PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。 PHP、Go、Pythonなどの主要なプログラミング言語に影響するCGIアプリケーションの脆弱性が発覚した。発見者はこの脆弱性を「httpoxy」と命名し、7月18日に詳しい情報を公開。悪用は極めて簡単とされ、米セキュリティ機関もパッチまたは回避策の適用といった対策を直ちに講じるよう呼び掛けている。 httpoxyの情報サイトや米CERT/CC、SANS Internet Storm Centerなどによると、この問題はWebアプリケーションにおけるHTTP「Proxy」ヘッダの不適切な使用に起因する。CGIまたはCGIのようなコンテキストで運用されているWebサーバでは、クライアントにリクエストされたHTTP Proxyヘッダが「HT
最近ネットワークサービスのログイン方法に関して良く話題に上るのが「2段階認証」です。 2段階認証の方法にはいろいろなパターンがありますが、基本的には複数のデバイス(例えばパソコンとスマートフォンなど)の両方で操作を行なう必要があるようなログイン方法が代表的です。 このような方法をとることで、どちらか一方のデバイスのみではログインすることが出来なくなり、万が一ID・パスワードが漏れた場合でも、不正ログインを防止することが可能になります。 ここでは、Microsoftアカウントで二段階認証を設定する方法を紹介します。 Microsoftアカウント 2段階認証の設定方法 Microsoftアカウントで二段階認証の設定を行なうには、まずMicrosoftアカウントのホーム画面にサインインします。 ⇒ Microsoft Account サインイン 次にMicrosoftアカウントのホーム画面の上側
米上院議員のAl Franken氏(民主党、ミネソタ州選出)は米国時間7月12日、絶大な人気を博しているゲームアプリ「Pokemon Go」の開発元であるNiantic Labsに書簡を送付し、同社がユーザーから収集し、サードパーティーと共有しているデータが何であるかを説明するよう求めた。Franken氏はインターネットプライバシーの推進派として知られる。 Franken氏は、Nianticの最高経営責任者(CEO)John Hanke氏に宛てた書簡で、「Nianticはユーザーから適切な同意を得ずに、彼らの個人情報を不必要に収集、使用、共有している可能性があり、その程度について憂慮している」と記した。「Nianticは、ユーザーがデータの収集をオプトアウトしない限り、一般的なプロフィール情報から正確な位置情報やデバイス識別情報に至る多くの情報にアクセスできる。こうしたユーザーの多くが子供
今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近いものです。 重要だとわかっているけど、なかなか導入に踏み切れない人も多いHTTPS。これについて、最新の状況が理解できるコンテンツとしてお役に立てるならば嬉しいです。 TL;DR HTTPSはPWAppなどWebにとって必須。 しかし、パフォーマンス悪化する
脆弱性は「Symantec Endpoint Protection」など法人向け製品と、「Norton」シリーズなどコンシューマー向けの製品すべてが影響を受け、ユーザーが何も操作しなくても悪用される恐れがある。 米Googleの研究者が6月28日、Symantecのセキュリティ製品に多数の深刻な脆弱性を発見したとして、ブログで詳細を公表した。Symantecは同日、この問題を修正するため各製品向けのアップデートを公開し、できるだけ早く適用するようユーザーに呼びかけている。 Googleの「Project Zero」のブログによると、脆弱性はSymantecのウイルス対策製品に共通するコアエンジンに存在することから、全プラットフォーム向けの「Symantec Endpoint Protection」など法人向け製品と、「Norton」シリーズなどコンシューマー向けの製品すべてが影響を受ける。
全国に先駆けてIT化を進めてきた佐賀県教育委員会のシステムが不正アクセスされ、生徒の個人情報が大量に漏えいした事件で、逮捕された17歳の少年は、学校の無線LANを通じてシステム内に侵入し、情報を不正に入手していた疑いがあることが、警視庁への取材で分かりました。 これまでの調べで、県立高校の校内ネットワークについては、少年が高校の近くまで行って無線LANの電波を受信し、そこからパソコンの情報を偽装するなどしてシステム内部に侵入したうえで、生徒の名前や学校の成績などの個人情報を入手していた疑いがあるということです。 また、「SEIーNet」については、デジタル教材などを利用するため生徒に配られているIDとパスワードを何らかの方法で入手し、システムに入ったあと、自分で作った攻撃用プログラムで欠陥を突いて、教員や生徒のIDなどの情報を盗み取っていた疑いがあるということです。 警視庁は、こうした手口
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
■ [Security] Webとセキュリティとソフトウェア工学 超久しぶりに、かつ真面目な内容で更新です。 徳丸浩さんのTwitterでの 何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない / “一般ブロガーがAmazon Web Service(AWS)で独自ドメインのWordpressサイトを10分で作る方法…” に対して、 山田さんの(恐らく)達観したコメント「こうやってセキュリティが素人プログラマーや、見習いプログラマーを殺すんだろうなぁ。想像していたとはいえ、現実になってくると絶望しかない。」 を、 奥くんのコメント経由で見たわけです。 正直なところ、徳丸さんの元のコメントには100%同意で、山田さんもわかった上での達観なんだと思うのです(少なくとも「批判」ではないと思う)が、 ソフトウェア科学→セキュリティ→ソフトウェア工
2016年5月末に、パブリックブロックチェーン「Ethereum(イーサリアム)」上で流通する暗号通貨Ether(イーサ、通貨単位:ETH)を通じて100億円以上の資金を集めた事業投資ファンド「The DAO」が、同年6月17日にコードの脆弱性を突かれ、資金の約3分の1を流出させる騒ぎがあった。 The DAOは、ドイツのスタートアップSlock.itがDAOのコンセプトを実証するために組成した事業ファンドだ。5月28日までにEthereum上で1207万ETH(5月28日時点の相場で約156億円)を調達したが、6月17日から18日にかけて約3分の1に当たる364万ETHが流出した。流出したEtherはThe DAOの子DAO上にプールされて(リンク:流出先の口座)おり、仕様により27日間は動かすことができない。 DAOとは分散型自動化組織(Distributed Autonomous O
2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
米キャリア情報サイトCareerCast.comの調査によると、米国で最もストレスの少ない職業は情報セキュリティアナリストだったという(Statistaの記事、 The Registerの記事)。 ストレスレベルは移動、締め切り、公共の視線、競争性、要求される体力、命の危険など11の要素による評価を合算したもので、情報セキュリティアナリストは3.8ポイント。これに超音波検査士(4.0ポイント)、大学教授(6.9ポイント)、ヘアスタイリスト(7.5ポイント)が続く。一方、最もストレスレベルの高い職業は志願兵(84.8ポイント)で、消防士(60.6ポイント)、旅客機の操縦士(60.5ポイント)、警察官(53.8ポイント)の順になっている。 その結果、情報セキュリティアナリストは200の職業中、データサイエンティストと統計学者に次ぐ良い職業のランキング3位となっている。一方、職業ランキング最下位
by Bruce Guenter セキュリティ問題では「マルウェア(Malicious+Software:悪意あるソフトウェア)」という語がよく出てきますが、ミシガン大学の研究チームによって「悪意あるハードウェア」の存在が指摘されています。 A2: Analog Malicious Hardware (PDFファイル)http://www.impedimenttoprogress.com/storage/publications/A2_SP_2016.pdf This ‘Demonically Clever’ Backdoor Hides In a Tiny Slice of a Computer Chip | WIRED https://www.wired.com/2016/06/demonically-clever-backdoor-hides-inside-computer-chip
2016年4月4日 日頃よりSmart TV Boxをご利用いただき、誠にありがとうございます。 2016年3月中旬頃から、Smart TV Boxがウィルスに感染し、「見たことのない表示が出てSmart TV Boxが操作不可能になった」という申告が多数報告されています。 お客さまにはご迷惑をおかけすることとなり、大変申し訳ございません。 下記に、予防方法を記載いたしますので、ご確認いただけますようお願い申し上げます。 ■ ウイルス感染契機と事象 有害サイト (具体的なサイト名は不明) にアクセスすることによりSystem Updateというアプリが勝手にインストールされることにより感染します。感染すると、以下のような画面が表示され、以降Smart TV Boxが操作不能になります。 画面ロックを解除するためにiTunesコード等の入力を要求されますが、決して請求額の支払を行わないようご
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く