OpenSSLの脆弱性突くブルートフォース攻撃発生、簡単に暗号解読の恐れ
OpenSSHなどの暗号化に使われるOpenSSLライブラリに脆弱性が見つかった問題で、この脆弱性を突いてブルートフォース攻撃を仕掛けるスクリプトが出回っている。US-CERTやSANS Internet Storm Centerは早期にSSH鍵を生成し直すよう勧告。DebianとUbuntuもアドバイザリーを公開し、対処方法を紹介している(関連記事参照)。 US-CERTによると、脆弱性はSSLとSSH暗号鍵の生成に使われる乱数ジェネレータに存在し、2006年9月17日以降に生成された暗号鍵が影響を受ける。問題を悪用されるとリモートの認証を受けない攻撃者が情報を盗み出すことが可能になる。 SANS Internet Storm Centerによれば、この問題を自動的に悪用するスクリプトが公開され、脆弱な暗号鍵を攻撃して力ずくで暗号を解読するブルートフォース攻撃に使われている。攻撃を受けれ
asahi.com(朝日新聞社):患者データ1万7000件入りPC紛失 日医大付属病院 - 社会
日本医科大学付属病院(東京都文京区)は、過去10年間に心電図検査を受けた患者約9500人のデータが入ったパソコン1台を紛失したと16日、記者会見で発表した。同病院から被害届を受けた警視庁駒込署は窃盗の容疑で捜査している。 同病院によると、紛失したパソコンには患者の氏名、受診時の病名、心電図検査結果、病院で使用するID番号の計1万7千件のデータが記録されていた。生年月日、住所、電話番号などは記録されていない。 今月8日午前10時ごろ、女性看護師がパソコンを台ごと生理機能センター棟3階の廊下に移し、そのまま放置。9日午前11時ごろ、女性技師がなくなっていることに気付いたという。 院内のパソコンは、暗証番号を設定することを定めていたが、紛失したパソコンは、設定されていなかったという。
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
Amazonほしい物リスト、個人情報漏れまくりで祭に発展 |デジタルマガジン
2008.03.12 1:18 Amazonが今月7日より「ウィッシュリスト」を「ほしい物リスト」へと改名した。ウィッシュの意味あいがより日本人向けになったカタチだ。しかし、この変更で今とんでもないことが起こっている。 「ほしい物リスト」とは、名前の通り欲しい物のリストのことだ。コレが欲しいから送ってくれ!という意味でもある。そして知り合いの欲しい物が調べられるように「ほしい物リスト サーチ」というサービスがあわせて登場したのだが、個人情報がダダ漏れなのだ。 このサービス、名前とメールアドレスのどちらかで検索することができるのだが、このメールアドレスが曲者だ。率直に言おう。メールアドレスが分かればその人の本名を知ることができる。 もちろんAmazonに登録しており、なおかつウィッシュリストを利用していなければいけないのだが、コアなネットユーザーほど登録している場合が多い。某
変形文字「CAPTCHA」はもう無意味?
Webサービスの認証などに利用される変形文字のCAPTCHAはユーザーの妨げになるだけで、不正アカウント取得を防ぐ役には立たなくなったのか。 Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。 セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。 IBM傘下のセキュリティ企業Internet Security Systems(ISS)のガンター・オルマン氏は2月25日のブログでこうした現状について紹介。CAPTCHAはかつてはいいアイデアだっ
自分のメールアドレスを画像認証でスパムから守る「reCAPTCHA Mailhide」
歪んだ英数字を入力させることで相手が「スパムボット」か「人間」かを判断する仕組みとしてCAPTCHA(キャプチャ)というものがあります。Gmailのアカウント登録時などに「文字の確認」として表示されているアレです。 このシンプルな割に結構有効な画像認証方法であるCAPTCHAを使い、自サイト上に表示するメールアドレスをスパムから簡単に守ることができるのが「reCAPTCHA Mailhide」というもの。メールアドレスを入力するだけでURLやソースコードが生成されるのでそれを貼り付けるだけです。利用は無料。 使い方は以下から。 reCAPTCHA Mailhide: Free Spam Protection http://www.google.com/recaptcha/mailhide/ スパムから保護したいメールアドレスを入力後、「Protect It!」をクリック あとは上の方に画像
はてなのCAPTCHAは簡単に破れる
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
はてなブックマーク - anti-spamのブックマーク
ブックマークspamを黙々とコレクトします。ここに載っているタイトルを書き換えたヤツは スパム業者 と見なす。 あとオレはしつこいから何回書き換えても必ず更新するから スパム業者さん よろしくな。
第3回 通用しなくなった「80番ポートの安全神話」
セキュリティ対策の基本の一つに,ファイアウォールに余計な“穴”を開けないというものがある。それでも,WebアクセスのプロトコルであるHTTPが使う80番や8080番,SSLで使用する443番などは,ふさぐことのできないポートだろう。しかし最近は,この80番などを使ったWeb経由の攻撃が後を絶たない。開けているのが80番などの基本的なポートだけでも,安心とは言えないのだ。 ボットを制御するIRCがWebのフリをする 最近,多くのパソコンに感染が広がり,セキュリティ上の大きな脅威となっているものにボットがある。ボットとは,「ロボット(Robot)」から派生した言葉で,感染パソコンをロボットのようにリモート・コントロールする不正プログラム(ウイルス)の総称である。また,ボットが構成するネットワークの総称を,ボットネットと呼ぶ。ボットネットは,ハーダーと呼ばれる悪意を持った第三者の指示により,DD
荻上式BLOG - 騙しサイトで表示される「個人情報を取得しました」画像を集めてみた
アダルトサイトっぽいページでリンク先に飛ぼうとすると、「個人情報を取得しました→登録が完了しました→何日以内に払え、払わないと通報」的な画像が表示されることがよくあります。ソーシャルブックマークなどでセルクマしてランキング操作しているサイトもあるので、知らずに訪れて焦ってしまう方も少なからずいるのでは。 しかし、それらの画像のほとんどはただの gif 画像。「請求の 正体見たり gif 画像」ということで、さっさとページを閉じ、サイトの URL を検索してみるとかが吉かと。 ところでそれらの画像って、マジマジと見ると大抵マヌケな感じがしてほほえましい。今までも当サイトで何度か取り上げたのだけれど、他にもそういう画像がないかと釣りサイトを巡ってみた。というわけで、以下ではそれらのサイトから収集した gif 画像を紹介します。画像をクリックすると、それぞれの画像を単体でみれるよ。再生が一回で終
研修で教えてくれない!:第16回「Wordファイル作成者が丸見え──メタデータも削除した?」 - ITmedia Biz.ID
先方から送られてきたWordファイルの作成者欄に、送信者とは別の名前があった──同じ会社だったらまだしも別の会社の知らない人だったら気持ち悪い。メタデータ、削除してますか? 大手総合商社・メデア商事の新人・小林ケンタは顧客に提出する報告書を作成し、課長に最終確認を取っていた。 小林 終わったっ!! その声を聞いて、同じ営業第3課の先輩・高柳ワタルがやって来た。 高柳 終わったか? 小林 はい、課長からOKをもらったので、まずはこれでお客様に提出します。 高柳 これで一息つけるな。 小林 ようやく一安心です。とにかく、初めてのことなのでめちゃめちゃ苦労しましたけど、高柳さんのアドバイスのおかげで何とか仕上げることができました。ありがとうございました。 一瞬、高柳はちょっと照れくさくも嬉しそうな表情を浮かべたが、すぐに真顔に戻って言った。 高柳 ま、それはともかく、後は先方に提出する準備だな。
Gmailに個人情報漏洩につながる脆弱性--専門家が指摘
セキュリティ団体GNUCITIZENのPetko Petkov氏が、Google Gmail利用者の連絡先と着信メールを盗む概念実証プログラムを作成した。 これについて、Pure Hackingのセキュリティ研究家Chris Gatford氏は次のように話す。「この方法を使えばすべての着信メールを転送することができる。今回は概念実証という位置づけだが、これによりこの脆弱性が悪用される可能性があることが示された」 Gatford氏の説明によると、攻撃者はクロスサイトスクリプティングの脆弱性を利用し、Gmailアカウント利用者がログインし悪意あるリンクをクリックした際にGmailアカウントを攻撃できるという。その瞬間から、攻撃者はGmailのセッションクッキーを掌握し、そのアカウントのすべてのメッセージをほかのメールアカウントに転送できるようになる。 「Googleが改修する前にこの脆弱性を突
「福田首相」メール、添付ファイルにマルウェア仕込む
福田康夫・新首相の就任に合わせ、福田首相が送信したように見せかけてマルウェアを添付したメールが一部に出回っているという。セキュリティ企業Symantecがブログで伝えた。 Symantecが毎日新聞の記事を引用して伝えたところでは、問題のメールは日本のアジア外交に関する内容で、福田首相の事務所の電話番号と住所を記載してもっともらしく見せかけているという。 Symantecは、問題のメールに添付されているアーカイブファイル「mofa.zip」を入手。これに含まれている実行可能ファイル「mofa.exe」は、バックドア機能を持つマルウェアであることが判明した。mofaは外務省の英語名「Ministry of Foreign Affairs」の略称。 同ファイルを実行すると「mofa.doc」というWord文書を開き、日本語のコンテンツを表示。その裏でシステムに不正プロセスを挿入し、バックドアを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon「ほしい物リスト」の「重要なお知らせ」、説明がより具体的に
ptlabo.net
http://www.asahi.com/international/update/1101/TKY200711010102.html