StartSSLにドメイン認証不備の脆弱性
Osama almanna's blogにて、StartSSLにドメイン認証に脆弱性があったと報告されています。 In 9 March, 2016 During my research I was able to replicate the attack and issue valid certificates without verifying the ownership of the website which I will explain later in my post, the vulnerability was reported and fixed within hours. ウェブサイトの所有権を検証しないで、正当な証明書が交付されるというものですね。脆弱性は報告の後数時間で修正されたとのことです。 以下、彼のブログ記事を元に、脆弱性の内容と修正方法について説明します。 問題
「パスワードの強制定期変更」は時代遅れ、企業に再考促す
「強制的なパスワード変更は考え直すときだ」。米国で消費者の保護を担う連邦取引委員会(FTC)のローリー・クレーナー最高技術責任者が2016年3月2日に公表したブログが国内外で反響を呼んでいる。情報セキュリティ対策として定期的なパスワード変更をユーザーに強制するのは、「かつて考えられてきたよりも有益ではなく、むしろ逆効果となる場合がある」という。実は国内でも既に同じ議論があり、2014年の政府機関の情報セキュリティ基準では「定期変更の徹底」という文言が消えた経緯がある。 「情報セキュリティは、時間の経過とともに新たに登場する脅威や新たな対策によって変わる」。こんな書き出しで始まるブログは、ユーザーにパスワードを頻繁に変更させることは、攻撃者にとって推測しやすいものにしてしまうとして、長年行われてきた情報セキュリティ対策の見直しを求めている。 ブログでは、パスワードの有効期限を定めた場合につい
サービス終了のお知らせ
2024年9月30日をもちまして「秒刊SUNDAY」はサービスを終了いたしました。 長い間、ご愛顧いただき誠にありがとうございました。
EmEditorや「オバQの毛」に気付いたeBookJapanに見る、「有事」のあるべき姿勢とは
EmEditorや「オバQの毛」に気付いたeBookJapanに見る、「有事」のあるべき姿勢とは:適切なインシデント対応と情報公開には、適切な評価を(1/2 ページ) セキュリティインシデントに遭遇した後、優れた対応を取った企業や組織を表彰することで、適切な事後対応に取り組むモチベーションとしてもらうことを目的とした「セキュリティ事故対応アワード」の表彰式が2016年2月24日に行われた。 セキュリティ対策は、労多くして報われることの少ない仕事かもしれない。運用全般に言えることだが、「何もなくて当たり前、何か起こると怒られる」という中で、安全を実現しようという使命感を持つ技術者に支えられているのではないだろうか。 だが何らかのセキュリティインシデントが発生すると、メディアや世間から糾弾され、時には「袋だたき」の様相を呈することもある。批判の中には、セキュリティ対策の不備や見通しの甘さなど、
当社インターネットショッピングサイトでの会員ID、パスワード不正使用被害について - 株式会社ビックカメラ(平成28年3月3日)
平成28年3月3日 各位 株式会社ビックカメラ 当社インターネットショッピングサイトでの会員ID、パスワード不正使用被害について この度、第三者によって外部で不正に取得されたと思われる他サイトの会員ID・パスワードを用いて、何者かが当社インターネットショッピングサイト「ビックカメラドットコム」に不正アクセスし、ポイントを不正に利用された事実が発覚いたしました。 不正アクセスされたと思われるお客様の会員IDは、事案発覚後に利用制限措置を講じております。対象のお客様には、すでに連絡を取り始めております。 本件の詳しい事実関係は現在調査中です。既に警察等の関係行政機関には届出をし、捜査に全面的に協力をしております。 お客様にはご心配をおかけすることになりましたことをお詫び申し上げます。 お客様におかれましては、会員ID・パスワードの管理の重要性をご理解賜り、次のことを実施して下さいます様お願い申
米Snapchat、CEOかたる詐欺メールにだまされ従業員が情報流出
消えるメッセージングアプリを展開する米Snapchatは2月28日、ある従業員がフィッシング詐欺メールにだまされ、多数の従業員の給与に関する情報を流出させていたことが分かったと発表した。 発端はSnapchatの給与部門に2月26日に届いた1通のメールだった。何者かが最高経営責任者(CEO)のエバン・シュピーゲル氏になりすまし、従業員の給与に関する情報を要求。このメールを受け取った従業員は、詐欺だと気付かないまま、同社従業員と元従業員の給与情報を外部に流出させてしまったという。 ただ、社内システムが不正アクセスされたわけではなく、ユーザーの情報は一切流出していないと同社は強調している。 問題のメールがフィッシング詐欺だったことは発生から4時間以内に確認し、米連邦捜査局(FBI)に通報したという。個人情報が流出した従業員には、なりすまし保険やモニタリングなどのサービスを2年間無料で提供すると
「DROWN攻撃」の脆弱性が発覚、HTTPSサイトの33%に影響
攻撃を受ければ暗号を解除され、通信の内容を傍受される恐れがある。影響を受けるWebサイトには、日本の大手も含まれる。 インターネットの通信暗号化に使われるSSL/TLSプロトコルを使って通信を暗号化しているHTTPSサイトなどに深刻な脆弱性が発見された。研究チームはこの脆弱性を「DROWN」と命名し、3月1日に詳しい情報を公開。全HTTPSサイトの33%が影響を受けるとして、管理者に対応を急ぐよう呼び掛けている。 研究チームが専用サイトを通じて公開した情報によると、DROWN攻撃の脆弱性は、多くのサーバがTLSに移行しながら、設定ミスが原因で依然としてTLSの前身であるSSLv2もサポートしていることに起因する。 これまでは、SSLv2をサポートしているだけではセキュリティ問題が生じるとは考えられていなかったが、調査の結果、簡単に攻撃できてしまうことが判明し、サーバやクライアントが危険にさ
セキュアコーディング方法論再構築の試み | slideshare
2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • 現在 – HASHコンサルティング株式会社 代表 http://www.hash-c.co.jp/ – 独立行政法人情報処理推進機構 非常勤研究員 http://www.
GNU Cライブラリの脆弱性(CVE-2015-7547)についてまとめてみた - piyolog
2016年2月17日に公開されたGNU Cライブラリの複数の脆弱性の内、CVE-2015-7547*1は任意のコードが実行可能であるとしてGoogleが報告しています。ここではこれら脆弱性に関連する情報をまとめます。 脆弱性情報 Vulnerability Note VU#457759 glibc vulnerable to stack buffer overflow in DNS resolver JVNVU#97236594: glibc にバッファオーバーフローの脆弱性 CVE CVE-2015-7547 CVE-2015-8776 CVE-2015-8778 CVE-2015-8779 影響 DoS/RCE DoS DoS DoS 重要度 High Low Low Low ステータス PoC公開 PoC公開 PoC公開 PoC公開 対策 修正版へ更新 修正版へ更新 修正版へ更新 修
「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ
METI「秘密情報の保護ハンドブック~企業価値向上に向けて~ 」メモ - トリコロールな猫/セキュリティ
2016年2月8日に経済産業省から公開されました。 秘密情報の保護ハンドブック~企業価値向上に向けて~ 本文に出てくる参考資料をまとめたものも公開されています。 構成 第1章 目的及び全体構成 1-1 目的及び留意点等 1-2 本書の全体構成 1-3 本書の使い方 コラム① 本書をどのように使えばいいの? 第2章 保有する情報の把握・評価、秘密情報の決定 2-1 企業が保有する情報の評価 (1)企業が保有する情報の全体像の把握 (2)保有する情報の評価 2-2 秘密情報の決定 (1)秘密情報の決定に当たって考慮すべき観点のイメージ 第3章 秘密情報の分類、情報漏えい対策の選択及びそのルール化 3-1 秘密情報の分類 3-2 分類に応じた情報漏えい対策の選択 3-3 秘密情報の取扱い方法等に関するルール化 (1)ルール化の必要性とその方法 (2)秘密情報の取扱い等に関する社内の規程の策定 コ
2016年に公開されたセキュリティ関連文書まとめ - トリコロールな猫/セキュリティ
完成しました。ルールは以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません ちゃんと読んだものについては、以下のようなメモも公開しています。 security.nekotricolor.com 政府機関 METI 文書タイトル 公開日 メモ 秘密情報の保護ハンドブック~企業価値向上に向けて~ 2016/02/08 メモ 情報セキュリティ管理基準(平成28年改正版) 2016/03/01 - 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 2016/03/24 - サイバーセキュリティ経営ガイドライン Ver1.1 2016/12/08 総務省 文書タイトル 公開日 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 2016/03/19 Wi-Fi提供者向け セキュリティ対策の
Linuxサーバのセキュリティ対策 part1
1. 2013/5/13 Kazunori INABA 1 2013.5.10 Garage labsサーバー部8U (改)Linuxサーバのセキュリティ対策 ~僕がいつもやっていること part1 稲葉 一紀@札幌 2. 2013/5/13 Kazunori INABA 2 自己紹介 稲葉 一紀 サーバインフラ専門のフリーランスエンジニア 屋号決まっていません。 おもにアプリ開発企業・エンジニア向けに セキュリティ・可用性・性能・拡張性を考慮した ちょっと気の利いた サーバインフラ構成設計・設定・支援や既存システムの性能改善調査・支援 を行います。 3. 2013/5/13 Kazunori INABA 3 セキュリティ対策 - 基本方針 僕がサーバの設定を行うときにいつもやっていることを発表しま す。 ・できるだけPaaS, SaaS的な外部サービスや共用レンタル サーバを利用して、自
復旧したばかりの厚労省HPにまたサイバー攻撃 2日連続、3回目 - 産経ニュース
厚生労働省は26日、ホームページ(HP)がサイバー攻撃を受け、同日午後7時ごろから閲覧できない状態になったと発表した。 同省HPは25日午後9時半過ぎから約15時間にわたり大量のデータを送られる「DDoS攻撃」を受け、26日昼に復旧したばかり。国際的なハッカー集団アノニマスのものとみられるツイッターが25日、攻撃を示唆する投稿をしていた。 厚労省のHPは昨年11月にもサイバー攻撃を受けており、今回が3回目。厚労省の担当者は「国民に(HPによる)情報を提供できなくなり、申し訳ない。速やかに調査を進めるとともに、対策を考えたい」としている。
時事ドットコム:「標的型メールで流出」想定=インフラ事業者と訓練−警視庁
「標的型メールで流出」想定=インフラ事業者と訓練−警視庁 警視庁は26日、情報を盗み取るウイルスを仕込んだ標的型メールによって、重要インフラ事業者のパソコンから情報が流出する事態に備えた訓練を東京都内で行った。29日までの4日間に、情報通信や金融、航空、水道など都内の59事業者から約210人が参加する。重要インフラ事業者を集めたサイバー攻撃の対策訓練は5回目で、標的型メールの想定は初めて。 訓練で事業者は、メールに添付されたファイルを開封。「不審な通信がある」との指摘を受け、ウイルス感染を把握する。警視庁と連絡を取りながら、感染源と被害の広がりを確認したり、証拠保全や被害拡大防止の措置を取ったりする。 (2016/01/26-10:10) 2016/01/26-10:10 フォーカス ミス日本 グランプリ決定 トランプ氏の娘 美しすぎる ジェダイの騎士 だった リクアワ AKB48
OpenSSHにプライベートキー窃取につながる深刻な脆弱性
Secure Shellプロトコルを使ってリモート接続を行う際に使われるOpenSSHに、深刻な脆弱性が発見され、パッチが公開された。このセキュリティホールは、ユーザーが接続を復旧できるようにするための「実験的」な機能に含まれていた。 このセキュリティホールに関する情報が開示されたメーリングリストによれば、これを悪用することで、悪意のあるサーバが脆弱性のあるクライアントのメモリ内容(クライアントのプライベートキーを含む)のリークを引き起こさせることができる。 影響を受けるコードは、OpenSSHのクライアントバージョン5.4から7.1で、デフォルトで有効になっている。メーリングリストの情報によれば、この機能に対応するサーバ側のコードが公開されたことはない。 クライアント側のローミング機能が無効になっていれば、この問題の影響は受けない。 現在、セキュリティパッチ(バージョン7.1p2)が、O
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウイルス対策ソフトは死んだのか?「防御には限界あり」の本当と嘘
Redirecting
【セキュリティのキホン】第8回:パソコン上で身代金を要求!? 世間を騒がせた「vvvウイルス」の正体とは 
船からネズミが逃げはじめた模様:セキュリティホール memo