は賢く使え NHKニュース
インターネットで検索するだけで、セキュリティー対策が十分でない機器を探し出すことができることから、ハッカーの攻撃の足がかりになるとして、「闇グーグル」などと呼ばれるサイトがあります。これまで脅威と捉えられることが多かったこのサイトですが、賢く利用すれば、逆に攻撃の糸口を断ち切ることにつながると活用を呼びかける対策を、独立行政法人の情報処理推進機構がまとめました。 このサイトは、2009年に登場した「SHODAN」というインターネットサービスです。 定期的にインターネットを巡回しては、ネット上の住所に当たるIPアドレスなどを手がかりに、ネットに接続された機器の情報をデータベースに収めています。 検索できる機器はパソコンやサーバーだけでなく、オフィス機器や情報家電、さらには発電所の制御機器まで、およそ5億台に上ります。 もともと研究目的で開発されたということで、誰でも利用できます。 最大の特徴
adingo、クッキー無効でも使えるデバイス推定技術「AdTruth」の提供を開始
adingoは2月20日、米41st Parameteの提供するデバイス推定技術「AdTruth」の提供を開始した。 AdTruthは、端末IDや行動履歴、位置情報などの個人を特定できる情報を一切使用せず、最新のブラウザやモバイル端末など、Cookieが動作しない環境でも、デバイス推定とプライバシー保護に配慮した広告効果測定や広告配信が行える技術。 Cookieとは、Webサイトを利用した際、Webブラウザを通じてユーザーに関する情報や訪問日時、訪問回数などのデータを一時的に書き込む仕組みのこと。近年はプライバシー保護の観点からCookieに対する懸念も高まっている。 AdTruthは2004年米国アリゾナ州で設立。現在、世界で60社以上の導入実績があり、日本国内でのリセラーはadingoを含めて2社のみだという。
ネット戦略の要技術が消える 「クッキー」の功罪 - 日本経済新聞
スマートフォン(スマホ)普及で沸くネット業界。一方である難題が浮上し、業界全体が揺れている。コンテンツの内容を充実させネット広告の売り上げをアップさせるには、利用者一人ひとりがどう見たかを分析し、かつその人にあった内容の広告を配信しなければならない。そのために欠かせないのが利用者が誰なのかを高い精度で推定すること。ところがスマホの登場でコンテンツの主役がウェブからアプリ(応用ソフト)に移行し、こ
文字コードの脆弱性はこの3年間でどの程度対策されたか?
2019/01 JSUG勉強会の資料です。 この資料でDisっているのはJPAではなく、 ・何も考えずに「標準だから」というだけでJPAを選ぶ人 ・OSSに全くコントリビュートせずにフリーライドする人 です。
エフセキュアブログ : ファイルサイズだけで悪性文書ファイルを検出するツールをリリース
ファイルサイズだけで悪性文書ファイルを検出するツールをリリース 2014年02月20日23:43 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。 ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した http://www.codeblue.jp/speaker.htmlより引用 ファイルサイズだけで、というのはすごいですね。 後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。 user@local:~/Product$ cat f-checker.py #!/usr/bin/python import os, sys print "malicious" if os.path.getsize
トレンドマイクロ社より連続誤検知問題の根本原因だったウイルスバスター不具合の修正が完了した旨連絡がありました - INASOFT 管理人のふたこと
本文書は、Web上等で公開することを、トレンドマイクロ社にご了解いただいているものですが、公開にあたり、公印部分・文書番号部分・上席執行役員のお名前については公開しないようトレンドマイクロ社より要望がございましたので、マスクしております(一部メディアの記事には載っていることがあるようですが、少なくとも私に対してはそのように要望がありましたので、マスクをしております)。これにより、本文書の信憑性が薄れることはないと考えますが、万が一お疑いがある場合は、トレンドマイクロ社へ直接、お問い合わせ下さいますよう、お願いします。 ■補足事項 なお、トレンドマイクロ社のサポートサイトにおいても、同様の内容の発表がされていると、担当者より聞いております。 ■ご注意事項 上にも書いたとおり、私はトレンドマイクロ社の広報担当ではありませんし、多くのユーザーの代理人でもありませんので、トレンドマイクロ社への質問
はてなブックマークの更新を再開します
こちらに書いたとおり、2012年4月からはてなブックマークの更新を停止しておりました(ただし、ツールの設定ミスで更新したものはあります)が、再開することにしました。 停止の理由はこちらに書いたとおりですが、はてなブックマークボタンを設置した(はてな外の)当方のサイトにて、はてなのトラッキングが動いていたことが問題でした。 再開の理由は、正直に言って、はてなブックマークの代替がなかったということです。当初ライブドアクリップに移行しておりましたが、2012年10月10日にサービス停止して、過去のブックマークも見られなくなってしまいました。そのため、deliciousに移行しましたが、日本では活発でないようで、あまり「ソーシャル」に使えてない状態です。 そもそも、私がはてなブックマークを更新すること自体は、誰にも迷惑を掛けずにできることです(一方、はてなブックマークボタンの過去の問題は、知らない
入力情報を送信するIME
2013/12/26 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 入力情報を送信するIME IMEの通信解析で利用されたSSLの解析技術に関して NHKなどで報道されている、パソコン用の日本語入力ソフトBaidu IME、 Android用の日本語入力ソフト Simejiの送信データを解析した件に関して詳細をご説明します。 検証解析環境 <SSLによる暗号化通信を解析できる環境> 解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました。 Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。 クラウド入力Offの場合でも入力文字列を送信していました。 パスワードなど半角入力のみ
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
NaCl について - 2013-12-18 - 兼雑記
カーネル/VM Advent Calendar 2013 にさっき登録しました。需要の無さそうな NaCl について語ります。 https://qiita.com/advent-calendar/2013/kernelvm NaCl はグーグルが作ったものの中で一番好きくらいに好きなものです。理由は低レイヤコンポーネント集だから。概要としては安全に実行できる(ここでいう安全はブラウザが動いてる OS 上での任意コード実行ができない、という意味) Active X というか、 C/C++ でコードが書ける Java Applet というか、まぁそういう感じの。 NaCl はおおざっぱに言って、 検証可能なバイナリを出力するコンパイラツールチェイン (gcc, binutils, etc.) ユーザプログラムを検証して起動する service runtime service runtime と
IME のオンライン機能利用における注意について – IIJ Security Diary
日本語などのマルチバイト文字を扱う環境において、IME (Input Method Editor) は切っても切り離せない機能です。最近は、この IME に常時インターネット接続を必要とする、クラウド関連の機能が実装されることが増えてきました。うまく使えば有益な機能ですが、利用における注意点などについて説明します。 クラウド機能の定義は IME 毎に異なりますが、概ね以下の様な機能を指しています。 ユーザ辞書の外部サーバへの保存(辞書同期)外部サーバからの変換候補の取得(クラウド変換) これらの機能は文字入力精度や効率の面から見ると非常に魅力的です。ですが、セキュリティの面から見た場合には注意する点があります。 ユーザ辞書の外部サーバへの保存(辞書同期) 殆どの IME はユーザの入力データを元に自動学習しており、効率的な変換が可能です。これらには自動的に学習した単語や、ユーザが自ら登録し
大学生が不正アクセスで他人の成績見る NHKニュース
東京外国語大学の学生が、同級生などのパスワードなどをだまし取ったうえ、学内の情報システムに不正にアクセスして59人分の成績を勝手に見ていたことが分かりました。 東京外国語大学によりますと、成績を勝手に見ていたのは国際社会学部の学生で、自分の成績などを閲覧できる学内の情報システムとよく似た偽のホームーページを作成したということです。 さらに先月、大学をかたり、「情報システムが不具合を起こした」として、偽のホームページへのアクセスを誘導する電子メールを同級生など222人に送信し、これを信じてページにアクセスした59人からシステムを利用するためのパスワードなどをだまし取ったということです。 学生は、このパスワードなどを使って学内の情報システムに不正にアクセスし、59人分の成績を勝手に見たということで、不審に思ったほかの学生が学校に連絡して明らかになりました。 学生は大学の聞き取りに対して「ほかの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
キングソフト
