パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
418 I’m a tea potとは ステータスコード 418 I’m a tea potは、エイプリルフールに発行されたジョークRFCであるRFC2324「Hyper Text Coffee Pot Control Protocol」 で定義されているステータスコードです。 Googleでも 418 を返すURLがあります。 Error 418 (I’m a teapot)!? https://www.google.com/teapot 昨日、golangとnodejsにおいて、418 I’m a tea pot の実装を削除するIssue が投げられています。 golang: net/http: remove support for status code 418 I'm a Teapot nodejs: 418 I'm A Teapot #14644 Issue中でも書かれている通
セキュリティベンダーKasperskyの創業者、Eugene Kaspersky氏はスマートフォンを持たない。「Sony Ericssonだって、Nokiaだって、(古い)携帯電話はまだ動くじゃないか」と笑うが、サイバーセキュリティを生業とするKaspersky氏は別の"持たない理由"がありそうだ。 Kaspersky氏は以前から、古いコンピューターアーキテクチャを再設計すべき、と主張してきた。そして2016年11月、長年の構想と開発の成果として、「Kaspersky OS」を発表した(プロジェクトについて最初にミーティングしてから14年という)。 Kaspersky OSは信頼性のあるマイクロカーネルをベースとしたOSで、Linuxコードは一行も含まれていない。セキュリティポリシーを施行するセキュリティエンジン、セキュリティドメインの分離、アプリケーションのビジネスロジックからセキュリテ
2016年7月22日 理工系情報学科・専攻協議会@NAIST ヤフー株式会社 CISO-Board 楠 正憲 Yahoo! JAPANが求める 情報セキュリティー人材と 高等教育機関への期待 2 ヤフー株式会社 CISO-Board OpenID Foundation Japan 代表理事 内閣官房 情報通信技術総合戦略室 政府CIO補佐官 内閣官房 社会保障改革担当室 番号制度推進管理補佐官 産業構造審議会 臨時委員 分散戦略WG 委員 情報処理学会 情報規格調査会 SC27専門委員会 委員 東京大学大学院 情報理工学系研究科 非常勤講師 国際大学GLOCOM 客員研究員 自己紹介 最近の関心領域 • セキュリティー • プライバシー • マイナンバー • ID・データ連携 • ブロックチェーン ヤフーの情報セキュリティー体制 3 YIRD CSIRT SoftBank CSIRT J
これが現代テロリストたちの使うソフトウェア。金に糸目をつけない周到ぶり…2016.08.07 22:30 湯木進悟 よい子はマネしちゃダメよ…。 無法なテロ攻撃で世界を震撼させているイスラム国(ISIS)ですけど、その戦闘員たちのIT技術の高さが、このところ捜査当局の頭を悩ませてもいるようですね。匿名通信を可能にするTORの使用が必須なのかと思いきや、最近はTORをめぐる監視が厳しくなってきたのを察知して、実に多彩な別手段へと、素早く移行しているんだとか。 暗号化通信ツールの開発者のうち、そのツールが犯罪者たちに向けたものではないと、きっぱり言い切れる人などほとんどいないはずだ。 米国家安全保障局(NSA)のRichard Ledgettさんは、国家防衛とテクノロジーをテーマに開催されたDefense One Tech Summitにて、このようにコメント。世に出回る多くの暗号化通信ツール
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近い
6月20日に世界的な通信障害が発生しました。先日、このブログの「金と力のインターネット」という記事で「超巨大バックボーンネットワークを持つ組織同士(ティアワン)」を紹介しましたが、世界第2位の規模(参考)を持つティアワンであるスウェーデンのTeliaが通信障害を起こしたのです。 TheRegisterの記事によると、Teliaの通信障害の原因をエンジニアによるミスであるようだと記載しています。ヨーロッパ中のトラフィックが香港に向けて流れるように基幹ルータの設定を変更してしまったとあります(BGPの設定ミス?)。 この通信障害によって、Facebook、Amazon、CloudFlare、その他非常に多くの事業者が影響を受けたようです。数多くのWebサイトの再配信を手がけているCDN事業者であるCloudFlareが影響を受けたことで、同社サービスを利用しているWebサイトにも影響が出ました
【AI新時代 まとめ読み】無人ロボット艦隊が航行、社員にクビを宣告する「上司」…AIの未来を5本の企画記事で俯瞰する 人工知能(AI)の研究が国内外で進んでいます。軍事分野においてもAIを搭載することで無人のロボット軍艦を運用することもできるようになります。民間分野では、社員の業績管理として活用され、「上司」としてメールを送ったり、来店した客と日常会話やセールストークを行ったりすることも可能となります。 一方、高い学習機能ゆえに懸念も残ります。インターネット上で「ヒトラーは間違っていない」といった不適切な発言をするなど「悪のAI」が育つ可能性を指摘する声もあります。産経ニュースでは、「AI新時代」と題して、AIの未来を探った企画記事5本を掲載しています。下記からご覧ください。
日本国内でトップレベルのセキュリティ専門家である徳丸浩さんが、Twitterで「何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」と発言したことが話題になっています。 [Security] Webとセキュリティとソフトウェア工学 それぞれの方々のご意見を拝見した限り、「自前でWordPres立ててはいけない」という表現に対して「ダメって言うな!」や「じゃあ、どこで経験つめばいいの?」といった論点での反論は多い一方で、「インターネットは超荒波だから気をつけようね」という点に関しては見解が一致してそうだと思います。今のインターネットの荒波がどれぐらいかというと、最後は主人公たちが乗っていた漁船が荒波に飲まれて全員死亡というパーフェクトストームという映画ぐらいのレベルだという感想を個人的に持っています。 いまのインターネットは、安さと早さを追
情報流出時の対応を考えるみたいな、話もあるんだけれど、ぶっちゃけ数人程度の小さい会社でITとかそんなに関係ない会社でも不審かもしれないメールは着弾するわけですよ。 修繕依頼 作業日報 ご確認 見積FAX依頼 とかね。 見積もり依頼とか来たら開いちゃいますって。 と、声を大にして言いたい。 けど、声を大にして言うと、それを気を付けないのはセキュリティ教育がなってないからだとか言われるんですよ。 怖い怖い。 基本的にやっておくべきこと 会社の規模が小さくても最低限やっておいてほしいのは3つ。 利用しているOS(WindowsやMACなど)とソフトウェアのアップデート(常に最新の状態をキープ) ウイルス対策ソフトの導入とパターンファイルの更新 拡張子の表示 そりゃ、アクセス制限とかログ取得とかやってほしいことはいっぱいあっても、IT関係ない企業でいろいろ求められるのって大変だと思うんですよね。
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
理論上は可能ということはわかっていたものの、実際の被害を見るのは初めてという事例がありました。 Yahoo!メールにログイン履歴に不審なアクセスはないのにSteamとOriginのパスワードリセットのメールが届き、開いた覚えのないメールが既読になっていた。 どうやればこのようなことが可能になるかというと、Yahoo!メールを以前から利用していて気づいたのはPOPで受信した場合ログイン履歴に残らないという仕様。POP/IMAPの利用ではユーザーが閲覧可能なログイン履歴には記録が残らないと考えられます。 このことから、不正ログインはPOP/IMAPのみでWEB経由はないと考えられます。ログイン履歴に形跡すら無く不正ログインをされたというのは一年半の情報収集で初めてのケースです。 ただ、初期状態からPOP/IMAPが利用可能ではなく、Yahoo!デリバーというメールを受信する登録をしなければいけ
「修行」と呼ばれるこの旅を、できるだけ楽しく観光し、修行してないのにいつの間にか上級会員になれてしまう!そんな旅程を組んで実践してみました。
古いWebブラウザーやフィーチャーフォン(ガラケー)を使っている顧客は、ECサイトでクレジットカード番号を入力できなくなる――。 2016年7月に本格適用されるクレジットカード情報保護のセキュリティ国際基準「PCI DSS(Payment Card Industry Data Security Standard) v3.1」をめぐり、ECサイト事業者から反発の声が高まっている。一部の顧客がECサイトでクレジットカード番号を入力できなくなり、サイトの売り上げを押し下げる可能性があるためだ。 基準策定団体のPCI SSC(Payment Card Industry Security Standards Council)も、反発の声が想定外に多いことから、本誌の取材に対して「v 3.1がもたらす影響の実態調査に乗り出す」(PCI SSC インターナショナルディレクターのジェレミー・キング氏)考え
By The Preiser Project アンチウイルスソフトウェアで知られるSymantecが2014年に発見した「Linux.Wifatch」は、Linuxを搭載する1万台ものルーターに感染しておきながら、悪さをするどころかデバイスのセキュリティを高めていることがわかっています。悪用されることが多いハッキングを善良な目的に使っていると見られることから、「ホワイトハッカーが登場した」などとインターネットで話題を呼びましたが、そのLinux.Wifatchを開発したハッカーがなんとマルウェアのコードを公開し、ハッキングの目的や自分の正体について語っており、さらに経済誌のForbesはこのハッカーと接触してインタビューを実施しています。 The White Team / linux.wifatch | GitLab https://gitlab.com/rav7teif/linux.wi
近年ではスマートフォンや手首に付けたスマートウォッチをかざして飛行機に搭乗できる「チケットレス」サービスを利用する人も多くなったと思いますが、今でも横長の厚紙に印刷されたボーディングパス(搭乗券)を受け取っている人もいるはず。何気なく手にして、フライト後はポイと捨ててしまう搭乗券ですが、実は記載されているバーコードには多くの情報が含まれている点には注意が必要なようです。 What’s in a Boarding Pass Barcode? A Lot — Krebs on Security http://krebsonsecurity.com/2015/10/whats-in-a-boarding-pass-barcode-a-lot/ 飛行機に乗ったことがある人の多くは、このような横長のボーディングパスを受け取ったことがある人も多いはず。かつては厚手の丈夫な紙が使われていましたが、近年で
“Google.com“のドメイン申請をしたところ、申請が通り実際に使用可能となってしまう事件が発生しました。 Google.comが12ドル! 男性は元グーグル社員であったこともあり、何かグーグルに関連したドメインはないかと探したところ、当然ながらどれも見事に抑えられていたそうです。しかし1つだけ、使用可となっているドメインがあり、それがまさかの”Google.com“でした。 世界で一番トラフィックが多いとされる同ドメインですが、価格は僅かに12ドル(約1,440円)でしかなかったとのことです。どうせエラーだろうと思いながらも、駄目もとで男性が申請してみると、なんとトランザクションが通過してしまいました。 1分間だけGoogle.comを掌握 しかしここから、奇妙な出来事が次々と発生します。通常ならば、サーバー管理者側からのドメイン購入通知がメールで来るはずですが、代わりに彼のGoog
はじめにかなり以前から、毎年、18歳と22歳の人(適齢者)に対して自衛隊から隊員募集のダイレクトメール(DM)が届いています。みなさんの中にも、受け取った方がいらっしゃるかもしれません。その元になった個人情報(対象者の氏名・生年月日・住所・性別)は、実は、住民基本台帳(住民の基本的な個人情報が記載されている公簿)を管理する市町村の役所を通じて入手されているのです。しかも、ほとんどの自治体で、自衛隊からの要求に対してなにも議論されることもなく、市町村からわざわざ積極的に個人情報が〈提供〉されているのです。提供している自治体の多くは、住民基本台帳から適齢者の個人情報を抽出し、紙にプリントアウトして提出していますが、中にはUSBに入れて電子データとして提供しているところもあります。 もちろん、〈提供〉していないところもありますが、同じ組織に対する個人情報の扱いについて、市町村によってバラバラであ
冷蔵庫から情報漏えいしたり、スパムを発信されたりと、スマート家電の危険性が度々話題になるが、セキュリティをどう考えたらよいのだろうか――。 8月25日付のITmediaの記事「Samsungの『スマート冷蔵庫』に脆弱性、他人にのぞき見される恐れ」について、一部の人たちから筆者に次のようなメールが届いた。 「この記事古くないですか? たしか以前にも冷蔵庫が乗っ取られたという記事があちこちに……」 せっかくなので、今回はスマート家電におけるセキュリティの考え方を深掘りしてみたい。 スマート冷蔵庫がスパム送信? 2014年1月、「冷蔵庫がスパムを送信する」というニュースで多くのマスコミが騒いでいた。 「75万通のスパムメールは冷蔵庫・テレビ・家庭用ルータなどを利用していることが判明」――Gigazine 「テレビや冷蔵庫がスパムの踏み台に」――日経ITpro 「冷蔵庫が迷惑メールを発信? モノの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く