2018/10/22 全体的に問題があったので書き直した. 内容はほぼ変わっていない. 本記事では, 世界で最初に提案された公開鍵暗号であるRSA暗号の基礎事項について解説する. RSA暗号の動作原理について示した後, 簡単な攻撃手法の一覧を載せる. 公開鍵暗号 暗号理論, 特に現代暗号における暗号は「秘密鍵暗号(Secret-key Cipher)」, 「公開鍵暗号(Public-key Cipher)」の2種類に大分される. 秘密鍵暗号はよく知られている通り「秘密の鍵$k$を事前に共有しておき, その鍵を用いて暗号化・復号を行う暗号方式」である. これに対して公開鍵暗号は「暗号化に用いる鍵$k _ {enc}$, 復号に用いる鍵$k _ {dec}$が存在し, 暗号化・復号のそれぞれで異なる鍵を用いる暗号方式」と定義され, このうち$k _ {enc}$は一般に公開されることが多いこと
本連載で以前から「常時SSL」(TOPページからのHTTPSであること)の必要性を取り上げてきた。最初と2回目は金融機関向けだったが、実は全ての企業、個人にとって必要になっている。今回はそのことを解説してみたい。 先日の「情報セキュリティEXPO」で情報処理推進機構(IPA)が、「SSL/TLS暗号設定ガイドライン」について解説するというので聴講した。残念ながらHTTPSの実装については全く触れられなかったが、それでも十分に参考になる内容であり、よく説明されていた。 「常時SSL」に関する過去2回の記事で金融機関に言及していたのは、筆者が銀行出身であることやコンサルティング先の多くが金融機関であることが理由だが、昨今のネット世界の動向をみるに、「金融機関」に限定せず、全ての企業のサイト、強いては個人を含む全てのWebサイトについて「常時SSLの是非」を考える必要性を強く感じざるを得ない状況
フォームローラーでほぐし続けた結果...ようやくわかった効果とメリット3つ #Amazonプライムデー
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
フォームローラーでほぐし続けた結果...ようやくわかった効果とメリット3つ #Amazonプライムデー
Internet Week 2010 S3 今日こそわかる、安全なWebアプリの作り方2010 http://www.nic.ad.jp/iw2010/program/s3/
[読了時間: 5分] スパムアカウント3人からの申請を受けてしまうと、アカウントが乗っ取られるという証明スクショがこれだ。 ダミーアカウント3人に申請を受けてしまっている状態だと、この画面の後1−2分で、アカウントの乗っ取りは終了してしまう。 乗っ取った後、悪意のあるユーザーは以下の事が出来る。 ・メッセージの盗み読み。 ・Facebookにクレジットカードやペイパルを紐付けている場合は、それを使った課金。 ・あなたの友人へのなりすましスパムメール。 ・アカウントの削除。 ・あなたの管理するFacebookページの乗っ取り。 等々 では、上記の被害に合わない為に何をするべきか、そして予防策として何をするべきかを説明して行こう。 スパムアカウントの特徴 まずスパムアカウントの傾向を説明したい。 敵をしれば〜って奴だ。 基本的に男性に送られてくる、スパムアカウントは現在下記の様な特徴を持ってい
【続】イモトのWIFi顧客カード情報流出!! いきなり不正利用キターー!! 日本中のネットショップ要警戒!!! ロケットニュースのスタッフもやられたようで・・・ 【速報】イモトのWiFi「エクスコムグローバル」からカード情報など個人情報が10万件以上流出 / 漏れた対象者はどうすればいいか聞いてみた しかし、めっちゃヒドイ対応。社長のFacebookのフィードには非難のコメントが書き込まれたが削除。コメントがつけられないようにしている。謝罪無し。アホか。 こんな時だし、広告は普通、自粛しないか??? どんな神経だ?? 24時間サポート!? ウソつけ。 そんな今、VISAの信用管理部から電話ありました。実は今回、ダイナースと一緒にVISAのゴールドカードもやられました。 で、いきなりカウンターアタックで 「エクスコムグローバルの流出の不正利用ですか」とこちらから聞く。。 「は・・・はい・・」
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
既に使用しているアンチウイルスソフトと併用可能な上、PCにウイルス定義ファイルをダウンロードしないクラウドベースを採用することで動作もサクサクと軽快な無料のアンチウイルスソフトが「gred AntiVirus アクセラレータ」です。 世界中から収集するウイルスの最新情報をクラウド上の「免疫情報コミュニティ」で全ユーザーと共有することで、インターネットに接続している限りウイルス情報が常に最新の状態に保たれ、さらにウイルスに感染する可能性のあるファイルを効率的にスキャンすることによってものの数分でスキャンを完了することができます。 なお、Windows XP/Vista/7の32ビット版および64ビット版に対応しています。 ダウンロードとインストール、ウイルス対策の詳細は以下から。gred AntiVirusアクセラレータ 2.0 Freeのダウンロード : Vector ソフトを探す! ht
同じ無線LANに接続しているほかのユーザーの、ウェブサービスのアカウント情報を盗むことができるFirefoxアドオンが「Firesheep」だ。このアドオンが登場して以来、公衆無線LANでTiwtterやGmailの利用は危険極まりない行為となった。ここでは防衛策を解説しよう。 「Firesheep」は、他人が使っているウェブサービスのアカウント情報を盗むことができるFirefox用アドオンだ。導入済みのFirefoxからは、同じ無線LAN内にいるほかのユーザーの、ユーザー名やパスワードが丸見えになる。自宅の安全な無線LANなら問題ないが、駅や公共施設、学校や会社などの公衆無線LANでは、ほかのユーザーの個人情報をいくらでも集め放題になるのだ。 パスワードを盗まれる恐れがあるサービスは国内でメジャーなものだけでも、Dropbox、Evernote、Facebook、Flickr、Googl
【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。 はじめに 2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。 JavaScript とマウスオーバーイベント まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。 この枠の中をマウスカーソルで触って! どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。 このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。 今回は、ページ上のある部分にマウスカーソ
福利厚生代行大手の「リロ・ホールディング」(東京)は22日、企業の借り上げ社宅の管理などを行う子会社「リロケーション・ジャパン」(同)の顧客情報約19万5千件がファイル交換ソフトを通じてインターネットに流出したと発表した。 同社が管理する物件の所有者と入所者の名前や住所などが流出した。現在のところ、流出した情報を悪用した不正取引など2次被害は確認されていないという。取引先の連絡により、情報流出が発覚した。同社では流出経路について調査を進めている。
Windowsのタスクマネージャに何個も並んで表示されているプログラム「svchost.exe」。これらがどんなサービスにひもづけられているのかを手軽に確認できるソフトを、3本まとめて紹介しよう。 Windowsのタスクマネージャでプロセスを表示した際、目につくのが「svchost.exe」というプログラムだ。同じ名前のものがズラリと並んでいる様子は、初めて見た時は多少ギョッとする。やたらとCPUを消費している場合など、その正体を確認しようと思っても、プログラム名が同じなのでそれだけでは判断できない。よく確かめずに強制終了させた結果、Windowsの挙動がおかしくなってしまった経験を持つ人も多いだろう。 もともとsvchost.exeはWindowsのサービスを一括管理するプログラムで、複数が同時に起動していてもおかしくないのだが、見た目が一緒であるため各々がどのような動きをしているか判断
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く