第2回 検索サービスSHODANを使うと何が見えるのか
オフィス機器は2000年代前半ごろから普及が始まり、ネットワーク対応機種の増加や、インターネットの普及も伴って、不用意にインターネットに接続されるオフィス機器の数が年々増加している。この様な状況の中、2009年にSHODANというインターネットに接続している機器の検索システムが登場した。本章では、登場以来注目され続けているSHODANについて解説する。 5億台分の機器情報を持つ「検索エンジン」 SHODANは、2009年にJohn Matherly氏によって開発された検索エンジンである(写真1)。ウェブサーバーだけでなくオフィス機器や情報家電、信号機や発電所の制御機器なども含めて、インターネット接続されている機器、約5億台分の情報をデータベースに格納している。利用者はその機器の情報をウェブで検索できる。 実際にSHODANを使用すると、認証が弱い機器や古いバージョンのまま運用されている機器
「7pay」の不正アクセス事件、似た問題続発の危険性が大
スマートフォン決済サービス「7pay」で事件が勃発した。2019年7月4日午前6時の時点で約900人分のアカウントが第三者による不正アクセスを受け、総額約5500万円の被害を受けた。だが、この不正アクセスは「セブン・ペイだけの問題ではない」と警鐘を鳴らすのが、メディアスケッチ代表取締役兼サイバー大学専任講師、AI/IoT評論家の伊本貴士氏だ。7payの問題点と日本企業のセキュリティー事業、そして防止策について同氏が語る。(近岡 裕=日経 xTECH) 2019年7月1日に提供を開始したスマートフォン決済サービス「7pay」の不正アクセス事件が発生したことを受けて、セブン&アイ・ホールディングス傘下で同サービスを手掛けるセブン・ペイが2019年7月4日に記者会見を行った。 7payが認証に利用している「7iD」では、「生年月日」と「登録電話番号」、「会員ID(メールアドレス)」でパスワードを
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
犯行予告収集サイト「予告.in」公開 「0億円、2時間で作った」
ネット開発者で構成するベンチャー企業・ロケットスタートの矢野さとるさん(26)は6月12日、ネット上の犯行予告を集約するサイト「予告.in」を公開した。フォームから犯行予告情報を投稿してリアルタイムで共有できるほか、2ちゃんねる(2ch)やブログ、はてなブックマークから犯罪予告関連の書き込みを自動収集。犯罪防止に役立ててもらう狙いだ。 トップページには、犯行予告情報投稿フォームと、2ch、ブログ、はてなブックマークの関連情報一覧を掲載した。 フォームに投稿した情報は、Twitterの専用アカウント「yokoku_in」に自動で投稿されるほか、Yahoo!グループの専用メーリングリストに流れる。 2ch検索から「犯行予告」「殺人予告」「殺します」「殺す」「爆破」「通報」というキーワードを含むスレッドを、定期的に自動取得してトップページに掲載。はてなブックマークからは「犯罪予告」「犯行予告」「
総務省が情報漏えい事故でヤフーに行政指導,原因は内部の連絡ミス
総務省は2008年4月2日,ヤフーが3月18日に発表した情報漏えい事故に関し,同社に対して文書で指導したと発表した。この事故は,「Yahoo!メール」のメール・サーバーの不具合で一部のメールに他人のヘッダー情報が表示されていたというもの(関連記事)。総務省は,ヤフーにおける「通信の秘密」の保護に対する安全管理措置が不十分だったと判断し,情報の適正な管理と再発防止の徹底に努めるよう文書で厳重に注意した。 ヤフーの報告を受けて総務省が公表した内容によると,事故の原因はメール・サーバーにインストールしたソフトの不具合。本番環境の試験で不具合を発見していたにもかかわらず,内部連絡の不手際で同ソフトをインストールしてしまったという。インストール後に複数のメール・サーバー間で差分を相互にチェックする体制を採っていたが,すべてのメール・サーバーにインストールしたため,間違いを発見できなかった。 ヤフーは
Amazon「ほしい物リスト」検索が復活 「デフォルトで公開」設定変わらず
ほしい物リストは、商品ページ右下にある「ほしい物リストに追加する」ボタンをクリックするだけで作成され、商品が追加される。デフォルトで公開されると知らず、欲しい物をメモする自分用リストとして使っているユーザーも多い 「Amazon.co.jp」で、ユーザーが欲しい商品を登録しておける「ほしい物リスト」の検索機能「ほしい物リストサーチ」が、3月21日までに再開された。ほしい物リストはデフォルトでネット全体に公開されており「公開を意図していない個人情報がもれている」と11日ごろからネットで騒動になった後、検索機能を停止していたが、再開後も仕様変更などはなく、リストは従来通りデフォルトで公開されている。 ほしい物リストは、自分にプレゼントしてほしい商品を登録・公開できる機能。リストに登録した商品や、登録ユーザー名、誕生日、送付先都道府県がデフォルトでネット全体に公開される仕様で、メールアドレスやユ
Expired
Expired:掲載期限切れです この記事は,ロイター・ジャパンとの契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
Webサイトが安全かを調べてくれるサービス アグスネットが公開
アグスネットは、Webサイトのキャプチャ画像を表示してWebサイトの安全性を調べてくれるサービスのβ版を公開した。 アグスネットは3月4日、Webサイトのキャプチャ画像を表示してWebサイトの安全性を調べてくれるサービスのβ版を公開した。アクセスするだけでウイルスに感染してしまうような危険なWebサイトとそこに掲載されているリンク先の安全性を調べることができる。 公開したのは「aguse Gateway」。WebサイトのURLを入力すると、aguse GatewayのサーバがWebサイトの安全性を調べて、画面キャプチャをユーザーに提供する。Webサイトに含まれるリンクはaguse Gatewayが精査し、キャプチャ画像内に掲載する。 クリックできるリンクと危険と判定したリンクを色分けしたアイコンで表示し、危険度を知らせる。今回のバージョンではJavaScriptが埋め込まれたリンク先などを
「Security as a Service」を日本でも、クォリスが本格サービス開始 - @IT
2008/03/03 SaaS型の脆弱性管理サービスを提供している米クォリス(Qualys)は3月3日、日本法人クォリスジャパンを設立し、日本語による脆弱性管理・コンプライアンスサービスを展開していくことを発表した。 ITシステムを構成するコンポーネントにはさまざまな脆弱性が存在するが、それを把握する方法の1つが、脆弱性スキャナを用いる方法だ。しかし、最新の脆弱性に対応したソフトウェアの開発に時間が掛かるほか、ソフトウェアのインストールや展開、メンテナンスなどの手間がかかることがユーザーの負担となってきた。 これに対しクォリスのサービス「QualysGuard Enterprise」と中小企業向けの簡易版「QualysGuard Express」では、インターネット越しに脆弱性をチェックする。専用アプライアンスを併用することにより、イントラネット内部のサーバやPCなどの脆弱性についてもチェ
あやしいサイトの“素性確認”サービス、新ドメイン「aguse.jp」で再開
アグスネットは12月17日、Webサイトやメールアドレスの“素性”を確認できるサービス「aguse(アグス)」のドメインを「aguse.jp」に変更した。 aguseは、サイトのURLに関連する基本的な運営者情報のほか、サイトのスクリーンショットや、サーバの所在地をGoogleマップで表示してくれるサービス。サイトのドメインが国内外のブラックリストに掲載されているかどうかも一覧表示する。 アグスネットによると、管理の不備によってこれまで利用していた「aguse.net」ドメインを失効。12月9日時点でサービスが利用できない状況に陥っていた。ドメインの再取得が難しいと判断した同社では、全サービスを「aguse.jp」に移管し、サービスを再開したという。 今回のドメイン失効を受けてアグスネットでは、システム構築や管理を行うアイスクエアとの協業体制を構築。「問題の再発を減らして、サービスを提供で
このサイトは信用できる? それを「見てきてくれる」サービスがある - ワークスタイル - nikkei BPnet
このサイトは信用できる? それを「見てきてくれる」サービスがある (須藤 慎一=ライター) メールなどでURLが届いたとき、対処に悩むことがある。アクセスすべきか?、やめておくべきか? ブログやサイトで見かけたURLに“魅力的”な紹介文が付いていたらのぞいてみたくなるものだ。「信用できないURLはクリックしない」が原則とはいえ、それでは何となく味気ない。たまには猥雑な歓楽街で飲みたくなるのと似た心境だろうか。 ビジネスの場では、仕事の都合でURLをクリックしなければならないときもある。クレームかもしれないメールに記載されたURL、取引先に「御社との関係は?」と確認を求められたURLなどは、無視するわけにいかない。 不安を感じるURLは、誰か他の人が「見てきてくれる」と助かる。こういう便利な知人を得るのは難しいが、似た機能のWebサービスが登場した。ブイモールが提供する「Aguse
ITmedia Biz.ID:あやしいサイトにご用心――3つの“素性確認”サービス
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
Webメールを「人質」に取る新手のサイバー攻撃
Webメールアカウントにログインしたら、メールもアドレス帳も全部消えていた。残っていたのは脅迫状だけ――。 米セキュリティ企業Websenseは12月11日、新しいタイプのサイバー脅迫を報告した。 これまでに報告されているケースでは、ユーザーのマシンにマルウェアを感染させ、HDD内のファイルを暗号化して「人質」に取って身代金を要求する手口が使われているが、今度の攻撃はWebメールアカウントを標的にしている。 この攻撃を受けたユーザーがWebメールアカウントにログインすると、メールボックスとアドレス帳が空になっており、攻撃者からのメッセージだけが残された状態になっている。 攻撃者のメッセージは下手なスペイン語で書かれており、「お前のアドレス帳と電子メールがどこにあるか知りたければ金を払え。すぐに返事がなければ、お前はすべてを失うことになる」といった内容だという。 被害に遭ったユーザーらは最近
Official Site | Norton™ - Antivirus & Anti-Malware Software
More Threats demand more protection Upgrade for Free to NEW Norton 360*. Exclusive for our existing customers Upgrade to NEW Norton 360 to get device security, online privacy and Dark Web Monitoring Powered by LifeLock§. Choose NEW Norton 360 with LifeLock to get comprehensive identity theft protection.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
