セキュリティ・ダークナイトがフィッシングを語る! オンラインWebセミナー開催
@IT編集部は2014年9月24日19時より、Webセミナー企画「文字だけでは説明しにくい『フィッシング』のいま」を開催します。 「文字だけでは説明しにくい『フィッシング』のいま」は、@IT Security & Trustフォーラムにて「セキュリティ・ダークナイト」を連載していた辻 伸弘氏(ソフトバンク・テクノロジー株式会社)を講師に、フィッシングの現状、そしてフィッシング対策は可能なのかという点についても掘り下げたいと思います。 このWebセミナーは、@IT編集部がお送りする新たな動画コンテンツの一部として、スタジオより生中継いたします。 文字だけでは説明しにくい「フィッシング」のいま 日時: 2014年9月24日 19時~ 参加費/登録: 無料 Webセミナー試聴登録はこちらから (登録ページはヒューマンセントリックスのシステム、svpcloud-tv.jpを利用しています) 出演:
Gmailのアドレス流出、今考えるべき対策は?
Gmailのアドレス流出、今考えるべき対策は?:パスワードに続き浮上した、メールアドレス=ユーザー名のリスク 約500万件のGmailアドレス、パスワードの組み合わせが流出したとの報道が出た。ID、パスワードが流出したときの利用者としての対応を、再度確認しよう。 米国時間の2014年9月10日、約500万件にもおよぶGmailなどのメールアドレス(ユーザー名)とパスワード情報の組み合わせが、ロシア語で運営されているオンラインフォーラムで公開されたことを複数のメディアが報じた。これに対し米グーグルは、公式ブログにおいて、流出は「グーグルのシステムに対する不正侵入によるものではない」と述べている。 複数の報道によると、オンラインフォーラム上で公開されたアカウント情報は約493万件。ほとんどが英語、ロシア語、スペイン語のもので、中には数年間使われていない古い情報も含まれているという。米グーグルは
get/postでフォームから送信された値をPHPで受け取る「定義済みの変数」
オープンソースのWeb開発向けスクリプト言語「PHP」の文法を一から学ぶための入門連載「Web業界で働くためのPHP入門」。 今回はPHPならではの機能、フォームの取り扱いについて解説します。厳密にいえば、これは本連載の目的である文法的な範囲の話ではありませんが、PHPを理解する上で欠かせないため、ざっと解説することにします。 HTMLのフォーム機能についておさらい HTMLのフォーム機能については既にご存じの読者も多いと思いますので、ここでは簡単なおさらいにとどめます。フォームとは<form>要素を使って、Webサーバにデータを送信するための、HTMLとWebブラウザ側の仕組みです。 例えば、次のようなHTMLをWebブラウザで表示すると、1つの入力欄と送信ボタンが表示されます。 入力欄に何か入力してボタンを押すと、Webブラウザは指定したURLに対して入力内容を送信します。通常そのUR
実はこんなにいた! セキュリティ女子
SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA)は2014年6月29日、女性のみに限定したCapture The Flag(CTF)のワークショップ、「CTF for GIRLS」を東京・六本木で開催した。参加者も女性だけならば講師も皆セキュリティに携わる女性という集まりで、学生や社会人、約70人が参加した。 CTFとは、セキュリティ技術を競う競技会の一種だ。主に、用意された問題を解いて得点を積み重ねていくクイズ形式と、互いに手元のサーバーを守り合う攻防戦形式の2タイプがある。いずれも、脆弱性検査や監視、マルウェア解析などに必要となるスキルを組み合わせて取り組まなければ、勝利は難しい。米国で行われる「DEFCON CTF」を筆頭に海外では盛んに開催されており、時にはセキュリティエンジニアのリクルーティングの場として活用されることもある。 日本でも最近になって、セキュリテ
404 Found――Webをセキュアに、ネットをセキュアに
404 Found――Webをセキュアに、ネットをセキュアに:OWASP AppSec APAC 2014レポート(1/2 ページ) Webサーバーを構成するソフトウェアやWebアプリケーションは頻繁に外部からの攻撃にさらされ、新たな脆弱性も発見されている。3月に開催された「OWASP AppSec APAC 2014」では、Webをセキュアなものにしていくために何が必要で、どんなポイントに注意すべきかといった知見が共有された。 ちょっとしたものを購入するとき、旅行のチケットを予約するとき、あるいは振り込みを行うとき……さまざまなシーンで私たちは当たり前のようにWebを利用している。もしWebという仕組みが意図した通りに動作しなくなったり、セキュリティ面で問題が発生したりしてしまえば、日常生活に大きな支障が生じるほど浸透している。 一方で、Webサーバーを構成するソフトウェアやWebアプリ
本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を
2013年以降、マルウェア感染による不正送金被害が国内でも増加している。警察庁のまとめによると、ウイルスに感染してIDやパスワードを盗み取られ、他人の口座などに不正送金される被害は、2013年は前年の約14倍に当たる1325件に上った。2014年に入ってもその傾向は変わらず、2月末の時点で500件、約6億円に上る被害が生じているという。 不正送金で、最近増えているとされるのが「Man-in-the-Browser」(MITB)と呼ばれる手法だ。被害者のPCに侵入したマルウェアが、オンラインバンキングなど特定のページにアクセスしたときにだけ動作してWebページの表示に改ざんを加え(=Webインジェクション)、IDやパスワード情報を盗み取ったり、送金先口座を変更してしまったりする。 産業技術総合研究所が2014年3月13日に開催した「第2回 セキュアシステムシンポジウム」において、同研究所の高
さくら、「レンタルサーバ」サービスに国外IPフィルタ設定を適用へ
さくら、「レンタルサーバ」サービスに国外IPフィルタ設定を適用へ:OpenFlowを活用したDDoS対策機能も提供予定 さくらインターネットは不正アクセス対策を目的に、「さくらのレンタルサーバ」サービスにおいて、国外IPアドレスからのアクセスを制限する「国外IPフィルタ設定」機能を提供する。 さくらインターネットは2014年3月10日、不正アクセス対策を目的に、「さくらのレンタルサーバ」サービスにおいて、国外IPアドレスからのアクセスを制限する「国外IPフィルタ設定」機能を提供することを明らかにした。2014年3月13日より順次、設定作業を開始する。 国外IPフィルタ機能の対象となるのは、「さくらのマネージドサーバ」「さくらのメールボックス」も含む「さくらのレンタルサーバ」サービスだ。FTP、SSH、SMTP(SMTP認証、POP before SMTP時を含む)、WebDAVの各プロトコ
ついに「OpenID Connect」仕様が標準化
米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間で、適切な相手にデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日本語訳を公開している。 Webサービスやモバイルアプリケーションの普及に伴い、多様で便利なサービスを利用できるようになった半面、管理すべきIDとパスワードも増加した。その結果、エンドユーザーがさまざまな煩雑さを強いられたり、パスワードの使い回しによるセキュリティリスクが増大するといった課題も浮上している。 OpenID Connectは、こうした課題の解決を目指し、OAuth 2.0をベースにして策定されたAPI仕様だ。ユーザーとサイトが常に1対1で認証を行う代
復号ツール「Citadel Decryptor」(仮)で不正送金被害を食い止めたい
復号ツール「Citadel Decryptor」(仮)で不正送金被害を食い止めたい:JPCERT/CCの中津留氏がセキュリティカンファレンス「Code Blue」で紹介 JPCERTコーディネーションセンター 分析センターの中津留勇氏は、マルウェアによる不正送金被害の拡大を食い止める一助として、マルウェア「Citadel」の復号ツールを開発した。その詳細を「Code Blue」で解説する予定だ。 警察庁のまとめによると、2013年に発生した不正送金の被害額は、前年の約4800万円から急増し約14億600万円に上った。「この背景には、インターネットバンキングを利用する時に情報を詐取するマルウェアがある」と、JPCERTコーディネーションセンター(JPCERT/CC) 分析センターの中津留勇氏は指摘する。 金銭目的のこうしたマルウェアは数年前から出回っていた。「Zeus」「SpyEye」「Ci
深刻な「ブラインドSQLインジェクション」の脅威
2013年11月18日から11月21日の4日間にわたり、アメリカ合衆国ニューヨークでWebアプリケーションのセキュリティに関する国際的なカンファレンスである「OWASP AppSec USA 2013」が開催されました。 世界各国から開発者・研究者が一堂に会するこの一大イベントに参加してきましたので、その模様を報告します。 Webアプリセキュリティにまつわるあらゆる話題を扱う「OWASP」 OWASP(Open Web Application Security Project)は、WebアプリケーションおよびWebサービスのセキュリティ向上を目的とした、ボランティアによるプロジェクトです。 今回参加した「AppSec」をはじめとするカンファレンスの開催による知識の展開やトレーニングを通じた開発者のスキル向上の他、開発者向けガイドラインの作成、テストツールの開発・公開などを行っています。ツー
なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか
なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか:Japan Identity & Cloud Summit 2014レポート 2014年1月14日と15日の2日間にわたって、「アイデンティティ」という切り口からビッグデータや番号制度、セキュリティなどの問題について議論するカンファレンス「Japan Identity&Cloud Summit」が開催された。その初日の模様をレポートする。 2014年1月14~15日の2日間にわたって、「アイデンティティ」という切り口からビッグデータや番号制度、セキュリティなどの問題について議論するカンファレンス「Japan Identity&Cloud Summit」が開催された。 ユーザーデータの活用には透明性の確保が前提 1日目、最初のプログラムでは「ビッグデータとアイデンティティ~ビッグデータ活用の高度化にあたり、われわれは『利用者のID』とど
HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識
HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識:第8回OWASP Nightレポート 2013年11月14日夜、日本ヒューレット・パッカード(以下、日本HP)本社で「OWASP Night 8th」が開催された。 OWASP NightはWebアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体「OWASP(Open Web Application Security Project)」の日本支部が主宰する定期セミナーだ。第8回目となる今回は、日本HPが協賛しての開催となり、某TVドラマのロケ地にもなったという本社カフェテリアで濃厚なセッションが行われた。 当日は、こちらも日本HPが協賛する情報セキュリティカンファレンス「PacSec2013」、および「Mobile Pwn2Own」に参加した講師も登場し、大きな盛り上がりを見せていた。 本記事で
増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起
システムの内部時計を正しい時間に同期させるNTPサーバープログラム「ntpd」の一部のバージョンにDDoS攻撃につながる脆弱性が存在するとし、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼び掛けている。 2014年1月15日、システムの内部時計を正しい時間に同期させるNTPサーバープログラム「ntpd」の一部のバージョンにDDoS攻撃につながる脆弱性が存在するとし、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼び掛けた。 ntpdは、Network Time Protocol projectが公開しているNTPサーバーソフトウェアだ。LinuxやBSD系OS、Mac OS Xなど多くのOSに搭載されている他、ルーターなどネットワーク機器に組み込まれていることがある。 DDoSにつながる脆
「安全なSQLの呼び出し方」や「定期変更」で盛り上がる
12月のセキュリティクラスターは、IPAの「安全なSQLの呼び出し方」に対する意見が書かれたブログをきっかけとし、エスケープに関する議論と意見表明が、これまでにない盛り上がりを見せました。 その後は総務省がパスワードの定期変更を公式に推奨したことから、またまたパスワードの定期変更に関するツイートがタイムラインを賑わせます。そして、Androidの危険な脆弱性とIMEが入力した情報を勝手に送信していたことも話題となりました。 安全なSQLの呼び出し方とエスケープに対する意見が飛び交う 情報処理推進機構(IPA)から「安全なSQLの呼び出し方」という文書が公開されているのですが、“改訂前のこの文書は危険だった”という@yohgaki氏の「IPAの『安全なSQLの呼び出し方』が安全になっていた」というブログエントリが公開されました(注:IPA発行の「安全なSQLの呼び出し方」は改訂されたことはあ
重要! まずは「オリジン」を理解しよう
連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回から、HTML5やJavaScriptに関連したセキュリティの話題について連載することになりました。よろしくお願いします。 もう読みましたか? HTML5のWebアプリセキュリティに関する報告書 皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター(以下、JPCERT/CC)から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。 この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして
GitHubにブルートフォース攻撃、一部のパスワードが破られる
GitHubにブルートフォース攻撃、一部のパスワードが破られる:強固なパスワード設定や二要素認証を推奨 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 ブルートフォースとは、辞書などを用いて総当たり式にパスワードを試し、不正ログインを試みる攻撃のことだ。GitHubによると、今回の攻撃は4万近くの異なるIPアドレスから時間を掛けて行われた。この結果、脆弱なパスワードや、複数のサイトで使い回されているパスワードなどが破られたという。 GitHubでは、不正ログインの被害に遭ったユーザーにはメールで通知を行うとともに、パスワードのリセット、アクセストークン、OAuth認証、SSH鍵の失効措置を取
書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク
書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク:試してみなけりゃ分からない? 古いWebアプリの脆弱性(4)(1/4 ページ) 前回の記事「CMSに残る反射型XSSを使ったセッションハイジャック」でも紹介したとおり、CMS(Contents Management System)の脆弱性を狙った攻撃が後を絶たないようだ。 中でも話題となっていたのが、共用レンタルサーバを狙った広範囲の書き換え攻撃だ。「共用」という性質もあって、同一のサーバを使用していた複数のユーザーのデータが横断的に書き換えられた点が、2010年代には逆に新しい。この事件で、忘れかけていた昔の設定方法を思い出した方も多かったのではなかろうか。どうやらこの事件を起こしたのは愉快犯だったらしく、書き換え以外に大きな実害はなかったようだが、それでも今さらながら、共用レンタルサーバの怖さに気づい
セブンネットショッピングで不正ログイン、カード情報約15万件が閲覧の恐れ
「セブンネットショッピング」が外部からの不正ログインを受けた。クレジットカード情報を含む顧客の個人情報が、最大で15万165件、第三者に閲覧された可能性がある。 セブンネットショッピングは2013年10月23日、同社が運営するオンラインショッピングサイト「セブンネットショッピング」が外部からの不正ログインを受けたことを明らかにした。クレジットカード情報を含む顧客の個人情報が、最大で15万165件、第三者に閲覧された可能性があるという。 不正ログインが発生したのは4月17日から7月26日にかけて。外部から不正に取得したと思われるIDとパスワードを用いて、サイトへのなりすましアクセスが試みられた。この結果、会員サービス「いつもの注文」にクレジットカード情報を登録していた顧客の届け先の氏名、住所、電話番号、クレジットカード番号と有効期限が不正に閲覧された恐れがある。 同社はプレスリリースの中で、
OpenID 2.0の一部実装に脆弱性、その詳細と対策とは
OpenID 2.0の一部実装に脆弱性、その詳細と対策とは:デジタル・アイデンティティ技術最新動向 臨時便 米OpenID Foundationが8月15日に、OpenID 2.0の一部OpenID Provider(OP)実装において、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のある重大な脆弱性が見つかったことをアナウンスしました。この記事では、その詳細と対策について述べます。 8月15日に公表されたアカウントハイジャックの脆弱性 OpenID Foundation Japan、Evangelistの@novです。 2013年8月15日に米OpenID Foundationからリリースがあったように、OpenID 2.0の一部OpenID Provider(OP)実装に、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のあ
Amebaで第三者による不正ログイン~24万3266件のアカウントに影響
Amebaで第三者による不正ログイン~24万3266件のアカウントに影響:個人情報流出や仮想通貨の不正利用などの被害報告は確認されていない サイバーエージェントの運営する「Ameba」で、不正ログインが発生していたことが明らかとなった。不正ログインの発生期間は2013年4月6日~8月3日の間、不正ログインの対象となったIDは24万3266件に及ぶ。 サイバーエージェントは2013年8月12日、同社が運営する「Ameba」において、登録ユーザー以外の第三者による不正なログインが発生していたことを確認したと発表した。不正ログインの発生期間は2013年4月6日~8月3日の間、不正ログインの対象となったIDは24万3266件に及ぶ。現在調査中のため、対象件数が増減する可能性があるとしている。 該当するIDにおいて、閲覧された可能性のある情報は、ニックネーム、メールアドレス、生年月日、居住地域、性別
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
