サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
TGS2024
negi.hatenablog.com
ポッドキャスト収録用のメモですよ。 podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。 事件、事故 富士通のネットワークサービス FENICS のネットワーク機器で、外部への不正な通信を確認 Meta 社がケンブリッジ・アナリティカ問題に関する集団訴訟で和解し、$725M を支払うことで合意 すでに修正済みの Twitter API の脆弱性を悪用して収集したと見られる約 4億人分の Twitter のユーザ情報が販売 広島県の抗原検査キット申請用サイトに DDoS 攻撃 Kraken が来年 1/31 に日本における暗号資産交換業の廃止を決定 攻撃、脅威 IPA のサイバーレスキュー隊 (J-CRAT) が 2022年上半期の活動状況を報告 脆弱性 米 CISA が Known Exploited Vulnerabilities (KEV) カタロ
TL;DR 主要ブラウザのサポートによって DoH の普及がますます進みそう DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い 一般ユーザにはまずは使ってみることをオススメする (個人の意見です) 企業内では現状はブロックすることをオススメする (個人の意見です) 目次 TL;DR 目次 動向整理 DoH 推進派 DoH 反対派 (おまけ) DoH サポート状況まとめ Browser vendors Firefox (Mozilla) Chrome (Google) Windows (Microsoft) Application / Tool 1.1.1.1 (Cloudflare) cloudflared DOH Proxy Curl goDoH DoHC2 DNSBotnet Publicly available servers Spec Time
しばらく更新してなかったと思ったらもう1年も経ってた、こわい。その間に、約1年半程 @ ITで続けてきた動画による連載「セキュリティのアレ」が惜しまれつつも(?)終了しました。ありがとうございました。 かわりに 4月からは辻さんとポッドキャストをはじめました。 podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。 Apple Podcats 内のセキュリティのアレ(仮)「セキュリティのアレ(仮)」 これはもともと 2011年から2015年まで辻さんと宮田さんが続けてこられたポッドキャストで、動画連載の間はお休みしてましたが、見事に復活!今のところ月に1〜2回のペースでゆるーく更新していて、ゲストが参加している回もあります。お暇なときにでもちらっと聴いてみてください。 さてこれだけではアレなので、最近始まった海外のセキュリティポッドキャストを少しだけ紹介
えー前回の記事からずいぶん間があいてしまいました。7、8月は収録のスケジュールがあわなかったり、公開収録をやってみたり、全文文字起こしに挑戦するなどもあって*1、連載のスケジュールがやや不規則になってしまいました。まだまだ試行錯誤を繰り返している状態なので、今後もいろいろ変わると思います。しばらく温かい目で見ていただけると嬉しいです。 というわけで、この間の動画を参考リンクとあわせてまとめて紹介します。第28回、29回は試験的に全文文字起こしつきです。 www.atmarkit.co.jp www.youtube.com 6月の時事ネタとして、旅行会社への不正アクセス事件を取り上げました。事件の概要については、以下の ITproの記事が詳しいです。 News & Trend - [詳報]JTBを襲った標的型攻撃:ITpro News & Trend - JTBの事故対応手順が明らかに、非公
少し間があいてしまいました。先週末は Hardening 100 Value x Value というイベントで沖縄に行ってまして、まあ端的に言うと、忙しくてブログのことすっかり忘れてました。あれ、同じことをその前も書いた気が… さて先週は「Tor」について解説してみました。 www.atmarkit.co.jp www.youtube.com Torに関しては、やはり本家の Tor Projectのドキュメントを見ていただくのが一番いいと思います。いくつか参考リンクを紹介します。 Tor Project: Overview (Tor Projectの概要) Who uses Tor? (誰が Torを使ってるの?) Tor: Hidden Service Protocol (Tor Hidden Serviceの仕組みについて) List of Services Blocking Tor
最近はアレかねの記事しか書いてない気が…まあいっか。ということで今週の Show Notesです。 www.atmarkit.co.jp www.youtube.com 今回は「みんな大好きパスワード」のネタです。パスワードを定期的に変更することの効果については、もう議論は尽くされていると思うので、タイトルに反して特に考え直すようなことはありません。あらためてポイントを整理してみたという感じですかね。パスワードは変えたいと思ったときが変え時です。 参考になるリンクを以下にあげておきますね。 パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記 武田圭史 » 【パスワードの定期変更1】〜まずは結論から Time to rethink mandatory password changes | Federal Trade Commission News & Trend - 「
今回は専門用語解説シリーズの第2弾ということで APT (Advanced Persistent Threat) について取り上げました。 www.atmarkit.co.jp www.youtube.com 動画の中でも触れてますが、過去にブログ等で何度か APTについて書いているので紹介しておきます。 Advanced Persistent Threat (APT)とは何か (Part 1) - セキュリティは楽しいかね? APT(Advanced Persistent Threat)について語るなら、これくらいは読んでおけ! - セキュリティは楽しいかね? Comment Groupのこれまでの活動 - セキュリティは楽しいかね? Part 2 APT1レポートに関するまとめ? - セキュリティは楽しいかね? Part 2 レポートの「オモテ」と「ウラ」を読み込む:再考・APT〜Ma
今週はセキュリティ情報の収集術をテーマに話をしてみました。 www.atmarkit.co.jp www.youtube.com 情報の種類 (脅威、脆弱性、事件/事故ほか) や情報の発信元 (メディア、ベンダー、専門家、被害企業、公的機関ほか) などに注意しつつ、どうやってその情報を活用するのかを考えながら収集できるといいですね。 動画の中では自分の気になるキーワードを Googleアラートで追いかける方法なんかも取り上げてみました。はてなのマイホットエントリー機能も私はよく使いますね。 あと動画では触れませんでしたが、海外のセキュリティ情報やニュースをチェックするのに便利なサイトをいくつか紹介しておきます。(私自身は RSSリーダーで毎日ニュースをチェックしているので、これらのまとめサイトにお世話になることはあまりありませんw) Security Research - Hewlett
先週から始まった(いや実際にはもっと前からだが) Appleと FBIとの仁義なき戦い。なんのことだかわからないという方はまずはこちらの記事をどうぞ。 negi.hatenablog.com さてこの記事以降に起こった今週の主な動きを時系列で簡単にまとめておく。 2月22日(月) サンバーナーディーノ銃乱射事件の被害者が、政府の Appleに対する要求を支持する内容の文書を裁判所に提出するとの報道。 Exclusive: San Bernardino victims to oppose Apple on iPhone encryption | Reuters FBI長官 James Comey氏が LAWFAREでコメントを発表。 We Could Not Look the Survivors in the Eye if We Did Not Follow this Lead - Lawf
毎回書こうとか考えると途端に面倒に感じるわけですが。(´Д` ) まあそれはともかく今週も公開されてます。 www.atmarkit.co.jp まずはゆるりと動画をご覧ください。 www.youtube.com 今週のテーマは「パスワード管理」。パスワードと言えば基本となるのが、以下の 2点でしょう。 他人から容易に推測されない、ツールに簡単に突破されない、強固なパスワードをつける (→ できるだけ長くてランダムなものがベスト) 同じパスワードを複数の場所で使いまわさない (→ 仮にある場所からパスワードが漏洩しても他に影響がおよばない) しかしこれらを守ろうとすると、記憶に頼って覚えることはフツーの人にはほぼ不可能です。1つ覚えるだけならまだしも、10や20のパスワードを使いこなすなんていまどき誰でもやっているでしょう。そうするとパスワード管理の問題は、「パスワードをどこに、どうやって
今週の 2月16日、カリフォルニア州の連邦裁判所から Apple社に対してある命令が出された。内容は昨年12月に起きたサンバーナーディーノ銃乱射事件の犯人の1人が所持していた iPhoneを FBIが調査するのを手助けするようにというもの。それだけなら特別なことはないのだが、要求している方法がやや特殊だった。iPhoneをロックしているパスコードを FBIが解読できるようにするために、Appleに対して解読の妨げとなるセキュリティ機能を無効にした特別なソフトウェアを開発し、これを対象の iPhoneにロードせよ、というのだ。これに対して Appleの CEOである Tim Cookは顧客への Open Letterという形で声明を発表し、命令を受け入れることはできないと拒否する姿勢を示した。 ここ数日米国を中心に大きな話題となっているこの事件について、現時点でわかっていること、さまざまなニ
前々回の記事を書くまで 2年近く更新をさぼっていたわけですが、その間に @ITで動画の連載をはじめました。昨年11月からスタートして毎週更新しています。初めての試みなのでまだまだ試行錯誤しているところなのですが、専門家ではない方にもわかりやすく楽しく、セキュリティ関連の最新の情報をお伝えできればと思っています。ぜひご覧ください。ご意見やご質問などは Twitterのハッシュタグ #セキュリティのアレで募集してます。 www.atmarkit.co.jp さて今日公開された最新の記事では、1月の気になる話題を 3つ取り上げて解説してます。それぞれ少し補足したいと思います。まあ Show Notes 的なアレですね。 続きを読む前に、まずはコーヒーでも飲みながら、のんびりと動画をご覧ください。 www.youtube.com 1. 相次ぐバックドア問題 昨年末から先月にかけて、たまたまですがな
先月末にサンフランシスコで開催された ENIGMAという USENIXの新しいカンファレンスのクロージングセッションにおいて、アメリカ国家安全保障局 (NSA) の Tailored Access Operations (TAO) という部門のチーフである Rob Joyce氏がプレゼンテーションを行った。これは極めて珍しいことのようで海外のメディアでいくつか話題となっていた。 NSA’s top hacking boss explains how to protect your network from his attack squads • The Register NSA Hacker Chief Explains How to Keep Him Out of Your System | WIRED 約35分の講演の様子は YouTubeで公開されている。講演のタイトルは “Dirs
5月27日、LulzSecのリーダーだった Sabuについに判決がでました。情報提供者として協力してきた結果が非常に評価されて、保護観察つきながら自由の身となりました (“time served and one year of supervised release”)。米司法省のプレスリリースによると Sabuの協力によって、8人の逮捕につながり、300以上のサイバー攻撃を未然に防いだり被害を軽減することができたとされています。 Leading Member Of The International Cybercriminal Group “Lulzsec” Sentenced In Manhattan Federal Court Among other things, at law enforcement direction, Monsegur engaged in proactive
先週 1/14,15に JAPAN IDENTITY & CLOUD SUMMIT (JICS) が開催され、その中のセキュリティ・トラックに参加させてもらいました。@ITさんの記事(の後半)でセキュリティ・トラックの内容について紹介されています。 Japan Identity & Cloud Summit 2014レポート:なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか - @IT 関連するブログや Togetterのまとめもあります。 JICS2014に参加してきました。 « (n) (パネリストの一人である辻さんの記事) JICS 2014のセキュリティ・トラックを聞いて思ったこと - r-weblife (OpenIDファウンデーション・ジャパンのエバンジェリスト ritouさんの記事) #JICS2014 #Sec Track - クレイジーダブルポケットフランネルチェッ
先週 SpalshData が "Worst Passwords of 2013" のリストを発表しました。SpalshDataはパスワード管理ソフトなどスマートフォン向けの製品を開発している会社ですが、その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調べて、2011年から毎年発表しています。 2013年 "Password" unseated by "123456" on SplashData’s annual "Worst Passwords" list 2012年 Scary Logins: Worst Passwords of 2012 — and How to Fix Them 2011年 When "Most Popular" Isn't A Good Thing: Worst Passwords of the Year – And How
Adobeから大規模な情報漏洩が起きたことが先月明らかになったが、漏洩規模は当初想定よりもかなり大きく、およそ1億5千万件のアカウント情報が漏洩している(アクティブなアカウント約3,800万件を含む)。このうち 3DES (ECBモード) で暗号化されたパスワードがおよそ 1億3千万件含まれており、これまでにさまざまな分析が行われている。SCG (Stricture Consulting Group) のセキュリティ研究者は、暗号化パスワードとともに漏洩した平文のパスワードヒントなどを手掛かりとしてパスワードの解読を試みており、Top 100パスワードリストを公開している。最も多く使われていたパスワードは「123456」で約191万件、これは全体の約 1.5%に相当する。 Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 - ITmedia エンタープ
前回の記事で (Perfect) Forward Secrecy (FS) のテーマを取り上げたが、これは TLS/SSLだけに限定した話ではない。そこで今回はメールやチャットなどのメッセージングの話題を取り上げたいと思う。 PGP メールにおける End-to-Endの暗号化としては Pretty Good Privacy (PGP) が以前から広く使われている。NSAの内部情報をリークした Edward Snowden氏もジャーナリストと連絡を取るにあたって、必ずPGPによる暗号化を行うように要求したという。さて、PGPでは各メッセージの暗号化に使われるセッション鍵 (毎回ランダムに生成される) を受信者の公開鍵で暗号化して送る。また各メッセージのハッシュに対して送信者の秘密鍵を用いて署名を行う。一方の受信者は自身の秘密鍵でセッション鍵を復号し、この鍵で暗号化されたメッセージを復号する
Lavabit事件 Lavabitという名前をみなさんご存知だろうか。NSAの監視活動について内部リークを行った Edward Snowden氏が利用していたメールサービスとして今年の夏に一躍有名になったところだ。Snowden氏は香港に滞在して複数のジャーナリストにNSAの内部情報を提供したあと、現在はロシアに一時亡命しているが、亡命が認められる前にモスクワ空港にしばらく滞在していたことがある。7月12日に空港内でプレスカンファレンスを行ったのだが、その時複数の人権団体に送った招待状が “edsnowden@lavabit.com” というメールアドレスからだった。この事が報道されると、「あの」Snowden氏が使っているメールサービスということで、利用希望者が殺到したらしい。(それまで新規登録は 200人/日だったのが、4,000人/日と20倍になった。) しかしそんな表の騒動の影で、
4月に「複数の会員サイトへの不正ログイン事件が発生」という記事を書いたのだが、その後も多くのサイトで不正ログイン事件が起きている。前回紹介したものも含め、3月から7月にかけて発生した事例についてまとめておく。 まとめ 対象 期間 試行回数 不正ログイン件数 (*1) 成功率 (*2) 影響範囲 WebMoney 8/28 - 8/29 - 1,261 - 顧客情報の閲覧 ポイントタウン 8/20 - 8/22 - 6,765 - 顧客情報の閲覧はなし ヤプログ! 8/20, 8/24, 8/27 - 5,755 - 顧客情報の閲覧 @games 8/3 - 8/13 - 83,961 - 顧客情報の閲覧 Ameba 4/6 - 8/3 - 243,266 - 顧客情報の閲覧 GREE 7/25 - 8/5 - 39,590 - 顧客情報の閲覧 Tサイト 7/25 - 7/26 - 27 -
前回の記事に書いたように、Facebookではパスワードをリセットするための一つの方法として「セキュリティのための質問」を利用することができる。ただし問題がひとつある。Facebookでは一度設定した「セキュリティのための質問」をあとから変更することができない。他人が容易に推測できるような回答をうっかり設定しまう場合を考えると、これは非常に危険である。3人の架空のアカウントで友達になって…などとわざわざ面倒な方法を使わなくても、簡単にアカウントが乗っ取れてしまう。 そこでどうしても過去に設定した「セキュリティのための質問」を変更したい人のために、ややトリッキーではあるが変更することが可能な方法を紹介する。(ただし正規の手順というわけではないので、実行する場合は自己責任で*1。) なお現在は「セキュリティのための質問」に代わる機能として「信頼できる連絡先」の機能が提供されている。「信頼できる
Facebookのパスワードを忘れてしまった場合、「パスワードを忘れた場合はこちら」のリンクから、パスワードを再設定することができる。いわゆるパスワードリセット機能で、大抵の Webサービスには似たような機能があると思うが、Facebookでは実に多様な方法でパスワードをリセットすることができる。そしてこれがセキュリティ上問題になったり、混乱を生む原因にもなっているのではないかと思う。ということで Facebookのパスワードリセット機能についてまとめておく。(続編も一緒にどうぞ!) 通常の方法 まず、もっともポピュラーな方法として以下がある*1。 1-1. Googleアカウントでログインする 1-2. 登録しているメールアドレスにメールで確認コードを送る 1-3. 登録している携帯電話に SMSで確認コードを送る 1-4. コードジェネレータを利用する Facebookに Gmailの
Edward Snowden氏のリークによって大騒動となっている NSAの監視プログラムについて、今週、米国議会の上院や下院において米政府からの情報開示や、NSA長官などの政府高官による証言が相次いで行われました。これらの情報から、現時点でのこの問題に関する米政府側の主張をちょっと整理してみます。 −−−− 上院情報委員会に提出された文書や、PBSのインタビューでのオバマ大統領の説明によると、NSAの監視プログラムは大まかに次の2つがある。これらはその根拠となっている法律の条項から 215 programや 702 programなどと呼ばれている。 Section 215 of the USA PATRIOT Act にもとづくデータ収集 (215 program) Section 702 of the FISA Amendments Act にもとづくデータ収集 (702 progra
(2013-08-07 更新あり) 主要なサービスで 2段階認証に対応する動きが拡がってきたので、ちょっとまとめておきます。金融系のサービスやマイナーなものはいれてません*1。こうやって並べて比べてみると、細かいところで違いがあっておもしろいですね。なお現時点で Appleと Twitterは日本ではまだ正式対応されていません。 (注: Twitterは 8/7にアプリを利用した認証方式に対応し、日本でも利用できるようになりました。) サービス 名称 認証アプリ SMS/メール/音声 アプリ用パスワード 信頼できる端末 復旧用コード Apple 2段階認証 (two-step verification) ◯ (*1) SMS (*4) - ◯ ◯ Dropbox 2段階認証 (two-step verification) ◯ (TOTP) SMS - ◯ ◯ Evernote 2段階認証
最近、Microsoft、Twitter、Evernote、LinkedInなども相次いで 2段階認証 (two-step verification) のサポートをはじめ、主要なサービスでは必須の機能という感じになってきました*1。Appleでも 3月にアメリカ、イギリスなどから開始され、5月には対象国が拡大しました。日本でも使えるようになった…と思っていたのですが、どうも一部のユーザにフライングで設定項目が表示されただけで、正式なサービス開始ではないようです*2。 さてその Apple IDの 2段階認証について、先週 ElcomSoftが問題点を指摘する記事を公開して一部で話題になりました。 Apple Two-Factor Authentication and the iCloud « Advanced Password Cracking – Insight In its curre
(5/23 追記) Yahoo! Japanからパスワードに関する情報も流出した可能性が高い、との追加発表あったので、その内容について追記しました。 先週末の 5/17に Yahoo! Japanから発表があり、外部からの不正アクセスによって最大 2,200万件の Yahoo! Japan IDが流出した可能性があるということです。該当するユーザはコチラのページ(要ログイン)で自分が流出対象かどうか確認することができます。 当社サーバへの不正なアクセスについて 5月16日の21時頃に、Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあったことが判明しました。4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知したものです。調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることがわかりました。 そのファイ
5月16日、イギリスで LulzSecのコアメンバー 3人とサポーター1人の計 4人への判決が出ました。世間を大きく騒がせたハッカーチームへの最初の判決ということで、メディアも多数取り上げています。 私もこれまでにブログで記事を書いたこともあるし、LulzSecの活動期間中やその後の動きもずっとウォッチしていたので、なんとなく一つの区切りがついたような気がしています。(LulzSecの活動内容については以前書いたブログの記事をどうぞ。1,2,3,4) LulzSecは 6人のコアメンバー Sabu, Topiary, Kayla, Tflow, Pwnsauce, Avunit からなるチームです。今回の判決内容と、他のメンバーの状況なんかをちょっとまとめておきたいと思います*1*2。(今回判決が出たのは表の上から3人) 名前 年令 国 状況 Topiary 20 イギリス LulzSec
元は毎日新聞のこの記事。 警察庁有識者会議:サイト管理者が通信遮断を 匿名悪用で パソコン(PC)の遠隔操作事件を受け、発信元の特定を困難にする匿名化システム「Tor(トーア)」を悪用した犯罪対策を検討していた警察庁の有識者会議は18日、サイト管理者の判断で通信を遮断することが抑止に効果があるとする報告書をまとめた。警察庁は提言を踏まえ、インターネット接続事業者の業界などに自主的な取り組みを促す。 よく読めば、「ISPが Torをブロックする」なんてことはどこにも書いてないのですが、なぜか話がどこかで捻じ曲がってしまい、国内だけでなく海外でも報道されています*1。Tor Projectもこんなツイートをしています。 Unfortunately, NPA recommends banning Tor in Japan, ur1.ca/dfu9c. NPA caught suspect, wh
一昨日あたりから WordPressを狙う大規模な攻撃が世界中で観測されていて、セキュリティベンダやホスティング事業者などが注意を呼び掛けています。*1 WordPressを狙った大規模なブルートフォース攻撃(?)が観測されているみたい。 CloudFlareの報告→ http://t.co/CVoxZ7nYIc Sucuriの報告→ http://t.co/Q5jw0JD92X— Masafumi Negishi (@MasafumiNegishi) April 12, 2013 攻撃の概要をまとめると、こんな感じです。 WordPressに対して無差別に行われている 'admin' 等のアカウントに対する辞書攻撃が行われている 攻撃元として 9万から 10万の IPアドレスが確認されており、攻撃者は Botnetを利用していると思われる 不正にログインされると、バックドアなどのスクリプ
次のページ
このページを最初にブックマークしてみませんか?
『セキュリティは楽しいかね? Part 2』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く