何故お役所ってオワコンIEが大好きなの?|楠 正憲(デジタル庁統括官)
普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。 この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え?単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。 もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」
もう始まった!?登録セキスペのオンライン講習受けてみた
サイバーセキュリティの国家資格「情報処理安全確保支援士」制度が2017年度から始まった。毎年4月と10月に試験が実施され、合格者は手続きを済ませれば、情報処理安全確保支援士への登録が4月1日もしくは10月1日に完了し、「情報処理安全確保支援士」を名乗れるようになる。 初の試験は2017年4月16日に実施されたが、筆者は2017年4月1日に情報処理安全確保支援士に登録された。特例によって、過去に実施された情報セキュリティスペシャリスト(セキスペ)などの合格者も、合格時期の条件を満たすと登録できたからだ。試験を実施する情報処理推進機構(IPA)が、情報処理安全確保支援士を「登録セキスペ」と呼ぶのはこのためだ。 この制度では、情報処理安全確保支援士は定期的に講習を受けるよう義務付けられている。もし受講しなければ、登録が取り消されてしまう。 筆者は普段、セキュリティ診断を業務とし、セキュリティイベ
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
クレジットカードのICチップセキュリティを突破した驚愕の手法とは?
By frankieleon 現行のほとんどのクレジットカードやキャッシュカードには、従来型の磁気ストライプではなく、より強固なセキュリティを誇る「Chip&PIN」方式のICチップが採用されています。PINコードを知られない限り破られないと考えられていたChip&PIN方式ですが、凄腕ハッキング集団によって強行突破され、もはや絶対的に安全とは言えない事態に陥っていることが明らかになっています。 How a criminal ring defeated the secure chip-and-PIN credit cards | Ars Technica http://arstechnica.com/tech-policy/2015/10/how-a-criminal-ring-defeated-the-secure-chip-and-pin-credit-cards/ X-Ray Sca
記者は対ハッキング演習に参加した、そして砕け散った
年の瀬も押し詰まった2014年12月某日、記者は目の前に置かれたノートPCの前で途方に暮れていた。画面に映っているのは自分が管理を任されているWebサイト。明らかに表示や挙動がおかしい部分があり、不正アクセスと改ざんを受けている。すぐに対策に動かねばならないが、具体的にどこから手を付ければいいのか、何をどう調べていけばいいのか分からず体が動かない……。 これは当日実際に記者が体験したことだが、不正アクセスおよび改ざんを受けたのは、インターネット上で正式にサービスを提供している本物のWebサイトではない。仮想化ソフトを利用して作った、仮想Webサーバー上で稼働する演習用Webサイトである。 そう、記者はこの日、Webサイトがハッキング被害を受けたとき、どのようにその兆候や痕跡を見つけ、しかるべき対処をするべきかを実践形式で学ぶセキュリティ演習に参加していたのだ(写真1)。開催したのは大手セキ
【PC遠隔操作事件】コンピュータ・フォレンジクスでHDDを徹底”解剖”する(第4回公判メモ2)(江川紹子) - エキスパート - Yahoo!ニュース
第4回公判が開かれた3月20日午後には、検察側の依頼で本件に関する鑑定を行った情報セキュリティ会社ラックでコンピュータ・フォレンジクスを担当する関宏介氏の証人尋問が行われた。コンピュータ・フォレンジクスとは、PCなどの電子機器やデジタル記録媒体を分析して、法的な証拠とするための作業や技術のこと。検察側は、ラックが作成した(1)片山祐輔氏が派遣先乙社で使っていたPCの解析(2)片山氏がiesysを作成する能力の有無――についての鑑定書2通を証拠提出している。ただ、関証言によれば、ラック社は3通の鑑定書を検察に提出しており、これまで存在すら伏せられていた鑑定書があることが明らかになった。 鑑定は、関氏ら4人で行った。乙社PCについては、フォレンジクス専用のソフトウェアX-waysを使ってハードディスクの情報を検索した、という。 ハードディスク(この事件で使われたり分析されたものではありません)
受験生に『セキュリティの研究がしたいのですが』と尋ねられました - Tetsu=TaLowの雑記(はてブロ版)
こんな仕事をしてるとたまに、受験を考えている学生さんから直接ご連絡を頂くことがあります。本日頂いたのはズバリこんな感じのもの。 セキュリティの研究をしたいのですが、XX大学と立命館大学どちらがいいですか ちょっとあなた(^^;そんなん私に聞いてXX大学って答えると思う?と思ってしまったのですが…まぁでも客観的にいってもXX大学は、大学院では情報セキュリティに力を入れてますが学部は昔の電気電子系の色合いの濃いカリキュラムでソフトウェア教育が弱く、あまりお勧めできないなぁ…と思ったので、こんな感じで返答しました。 とても残念なことに、日本には学部のレベルでセキュリティをしっかりと教えるカリキュラムを持っている大学は少ないと思います。すぐ思い当たるのは電気通信大学の情報理工学部総合情報学科がセキュリティ情報学コースを持っているくらいでしょうか。大学院はXX大学は情報セキュリティに力を入れています
BookLiveが採用したサイファーテックDRMの技術の甘さを実証してみた - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 LiveBookなどで採用されているサイファー テックの自称 DRM技術ですが。 アイデア商品ってことに理解を示しつつも、2年前にひどい技術ということで改善されたらいいなという記事を書いたんですが、全く改善がみられないようなので簡単に実際にハッキングできるか実験してみました。 まずこの文字列を元に解析してみると %COMMONPROGRAMFILES%\CypherTec\cgrdcore32.dllが処理をしてるのが分かったよ このDLLを利用して制御してるのが Cypher
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス
メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 本稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下
DMM inside
日本アニメ初の快挙!海外アニメ賞を受賞した『スキップとローファー』海外ライセンス部長&プロデューサーが語る、奮闘の舞台裏
内部統制の厳しい会社が情報漏えい 技術のプロで見つからない原因
ある中堅商社で情報漏えいが起きた。セキュリティ技術のエキスパートが原因解明に挑んでみたものの、なぜか分からないという。実は意外なところに、その事実が隠れていた。 A社は東京・品川に本社を構える中堅商社だ。事業内容は大手ほど手広くないが、さまざまな業種・業態の仲介、輸出入代理、石油精製プラントにも関与している。最近では再生可能エネルギー分野にも進出して世界中へ売り込むと同時に、日本に無いユニークな製品や技術を国内に紹介もしているという。 今回の事案は、同社で発生した情報漏えいだ。幸いにも“傷”は浅かったが、役員会直轄の社内調査委員会を密かに立ち上げで活動したものの、どうしても原因が分からないという。そこで筆者に声が掛かった。 (編集部より:本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。) 事例 中堅商社であるがゆえ、諸外国と広い取引があり、業種業態もさまざまである。ま
Android史上「最も高度なマルウェア」、Kaspersky Labが報告
このマルウェアの複雑さと、未解決の脆弱性を多数悪用しているという特徴は、ほかのAndroidマルウェアよりも、Windowsマルウェアに近いとKasperskyは指摘する。 ロシアのセキュリティ企業Kaspersky Labは、これまでに発見された中で最も高度なAndroidマルウェアを発見したと伝えた。このマルウェアは感染した端末に潜み、Androidの未解決の脆弱性を悪用するなど極めて高度な機能を持つという。 Kasperskyのブログによると、このマルウェアはすべてのコードが暗号化され、難読化されているのが特徴だという。ここまで高度な潜伏能力を持ったモバイルマルウェアは稀(まれ)だと同社は指摘する。 さらに、これまで知られていなかったAndroidの脆弱性を突いて管理者権限を拡張するなど、複数の未解決の脆弱性を悪用する機能も持つ。管理者権限を取得された端末からは、このマルウェアを削除
SSLのルートキーはどのような場所で生成・管理されているか--ベリサイン認証局を訪問
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くの人が日常で利用するネットショッピングやクラウドサービス。ウェブサイトで入力する際のIDやパスワード、個人情報やクレジットカード番号といった重要な情報をやりとりする際に使用されているのが「SSL(Secure Socket Layer)」だ。 SSLは、これらの重要な情報を暗号化して安全に送受信するための技術だ。情報を暗号化するSSLの機能と、ウェブサイトを運営する会社の身元を確認できる機能を備えるのが「SSLサーバ証明書」となる。 当然ながら、そのSSLサーバ証明書を発行する提供会社は、数多くある。今回訪ねたベリサインブランドを有するシマンテックもそのひとつだ。米シマンテックは2012年11月、日本ベリサインを完全子会社にしている
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://mrtc0.github.io/slides/ltdd-16-ssh-auth.html