社会保障審議会年金事業管理部会委員等の任命について |報道発表資料|厚生労働省
平成27年7月1日 【照会先】 年金局事業企画課 梶野 (3650) 土崎 (3653) (代表電話) 03(5253)1111 (直通番号) 03(3595)2806 ○ 本日、社会保障審議会年金事業管理部会の委員として、新たに、下記の者を「社会保障審議会年金事業管理部会委員」に任命いたしましたので、お知らせします。 【社会保障審議会年金事業管理部会委員】 金田 修(かねだ おさむ) 全国社会保険労務士会連合会前会長 齋藤 衛 (さいとう まもる) 株式会社インターネットイニシアティブ サービスオペレーション本部セキュリティ情報統括室長 西村 元也(にしむら もとや) 株式会社野村総合研究所経営役 原 英史(はら えいじ) 株式会社政策工房代表取締役社長 藤井 康行(ふじい やすゆき) 新日本有限責任監査法人エグゼクティブディレクター
ブラジルの20歳のサイバー犯罪者、オンライン銀行詐欺ツールを販売して利益を獲得 | トレンドマイクロ セキュリティブログ
ブラジルのアンダーグラウンドで「Lordfenix」と名乗る 20歳の大学生が、最も評判の高いオンライン銀行詐欺ツール作成者の 1人となりました。この人物は、100 以上のオンライン銀行詐欺ツールを作成し、アンダーグラウンドで高い評価を得ています。これらの不正プログラムはそれぞれ 300米ドル(2015年7月3日時点、36,900円)以上の値段が付けられています。トレンドマイクロが確認した若い単独のサイバー犯罪者の中で、Lordfenix は最も新しく確認されたサイバー犯罪者です。 ■「Lordfenix」とはどのような人物か Lordfenix は、ブラジルはトカンティンス州で情報科学を専攻する 20歳の学生です。弊社は、この人物が「Filho de Hakcer」という別のハンドル名で活動していた 2013年4月までたどることができました。「Filho de Hakcer」とは、スペル
金融犯罪にご注意ください : 三菱UFJダイレクトの不正利用被害の補償について | 三菱UFJ銀行
個人のお客さまにおかれまして ご契約番号等の盗用または不正な振込に気付いたらすみやかに当行に通知していただくこと 当行の調査に対し十分な説明を行っていただくこと 警察に被害届をご提出または被害のご相談をいただくこと を前提に、原則として通知があった日から30日前の日以降になされた払出しについて被害補償いたします。なお、ご本人に過失がある場合の被害補償額は4分の3となります。ただし、これらは番号等の盗用から2年を経過する日後に通知をいただいた場合には適用されません。さらに、ご本人に重大な過失がある場合、ご本人の配偶者、二親等以内の親族、その他同居人または家事使用人によって行われた場合、またはご本人が被害状況の説明において重要な事項について偽りの説明を行った場合には被害補償の対象とはなりません。 三菱UFJダイレクトとは、利用者ご本人が電話機、スマートフォン、パーソナルコンピューター等を通じて
セキュリティと NFS
6. セキュリティと NFS ここでいくつかセキュリティ上の留意点を述べますが、 これであなたのサイトが完全に安全になるわけではありません。 なにものも、サイトを完全に安全にすることはできません。 この節を読めば NFS 絡みのセキュリティ問題に関する知識を得る助けにはなるでしょうが、 網羅的なガイドではありませんし、この内容も常に変化し続けています。 もしセキュリティ関連の技やヒントをお持ちでしたら、 HOWTO の管理者に送ってください。 もしあなたのネットワークが、外部といっさいの通信を行わず (モデムもだめ)、かつ内部のマシンすべてとユーザすべてを信頼できるなら、 この節の内容はあなたの役には立ちません。 しかしこのような状況にあるネットワークはどちらかというと少数でしょうから、 NFS を設定する人には、この節を徹底的に熟読することをおすすめします。 NFS において、サーバのリ
ssh専用ハニーポットKippo
SSHに辞書攻撃して、サーバに侵入しようと試みるクラッカーの動向を追うために、ssh用のハニーポットを導入してみた。 名前は「Kippo」。 インストール手順はsshハニーポットをkippoで作ってみる を参考にさせていただいた。 構成としては以下のとおり。 ┌──────────────┐ │ Cracker │ └──────┬───────┘ │ │ port:22 │ │ ▼ ┌───────────────────┐ │ firewalld │ │ ↓ │ │ portfoward-to: │ │ 22222 │ │ ↓ │ │ Kippo │ └───────────────────┘ 2015-06-29 20:25:36+0900 [SSHService ssh-userauth on HoneyPotTransport,442,43.255.189.44] login a
AWS Solutions Architect ブログ
Amazon Web Servicesでは強力な暗号化は標準機能の一つであり、(以前はSSLとよばれた)TLSという暗号化プロトコルが必要不可欠です。 TLSは全てのAWS APIで用いられており、Elastic Load Balancing (ELB), AWS Elastic Beanstalk, Amazon CloudFront, Amazon S3, Amazon RDS, Amazon SESなどのお客様が直接使うサービスでも使われています。 過去18ヶ月程の間は、TLSプロトコルの波乱に満ちた期間でした。優れた暗号解析技術はこれまで考えられていたよりも深刻であるいくつかのTLSアルゴリズムの欠陥をハイライトし、セキュリティ研究はTLSのいくつかのソフトウェア実装に問題を明らかにしました。総体としてはこれらの開発は正しくセキュリティを向上させるものでしたが、ソフトウェアアップグ
ネットワーク診断の現場から(netcat編・その1) | NTTデータ先端技術株式会社
Tweet はじめに ネットワーク診断では、脆弱性スキャナーや侵入テストツールなどのさまざまなソフトウェアを使用します。これらはどれも複雑なソフトウェアであるため、インストール方法から実際の操作まで、事前に多くのことを学ぶ必要があります。 しかしネットワーク診断の現場では、コマンド1つで提供されるシンプルなツールも多く利用されています。そのような簡単なツールでも、うまく使いこなせばさまざまなセキュリティチェックを行うことができます。 このコラムではネットワーク診断で使われるツールの中から、一般的なUNIX/Linuxで標準パッケージとして提供されており、簡単に利用できるコマンドを紹介していきます。これらのツールはネットワークのトラブルシューティングにも使われることが多いため、ふだんサーバー・ネットワークの構築をしている方々にも役立てていただきたいというのがこのコラムのねらいです。 今回のコ
ファンタスティックな4つのMetasploitペイロード
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピューターに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取った上で、自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 Metasploit Frameworkのペイロードを試す 前回は、被攻撃環境を用意し、Metasploit Framework(以下、Metasploit)を用いて、脆弱性(利用した攻撃モジュールはexploit/windows/http/efs_fmws_userid_bof)を利用して制御を奪取可能なポートをオープンさせ、乗っ取り、コマンドを実行できることを実際に試した。 前回利用したペイロードは[windows/shell_bind_tcp]のみだったが、攻撃モジュール同様、ペイロードに
サイバー攻撃の演習環境について - Eiji James Yoshidaの記録
SPNのトレーニングなどで使っている演習環境と同じようなものを作りたいといった質問を受けることが多いので、ここに書いておく。 演習環境は仮想化ソフトで構築されていて、Windowsにインストールできるものとしては私も使っているVMware WorkstationやOracle VM VirtualBoxなどがある。 VMware Workstation(www.vmware.com) Oracle VM VirtualBox(www.virtualbox.org) Oracle VM VirtualBoxは無償なのに有償のVMware Workstationと同等の機能を持っているので、個人で勉強するならOracle VM VirtualBoxで十分だと思う。もちろん、スナップショットの機能もある。 VMware Playerも無償だが、標準ではスナップショットの機能が無く作業効率が悪いの
[PDF]俺とお前とCertificate Transparency
1 すみだセキュリティ勉強会を主催しています、ozuma5119と申します。 ふだんは、比較的固めの会社でセキュリティエンジニアをしています。ブログはこち ら。 http://d.hatena.ne.jp/ozuma/ 科学写真家というのは、「理科の教科書に載ってるような写真」を撮る人たちです。 こちらは副業ということで、小学生向けの教材の写真とか撮って、ときどき本に載っ たりします。 2 今回の概要はこんな感じです。 今日のメインは、2つめのCertificate Transparencyというものです。これについて話そ うと思うのですが、その前にまずSSL証明書の鑑賞方法を学んでおきましょう。 CTを理解するには、証明書の見方を知らないといけないためです。 ただ、単に証明書を見ても、証明書マニアじゃないとつらいと思うので、今日は素数 に注目して証明書を見てみましょう。 素数に注目して
Stanford Internet Research Data Repository
The Stanford Internet Research Data Repository is a public archive of research datasets that describe the hosts, services, and websites on the Internet. While the repository is hosted by Stanford Empirical Security Research Group, we are also happy to host data for other researchers as well. The data on the site is restricted to non-commercial use. A JSON interface is available. Contact support@es
6,720分でWebアプリケーションスキャナを作る方法 - Qiita
2014/12のssmjpにて、「Webアプリケーションスキャナの作り方」と題して喋った。 本投稿はそのときの内容を纏めたものとなる。 アジェンダ 0.なぜWebアプリケーションスキャナを自作するのか? 1.Webアプリケーション診断とは? 2.Webアプリケーションスキャナとは? 3.Webアプリケーションスキャナの基本動作 4.用意するもの 5.GUIの作り方 6.Proxy機能の作り方 7.診断リクエスト送信機能の作り方 8.脆弱性判定機能の作り方 9.動かしてみる 10.まとめ 0.なぜWebアプリケーションスキャナを自作するのか? 私の場合は特に理由はない。ただの趣味。 といっては味気ないので、あえて尤もらしい理由を付けると、 自作を通してスキャナが脆弱性を検出する原理を理解することで、Webアプリケーション診断の精度が向上するからだ。 診断ではスキャナを使うことが多いが、スキャ
AWS 権限管理のベストプラクティスについて考えてみた | はったりエンジニアの備忘録
AWS は Management Console や API ですべて操作できます(Direct Connect など一部例外もあります)。データセンターの物理的なセキュリティなどは AWS が責任を負うところで、ユーザーはまったく意識する必要はありません。 その代わり、OS やミドルウェアの管理、アプリケーションの設計や実装、適切な権限管理などはユーザーが責任を負うところです。 今回はあまり取り上げられないけど、すごく大事な権限管理についてまとめてみました。自分が仕事で関わっているプロダクトで権限管理を見直すときに調べたことをベースにしていますが、もっと良いプラクティスがあればぜひ教えてください。 AWS アカウントは使わない 普段の運用で AWS アカウントは使いません。 AWS アカウントとは、最初にサインアップするときに作られるアカウントです。 このアカウントは Linux で言う
サイバー攻撃とのはてなき戦い--“暗号アルゴリズムの危殆化”における問題点と技術者に求められるモノ
情報処理における全国のエキスパートが一堂に会したリクルート主催の「春の情報処理祭」。株式会社インターネットイニシアティブの須賀祐治氏は、暗号技術を取り巻く現在の状況ついて語りました。(春の情報処理祭りin京都より) 深刻な情報セキュリティ技術者不足 須賀祐治氏:はい、じゃあ、須賀です。さっさと始めます。(スライドが)220枚ぐらいあります。絶対無理です! 登場曲についてなんですけど、社内のみんなに「どんなのがいいかね?」って。石野卓球のCDだったり、電気グルーヴのCDだったり、クラッシック系だとリスト辺りがいいかなと思ったんですけど、結局最終的にこれ(『石野卓球 MIX-UP Vol.1』)にしました。 なぜかというと、修士1年、2年ぐらいのときによくこれを聴きながら論文を書いてたっていう記憶がありました。それで、これ、なかなか見つからなくて、うちの3階の納屋みたいなところにあって、やっと
HTTP/2から見えるTLS事情 - あどけない話
これは HTTP/2 アドベントカレンダー19日目の記事です。 この記事はたくさんの資料を読んだ上で書きましたが、間違いとか勘違いとかがあるかもしれません。もしあれば、指摘していただけると幸いです。 実質的に必須となったTLS HTTP/2は、HTTP/1.1と同じく、暗号化なし/ありのポートとして、80と443を使います。そのため、通信開始時にHTTP/1.1とHTTP/2をネゴシエーションするための仕組みが、HTTP/2で定められています。 このように仕様としては暗号化なしのHTTP/2が定義されていますが、Firefox や Chrome が TLS を要求するために、実質的は暗号化ありが必須となっています。これは、米国の監視プログラムPRISMに代表される広域監視(pervasive surveillance)に対抗するために、IETFがさまざまな通信にプライバシの強化を要求する方
LAN内で利用されているIPアドレスを調べる『arp-scan』コマンド | 俺的備忘録 〜なんかいろいろ〜
あまり知らない環境で作業をする際、LAN内で稼働しているマシンの一覧が欲しくなる事もあるだろう。 そんなときに便利なのが、今回紹介する『arp-scan』コマンドだ。 このコマンドを実行することで、同じネットワークに所属して動作しているマシンのIPアドレスとMACアドレスの一覧を取得することができる。 1.インストール まずはインストールから。 インターネットに接続している環境であれば、以下のコマンドを実行するだけだ。 Debian/Ubuntuの場合 apt-get install arp-scan RHEL系の場合 yum install arp-scan ソースからコンパイルする場合は、前提となるpcapなどをインストールした上で、以下のようにコマンドを実行する。 git clone https://github.com/royhills/arp-scan.git cd arp-sc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://mrtc0.github.io/slides/ltdd-16-ssh-auth.html
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
Mozilla to Support Certificate Transparency in Firefox
Certificate Transparency GACHA