韓国国情院がLINE傍受 仮想空間はとうに戦場。国家の「傭兵ハッカー」たちが盗み、奪い、妨害し、破壊する無法地帯で、日本も巻き込まれた。 2014年7月号 BUSINESS [サイバー戦争の「臨界」] 5月下旬、官邸内に衝撃が広がった。韓国の国家情報院(旧KCIA)が、無料通話・メールアプリ「LINE」を傍受し、収拾したデータを欧州に保管、分析していることが明らかになったからだ。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター(NISC)との協議の場であっさり認めた。システムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピング(傍受)するから、「通信の秘密」を守る法律がない韓国側は悪びれない。だが、LINEの登録ユーザー4億人余のうち日本人は5千万人。その通話データなどが韓国にすべて送られ、丸裸にされているのだ。 「指名手配」隣国ハッカーの脅威 それ
http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txtやCPNI-957037: SSH 通信において一部データが漏えいする可能性, Plaintext Recovery Attack Against SSH - SSH - Company - News, CPNI-957037: SSH 通信において一部データが漏えいする可能性 - セキュリティホール memoによると, SSHプロトコルに設計のエラーがあり, OpenSSHの標準の設定だと, 2の-14〜-18乗の確率で14〜32bitの平文を回復できる可能性があるとのことです(当初32バイトと書きましたが間違いでした, また手法によって確率と回復できる平文のbit数に違いがありました). 攻撃の詳細はわかりませんが, 対策として暗号モードにCTRモードを利用することが挙げ
たいていのWEBアプリはユーザ名とパスワードを聞かれて認証を行います。これはちょうど家に鍵をかけるようなもの。それほど重要でない情報のみのサイトならこれで十分ですが、貴重な情報があるとなるとそうはいきません。 この物騒な世の中、鍵ひとつじゃ安心できないわという声も聞こえてきます。最近セキュリティの高いところでは、やれ指紋やら静脈やら虹彩やらで個人を識別して鍵が開くようになってきていますね。WEBアプリにもユーザ名とパスワードの鍵以外に、端末の識別番号を使って認証する方法があります。 さて今日は携帯電話に焦点を当てて、ユーザ名とパスワード+自分の携帯からしかアクセスできないというように変える方法をご紹介。 携帯端末には一台一台に電話番号とは別の個体識別番号があります。この番号を、ユーザがサイトにアクセスしてきたときにプログラムで取得することができます。個体識別番号をサーバ側に保存しておき、認
先日レポートした『「Eee BoxのDドライブにウイルスが感染したまま出荷されている」らしいので、実際に買ってきて検証してみた』について、ASUSから正式にホームページ上にて「ASUSミニパソコン新製品「Eee Box」でのウイルス混入に関するお詫び」というのが掲載されました。 お詫びページの詳細などは以下から。 ASUSミニパソコン新製品「Eee Box」でのウイルス混入に関するお詫び お客様各位 2008年10月2日(木)から発売を開始させていただきました、ASUSミニパソコン「Eee Box」(Eee Box B202ならびにEee Box B202+液晶ディスプレイセット)につきまして、Dドライブがウイルスに感染していることが判明しました。つきましては、「Eee Box」の全ラインナップ製品を無償にて回収・交換させていただきます。 大変ご迷惑お掛けいたしますことをお詫び申し上げます
セキュリティのぜい弱性を突く攻撃やフィッシング詐欺などのプロ犯罪に対抗するために,世界各所で毎年開催しているセキュリティ分野の会議がある。その1つが日本で開催する「PacSec」だ。2008年11月12日から東京で開催される「PacSecカンファレンス2008」のために来日した,同会議の主催者であるDragos Ruiu氏に,2008年11月現在のセキュリティの最新トレンドを聞いた。 PacSecは1年ぶりだが,セキュリティ攻撃のトレンドに変化はあるか。 セキュリティにとって1年間はとても長い。私にとって,1年前のことなど忘却の彼方だ。この1年で,トレンドは,まったく変わったと言ってよい。 PacSecに応募されてきた発表論文を見るに,今年は大きく2つの傾向がある。1つは,仮想マシンやFlash/Silverlightなど,Webブラウザまわりの環境を狙った攻撃が目立つ点だ。もう1つは,ラ
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを保護する セッション・データを保護する XSS (Cross-Site Scripting: クロスサイト・スクリプティング) の脆弱性から保護する フォームへの投稿を検証する CSRF (Cross-Site Request Forgeries: クロスサイト・リクエスト・フォージェリー) から保護する ほう。しかし、内容はどうだろうか。 読んでびっくりした。説明も微妙なところが多いが、サンプルが酷い。こんなサンプルでは悪い習慣が身についてしまう。全部は書ききれないと思うので、目についたところからピックアップして紹介する。 パストラバーサル
F-Secure「JavaScript Injection Attack」より September 18,2008 Posted by Choon Hong このところJavaScriptインジェクション攻撃が流行している。マルウエア感染を広める有効な手段として,この種の攻撃を活用するマルウエア作者が増えている。 ほんの1年前まで,悪意ある攻撃者が頼りにしていたのは攻撃用Webサイトを指す(電子メール,検索リンク,またはインスタント・メッセージング・ワームの)リンクに人々を誘導する手法だった。今では,JavaScriptインジェクション攻撃を利用し,Webサイトの訪問者をやすやすと「誘拐」してしまう。この攻撃は,いわば闇世界のハッカーたちがマルウエアをまん延させるのに使うアーミーナイフである。 我々が確認したところ,アクセス数の多いWebサイトの多くがJavaScriptインジェクション攻
先日IIJの一日インターンに行ってきました。 NDAがあるので、事細かに書くことは出来ないのですが、教育的なプログラムが組まれていて非常に面白かったです。 そこで、色々お話しして、その中でDNSポイズニングがなかなか対応されない理由、当たり前の理由が聞けたので、「DNSポイズニングって何がヤヴァイのか良くわかんね」って人に向けた簡単な解説とあわせて書きたいと思います。 まず、DNSキャッシュポイズニングの何が怖いか? 簡単に言うと、 「googleに繋いだはずが全く別サイトに繋がっちゃう!」 って話です。 本当に繋ぎたいサイトと違うサイトに繋いじゃう事が出来るので、例えば 実在するショッピングサイトそっくりの偽サイト作って、ショッピングさせて。クレジットカードの番号ゲットしちゃったり、住所ゲットしちゃったり。 夢が広がる怖い事が出来ちゃいます。 きちんとしたセキュリティ対策していれば大丈夫
エジプト・カイロ(Cairo)のインターネットカフェで、海底ケーブルの損傷でインターネット回線に障害が発生する中、接続を試みる利用客(2008年1月31日撮影、資料写真)。(c)AFP/AMRO MARAGHI 【7月9日 AFP】コンピューター大手各社が、インターネットの基礎にかかわる脆弱(ぜいじゃく)性の解消に乗り出している。ハッカーがこの脆弱性を利用して、ワールドワイドウェブ(World Wide Web、WWW)を乗っ取る恐れもあるという。 この脆弱性を発見したのは、コンピューターセキュリティー会社「IOActive」の研究員ダン・カミンスキー(Dan Kaminsky)氏。約半年前、セキュリティーとは無関係のものを調べていた際、まったく偶然にその脆弱性を発見したという。 この脆弱性は、ドメインネームシステム(Domain Name System、DNS)に関するものだ。DNSはイ
大企業であれ中小企業であれ、適切な管理ポリシーとトレーニングが欠如していると、セキュリティ面で混乱を招きかねない。Untangleのダーク・モリスCTO(最高技術責任者)は、予想される問題とそれを避ける方法についてアドバイスする。 「ウチは中小企業だ。わざわざ当社のネットワークをハッキングしようとする者などいない」 これは間違いだ。 事実、Small Business Technology Instituteが調査した中小企業の56%が、過去12カ月の間に少なくとも1件のセキュリティインシデントを経験している。最近では、大企業を狙うよりも中小企業を攻撃するサイバー犯罪者が増えている。大企業に比べると、中小企業は一般にシステムが脆弱で、総合的なセキュリティソリューションに投資する時間的・経済的な余裕がない場合が多いからだ。 加えて、ハッカーたちは絶えず手口を変え、ネットワークセキュリティ分野
カーネギーメロン大学の研究者達が、たった1枚の写真だけで、それが撮られた場所を特定する技術を開発したとのこと。面白いことに、Flickr 上にアップされている写真を比較対象としているそうです: ■ New Computerized System Estimates Geographic Location Of Photos (ScienceDaily) "IM2GPS"というのが今回開発された技術の名前。写真の中に写り込んでいるモノを認識する(例えばたまたま写っている看板の文字を認識するなど)のではなく、画像全体の色合いやテクスチャを解析、それと似た傾向を持つ 画像を Flickr 上から検索 -> その Flickr 画像の撮影場所情報を参考にする、という仕組みだそうです。要は最近のウェブサービスでも一般的になりつつある「似た画像を探す」という技術を使って、どこで撮影されたかが既に分かっ
Heads on: Apple’s Vision Pro delivers a glimpse of the future
2008年05月30日カテゴリの文書一覧PerlのTaintモードについて -- 壱 -- [PDF]ファイル名securecoding_azurestone_2008_05_30最終更新2008-06-09 01:06種類PDF作成者AzureStoneAzureStoneによる問題提起の発表資料です。詳細は、http://securecode.g.hatena.ne.jp/azurestone/20080603/1212156333 こちらをご覧下さい。 RealVNCから学ぶローカライズのセキュアコーディング [ PDF ]ファイル名securecoding_localize_2008_05_30最終更新2008-06-07 11:50種類PDF作成者AzureStone参加者(hashyさん)による問題提起の発表資料です。詳細は、http://securecode.g.hatena
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
AVG Anti-Virus8.0の不具合 Posted by のりお / エアロ 2008年05月08日 at 01:41 軽くて早くて無料です!というオススメのウイルス対策ソフト、『AVG Anti-Virus』の8.0がリリースされました。7.5からアップグレードする人がほとんどだとは思いますが、結構な不具合もあるようで… →→とりあえずブックマークする 5月末日まで待つのも手 2ちゃんねるなどを見る限り、結構な数の、そして再現性もありクリティカルな不具合が報告されています。大抵の場合はすぐに対応されるかと思われますので、7.5のサポート期限である5月末日まで様子を見たほうがよいかもしれません。 ちなみにどんな不具合が報告されているかと言えば… AVG Anti-Virus Version65 @ 2chより AVG Anti-Virus Version65 ★ よくある質問(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く