脆弱性関連情報取扱い:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年4月19日に公表しました。 具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに利用される可能性があります。 プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。 電子メ
はびこる「インジェクション系」のぜい弱性:ITpro
Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし,Webサイトの実態はどうだろうか。 筆者の所属する京セラコミュニケーションシステムでは昨年(2006年),ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発表した。これによると,パソコン向けWebサイトの48%に致命的なぜい弱性が見つかった。このうちワースト1位はクロスサイト・スクリプティングで56%,2位はSQLインジェクションで11%と,どちらもインジェクション(注入)系のぜい弱性。これらのぜい弱性を持った危険なサイトは依然として存在するのが実情である。 これらWebアプリケーションのぜい弱性があまりなくならない理由はいくつかあるが,以前は「ぜい
104ビットWEPは1分あれば破れる | スラド
本家/.の記事より。ドイツ・ダルムシュタット工科大の暗号研究者Erik Tewsらは、従来知られていたよりもはるかに少ないパケットを捕捉するだけで、無線LANの104ビットWEPキーが十分クラック可能であることを示した。事実上1分少々あればWEPキーは解読できるということのようだ。 WEPがセキュリティ的に脆弱なのは以前から知られていたことだが、それでもキーの解読には50万から200万のデータパケットを捕捉することが必要と考えられていた。しかしTewsらのページによると、今回改良された手法を使えば40,000パケットの捕捉で50%、85,000パケットの捕捉なら95%の確率でWEPキーは解読可能だという。40,000パケットというのは従来知られていた必要パケット数の10分の1以下であり、受信状況さえ良ければ1分以内に捕捉可能とのこと。実際の計算にも、Pentium-M 1.7GHz、3MB
高木浩光@自宅の日記 - 銀行のフィッシング解説がなかなか正しくならない
■ 銀行のフィッシング解説がなかなか正しくならない みずほ銀行のトップページを訪れたところ、2月26日付けで「セキュリティガイド(4コマ漫画)を掲載いたしました」というお知らせが出ていた。見に行ってみると、「インターネットバンキング編」という解説があり、「 「フィッシング詐欺」に遭わないためには?」というページがあった。この出来が非常に悪く問題がある。 まず酷いのが、「電子メールが本物かどうかは、送信元アドレスで確認できます。」という完全に誤った解説だ。 「……@mizuhobank.co.jp」というメールアドレスを From: に書いてメールを送ることは誰にでも可能なわけだが、そんなことさえ知らないド素人に、こんな大事な解説の原稿を書かせる神経が理解できない。セキュリティ専門のコンサルに一読してもらうだけで防げるレベルのミスなのに、なぜそれをしないのか。 URLの確認方法として、「UR
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
【Eiji James Yoshidaのセキュリティ徒然草】Wiiのセキュリティを調べてみた--(その1)
これから情報セキュリティのブログを書くことになりましたEiji James Yoshidaです。Jamesと聞いて外国人だと思われるかもしれませんが,実は英語をしゃべるのが苦手な日本人です。なぜ日本人なのにJamesかについては「Eiji James Yoshidaの記録」という私の個人ブログを読んでいただくとして,今回は記念すべき第1回目ということで今話題の任天堂のゲーム機「Wii」のセキュリティについて書きたいと思います。 2006年12月に発売された家庭用ゲーム機であるWiiは,スタンバイ・モードでもインターネットに接続して情報を取得してくるWiiConnect24という機能が実装されています。つまり,Wiiはインターネットに常時接続された家庭用ゲーム機なのです。 家庭用ゲーム機といえども,インターネットに常時接続されるとなるとセキュリティ技術者の血が騒ぎます。そこで,Wiiのセキュ
アップル、Mac OS X向けの大規模なセキュリティアップデートを公開
Appleは米国時間3月13日、7件のゼロデイ脆弱性を含む45件のセキュリティ脆弱性を修正するMac OS Xのセキュリティアップートをリリースした。 ここ3カ月でAppleがセキュリティアップデートをリリースするのは、今回の大規模なパッチリリースで7回目となる。今回のアップデートでは、Apple製品自身の脆弱性を修正するほか、Adobe Systemsの「Flash Player」や「OpenSSH」「MySQL」などサードパーティー製のコンポーネントの脆弱性にも対応する。アップデートで修正される16件の脆弱性は、注目を集めた2つのバグ報告プロジェクトの一環として以前に発表されたものだ。 Appleのセキュリティ勧告によると、Macに対する危険度は脆弱性の種類によって異なるが、脆弱なコンポーネントを使用しているMacの制御が完全に乗っ取られてしまう可能性があるものも含まれているという。そ
情報セキュリティ白書 2007年版 - 10大脅威 「脅威の“見えない化”が加速する!」 -:IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、2006年にIPAに届けられた情報や一般に公開された情報を基に、「情報セキュリティ白書 2007年版」を編纂し、2007年3月9日(金)よりIPAセキュリティセンターのウェブサイトで公開しました。 「情報セキュリティ白書 2007年版」は、2006年にIPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者等から構成される「情報セキュリティ検討会」で、社会的影響の大きさからセキュリティ上の10大脅威を選び、利用者・管理者・開発者のそれぞれからみた脅威を分析し、今後の対策をまとめたものです。 2006年の10大脅威 「脅威の“見えない化”が加速する!」
「Winnyは既に必要な技術ではなく、危険性を認識すべき」高木氏講演
大阪弁護士会館で17日、情報処理技術と刑事事件に関するシンポジウムが開催された。シンポジウムは、Winny事件の判決を契機にIT技術と刑事事件を考えるという内容で、大阪弁護士会刑事弁護委員会、情報処理学会、情報ネットワーク法学会が共同で主催した。 シンポジウムでは、Winnyの開発者である金子勇氏によるWinnyの概説や、ファイル共有ソフトに関する刑事法的な問題点など、技術と法律の両面からWinnyやファイル共有ソフトの問題点についての講演が行なわれた。午後の講演では、産業技術総合研究所の高木浩光氏が「ファイル共有の抱える技術的な問題点」と題して、セキュリティの観点から見たWinnyの問題点を語った。 ● Winnyは「人が望まない」ことを止められない点が問題 高木氏はまず前提として、「Winnyがどのような目的や意図で開発されたのかという話とは無関係に、結果としてのWinnyを基に議論を
Firefoxに脆弱性、他者サイトのcookie改ざんの恐れも
FirefoxなどMozillaベースのブラウザに脆弱性が存在し、悪用されると攻撃者がよそのサイトのcookieなどのデータを操作できてしまうという。 FirefoxなどMozillaベースのブラウザにクロスドメインの脆弱性が存在し、攻撃者がよそのサイトのデータを操作できてしまう問題が報告された。 US-CERTが2月15日に公開したアドバイザリーによると、Mozillaではブラウザのフレーム処理に関して「Same Origin」ポリシーを採用し、1つのドメインから別のドメインのデータにアクセスされるのを防いでいる。しかしnull文字を含んだURIの処理が適切でなく、「location.hostname」に関するクロスドメインの脆弱性が発生する。 この問題を突かれると、攻撃者が被害者にWebページを閲覧させることで、別のドメインのデータを改ざんすることが可能になり、例えばあるドメインのWe
高木浩光@自宅の日記 - ファーストサーバ社は危険性をちゃんと顧客に伝えているのか
■ ファーストサーバ社は危険性をちゃんと顧客に伝えているのか 2年前の日記で、NHKエンタープライズ21の「RoBoCoN公式サイト」で「問い合わせ」という部分をクリックするとジャンプする https:// のページがオレオレ証明書で運用されていることについて書いた。証明書の発行者は「KSI First Server」と書かれていた。しかしこれがファーストサーバ社により発行されたものかは不明だった。 オレオレ証明書で運用されているこの状況は現在も変わっていない。そこで先月、ファーストサーバ社に以下の問い合わせをした。 Webサイトのデジタル証明書についてお尋ねします。 NHKのロボコン公式サイト http://www.official-robocon.com/top.html にある「問い合わせ」のページ https://www.official-robocon.com/FS-APL/FS
Officeの脆弱性突くExcel文書にバックドア機能も
Officeのゼロデイの脆弱性を突いた悪質なExcelファイルは、トロイの木馬を植え付けてバックドアを開く仕掛けになっていることが分かったとSymantec。 Officeの未パッチの脆弱性を突いた悪質なExcelファイルは、システムにトロイの木馬を植え付けてバックドアを開く仕掛けになっていることが分かったと、米Symantecが2月7日、ブログで報告した。 この脆弱性はMicrosoftが2日にアドバイザリーを公開して明らかにしたもので、Excel文書を使った攻撃が試みられていると報告していた。 SymantecはこのExcelファイルのサンプルを分析し、完全にパッチを当てたOffice 2000/XP/2003が影響を受けることが分かったと報告している。 問題のExcel文書(Symantecでは「Trojan.Mdropper.Y」と命名)が開かれると、Officeの脆弱性を突いてト
IPAたんからの返事 - ぼくはまちちゃん!
Date: Tue, 30 Jan 2007 10:37:05 +0900 From: "IPA/vuln/Info" To: root@hamachiya.com はまちや2様 ウェブアプリケーションの脆弱性関連情報を届出いただき、ありが とうございます。 本件につきまして、ガイドラインの以下の項目に記載がありますよ うに、届出の際には発見者様の氏名をご記入頂いております。 これは、責任ある届出を促すためであり、匿名やハンドルネームの 届出は受理できませんので、実名での届出にご協力をお願い致します。 ----------------------------------------------------------- 「情報セキュリティ早期警戒パートナーシップガイドライン」P.17 V.ウェブアプリケーションに係る脆弱性関連情報取扱 2. 発見者の対応 4) 届け出る情報の内容 ・発見者
ITmedia - “ボクは平気?” Macにもセキュリティ対策が必要な理由
一般的にMac OS Xは非常に堅牢なOSだと言われている。これはウイルスやワームに対しても同様だ。Mac OS XのベースとなるUNIXが長い歴史を持つこと(それは信頼性と言い換えていい)や、Macコミュニティの規模の小ささが、かえって不特定多数を狙う攻撃の対象から外される一因となっていたことも関係があるだろう。もちろん、いままでMac OS Xに深刻なセキュリティホールがなかったわけではないものの、少なくとも記者の周りでウイルスに感染したり、被害を受けたという話は聞いたことがない。その誰一人としてセキュリティ対策ソフトを導入していないにも関わらず、だ。 “ボクは平気、平気”(Macをはじめよう ウイルス編) AppleのあのCMを思い出すまでもなく、記者もMacを使う者として“ボクは平気”であってほしいと願うユーザーのひとりだ。ただし、たぶん大丈夫だろうとは思いつつも、まったく不安を感
フィードリーダーの脆弱性まわりのこと
最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。 この記事はひどすぎると思う。 フレッシュリーダーの脆弱性に関連してSage++のこと そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。「開発者の個人情報を晒すリスクが云々」というのは、個人的には分からなくもないですが、ユーザーの個人情報を危険に晒していることを認識すべきです。 開発者本人が過去に書いているので、危険性の大きさは十分に認識できているはずです。「脆弱性がある」と公表してしまった時点
Mac OSに、「Safari」ユーザーに影響を与える脆弱性--実証コードも公開に
「Mac OS X」に存在する深刻なセキュリティ脆弱性が悪用された場合、Appleの「Safari」ウェブブラウザが稼働するマシンの制御権を部外者に奪われるおそれがあると、セキュリティ企業Secuniaが警告している。 同脆弱性とこれを悪用するための「コンセプト実証」コードは、「Month of Apple Bugs(MOAB)」プロジェクトの一環として米国時間1月10日に公開された。LMHと名乗るセキュリティ研究者がMOABのウェブサイト上で発表したところによれば、今回の問題は、AppleのOSの最新版である「Mac OS X 10.4.8」と、過去のバージョンにも影響を与える可能性が大きいという。 Secuniaが米国時間1月9日に出した勧告には、Macユーザーが「ダウンロード後、安全なファイルを開く」というSafariのオプションを有効にしている際、同脆弱性が悪用されると記されていた
iPhoneでモバイルマルウェアも新時代?
MacとiPodの要素を組み合わせた「iPhone」の登場で、携帯電話を標的としたマルウェアも新時代に突入するかもしれない――。セキュリティ各社がこう指摘し、今後の展開に注目を促した。 セキュリティソフトメーカーMcAfeeはiPhoneとNokiaのN800を例に挙げ、「2007年から2008年の2年間は、携帯電話マルウェアの新時代になるかもしれない」との予想をブログに掲載した。 Symbian OSなど携帯電話向けOSに感染し、SMSメッセージを送ったり情報を盗み出すマルウェアについてはこれまでにも多数伝えられてきた。しかしMcAfeeではiPhoneがMac OS Xを、N800がLinuxを基盤としていることに着目する。 こうしたモデルはすべてネットワーク機能をフル装備し、無線LANにも対応するなどPCベースの動作や機能が特徴。これにより、フル機能を備えたマルウェアも登場する可能性
OpenOfficeに危険度「高」の脆弱性
仏セキュリティ機関FrSIRTは1月3日、オープンソースのオフィススイートOpenOffice.orgの脆弱性を報告した。危険度は最も高い「Critical」としている。 これらの問題は、不正な形式のEMFファイルあるいはWMFファイルを処理する際に、「EnhWMFReader::ReadEnhWMF()」「WMFReader::ReadRecordParams()」で整数オーバーフローおよびバッファオーバーフローが起きることが原因。攻撃者がこれを悪用すると、ユーザーに不正なファイルを開かせることで任意のコマンドを実行できてしまう恐れがあるという。 この問題の影響を受けるのはOpenOffice.orgのバージョン2.0.4以前。FrSIRTはパッチの適用を促している。
@IT:Security Tips > 外部からのポートスキャンサービスを利用する
nmapはすでに紹介されたが(参照:ポートスキャナを使ってPCの存在を確認する)、外部ネットワークから自分のネットワーク(もしくはPC)がどのように見えているかを検査するには、インターネット経由で別のネットワークに接続されたコンピュータなどからのポートスキャンを実行する必要がある。 大規模な企業ネットワークならばともかく、小規模な企業ネットワークでインターネットの接続口が1つしか準備されていないような場合には、このような準備ができていないところがある。 そのような場合に役に立つのが外部からのポートスキャンサービスである。例えばShields UP!!(https://www.grc.com/x/ne.dll?bh0bkyd2)では、外部からのポートスキャンサービスを提供している。 上記のURLにアクセスし、画面中のProceedボタンをクリック(2つあるが、どちらでもよい)することで、図1
高木浩光@自宅の日記 - 非接触型電子マネーは消費者にとって安全なのか
■ 非接触型電子マネーは消費者にとって安全なのか 最近、電子マネーの安全性にについて取り沙汰されているようだ。電子マネーの安全性というと、サービス事業者(発行者)ないし加盟店に損金が出るリスクと、消費者(利用者)に損金が出るリスクを分けて考えるべきだろう。 発行者の損金については、正直、外野がとやかく騒ぐことでもないという面がある。発行者は当然ながらそうしたリスクを詳細に検討した上で事業を展開しているはずであり、一定程度までの被害は必要コストとして計算されているはずだ*1。それに対し、消費者に損金が出るリスクが存在する場合にはそうはいかない。その事実が消費者に知らされるべきであり、回避策があるなら周知されるべきであろう。 さて、何か月か前にラジオライフ誌から取材したいとの申し入れが自宅日記のメールアドレスにあった。Suicaなどでスキミング被害が出ないのはなぜなのか技術的に解説して欲しいと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
