ITに精通した父が急逝した。父は請求書の支払や銀行取引、eBayなどのオークションサイトでの売買、PayPal、投資などすべてをオンラインで行っていた。 亡くなったときにも出品中のオークションがあり、返品された品物に対する返金処理が残っていた。医療保険も自動引き落としになっていたが、これらのシステムにログインできないため、キャンセルすることもできなかった。不幸中の幸いはGmailがログイン状態だったことで、父あてのメールを自分のアカウントに転送するように設定することができたことぐらいだろうか。最終的には各機関に電話で問い合わせたのだが、すぐに対応してくれるところがある一方、死亡証明書や遺言執行者であることの証明が必要なところもあった。その間にもオークションでは品物が売れていき、必要のない請求も発生していった。 自分にもしものことがあった場合に身内が同じような目にあわないよう、ログイン情報を

政府は7日に開かれた「情報セキュリティ政策会議」で、サイバー攻撃に対する中央省庁職員の意識を高めるため、「標的型不審メール訓練」を実施することを明らかにした(YOMIURI ONLINEの記事、 INTERNET Watchの記事)。 対象は内閣官房など12の政府機関の職員5万人で、10月から12月にかけて実施される。マルウエアを模したファイルの添付された摸擬不審メールを職員あてに送付し、ファイルを開くなど不適切な処理をした場合は教育用コンテンツに誘導するとのこと。 個人的にはどれくらいひっかかる職員が出てくるかが気になるところである。「マルウエアを模したファイル」ということで、実際にマルウエアが添付されるわけではないようだが、セキュリティソフトにブロックされてしまうことはないのだろうか。

セキュリティ企業Privateer LabsのRiley Hassell氏によれば、Androidに対する新たな攻撃手段が発見されたとのこと(Reutersの記事)。 Hassell氏によると、広く使われているAndroidアプリの10本以上に脆弱性を発見したという。外部に公開されるアプリが脆弱性を持つ場合、攻撃者に利用される可能性があるとも述べた。ただし、修正方法が用意されてない段階での公開は危険であるとして、具体的なアプリ名の言及は避けた。 Hassell氏は同僚のShane Macaulay氏とともに、セキュリティイベントBlack Hatのトークに「Hacking Androids for Profit」というテーマで出演を予定していたが、時間になっても会場に現れずに波紋を巻き起こしていた。Hassell氏によると、研究成果を発表することで世界中の消費者を危険にさらすことはできない

米Adobe SystemsはAdobe Flash Playerの最新版、10.3.181.14を公開した。 本バージョンでは深刻度が最も高い「Critical」に分類された全11件の脆弱性が修正されており、早急にアップデートすることが望ましい (Adobe Flash Playerのインストール、 Flash Player Features、 Security bulletin、 窓の杜の記事)。 主な新機能としては、OSのコントロールパネルからプラグイン設定を変更できる「Flash Player設定マネージャー」、ローカル記憶領域に保存したデータをWebブラウザーの履歴管理設定に連動して自動消去する機能、マイクを使用する場合にエコーやノイズを除去する機能などが挙げられる。

秋田市の職員が住民基本台帳システムに不正にアクセスし、計54世帯分の個人情報を不正に閲覧していたことが分かった（NHK、秋田魁新報）。 問題の職員は、別の職員の机にパスワードが書かれた付箋が貼り付けられているのを見て、それを利用して住民基本台帳システムや課税情報が登録されたシステムに不正にアクセスしたとのこと。計54世帯分の住所や氏名、課税状況を閲覧したという。 職員は「知っている職員や知人の年齢に興味があって見た」と話しているという。 総務省によると、住基ネットの不正アクセス事件はこれまで起きたことがないとのこと。初の事件が「メモに書かれたパスワード」という、やってはいけない基本中の基本で漏れてしまった。戒告で済ませて幕引きをはかっているが、これでよいのだろうか？

PlayStation Network/Qriocityの情報漏洩に関し、Sony Computer Entertainment AmericaおよびSony Network Entertainmentは5日、米国内のユーザーに対して個人情報漏洩対策プログラムを無償で提供することを発表した(PlayStation Blog)。 個人情報保護サービスを提供するDebix社との契約によるもので、「AllClear ID Plus」を申し込みから12ヶ月間、無償で提供される。 プログラムで提供される主なサービスは下記のようなもの。 インターネット上に個人情報が露出していないかを監視し、発見時にはユーザーに通知 個人情報の露出や、悪用された疑いがある場合などは、専門家による調査や個人情報回復手続きを優先的に受けることができる 個人情報悪用の被害者となった場合には最大で100万ドル(約8,000万円

米国の大手新聞社Wall Street Journal（WSJ）が、内部告発者向けのサイト「WSJ SafeHouse」を立ち上げた (Forbesの記事、 AFPBB Newsの記事)。 このSafeHouseは「Wall Street Journalとのセキュアな情報共有サイト」と題されており、送付された情報はWSJの記者や編集者が調査、フォローアップを行うという。データとしてはテキストから音声、写真まで、ほぼすべてのフォーマットを受け付けるとしている。 なお、情報の送信は匿名で可能だが、匿名性が必要でない場合は連絡先付きでの送信を勧める、としている。

5月3日、Android向けのファイアウォールアプリ「WisperMonitor」がリリースされた。WisperMonitorは外向きのネットワーク通信をモニタし、不適切な通信をブロックするもの。Androidアプリが個人情報などを外部に送信することを防げるという。 WisperMonitorはAndroid向けのセキュリティツール「WisperCore」の一機能として含まれているとのこと。現在は初期ベータの段階とのことだが、無料で利用できる。

New York Timesの記事によると米国では学習時間の不足から筆記体の書き方を教える授業が少なくなっており、筆記体の読み書きができない人が増えているようです (NYTimes.comの記事)。 筆記体の読み書きは21世紀の子供たちに必要な能力ではないとする学校がある一方で、筆記体の衰退が署名の偽造によるリスクと高めるとの懸念する意見もあります。筆記体の書けない人はブロック体で署名することになりますが、ブロック体では署名が真似しやすくなるということのようです。セキュリティの専門家 Bruce Schneier氏は、大した脅威にはならないとブログでコメントしていますが、手書きの署名が重要な欧米社会では無視できないリスクになってくるのかもしれません(Schneier氏のブログ)。 活字のような字なら誰でも読むことができますが、達筆な人がいなくなることは文化的にもったいない気もします。 クレ

ストーリー by reo 2011年05月02日 11時30分 誘い受けということですよ、いわはず 部門より 米中サイバー戦争が起きているとされているなか (レコードチャイナの記事)、第三者テスト機関 NSS Labs の調査員 Dillon Beresford氏は 18 ヶ月間に渡り、中国政府及び地方政府のネットワーク、並びに PLA 及び中国上位大学のネットワークを調査した結果、中国ネットワークはサイバー攻撃に対して脆弱であることを指摘している (本家 /. 記事、threatpost の記事より) 。 氏が調査に使用したのは Metasploit や Netcat といった無料オープンツールや翻訳アプリの Google Translate。中国が他国に仕掛けているとされる積極的なサイバー攻撃とは裏腹に、中国は基本的なサイバー防御機能が欠如しており、機密である無し関わらず、政府のネット

セキュリティソフトのウィルス解析を行ってる技術者の年俸は3,4千万とかTVでやってたな。 単に解析技術だけでなく、スピードやいたちごっこの対応、またちょっとのミスでPCが動かなくなるとか、特定アプリが誤判定で起動できないなど、相当数のユーザに迷惑をかけることになるため相当な苦労もあるだろう。 とはいえ、公共の基幹システムなど作っているSIerやその技術者諸氏においても利用者数とトラブル時のインパクトは大きいわけだが、年俸の差もかなり大きい。 この差はいったいどこからくるのか、どうやれば埋められるのか。 セキュリティソフトは月ないし年契約で継続的に収入を得る仕組みだが、基幹システムも保守契約等のため作って終わりではないが、細かくとも末端ユーザ(法人含)と直契約で大勢から継続課金するのと、システムという青果物に対してのみの一括徴収型との差があるのか。 公共システムタイプの場合も、利用ユーザ数を

ブログサービス WordPress.com のサーバが不正に侵入され、ソースコードやその他の情報が漏洩したそうだ (INTERNET Watch の記事、本家 /. 記事より) 。 不正侵入は複数台のサーバに対して行われ、ルート権限を奪われるレベルであったと運営会社の米 Automattic 社は明らかにしている (公式ブログの記事) 。侵入されたサーバ上のデータは全て漏洩した可能性があり、ソースコードが漏洩し複製されたであろうとのこと。漏洩情報には同社の Twitter や Facebook アカウントのパスワードや API キーも含まれる可能性があるとのこと。 現在さらなる調査が行われており漏洩情報の詳細は明らかになっていないが、同社はユーザに対しパスワードの変更や強化などの対策を推奨しているとのことだ。

この論文で考えているのは， 相手に暗号文（暗号化されたデータ）が渡っていて，相手は時間の許す限りブルートフォースアタックできる，という状況でも堅固な暗号を作るにはどうしたらいいか？ただし人間が覚えられるパスワードの文字数はそんなに大きくないとする． というものです．そのため，「誰でも思いつくようなパスワードを使っちゃった」というような間抜けは最初から相手にしていないようです． ですので，一般のログイン向けの暗号化というより，どうしても第三者に見られたくないデータの保管法とかそういう感じ？ 手法としては， ・暗号化には非常に長い文字列を使う ・ただしそれだと人間は覚えきれないので，短い部分+長い部分に分割 ・短い部分のみ人間が記憶（当然覚えやすい文字列などではない） ・長い部分は，正しい文字列を出発点にしたハミルトニアンの時間発展を計算するとCAPTCHA画像として現れる まあ，必ずほぼ決ま

MySQL.com と関連するサイトが米国時間 27 日にクラックされ、情報が漏洩した模様。手法はブラインド SQL インジェクションによるものと考えられている (Techie Buzz の記事、本家 /. 記事より) 。 被害に遭ったのは本家 MySQL.com の他、フランス、ドイツ、イタリアの MySQL のサイト。漏洩した情報には MySQL 関係者の Email アドレスや認証情報の他、顧客情報や内部ネットワーク情報も含まれているという。また XSS 脆弱性についても詳細に報告されており漏洩がさらに拡大する恐れもあるとのことで、さらには Sun.com にあるデータベースの内容も既にクラックされている報告もある。 今のところ MySQL からはこの件に関するニュースリリースが出ていないが、是非とも MySQL の矜恃 (そういうものがあるのなら) を賭して対策を施して欲しいもので

本家 /. にて、「Why Doesn't Every Website Use HTTPS?」という興味深いストーリーが立てられている。 「HTTPS はよりセキュアなのに、なんでみんなが使わないんだ ?」という至極簡単な疑問が寄せられているだけなのだが、多数の回答が寄せられている。挙げられている理由としては「SSL 証明書を取るのにコストがかかる」「クライアントのパフォーマンスが悪化」などが寄せられている。 ただ、SNS サイトや個人情報を要求されるサイトは増えており、「すべての Web サイトを HTTPS 対応に」という話は悪くないような気がする。実際 Twitter や Google など、HTTPS 対応サイトも増えている。あなたのサイトも HTTPS 対応を検討してみては ? # なんか SSL 証明書の営業みたいなタレコミになってしまった

SSL認証局のComodo Groupがアカウント情報を入手した何者かの仕業により、偽のSSL証明書９件を発行してしまったそうだ（ITmedia記事）。Comodoで証明書発行の申請を審査しているアカウント情報が盗まれ、それによって偽証明書が発行された模様。 影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」（3件の証明書が関連）、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメイン。 FirefoxとWindowsには問題の証明書をブロックできるアップデートが既にリリースされているので、可及的速やかに適

東北地方太平洋沖地震に便乗し、不正プログラムを添付した電子メールが国内で流通しているとして、トレンドマイクロが注意を促している(トレンドマイクロセキュリティブログ、Internet Watchの記事)。 添付ファイルは拡張子が「exe」、「scr」、「doc」、「xls」のもので、ファイル名に「地震」、「津波」、「原発」、「節電」、「家族安否」などの文字列が含まれる。メールの件名や本文は日本語で書かれており、関係者からのメールのように送信元を偽装したものもあるようだ。 また、これらの不正プログラムの中にはAdobe製品の脆弱性に対するゼロデイ攻撃を行うものも確認されている。攻撃は不正なFlashファイルを埋め込んだExcelファイルを使用するもので、Flash PlayerおよびAdobe Reader/Acrobatが脆弱性の影響を受ける。なお、この脆弱性を修正したアップデートは今週(3

今年は世界初のコンピュータウィルス Creeper が出現してから 40 年となるそうだ (Help Net Security の記事、本家 /. 記事より) 。 1970 年代に ARPANET に出現したから Creeper から最近猛威を奮った Stuxnet まで、40 年の間にマルウェアは様々な形に進化を遂げてきた。1990 年には 1,300 であったマルウェアインスタンスの数は 2000 年には 50,000 を数え、そして 2010 年には 2 億を超えたとされている。 数だけでなく、ウィルスの目的も年月を掛け変化してきた。元々はプルーフ・オブ・コンセプトとして開発されるのが主だったが、その後 Geek が悪ふざけに利用するようになり、そして犯罪目的で使われるようにもなった。2005 年にはコンピュータウィルスは収益目的で利用されるようになり、現在のウィルスは複雑なビジネス

Twitter は、常に HTTPS 接続を使用するオプションを追加した (Twitter Blog の記事より) 。 これまでも Twitter では「https://twitter.com」にアクセスすることで HTTPS 接続を使用できたが、今後はオプション設定により常に HTTPS 接続が利用できるようになる。HTTPS 接続を有効化するには、Twitter にログインして設定画面を開き、「常に HTTPS のみを利用」チェックボックスをオンにすればいい。設定は Cookie にも保存される。将来的には HTTPS 接続をデフォルト設定にしたいとのことだ。 なお、現時点では携帯電話でモバイル版の Twitter を使用する場合は、オプション設定が適用されない。HTTPS 接続で使用するには、ログイン後に「https://mobile.twitter.com」へ移動する必要がある。ま

今日ではさまざまな機器に GPS が搭載されている。これらは ATM など意外な機器でも使われているが、「30 ドルで販売されている GPS ジャマー」で GPS 電波を妨害することで、身近な機器を簡単に暴走させられる (NewScientist の記事、本家 /. 記事より) 。 まず例として挙げられているのは 2010 年に北海で行われた実験だ。 THV Galatea という大型船舶において GPS ジャマーを用いて GPS を正しく利用できない状況にしたところ、ブリッジのディスプレイには誤った位置情報が表示されアラームが鳴り響き、航海支援システムやレーダーもクラッシュ、さらには衛星通信システムも利用できなくなるという状況となったそうだ。 恐ろしいのはこのような危険を持つ GPS ジャマーが 30 ドル程度で購入できてしまうことだそうで、実際にトラック強奪などの犯罪にも用いられている