https://techcrunch.com/2014/02/26/openid-foundation-launches-openid-connect-identity-protocol-with-support-from-google-microsoft-others/
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
エフセキュアブログ : 私が制御システムに根こそぎ侵入した方法
私が制御システムに根こそぎ侵入した方法 2014年01月20日15:15 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 昨年も紹介したS4という制御システムに関するカンファレンスで、今年はICS Villageという新しい企画(公式サイト)がありました。制御システム用の機器を用意し、みんなで攻撃してみるというイベントです。 会場では、4つのセグメント(コーポレートゾーン、DMZ、制御センターゾーン、フィールドゾーン)からなるネットワークが構築され、参加者は無線を使ってコーポレートゾーンに接続できるようになっていました。 攻撃の最終目的はフィールドゾーンにアクセスし、フィールド機器(多くはPLCと呼ばれる機器)の制御を乗っ取ることですが、各セグメントの間にはファイアウォールがありますので簡単にはフィールドゾーンにたどり着くことすらできません。運営側に確認し
変な「はてなマーク�」でLINEやタイムラインが固まって動かなくなる不具合が発生中
現在「謎のはてなマーク(�)だらけの投稿」がLINEのタイムラインにて回され、それを見た人が「本当に重くなった」「LINEが止まった・固まった・動かない」と報告している人が増えています。「今度こそタイムラインがハッキングされた」「ウイルスじゃないのか」と言っている人もいます。今回はこの「変な投稿」について紹介します。 今回の件は、まるで「LINEの不具合」と「タイムライン機能の噂の拡散力」を上手く組み合わせてLINEに大規模障害を起こそうとしているかのようです(後述の理由から、本文が無駄に長くなっていますが、とりあえず冒頭の「噂の例」と終盤の「どんでん返し:...」の章だけ読めば雰囲気が分かってちょうど良いのではないかと思います。問題に遭遇している人は対策も読んでください。)。 ちなみに、最後にどんでん返しがあるので、中途半端なところで読むのをやめないでください(勘違いする恐れ)。 目次
SAPを狙うマルウェアが流通、企業でパスワード流出などの恐れ
感染すると、SAP製品へのログオンに使っているパスワードやユーザー名などが流出したり、感染マシンからSAPサーバに攻撃を仕掛けられたりする恐れもあるという。 各国の企業に普及しているSAPのソフトウェアを標的として、パスワードなどの情報を盗み出そうとするトロイの木馬が出回っているという。SAPを狙ったマルウェアが確認されたのは初めてとみられる。 このマルウェアは、セキュリティ企業などが数週間前から報告していたもので、Microsoftでは「Gamker」と命名し、マルウェア対策センターの11月20日のブログで分析結果を紹介している。 それによると、GamkerはオンラインバンキングのWebブラウザセッションやBitCoin、金融関連アプリケーションなどの情報を盗み出すトロイの木馬で、ユーザーがキーボード入力した情報を記録する機能を持つ。標的とするアプリケーションの一覧に、「SAP Logo
iPhone 5sの指紋認証機能、「迂回に成功」と独ハッキング集団が声明
ドイツのハッキング集団「Chaos Computer Club(CCC)」は現地時間2013年9月21日、米Appleの新スマートフォン「iPhone 5s」に搭載されている指紋認証機能「Touch ID」の迂回に成功したと発表した。偽造指紋でiPhone 5sをロック解除する様子を、動画共有サイト「YouTube」で公開している。 CCCが使った手法は、まずガラスに付いた指紋を2400dpiの解像度で撮影する。ノイズを除去したのち、レイザープリンターでトナーを厚く設定して1200dpiで透明シートに出力する。トナーで形成された指紋パターンに、ピンクのラテックス液あるいは白い木工用ボンドを塗布する。乾燥した後、指紋パターンの膜をシートからはがし、息を吹きかけて少し湿らせてから、画面がロックされたiPhone 5sのセンサー部に置き、ロックを解除する。 Touch ID回避デモを実施した「S
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
Suica履歴、販売していた…乗客に説明せず : 社会 : YOMIURI ONLINE(読売新聞)
約4300万人が利用するICカード乗車券「Suica(スイカ)」の乗降履歴が、今月からJR東日本によって市場調査用データとして販売され始めた。 JR東は「名前などは匿名化している」として、利用者に販売の事実を説明していなかった。国土交通省は個人情報保護法に抵触する可能性がないかJR東から事情を聞く一方、「事前に利用者に説明すべきだった」と注意した。企業の熱い視線がビッグデータに注がれる一方、プライバシー保護については明確なルールがない状態だ。 提供データは、私鉄を含む首都圏約1800駅の利用者の性別、年齢、乗降日時。定期券として使う客の場合も氏名や住所は除き、IDで個々のデータを識別する。日立製作所が購入し、駅ごとの集客力や客層を分析の上で販売。情報料は最低で年500万円になるが、「企業のマーケティング戦略に役立ち、需要は大きい」と説明する。
「ほこ×たて」対決の功罪、ロシア人ホワイトハッカーに裏側を聞いた
なぜ、こうなった――フジテレビの人気番組「ほこ×たて」で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。 結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ×たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。 今回の「ほこ×たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への
気持ち悪い…批判殺到!日立が「Suica履歴」をビッグデータとして活用開始 - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
直撃取材! 「たて」の裏側
6月9日に放映されたフジテレビのバラエティ番組「ほこ×たて」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティープログラム」は、視聴者を激しい混乱の渦に巻き込んだ。 その後、“たて”側のネットエージェントは公式ブログで、“ファイル名変更”が実際は“TrueCryptによるディスク暗号化”であることや、対決で用意されたPCはサービスパックも当たっていない脆弱性だらけのWindows OSだったことなど、番組でカットされ誤解を招いた部分について説明。本当はかなりのガチ対決だったことが明かされた。 では、“実際の”攻防戦はどのようなものだったのか。自身も凄腕のハッカーで、昨年度開催された「CTFチャレンジジャパン」の優勝者でもある、luminことネットエージェントの杉浦隆幸氏に直撃した。 編集部 今回の番組出演の経緯は? 杉浦氏 今回の内容は番組制作会社が企画したも
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
ほこたて 「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」防御側の裏話
よくわからない人のための事前知識 イメージ的にはこんなかんじです。 ・銀行(パソコン)にお金(画像)が保管してあります ・これを盗まれる(ハッキング)のを防ぐのが目的です ・ところが番組側が用意した銀行の建物はボロボロ(バージョンが古い)です ・そんな建物なので侵入経路(脆弱性・セキュリティホール)だらけです ・セキュリティ的には補修工事(パッチをあてる)をしたかったものの、番組が面白くなくなるので不可 ・そこで、銀行自体に侵入されるのは諦めて、お金を保存する金庫を頑丈にしました(TrueCryptで暗号化) ・そして勝負開始、思ったより銀行に侵入するだけでも結構時間がかかっていたようです ・とはいえ、そこは脆弱性を残したままのシステムであり、案の定銀行には侵入されてしまいました ・金庫も見つかってしまいました ・ところが金庫を破るのが非常に難しかったため、時間制限もありギブアップ …とい
約10万9000件ものクレジットカード情報がエクスコムグローバルから流出、名前・番号・有効期限・セキュリティコード・住所も含むフルセット
by marsmettnn tallahassee リリースによると「SQLインジェクションによる攻撃、および同攻撃(不正取得)によるお客様情報の流出の証跡が発見」され、最大14万6701件のクレジットカード情報のうち、実に10万9112件(平成23年3月7日~平成25年4月23日申込分)が流出したとのことです。 不正アクセスによるお客様情報流出に関するお知らせとお詫び | エクスコムグローバル株式会社|XCom Global, Inc. (Japan) http://www.xcomglobal.co.jp/info Wikipediaによると、エクスコムグローバルは「日本で海外渡航時の携帯電話レンタルサービス「グローバルセルラー」を行っており、現在では、データ通信レンタルサービス「グローバルデータ」も同時にサービス展開している電気通信事業者」とのことで、以下の2サイトからカード情報が流
イケメンとラブレターで学ぶSSLの仕組み - give IT a try
はじめに みなさんはSSL(Secure Socket Layer)が何だか、きちんと説明できますか? 「フォームが暗号化されて送られるやつでしょ?」 「ブラウザのURL欄とかに鍵マークが付いてたら安心なんだよねー」 ・・・いや、そういうレベルじゃなくて、もうちょっと裏側の仕組みまで説明できますか? まあ単純にWeb利用者としてなら、それぐらいの理解でも構わないかもしれませんが、開発者やサーバーの管理者としては落第点ですよね〜!ww って、すいません、僕がこのあいだまで落第点でした・・・ m(_ _)m 実際、裏側の仕組みが分かってないとSSL関連の申請やサーバーの設定をするときに「CSR?中間証明書?秘密鍵??※◎△$%!!??」になってしまいます。 なので、技術者であれば今自分が何をやっているのか把握できるように、SSLの仕組みをきちんと理解しておくことが必要です。 というわけで、今回
毎日新聞のサーバーはPHP5.1.6、民主党海江田党首のサーバーはApache1.3.42
毎日新聞のWEBサーバーはApache2.2.3とPHP5.1.6 まずFirefoxにLive HTTP Headersのアドオンを入れた状態で、毎日新聞のサイトを開いて、右クリックで「ページの情報を表示」→「ヘッダ」を選ぶとレスポンスヘッダが見られるのですが、ここに「X-Powerd-By PHP5.1.6」と書かれてあるのが確認できるかと思います。PHPのバージョンが露出している状態です。 ServerヘッダでApacheのバージョンも露出していることがわかります。Apache2.2.3と比較的古めのバージョンを使っていることがわかります。Apache2.2.3やPHP5.1.6のバージョンに関しては既に報告されている脆弱性がいくつもあって、パッチを適用していないならば、Apache Killerなどの攻撃スクリプトが叩きこめてしまう可能性があることがわかってしまいます。 これは不
ドコモからのお知らせ : 「DOCOMO USA Wireless TM」をご契約している一部のお客様の個人情報流出について | お知らせ | NTTドコモ
お客様の設定により、お客様情報が「非表示」となっております。お客様情報を表示するにはdアカウントでログインしてください。 お客様情報表示についてへ お客様情報表示についてへ ドコモからのお知らせ 「DOCOMO USA Wireless TM」をご契約している一部のお客様の個人情報流出について 2013年4月27日 (2013年5月1日更新) 平素はNTTドコモのサービス・商品をご利用いただき、誠にありがとうございます。 ドコモの米国子会社であるNTT DOCOMO USA, Inc.(以下、ドコモUSA)が提供している米国現地向けの携帯電話サービス「DOCOMO USA Wireless TM」をご契約している一部のお客様について、外部からの不正アクセスにより個人情報が流出していることが、4月26日(米国現地時間)に判明しました。 ドコモUSAでは、ご迷惑をおかけしたお客さまに対して個別
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
20140114_15_Japan Identity & Cloud Summit 2014なんとなくメモ #jics2014
twitterクライアントの「TheWorld」作者が警察から発信者照会もらって狼狽 : 市況かぶ全力2階建
いよいよ情報流出が止まらない時代到来なんでしょうか(山本一郎) - 個人 - Yahoo!ニュース