OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
「提供社の都合により、削除されました」 削除された記事はBaidu社の不都合な真実を突いたのか?
2014年05月04日09時05分にライブドアニュースがBaidu社元社員による問題行為の暴露を記事として公開しました。 元職員は、他社サーバーからのデータ引っこ抜きは通常業務と告白 バイドゥ元職員、問題行為を暴露 - ライブドアニュース しかし、この記事は現時点(2014年5月5日16:00)では以下のように記事本文が削除されてしまいました。 提供社の都合により、削除されました。 概要のみ掲載しております。 バイドゥ元職員、問題行為を暴露 - ライブドアニュース それでも完全に消さずに概要を残してくれたのはありがたかったです。だいたいのことがわかりました。また、これを元に記事全文のキャッシュや元記事のキャッシュを見つけることができました。 まず、上記記事の削除理由から提供社を探しました。すると、Googleにキャッシュが残っており、そこに記された内容から提供社が判明しました。 (出典:G
コンピュータに詳しくない人へ。インターネット史上最悪のOpenSSLの脆弱性のニュースをわかりやすく書いてみました。ほとんどすべての人に影響します。 - 非天マザー by B-CHAN
インターネットで使われる鍵(カギ) みなさん、こんにちは! こんなニュースが発表され、世界に衝撃を与えています。 ↓ Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは « WIRED.jp コンピュータ関係者は大騒ぎですが、ボクたち一般人はどうすればいいのでしょうか? コンピュータに詳しくない人に、なるべくわかりやすく書いてみます。 まず、インターネットのいろんなサービスを利用するにはIDとパスワードが必要ですよね。 例えば、Amazonや楽天市場で買物をするには、Amazonや楽天市場のIDとパスワードを入力する必要があります。 どちらかが欠けても買い物はできません。 あなた以外の第三者があなたのIDを知ったとしてもパスワードがわからなければ、あなたの名前で勝手に買い物をすることはできないわけです。 これによって安全が守られているわけで
失われる日本的信頼 - 「客の顔情報「万引き対策」115店が無断共有」を受けて(えふしん) - 個人 - Yahoo!ニュース
わたしも知らないところで犯罪者やクレーマー扱いされる!? スーパーやコンビニなどの防犯カメラで自動的に撮影された客の顔が顔認証で解析され、客の知らないまま、顔データが首都圏などの115店舗で共有されていることが4日分かった。 各店舗は、防犯カメラで全ての客の顔を撮影。万引きされたり、理不尽なクレームを付けられたりした場合、該当するとみられる客の顔の画像を顔認証でデータ化した上で「万引き犯」「クレーマー」などと分類し、ソフト開発会社のサーバーに送信、記録される。他の店舗では顔の画像そのものは閲覧できない仕組みだ。 出典:客の顔情報「万引き対策」115店が無断共有:IT&メディア:読売新聞読む限り顔データが共有されるのではなく、お店に入ってきた、この人は怪しい人かも!?という情報が共有されるように読めたのですが、製品サイトを見てみると「同一システム内」に関しては、過去の顔情報を一覧できるなど非
鑑定アプリはいまや犯罪の温床。誰も手を出すな!!
Facebookはじめ、ネットに蔓延する鑑定アプリ。診断、クイズなども含め、リテラシーが低い人たち中心に、主に馬鹿企業の数だけのファンの収集や、情報商材屋の箔付けや鴨探しのために使われているわけです。しかしここで声を張り上げて言います。 鑑定アプリは犯罪に利用されるので、 誰もやるべきではない 先日からTwitterで蔓延したある鑑定アプリ。完全な犯罪ですがいったい誰がやっているのか検証してみました。 たとえばコレ ジブリキャラ診断 当然ながらスタジオジブリがイラストの使用を許諾しているわけもなく、完全な著作権侵害です。一応スタジオジブリには通報しておきました。この鑑定アプリはAmazonのAWSにサーバがあります。鑑定をやってしまうとTwitterのアカウントが乗っ取られます。で、自分のフォロワーに対し、知らないうちにメッセージを打ちまくります。 ★今話題のジブリキャラ診断★ あなたをジ
なんJ民による調査で「ぷりそく!」「わらぽん速報」「サカつべ」等大量のアフィブログの個人情報が特定される - 楽しくないブログ
先日紹介した偽装gifによる殺害予告からアフィブログ管理人が特定された件が爆発的に拡大している。この炎上を機に各アフィブログのドメイン情報が調べられたところ、予想以上にドメイン情報を代理店を介さず本名で登録しているサイトが多いことが判明した。簡単に抽出しただけでも、以下のサイトのドメイン情報が本名だと思われる。 【北大】アフィ管理人片平亘殺害予告をし炎上★82 - unkar http://unkar.org/r/livejupiter/1392024017 20 : 風吹けば名無し : 2014/02/10(月) 18:20:49.48 ID:7RYJQz2H ポケモンxyまとめ速報 http://i.imgur.com/QJmyxNE.jpg 鬼姫ちゃんの監視部屋、鬼女、キチママ、生活まとめhttp://i.imgur.com/Sqai1Dy.jpg日刊二ログhttp://i.imgu
糸井重里、佐々木俊尚のアカウントも乗っ取られた!「ツイッターニュース24」というスパムに注意!
2月1日の深夜あたりから、こんなツイートが回っています。 【画像あり】 Mステでおっpいポロリ放送事故ww 2chの反応 「まじだったwww」 画像→ これはマズいでしょ・・・。 クリックすると、アプリ認証画面が出て、うっかり認証すると大変なことに。 まさかの糸井重里さん(フォロワー63万)、佐々木俊尚さん(同19万)が踏んで大騒ぎ。 糸井 重里@itoi_shigesato 日曜日の午後に、なんとアブナイことをしていたのだろうか。「Mステで」ではじまるツイートのワナに、じぶんがはまってました。さらにそこから波及してご迷惑をおかけした方々、もうしわけございませんでした。 2014/02/02 13:37:00 佐々木俊尚@sasakitoshinao やっときました。ありがとうございます。 RT @kamiyamasahiko 佐々木さんまでスパムアプリの被害に。Twitter News2
プライバシー保護のあり方がグローバルでのITビジネスの勝敗を決める ~パーソナルデータの利活用に関する制度見直し方針に対するヤフーの懸念 - WirelessWire News(ワイヤレスワイヤーニ��
プライバシー保護のあり方がグローバルでのITビジネスの勝敗を決める ~パーソナルデータの利活用に関する制度見直し方針に対するヤフーの懸念 2014.01.22 2013年12月、政府の「パーソナルデータに関する検討会」は、パーソナルデータの利活用に関する制度見直し方針案(以下制度見直し方針案)を取りまとめた。これをもとに2014年6月までに法改正の内容を大綱としてとりまとめ、平成27年通常国会への法案提案を目指すものとしている。1月21日、ヤフーは記者説明会を開催し、ビッグデータ活用を推進する立場から、この方針案に対する懸念点と同社が考える「成長戦略としてのプライバシー保護のあり方」について、同社の別所直哉執行役員社長室長(写真)が説明した。現在の制度見直し方針案にはデータを活用している事業者の意見が反映されておらず、このままでは日本のIT産業は衰退すると危惧する。 ビッグデータ活用の可能
RSAとNSAとの秘密契約疑惑で揺らぐ暗号システム評価 - 雑種路線でいこう
RSAといえば代表的な公開鍵暗号アルゴリズムで、作者が暗号を商用化するために設立した会社の社名でもある。その老舗がNSAから1000万ドルを受け取って、同社の暗号ツールキットBSafeで、NSAが開発したバックドアを含む擬似乱数生成器Dual Elliptic Curveを標準設定にしたとロイターが報じた。事実であればRSAやBSafeのブランドだけでなく、Dual_EC_DRBGをSP 800-90Aとして標準化したNISTへの信頼も揺らぐ。 あるNSAメモは、大胆にもその進捗状況についてこう書いている。「暗号解読機能がオンラインで使えるようになった。これでこれまで捨てられていた大量の暗号化インターネットデータを活用できる」 (略) ReuterがNSAはRSAに1000万ドル払って欠陥アルゴリズムを使わせたと暴露したことによって話は変わってきた。NSAがある種の邪悪な黒幕で、人気のセキ
某有名ショッピングサイトで不正ログインされた...
某有名ショッピングサイト(以下、某サイト)で不正ログインされたので警察の捜査状況を含めて記録として残します。それでは、時系列で...11/25 02:28某サイトからメールアドレス変更の案内メールが届く。変更前のメールアドレスにも送信しているとのこと。これはありがたい。メールアドレスの変更を受け付けました。なお、メールアドレスを変更された場合、変更前のメールアドレスにもこのメールを送信させていただいておりますのでご了承ください。本メールにお心当たりのない方、その他ご不明な点・ご質問などございましたら、カスタマーサポートセンターまでお問い合わせください。11/25 04:11某サイトで使用しているクレジットカード会社から以下の文面(抜粋)のメールが届く。不正利用検知システムがあるのは大変助かる。カードの利用停止は普段現金を使わない人間としては正直かなりイタイ。本メールは、現在お客様がお持ちの
Gunosy経由で記事を読むとTwitterアカウントやFacebookアカウントが推測可能な情報がサイト側に提供される仕組みについて
アクセス解析で、どこのURLから来たかの情報を一覧にしてみたところ、GunosyのURLの中にユーザ名(非公開の人含む)らしきものが含まれている場合がかなりあり、誰がどの記事を読んだのかが推定できてしまうのではないかということに気が付きました。今回は、それを発端に調べて分かったことを紹介します。ポイントは、非公開でもアカウント名を含むURLがリファラ(参照元URL)に含まれる、ということと、そのURLに含まれるユーザー名が、Twitterアカウント名やFacebookのURLを参考にして自動設定されるらしい、ということです。 一般的にこのようなサイトがどのような仕組みになっているべきで、このことを問題とまで言って良いものなのか断言できないのですが、Twitterアカウント名やFacebookアカウント名が、アクセス先のサイト管理者に把握されてしまうことが気になる人は少なくないだろうと思った
パーソナルデータ活用「セーフとアウトの明暗がはっきり」、産総研の高木氏
産業技術総合研究所の高木浩光主任研究員は2013年11月8日、「関西オープンフォーラム2013」で基調講演し、2013年7月以降にパーソナルデータの活用を巡ってインターネットで議論となったJR東日本やNTTドコモ、KDDIなどの4件について、それぞれの違いを指摘し、現行の個人情報保護法で「セーフとアウトの明暗がはっきりした」と述べた(写真1)。 高木氏は、JR東日本が交通系ICカード「Suica」の乗降履歴を第三者に譲渡しようとした事例について、個人情報保護法23条の委託であれば、第三者提供に当たらず適法だったと指摘。政府の「パーソナルデータに関する検討会」(座長=堀部政男・一橋大学名誉教授)でFTC3要件が議論されていることは「現行法でもできる委託方式だと、全体を統括する技術力と管理力が必要になる。IT会社に全部分析をやってほしいので売ってしまいたい事業者もいるので、ある程度は規制緩和し
パーソナルデータの制度整備、論点は「責任主体」に
パーソナルデータに関する法整備の検討が急ピッチで進んでいる。 内閣官房のIT総合戦略本部の下に設けられた「パーソナルデータに関する検討会」(座長:堀部政男一橋大学名誉教授)は9月2日、第1回の会合を開催した。その子会である技術検討ワーキンググループ(WG)を含め、会合は本稿執筆時点で既に4回開かれている。早ければ年内にも一定の方向性を定め、具体的なアクションプランの策定を目指す形で動いている。 「寝耳に水」というわけではない。6月に閣議決定された「世界最先端IT国家創造宣言」(いわゆる新IT戦略)の中で、当該分野の検討を今年度中に終える行程表が示されていた。しかし今回は、個人情報保護法の改正が強く意識されているほか、関連する新法の策定に向けた機運も高まっている。「石橋を叩いて壊す」と揶揄(やゆ)されがちな我が国にしては、驚くべきスピード感である。 無論、政府が検討を急ぐのは理由がある。米国
「利用履歴が個人情報という考えが主流になるなら規約改訂を視野に」、CCCの杉浦敬太氏
カルチュア・コンビニエンス・クラブ(CCC)の杉浦敬太取締役CPO(チーフ・プライバシー・オフィサー)は2013年11月1日、10月の「T会員規約」の改訂についてインタビューに応じ、氏名などの個人情報とは分けて管理している購買履歴や利用履歴について、「これも個人情報とする考えが主流になるのであれば、対応できるオプトアウトの仕組みを作るなど、億単位の費用をかけてでもやらないといけない」と語った(関連記事:カルチュア・コンビニエンス・クラブ、「顧客情報管理委員会」を新設、「T会員規約」改訂)。 今後、さらにT会員規約の改訂を視野に入れているとも明かした。現在の個人情報保護法改正の論議に対応する考えを示したもので、CCCの対応は他の企業にも影響を与えそうだ。 杉浦CPOはこれまでは弁護士の見解を踏まえて、個人情報を管理する「会員データベース」と、購買情報や利用履歴を管理する「Tポイントデータベー
【iOS7】超危険!パスコードを設定していないとsafariに保存されているパスワードが丸見えだぞ | カミアプ
ども!ともぞうです。 ロック画面にパスコードを設定しない人が約半数もいると先日お伝えしましたが、iOS7ではパスコード入力するのが面倒くせ~なんて言ってられなくなりましたよ。 なんとiOS7ではパスコードを設定していないとSafariに保存されている色々なサイトのパスワードやクレジットカード情報を誰でも見れちゃうんです! 今すぐパスコードを設定するかこの記事でご紹介する対処方法を今すぐ実行ですよ! safariの新機能パスワードと自動入力が落とし穴 iOS6まではsafariでIDとパスワードを保存していても、それを確認する事はできませんでした。 それがiOS7の場合は違うんです。設定からsafariを開くと…
米英政府はインターネットの暗号化通信を解読可能、米英紙が報じる
NSA(米国家安全保障局)やGCHQ(英国政府通信本部)は、「HTTPS」や「SSL」などを含むインターネット上の暗号化通信を解読可能であると、2013年9月5日に英ガーディアン紙や米ニューヨークタイムズ紙などが報じた。エドワード・スノーデン氏がガーディアンに提供した秘密文書から判明したとする。商用ソフトウエアにバックドアを設けるなどして、解読しているという。 NSAやGCHQは、スーパーコンピュータを用いたブルートフォース型の暗号解読を行ったり、商用ソフトに設けたバックドアを使ったりすることで、暗号化通信を解読しているという。NSAのこれらプロジェクトは「Bullrun」と呼び、HTTPSやVoIP、SSLなど、インターネット上で広く使われている技術を対象としている。 NSAは10年前からこれら暗号解読技術の開発を進めており、2010年に大量の通信を解読可能になったという。NSAは同技術
NSA、極秘プログラム「Bullrun」で暗号化技術を迂回か--NYT報道
The New York Times(NYT)の報道によると、米国家安全保障局(NSA)は、あらゆる暗号化技術を迂回するバックドアを政府に与えることの是非をめぐる90年代の論争に敗れたにもかかわらず、「Bullrun」というコードネームの極秘プログラムを立ち上げ、今では、日常的な電子メールから金融および医療記録まで、さまざまなデジタル通信の保護を目的とする事実上の防御壁の大半を迂回することができるという。 英国のGuardian紙および非営利報道機関ProPublicaと共同で執筆された同記事は、「PRISM」プログラムを暴露したEdward Snowden氏によって提供された文書や、業界関係者とのインタビューを引用し、NSAはさまざまな手法で一般的なネット暗号化方法を迂回してきたと伝えた。それらの手法には、民間企業のサーバに侵入して暗号化キーを盗んだり、テクノロジ企業と共同でバックドアを
Suica乗降履歴データの外部提供で問われるプライバシー問題---JR東日本に聞く
JR東日本が交通系ICカード「Suica」の乗降履歴をマーケティング分析の目的で日立製作所に提供していた件で、JR東日本からSuicaユーザーへの事前説明や情報公開がなかったことが波紋を呼んでいる(参考記事)。JR東日本が提供したデータの内容やプライバシー保護の枠組みについて、JR東日本に文書ベースで取材。同社広報とのメールでのやりとりをインタビュー形式に再構成した。資料性を重視し、JR東日本の回答は(カッコ部の注釈を除いて)原文をそのまま引用している。 今回、交通系履歴の他社への提供へと踏み出したきっかけは。 JR東日本 Suicaの利用履歴から旅客流動を分析する技術に関して共同研究を行ってきたことから、このたび日立製作所が作成したレポートを販売することとなりました(注:販売主体は日立製作所)。 弊社としましては、本サービスによって駅の特性に合わせたマーケティング情報が提供されることで、
ニュース - 「自動車ハッキング論文」:英法廷が差し止め(WIRED.jp):ITpro
BentleyBY Ed Callow (CC:BY) バーミンガム大学のフラヴィオ・ガルシアは、「Megamos Crypto」を支えるアルゴリズムをクラックした。Megamos Cryptoは、クルマのイグニッションスイッチを入れるキーのID証明に使われているシステムで、複数の高級車ブランドで採用されている。 ガルシア氏はその結果を、「Usenix Security Symposium」で発表するつもりだった。 しかし、フォルクスワーゲンの親会社で、ポルシェ、アウディ、ベントレー、ランボルギーニなどのブランドを傘下に持つフォルクスワーゲングループが、ガルシア氏に論文を発表させないよう、裁判所に申し立てた。論文の情報によって、「技術に詳しい犯罪者集団などが、適切な道具を用いて、セキュリティーを破って車を盗むことができるようになる」おそれがあるというのだ。 フォルクスワーゲングループは、論
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
まとめよう、あつまろう - Togetter
