備忘のためまとめました。 同意事項として、『「パスワードは漏洩したらすぐに悪用される」とは限らないこと自体は自明な例を含めれば明らか』とありますが、自明な例としてあげているのは、以下のことです。 ・とあるサイトから漏洩したパスワードは、様々なサイトに対して悪用されたり、悪用されなかったりする ・しかし、世界中のすべてのサイトに対して悪用が試みられるとは考えられない、これは自明である ・従って、世界中のサイトの中には、悪用されないサイトも存在する 続きを読む
武田先生と徳丸の対話: 某サイトから漏洩したパスワードがAmazonに対して悪用されなかった事例からどこまでのことが言えるか
備忘のためまとめました。 同意事項として、『「パスワードは漏洩したらすぐに悪用される」とは限らないこと自体は自明な例を含めれば明らか』とありますが、自明な例としてあげているのは、以下のことです。 ・とあるサイトから漏洩したパスワードは、様々なサイトに対して悪用されたり、悪用されなかったりする ・しかし、世界中のすべてのサイトに対して悪用が試みられるとは考えられない、これは自明である ・従って、世界中のサイトの中には、悪用されないサイトも存在する 続きを読む
「ポケモンGOマップ」アプリがモンストが開くはずのURLスキームを乗っ取り全画面広告に転送してくるので注意
ポケモンの出現位置をリアルタイムで表示する地図アプリ「ポケモンGO マップ - リアルタイムでポケモンを探そう!」が人気で、AppStoreの無料総合ランキング上位に位置しています。 しかし、このアプリについて、「モンストマルチ掲示板が乗っ取られる」「モンストマルチのLINE募集機能が使えなくなる」などとレビューされています。 これは一体どういうことなのか。実際に試してみたので、その問題やカラクリを紹介します。 早い話、「モンスト」アプリが起動するためのURLを開くと、なぜか「ポケモンGOマップ」アプリが代わりに開いて「全画面広告」を表示してくる、しかもポケモンGOマップのせいだと気が付きにくい仕組み&結果モンストが正しく動作しない、そんな現象が、ポケモンGOマップをインストールしたユーザーに発生しています。 目次 1. 「ポケモンGO マップ」が人気2. 「モンストが使えなくなる」等の謎
パスワードの定期的変更よりも複雑なパスワード設定の方が重要なことをユーザにどう伝えるか? - NW屋的日常徒然日記
こんばんは。京都銀行のインターネットバンキングにおけるログインパスワードの定期的変更に関するお知らせがいろいろと波紋を呼んでいますね。 www.kyotobank.co.jp 以前、パスワードの定期的変更がセキュリティ対策として是とされていましたが、パスワードの定期的変更には意味がないという説の方が有力になってきましたね。単純なパスワードを定期的に変更するよりは、複雑なパスワードを設定した方が辞書攻撃やブルートフォース攻撃に対してはるかに有効であるということですよね。 上記の京都銀行のページですが、ログインパスワードの定期的変更にどれだけの意味があるのかということを性格に理解しているのでしょうか? Twitter上でも@gikokuma さんが書かれてましたように、「定期的なパスワード変更で対応できるのは定期的なパスワード流出事故の対応に有効なだけ」だと思います。 上記ページに書かれている
定期的なパスワード変更の効果有無まとめ - pochi-pの絵日記
自由研究の季節 夏です。今年もまた自由研究の季節がやってきました。何年か前にパスワード定期変更云々という夏休みの自由研究をやりました。このエントリは総当たりに対する防御の視点で書かれたものです。 今回は「総当たり対策」以外の視点でパスワードの定期的変更の効果を検証します。 このまとめは気が向いたらテキトーに項目を追加&編集していきます。まだまだ完成版ではありません。 大前提 ・ユーザーが自主的に定期的変更するのもいいが、パスワードに関してはまず設定可能文字数を大きくする・使用可能文字種を増やすのが最初の一歩です。 ・サイト側がユーザーに定期的変更を強制すると、ユーザーは結果的に強度の弱いパスワードを使いがちなので強制は良くない。*1 ・サイト側での保存方法には必ずハッシュ化+ソルト+ストレッチングを設け、秘密の質問の様なゴミは使わない事。 ・変更タイミングの基本は とします。その上で例外的
緊急のセキュリティ強化策へのご協力をお願いいたします。~「ログインパスワード」の取扱変更について ~
◎ 当行を含む、多くの金融機関では「定期的な暗証番号・パスワード等の変更」をお願いしており、この趣旨をご理解いただき、定期的に暗証番号・パスワードを変更されているお客さまにおいては、犯罪者によるログインが不成立に終わり、被害が未然に防止できた事案も増加しています。 × 一方、金融機関からのお勧めにもかかわらず、暗証番号・パスワード等を長期に亘って変更しないまま、インターネットバンキングをご利用になられているお客さまにおいては、犯罪者によるログインが成立しやすく、最悪の場合、不正送金の実害に遭われる事案に至っています。 当行では、これまでからセキュリティ強化策の一環として『暗証番号・ログインパスワードの定期的な変更』をお願いし、多くのお客さまが、暗証番号・ログインパスワードを進んで変更いただいております。 しかしながら、自らのご意思で暗証番号・ログインパスワードを「変更しない」という選択も可
パスワードの使い回しなどが原因の新たな手口と被害を確認 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
パスワードの使い回しなどが原因の新たな手口と被害を確認 ー知らぬ間に友人・知人宛になりすましメールが送りつけられる被害が多発ー 2015年6月以降、IPAの安心相談窓口に「自分が使っているフリーメールのアドレスを詐称して友人・知人に対してなりすましメールが送信されているようだ」という相談が多く寄せられるようになりました。それらの相談には、次のような特徴が見られます。 現在、利用しているフリーメールのアドレスを送信元とした(詐称した)なりすましメールが送信されている。 そのなりすましメールは“友人・知人など(受信トレイにあるメールの送信元アドレス等)”宛てに送信されている。 フリーメールサービスのログイン履歴に不審な記録は見られない。 フリーメールサービスのログインパスワードを変更してもなりすましメールの送信は止まらない。 上記1.および2.の現象ではフリーメールサービスへの不正ログインによ
スマホ対応照明器具に脆弱性、XSS攻撃や情報流出の恐れ
また、無線LANのWPA2暗号にデフォルトで脆弱なプリシェアードキー(PSK)が使われている問題では、WPA2 PSKを簡単に破られてしまう恐れがあるという。 Rapid7によれば、この2件を含む5件の脆弱性についてはOsramがパッチを公開済みだが、7月26日の時点でまだ未解決の脆弱性も4件ある。 同社は5月にこの問題をOsramに報告し、米セキュリティ機関のCERT/CCにも通知していたという。 関連記事 防犯カメラがDDoS攻撃、無防備なIoTデバイスに警鐘も 防犯カメラのみで形成するボットネットから大規模なDDoS攻撃が仕掛けられる事件が発生した。 「IoT時代のセキュリティ対策」はどうすべきか あらゆるモノがインターネットにつながる「IoT」への関心の高まりとともに、そのセキュリティへの懸念も強まっている。IoT時代のセキュリティ対策は、もはや「対症療法」では追いつかない。これを
僕の魔法はセキュリティに問題がある | ノベル日和
脇腹の痛みを感じて僕は目覚めた。目の前に鉄兜をかぶった衛兵がいた。彼が僕を蹴って起こしたのだ。 「な、なんなんですか!?」 僕は痛みをこらえながら言う。起きあがろうとした僕を衛兵が押さえつけた。手ではなく、槍の石突で。それはみぞおちに入り、僕は一瞬、息ができなくなった。 僕が眠っていたのは自室のベッドではなかった。嫌な匂いのする石造りの部屋の床である。床の色は赤黒く変色している。そこを僕は染め直すことになった。口から吐き噴き出した血によってである。鮮血の赤はやがて床の色と同じに変わるはずだ。ここは、血塗られた部屋なのである。 拷問と処刑に関するものはなんでもあった。親指締め機、頭蓋骨粉砕機、口や性器を内側から破壊する苦悩の梨、刃のついた巨大な振り子、水槽に設置された振り子のような水責め椅子。棘だらけの審問椅子もあった。内側の棘をみせつけている観音開きの棺桶のようなものは鉄の処女であろう。な
ボタンひとつでALSOK警備員を呼べる携帯電話が面白い!子供への防犯ブザーとしてや、高齢者への救急対応まで幅広く使えます。 - クレジットカードの読みもの
この記事は新しいサイトに移転しました。 約3秒後に自動的にリダイレクトします。 リダイレクトしない場合はこちらをクリックしてください。
無償SSLサーバー証明書Let’s Encryptの普及とHTTP/2および常時SSL化 | OSDN Magazine
Webサイトの暗号化(SSL化、HTTPS対応)はこれまでEコマースやプライバシを守る目的で部分的に導入されてきたが、SHA1からSHA2への切り替え、モバイル端末の普及やHTTP/2の登場によって、サイト全体を常にHTTPS通信にする常時SSL化の動きが活発になっている。さらにSSLサーバー証明書を無償で入手可能なLet’s Encryptのサービス開始や主要なWebサーバーソフトウェアの安定版でHTTP/2が利用できるようになったことでその動きは加速している。本稿ではSSL化を取り巻く最近の状況を整理し、NginxとLet’s EncryptによるHTTP/2&SSL化の実装例も紹介していく。 これまで証明書の無償入手は限定的 HTTPSのWebサイトを運用するには通常、商用の認証局にSSLサーバー証明書の発行を申し込み、必ず費用が発生するものだった。一部限定した目的では無償で利用でき
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
【セキュリティ ニュース】スマホ充電スポットに潜む危険 - 信頼できるサービスの利用を(1ページ目 / 全2ページ):Security NEXT
スマートフォンで困るのが「バッテリー切れ」。その際、気軽に使える公衆の充電スポットは強い味方となるが、目の前のUSB端子やケーブルへ端末を接続する前に信頼できるサービスであるか、考えてみることが必要だ。 スマートフォンをUSB経由でコンピュータへ接続した際に、どのようなデータがUSBケーブルでやりとりされているか、Kaspersky Labが調査を実施したもの。バージョンが異なるAndroid端末やiPhoneを使用し、通信内容を調べた。 同社によれば、調査を行っていたスマートフォンでは、コンピュータと接続を確立しようとする際、デバイス名やメーカー名、シリアルナンバーなどの基本的な情報を送信していることが判明。端末によってはファームウェア情報やOS情報、ファイルリスト、電子チップIDなども含まれていたという。 充電スポットが、電源ソケットで提供されており、充電器やケーブルなどを端末利用者が
SQLインジェクション対応しないの? - masalibの日記
ここ最近はゲームや 仕事に忙しくてブログの更新をさぼっていました m(_ _)m 外注さんといっしょに仕事するようになって 一番ビックリしたのは SQLインジェクション対応していない事 マジで・・・ フレームワークの関数が用意されているのにそれをつかわずに 独自でSQLを書いている・・・・ 気がついたのは外注さんが作ったソースをもとに 似たような機能を作ろうとしたらビックリ いやいやいや・・・・ フレームワークに従うべきだろう・・・ あとから入ったプロジェクトだけにいまさら戻れないけど インフラエンジニアとしてSQLインジェクションをいれていないのは許せない!! 全プログラムをコードレビューしないといけないとか マジ悲しい・・・
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サーバー証明書切り替えにより、一部の端末でモバイルSuicaが利用不可に | スラド モバイル
eo公式|eoマイページのログインシールについて知りたい。|よくあるご質問(お困りごと・トラブルの解決)|eoユーザーサポート
Android 4.3以前の「ブラウザ」アプリにサービス運用妨害(DoS)の脆弱性、10端末が対処未定 
CGIを利用するWebサーバーの脆弱性、中間者攻撃や不正なホストへの接続に悪用の恐れ
DLLのパス検索処理を改善するなどしてセキュリティを高めた「Explzh」v7.35が公開
SSL Server Test (Powered by Qualys SSL Labs)
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ