FAX番号だけで複合機が乗っ取られる“Faxploit”脆弱性公表 (1/2)
ITU-Tが定めたFAX通信規格「T.30」に存在する脆弱性を利用すれば、ターゲットのFAX番号を知っているだけでバッファオーバーフローを引き起こし、デジタル複合機(MFP)を乗っ取ることができる。さらにランサムウェア「WannaCry」でも使われた脆弱性攻撃ツールなどを組み合わせれば、複合機を踏み台にしてオフィスネットワーク内のPCやサーバーにも侵入を拡大し、機密データを盗み出すことなども可能になる――。 2018年8月12日、米国ラスベガスで開催されたハッカーイベント「DEF CON 26」では、こうした攻撃手法を紹介する講演「What the Fax!?」が行われた(講演タイトルはネットスラング「WTF=What the Fuck」のもじりだ)。講演を行ったCheck Point Software Technologiesのセキュリティリサーチャー、ヤニフ・バルマス氏とエイヤル・イト
図解:OAuth 2.0に潜む「5つの脆弱性」と解決法
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回では、RFCが公開されてから5年が経過した「OAuth 2.0」を振り返り、3つのユースケースを通じて、アクセス権限を受け渡す仕組みを紹介しました。OAuth 2.0はさまざまなユースケースに適用できます。その際、開発者はアプリケーションが動作する環境の特性を考慮しながら、仕様で定義されている処理を実装する必要があります。 今回は、脆弱(ぜいじゃく)性を作り込まないOAuth 2.0の実装手法を紹介し
米地裁、「iPhone」ロック解除問題でFBIに情報開示の義務なしと判断
2015年に起きたカリフォルニア州サンバーナディーノ銃乱射事件の容疑者の1人が使っていた「iPhone」のロックを解除するため、米連邦捜査局(FBI)はある企業と契約した。米連邦判事は米国時間2017年9月30日、FBIがその会社の名前を明かす必要はないとする判決を出した。 今から1年前、ニュース組織3社が米情報公開法(The Freedom of Information Act)の下でFBIを訴えた。FBIが問題の「iPhone 5c」のハッキングを依頼した会社の名前とそのベンダーに支払った金額を知るためだ。しかし、米連邦地方裁判所のTanya Chutkan判事は30日、その情報は政府の透明性に関する法律の下で義務付けられている情報公開の対象外だとする判決を出した。 FBIに対する訴訟を提起したのは、Associated Press、Vice Media、 米全国紙「USA Today
引く手あまたのセキュリティエンジニア、攻撃手法や国際規格の事情通
セキュリティエンジニアの役割は、システムの設計にかかわる上流工程からインシデント対応まで幅広い。事故が起こったら、迅速に状況を把握するスキルが必要。一方で、数多くある業界ごとの規約を理解し、適切に設計するスキルも求められる。 「おかしなメールを開いてウイルスに感染したようだ」。ユーザーからこう連絡を受けたNTTデータ先端技術の佐藤 玲氏は、新幹線に乗って現地に急行した。セキュリティ事故は、電話やメールだけでは分からない状況が多くある。 実際、メールを開いたのはデスクトップ仮想化(VDI)経由で接続したPCで遠隔地にあると現地で分かった。そのPCを調べたり、何百Gバイトもあるデータを取得したり、佐藤氏の仕事は現地での作業が中心になる。 まず状況を調べ上げるが、闇雲ではない。ユーザー企業のシステム構成、重要データの保管場所、アクセス権限などによって、見るべきログや設定は変わってくる。攻撃者の考
個人情報漏洩事件・被害事例一覧
本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。 最新のニュース | 過去のニュース | 個人情報漏洩とは 近年個人情報漏洩のニュースが非常に多く流れるようになっています。 個人情報の漏洩は、どのような個人・組織でも起こる可能性がありますが、組織が引き起こす個人情報の漏洩は、その組織自体に非常に大きなダメージを与えますので、今すぐに対策すべき問題であり、経営者やIT等の担当者はその意識を持っていないといけない時代であると言えます。 当ページではそのような情報漏洩に対する意識を啓蒙するためこれまでのニュース情報を整理しています。 ご自身の対策のためにぜひお役立てください。 最新個人情報漏洩事件・関連ニュース
ユーザーのパスワードを安全に保管する方法について - 11月 - 2013 - ソフォス プレス リリース、セキュリティニュース、ソフォスに関するニュース記事 - Sophos Press Office | Sophos News and Press Releases
※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on November 20, 2013 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 読者の方は、Adobe 社で 2013 年 10 月に発生したデータ侵害のインシデントについてはご存じでしょう。 これは、1 億 5 千万件のレコードが漏えいした史上最大級のユーザー情報データベースに関するインシデントであるだけではありません。今回のインシデントから別の問題も見えてきました。 漏えいしたデータから、Adobe 社がユーザーのパスワードを不適切な方法で保管していたことが明らかになりました。同社の利用した方法よりも格段に安全でパスワードを保管する方法はあります。またそれが、決して難しくないことを考えると、セキュリティの観点からす
CDNでセキュリティ対策、サイトのTLS/SSL対応にも使える
CDN(Content Delivery Network)サービスを、ファイル配信以外の目的で導入する企業が増えている。その多くは、セキュリティなどの機能を追加するためだ。「動画などの配信事業は頭打ちだが、セキュリティ事業は大きく伸びている」(Jストリームの鍋島氏)という声もある。例えばアカマイの決算資料を見ると、2014年までトップだった動画配信事業の売り上げは、2015年にWebサーバーのセキュリティ機能などを提供する事業に逆転されている。 企業が主に追加する機能は、DDoS攻撃対策やTLS/SSL▼だ。既存のWebサーバーに手を加えずに導入できる。増加するサイバー攻撃に対して、手っ取り早く対応できるメリットが受けている。本パートでは、これらの機能が提供される仕組みや利用するメリット、利用時の注意点などを見ていこう。 物量型と負荷型の攻撃に備える まずは、DDoS攻撃対策だ。DDoS攻
JVN#14151222: ソニー製ポータブルワイヤレスサーバー WG-C10 における複数の脆弱性
ソニー株式会社が提供するポータブルワイヤレスサーバー WG-C10 には、次の複数の脆弱性が存在します。 OS コマンドインジェクション (CWE-78) - CVE-2017-2275
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
CTFで学ぶ脆弱性(スタックバッファオーバーフロー編・その1) | NTTデータ先端技術株式会社
Tweet 注意事項 本コラムに記載されている内容を、自身の管理外もしくはこのような行為を許可されていないコンピューターに送ると攻撃とみなされ、場合によっては犯罪行為となる可能性があります。そのため、記事の内容を試す際には自らの管理下、または許可されたコンピューターに対してのみ実施するようにしてください。 はじめに 日々、さまざまなソフトウェアの脆弱性が発見されています。攻撃者は発見された脆弱性を悪用して攻撃するためのexploitと呼ばれるコードを開発しています。 本コラムでは、脆弱性を悪用する流れや、それを元に攻撃の成功を妨害するための防御機能などについて解説します。今回は下記内容を取り上げて解説します。 【脆弱性】スタックバッファオーバーフロー 【防御機能】ASLR 【攻撃手法】ret2esp 本コラムの目的は、脆弱性を過剰に怖がるのではなく、攻撃を正しく理解して適した対処を考えるた
「情報セキュリティ早期警戒パートナーシップガイドライン-2017年版」の改訂に伴う運用変更について:IPA 独立行政法人 情報処理推進機構
2017年5月30日、「情報セキュリティ早期警戒パートナーシップガイドライン」の2017年版を公開しました。 今回のガイドラインの改訂では、パートナーシップの役割の見直しおよび、役割の強化を行い、下記の通り運用が変更となりました。関係者の皆様に、ご理解とご協力をお願い致します。 製品開発者やウェブサイト運営者における脆弱性対処に関する意識の変化や、社会環境の変化により脆弱性対応の遅れが被害に直結するリスクが高まっていることを踏まえ、下記の通りパートナーシップの役割の見直しおよび、役割の強化を行ないました。 ■パートナーシップの役割の見直し 影響が大きい案件を優先 パートナーシップの社会的役割を明確化するため、影響の大きい案件を優先して取り扱う方向にシフトする。この評価のため、「影響度」という評価軸を設定する。 発見者と製品開発者/ウェブサイト運営者の直接調整を選択肢の一つとして提示 IPA
PC向けハッキングシミュレーター『Hacknet』日本語対応―気分はまるでスーパーハッカー? | Game*Spark - 国内・海外ゲーム情報サイト
Surprise AttackはSteamにてPC/Mac/Linux向けに発売中の、Team Fractal Alligator開発のハッキングシミュレーター『Hacknet』の日本語版配信を開始しました。 本作は、謎の死を遂げた天才ハッカー“Bit”より、彼が遺したフェイルセーフ機構によって新型ハッキング専用OS“Hacknet”を受け取ったプレイヤーがその力を使い、各地のコンピューターをハックし、様々な依頼者より与えられたタスクをこなしながら彼の死の真相に迫るというものです。ゲームの殆どは“Hacknet”の画面上で進行し、実在するUnixコマンドを利用しながら、さながらリアルなハッキングを行っているような感覚に浸ることができます。
パスワードの定期変更、強制はダメ? その理由と1つの例外
アメリカの科学研究機関NIST(米国国立標準技術研究所)が発行する「デジタル認証のガイドライン」(DRAFT NIST Special Publication 800-63B Digital Identity Guidelines)が、間もなくドラフトから正式版になる予定です。 実は、ここには「利用者に対し、パスワードの定期変更を促すべきではない」という一文があり、大きな注目を集めていました。 Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of
AWS使って社内CTFやってみたよ - とある診断員の備忘録
5/22に開催された第五回Security-JAWSにて登壇させていただきました! Security-JAWS 【第5回】2017年5月22日(月) - Security-JAWS | Doorkeeper タイトルそのままですが、某社内でAWSを使って社内CTFを開催した際のよもやま話をネタとしてお話しいたしました。 本当は当日投影したスライドとかをそのまま公開したかったのですが、イベント当日の写真とかについてはちょっと諸事情で公開できないので、今回はセッションの中でお話ししたAWSに絡む部分だけをまとめて、私のブログで公開しようかなと思います。 当日のセッションでもお話ししましたが、まずそもそもなんで社内CTFを開催したのかについては、 なんか社内でエンジニアの人に楽しんでもらえるようなイベントとかをやってみたかった セキュリティに興味をもってもらうきっかけ作りとかには丁度いいのかなと
WannaCry、ランサムウエアというよりむしろワームと考えるべきだった
5月12日に出現し、世界中の管理者やユーザーを泣かせた「WannaCry(ワナクライ:泣き出したい)」。「ランサムウエア」の枕詞が付いていたが、ネットワーク経由で増殖する「ワーム」でもあった。 感染防止の観点では、ワームである点をもっと強調すべきだった。そうすれば、社内ネットワークへの侵入を防げた可能性がある。 脆弱性を突いて感染拡大 WannaCryは、WannaCryptやWanna Cryptor、Wcryなどとも呼ばれる。感染後の挙動を見ると、WannaCryはランサムウエアの一種といえる。ランサムウエアとは、パソコンやファイルを暗号化して利用不能にし、復旧したければ金銭を支払うよう画面に表示して“脅迫”するウイルス(マルウエア)のこと。
外務省 海外安全ホームページ
【あらすじ】 この数年,テロが中東や北アフリカのみならず,欧米やアジアに拡散し,今や在外邦人もテロの標的になっている。 このような状況下,外務大臣は在外邦人の安全対策のためにデューク東郷(ゴルゴ13)に協力を要請。 ゴルゴは大臣の命を受け,世界各国の在外邦人に対して,「最低限必要な安全対策」を指南するための任務を開始した・・・。 ※このマニュアルの劇画部分はフィクションであり,実在する人物,地名,団体とは一切関係ありません。 ※ゴルゴ13の声優・舘ひろしさんからのメッセージはこちら! ※メイキング動画も是非ご覧ください!
登録番号 登録 年月日 氏名 フリガナ 生年月 支援士試験に 合格した年月 資格試験 合格証番号 講習修了 年月日 自宅住所 (都道府県) 勤務先名称 勤務先住所 (都道府県) 000001 2017年4月1��
登録番号 登録 年月日 氏名 フリガナ 生年月 支援士試験に 合格した年月 資格試験 合格証番号 講習修了 年月日 自宅住所 (都道府県) 勤務先名称 勤務先住所 (都道府県) 000001 2017年4月1日 野田 和美 ノダ カズミ - 2010年6月 - - - ケイズ・オフィス 大阪府 000002 2017年4月1日 岡崎 吾哉 オカザキ ミチヤ - 2016年6月 - - - - - 000003 2017年4月1日 中島 竜馬 ナカシマ リョウマ 1975年10月 2015年12月 SC20151000472 - 東京都 - - 000004 2017年4月1日 浜口 武久 ハマグチ タケヒサ 1971年3月 2007年6月 SV20070401014 - 神奈川県 - - 00
【2017/3/13追記】標的型攻撃メールに関する注意喚起 - 情報基盤センターからのお知らせ
Information Technology Center, The University of Electro-Communications 2017年 3月13日16:25頃より学外から学内のメールアドレスに向けて、標的型攻撃メールを大量に受信しています。 今回の標的型攻撃メールの内容は検体が確保できていないので詳細は不明ですが、pdfファイルあるいはdocファイルを装った実行型ファイルをZIPファイルで圧縮したものが添付されているようです。 送信元に心当たりがない場合は、メールを開かずに破棄してください。どうしても確認したい場合は、展開したファイルを開く前にファイルのプロパティを確認し、正しいdocファイルあるいはpdfファイルであることを確認してください。また、ファイルを開く際は、最新のOfficeやAcrobat Readerを用いてマクロを無効化して開いてください。該当するメー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.qnap.com/ja-jp/news/2017/qnap%E3%81%AF%E6%9C%80%E8%89%AF%E3%81%AE%E3%83%87%E3%83%BC%E3%82%BF%E4%BF%9D%E8%AD%B7%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%81%82%E3%82%89%E3%82%86%E3%82%8B%E5%8A%AA%E5%8A%9B%E8%A1%8C%E3%81%86-cve-numbering-authority-
職場で標的型攻撃メール訓練用の仕組みを作ったので備忘録 - Nanairo