「ドコモ口座」のドメイン、ドコモが取り戻す 出品の経緯をGMO含め聞いた
なぜドコモのドメインをGMOが出品していたのか? ドコモ側の不手際でドメインが失効されてしまったとはいえ、なぜそのドメインがGMOインターネットの「お名前ドットコム」でオークションに掛けられることになったのか。GMO側に聞くと該当のドメインを取得したいという希望が複数の顧客からあったからと話す。 「具体的な情報について申し上げられないが、更新の期限が過ぎたドメインは一般に開放される状態になる。当社にそのドメインを取得したいという注文を受けて弊社が取得し、そのドメインに対し複数のお客様が取得を希望されていたのでオークション形式で出品した」という。 お名前ドットコムには「事前予約サービス」というものがある。これは、すでに第三者が登録しているドメインを事前に予約しておき、ドメインの期限を迎えて一般取得できるようになった時に自動で取得を試みるサービスだ。これで「docomokouza.jp」をオー
ティム・バーナーズ=リー氏、Webの“誤用”を阻止する「Contract for Web」発表 Google、Facebookらがサポート
World Wide Web(WWW)を考案し、“Webの父”とも呼ばれるサー・ティム・バーナーズ=リー氏(64)は11月25日(現地時間)、政府、企業、個人によるWebの“誤用”を阻止するための「Contract for Web」を発表した。 本稿執筆現在、企業としてはGoogle、Facebook、Microsoft、Twitter、Redditなど150社以上がサポーターとして名を連ねている(記事末にロゴ一覧を転載した)。 バーナーズ=リー氏は声明文で「Webを悪用し、分裂させ、弱体化させようとする人々を阻止するために今すぐ団結して行動しなければ、阻止できなくなる危険がある」と語った。 FAQによると、Contract for Webは「人権に根ざした共通のコミットメントの下、政府、企業、市民団体など、Webの未来を形成するグループを団結させ、よりよいWeb構築に必要な具体的な行動を
ある日突然、自社ドメインが乗っ取られた――“原因も手口も不明”の攻撃に、セキュリティチームはどう立ち向かったか
2020年6月、仮想通貨取引所「Coincheck」を運営するコインチェックのコーポレートサイトに、あるセキュリティインシデントの報告書が掲載された。当時、重要な事例として筆者のセキュリティ連載「半径300メートルのIT」でも取り上げたことから、記憶に残っている読者もいるのではないだろうか。 インシデントのあらましを簡単に説明しよう。これは、コインチェックが利用する外部のドメイン登録サービスにおいて、コインチェックのネームサーバ(DNS)情報が、何者かに書き換えられたものだ。これにより、同社のドメインのレコードが偽のDNSに登録され、同社にメールで問い合わせた顧客のメールアドレスと本文が第三者に流出する可能性があった。コインチェックはインシデント発生後、対応についてのレポートを公開するとともに、利用するドメイン登録サービスを変更したと発表した。 このインシデントは、一般に「不正アクセス」と
富士通、「親指シフトキーボード」の販売終了 40年の歴史に幕
富士通は5月19日、同社の親指シフトキーボードや関連商品の販売を終了すると発表した。1980年5月に発表した、親指シフトキーボード搭載日本語ワードプロセッサ「OASYS100」以来、40年の歴史に幕を閉じる。 販売・サポートが終わるのは、親指シフトキーボード2製品(FMV-KB613、FMV-KB232)と親指シフトキーボード搭載の企業向けノートPC1製品(FMCKBD09H)、親指シフト入力に対応したソフトウェア2製品(ワープロソフト「OASYS V10.0」とIME「Japanist 10」)。 ノートPCは21年3月、キーボードは21年5月に販売を終える。ソフトウェアは個人向けには20年9月まで、法人向けには21年5月まで販売する。ハードウェアのサポートは26年4~6月まで(ノートPCのみ4月まで、他は6月まで)で、ソフトウェアはOASYS V10.0の個人向けが23年9月、法人向け
ヤフー、まとめサイトなど5900件の広告配信停止 全配信先の3分の1、不正広告対策で
ヤフーは、「アドフラウド」と呼ばれる不正な広告撲滅に向け、昨年9月から今年3月31日までの半年間に、約5900件の広告配信を停止したと発表した。全配信先(1万7000件)の約3分の1に当たる。広告配信が停止されたサイトには、掲示板投稿をまとめた「まとめサイト」や、個人運営のゲームなどの攻略サイトなどが含まれているという。 アドフラウドは、訪問者を広告で埋めつくされたサイトに飛ばしたり、訪問者には見えていない広告を「見た」とカウントしたり、botなどを使って無効なインプレッションやクリックを行ったりすることで、広告効果などを不正に水増しする手法。 ヤフーはアドフラウド対策として昨年9月、安全性が確認できているサイトを除いた約6800件の広告配信を停止。翌10月にガイドラインを改定して再審査を行い、新ガイドラインを満たした約900件の広告配信を再開したという。 新ガイドラインでは、広告配信先の
ソフトバンクの通信障害、原因は「エリクソン製交換機」 ソフトウェア証明書の期限切れ - ITmedia Mobile
ソフトバンクは、12月6日13時59分頃から18時4分までの間に発生した通信障害の原因について、「エリクソン製交換機のソフトウェアに異常が発生したため」と発表した。 12月6日13時39分ごろ、東京センターと大阪センターに配置してあるエリクソン製パケット交換機全台数のソフトウェアに異常が発生した。9カ月前から運用しているという同ソフトウェアの異常は、エリクソンの通信設備を使用する海外11カ国の通信事業者でも、ほぼ同時刻に発生した。ソフトバンクでは、同ソフトウェアを旧バージョンに戻すことで復旧を試みた。 本件について、エリクソンも「ソフトバンクの障害情報に関するお知らせ」を発表。同社は、コアネットワーク内のSGSN-MME(Serving GPRS Support Node-Mobility Management Entity)に生じた問題を特定。本ノードで2つのソフトウェアバージョンを利用
「海賊版サイトにDoS攻撃」政府の勉強会で提案 日本IT団体連盟の資料公開
「海賊版サイトをブロッキングする代わりに、権利者が海賊版サイトに直接DoS攻撃を仕掛ける」――政府の知的財産戦略本部が8月10日に開催した、「インターネット上の海賊版対策に関する勉強会」で、IT関連の団体で構成する日本IT団体連盟(理事長:ヤフー社長の川邊健太郎氏)がこんな提案を行ったことが話題になった。提案資料がこのほど、政府のWebサイトで公開(PDF)され、ネットで議論を呼んでいる。 資料では、海賊版サイトの技術的対策として、「アクセス集中方式」がブロッキングに代わる手段になると提案。権利者が自ら、違法サイトにアクセスを集中させ、サイトにつながりにくくするという案で、いわば「権利者による海賊版サイトへのDoS攻撃」の提案だ。 この「アクセス集中方式」について、資料では、「1億人の権利を犠牲にして得るものが少ないブロッキングに比べれば、海賊版サイトの運営者だけが影響を受け、回避手段を講
「ブロッキング」とMVNOの関係、通信の秘密を考える
2018年4月23日、NTTグループ各社(NTT持株会社、NTTコミュニケーションズ、NTTドコモ、NTTぷらら)が連名で、海賊版の漫画などを扱うサイトの閲覧をできなくする「ブロッキング」を行う方針であると発表しました。この件に関連して、MVNOを含めた通信事業者と、「通信の秘密」について考えてみたいと思います。 キャリアのブロッキングはMVNOに影響する? 2018年4月13日に、政府の「知的財産戦略本部・犯罪対策閣僚会議」にて、主に漫画を中心とした「海賊版」を扱うサイト(許諾を得ずに第三者のコンテンツを配信しているサイト)を閲覧できなくする「ブロッキング」を、MVNO、キャリア、ISPなどの電気通信事業者が自主的に行うことが適当である、という趣旨の発表がなされました。それを受けて、4月23日にNTTグループ各社が連名で、特定サイトに対するブロッキングを実施することを発表しています。本件
内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得
内閣府のWebサイトから、「恋人作るより風俗嬢」というWebサイトにリンクが張られている――5月9日、こんな情報がネットを駆け巡った。 内閣府がかつて運営していたWebサイトのドメインが失効した後、第三者がそのドメインを再取得し、新たにサイトを設置したことが原因。外部から指摘を受けた内閣府は9日昼、問題のリンクがあったページを削除した。「対応が後手に回り、申し訳ない」と担当者は話している。 問題のリンクがあったのは、内閣府のプログラム「戦略的イノベーション創造プログラム」(SIP)の2015年のシンポジウムを紹介するページで、専用の特設サイトにリンクを張っていた。特設サイトの運営は博報堂が担当。内閣府のサイトの外にドメインを取得して構築し、シンポジウムの開催案内や報告などを掲載していた。 特設サイトの運営は既に終了しており、博報堂は2017年度中にサイトのドメインも手放した。ドメインを手放
[PR] 「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果…… - ITmedia Mobile
―― 今回のプログラムでは、「スマホの乗っ取りが可能かどうか」「パーミッション(許可)を取得しているもの以外の情報取得が可能か」「『Moplus SDK』が使用されているか」という3つの項目をチェックしています。これがSimejiに対して持たれている懸念なのでしょうか。 高橋氏 SNSなどに投稿されている代表的な懸念や不安に向き合いたいと思いました。「乗っ取られる」という表現は技術的な概念として正確性を欠いていますが、ユーザーの漠然とした不安を解消できなければ意味がありませんので、あえてそのままの日常的な言葉で依頼をしました。 小西氏 「Simejiが悪さをするのではないか?」という懸念をなくしたい、という思いが強く出ていると感じました。そういえば先日もネット上で話題になっていましたが……。 ―― Baidu IMEとSimejiに関する「はてな」のブログ記事を削除するよう申立てた件ですね
![[PR] 「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果…… - ITmedia Mobile](https://cdn-ak-scissors.b.st-hatena.com/image/square/a8a642d5bc1b4900b1d36862f30c80bc1ba1d7d3/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fmobile%2Farticles%2F1606%2F30%2Fl_sm_01.jpg)
元セキュリティ技術者の弁護士がチャットに求めた厳しい条件とカッコイイ使い方
機密情報を扱う法律事務所では堅牢なセキュリティ対策が必須だけど、ガチガチでは仕事がはかどらない――コスモポリタン法律事務所ではそんなジレンマの解決に取り組んだ。 数多くの非常に機密性の高い情報を日々取り扱う弁護士や法律事務所にとって、情報セキュリティ対策は必須の取り組みだ。対策を堅牢にすればするほど仕事がしにくくなる――そんなふうに考える企業は少なくない。 チャットツールで、セキュリティにまつわる「安全性 vs 効率性」のジレンマの解消へ挑むのが、コスモポリタン法律事務所(東京都文京区)だ。同事務所に所属する高橋喜一弁護士にその取り組みを聞いた。高橋氏は元日本IBMのセキュリティエンジニアという、異色のキャリアの持ち主である。 コミュニケーションツールを試行錯誤 コスモポリタン法律事務所は、さまざまな企業の法務案件を多数手がける。数多くの機密情報を守ることはもちろん、顧客や法的機関などとの
VTechの個人情報流出は1170万件、保護者と子どもに被害
不正アクセスされた原因については「Learning Lodge、Kid Connect、PlanetVTechのデータベースのセキュリティ対策が不十分だった」と認めた。同サービスや関連サイトは11月29日以来中止して、調査や対策を進めているという。 関連記事 知育玩具のVTech、子どもの顔写真や親子のチャット記録も大量流出か Motherboardによれば、子どもと保護者の顔写真や、親子間で交わしたチャットのログ記録が簡単に不正アクセスできてしまう状態でサーバに保存されていたという。 知育玩具のVTechに不正アクセス、約20万人の子供の個人情報が流出 知育玩具メーカーVTechに11月初旬に不正アクセスがあり、約5万人の保護者と20万人以上のその子どもの個人情報が流出したと米Motherboardが報じ、VTechもこれを認める声明文を発表した。クレジットカード情報は含まれていないが、
Instagramのパスワード盗むアプリ、App StoreやGoogle Playで多数ダウンロード
「自分のInstagramプロフィールを見た人物を確認できる」とうたってAppleのApp StoreやGoogle Playで配信されていたアプリ「InstaAgent」が、Instagramのユーザー名とパスワードを盗み出して外部に送信していたことが分かり、両ストアから削除された。メディア各社が伝えた。 InstaAgentの問題はドイツのiOSデベロッパー、PeppersoftのDavid L-R氏が発見。11月10日のTwitterで「Instagramのユーザー名とパスワードが正体不明のサーバに送信されている」と報告した。 同氏のTwitterによると、InstaAgentを使って盗まれた大量のユーザー名とパスワードは平文で外部のサーバに送信されていたことが判明した。50万を超すInstagramアカウントがハッキングされ、ユーザー本人の許可なくプロフィールに宣伝画像が掲載されて
Let's Encrypt発行の無料サーバ証明書、全主要ブラウザで有効に
インターネット上の通信を暗号化するTLSのために必要なサーバ証明書を無料で発行している「Let's Encrypt」は10月19日、米大手認証局(CA)IdenTrustとのクロス署名が実現し、Let's Encryptの発行する証明書が全主要ブラウザで信頼できる証明書として認識されるようになったと発表した。 クロス署名はLet's Encryptが発行する中間証明書の「Let's Encrypt Authority X1」と「Let's Encrypt Authority X2」の両方が対象となる。これでユーザー側で特別な設定をしなくても、これら証明書を使ったWebサイトのURLにhttpsの鍵マークが表示され、安全な接続が保証される。 Let's EncryptはTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行するCAとして、MozillaやCisco Systemsとい
スマート家電におけるセキュリティの正しい考え方
冷蔵庫から情報漏えいしたり、スパムを発信されたりと、スマート家電の危険性が度々話題になるが、セキュリティをどう考えたらよいのだろうか――。 8月25日付のITmediaの記事「Samsungの『スマート冷蔵庫』に脆弱性、他人にのぞき見される恐れ」について、一部の人たちから筆者に次のようなメールが届いた。 「この記事古くないですか? たしか以前にも冷蔵庫が乗っ取られたという記事があちこちに……」 せっかくなので、今回はスマート家電におけるセキュリティの考え方を深掘りしてみたい。 スマート冷蔵庫がスパム送信? 2014年1月、「冷蔵庫がスパムを送信する」というニュースで多くのマスコミが騒いでいた。 「75万通のスパムメールは冷蔵庫・テレビ・家庭用ルータなどを利用していることが判明」――Gigazine 「テレビや冷蔵庫がスパムの踏み台に」――日経ITpro 「冷蔵庫が迷惑メールを発信? モノの
「Google Code」、2016年1月25日に閉鎖へ GitHubへの移行を奨励
米Googleは3月12日(現地時間)、開発者向けにAPIなどを提供したり、オープンソースプロジェクトをホスティングするサービス「Google Code」を来年1月に閉鎖すると発表した。同日、新たなプロジェクトの作成はできなくなった。 Googleは2006年、オープンソースプロジェクト支援を目的にこのサイトを開設したが、その後、GitHubやBitbucketのようなプロジェクトホスティングサービスが立ち上げられ、多数のプロジェクトがそれらのサービスに移行していった。Googleは、Google Code上のプロジェクトに占めるスパムや悪質なものの率が高まってきていることも閉鎖の理由の1つだと説明する。 Google自身は既に、昨年10月に同社のAPI群のGitHubへの移行を開始し、Google Code上のプロジェクトを凍結している。 Google Code閉鎖までのプロセスとして、
親戚へのあいさつ回りで出会った、ビックリなセキュリティ話
親戚へのあいさつ回りで出会った、ビックリなセキュリティ話:萩原栄幸の情報セキュリティ相談室(1/2 ページ) 新年のような機会では久々に会う親戚も多い。情報セキュリティの観点では、いつもとは違って驚くような、ある意味では新鮮なシーンに出会うので、そのエピソードを紹介しよう。 今回は新年のあいさつ回りでの話をお伝えしたい。普段は情報セキュリティ関連の仕事で大学や銀行、自治体、IT企業などの方々と接しているが、新年のように親族や親戚、そしてその周辺の方々と接していると、普段とは違った新鮮な意見をいただくことができる。 叔父さんのPCがおかしい…… 叔母さんから餅をいただいたときの雑談から「叔父さんのPCがおかしい」と聞こえてきた。そこで筆者が、「仕事でPCには多少詳しいから、ちょっと見ましょうか」と伝えると、「ぜひに」というので見てみた。 叔父さんの目の前で書斎にあるPCを触ってみた。叔父さん
Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ
「Ciscoは全てのシステムに同じSSH鍵を使うという過ちを犯し、その秘密鍵を顧客のシステム上に残しておいた」とSANSは解説している。 米Cisco Systemsは7月2日(現地時間)、「Unified Communications Domain Manager」(Unified CDM)の脆弱性に関する情報を公開した。システムに特権アクセスできるデフォルトのSSH鍵が存在する脆弱性など、3件の脆弱性について解説している。 同社のセキュリティ情報によると、Unified CDMにはサポート担当者へのアクセス用にデフォルトのSSH鍵が存在し、この秘密鍵がシステム上にセキュアでない方法で保存されていることが分かった。攻撃者がこの鍵を入手でき、サポートアカウント経由でシステムにroot権限でアクセスできてしまう状態だという。 この脆弱性について米セキュリティ機関のSANS Internet
WordPressのSEO対策プラグインに脆弱性
「All in One SEO Pack」に存在する脆弱性悪用された場合、検索結果ページの表示順位を意図的に下げられたり、管理用コントロールパネルに不正なJavaScriptコードが挿入されたりする恐れがあった。 WordPressで作成したWebサイトのSEO(検索エンジン最適化)対策に使われるプラグイン「All in One SEO Pack」に脆弱性が見つかり、修正のための更新版がリリースされた。セキュリティ企業のSucuriが5月31日のブログで明らかにした。 Sucuriによると、All in One SEO Packには権限昇格とクロスサイトスクリプティング(XSS)の2件の脆弱性があり、同プラグインの修正前のバージョンを導入している全サイトが影響を受ける。 悪用された場合、ログインしたユーザーがAll in One SEO Packの特定のパラメータに手を加えることが可能だっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さくらインターネット、モリサワのWebフォントをレンタルサーバ利用者に無償提供
