https://www.cybereason.co.jp/blog/edr/2224/
【演出x偽装】「ほこxたて」の「ハッカーvsセキュリティ」の裏側
昨日放送された「ほこxたて」の「ハッカーvsセキュリティ」が想像以上にひどかった。その結果として、視聴者に多大な誤解が蔓延している。 詳細は、防御側であるNet Agent代表取締役の杉浦氏およびハッカー側のマラット氏がいずれ明かしてくださることを期待して、今回は誤解を少しだけでもといておくために、このエントリを書くことにする。なお、以下の記述は、主に防御側である杉浦氏のツイートを元に記述しているので、注意されたし。 この対決では、以下の様なメールが防御側から攻撃側に送られてスタートしている。 3人の人物を撮影した写真を3分割し、 A、B、C各パソコンに1枚ずつ隠しています。 1枚目の写真のファイル名は「takahiro.jpg」です。 正解すれば次のステージの情報をお伝えします。 対象となるパソコンは透明なボックスに入れられ、厳重に鍵がかけられたので、リモートから侵入しなければならない。
Dropboxのデータを暗号化してセキュリティを高めましょう | ライフハッカー・ジャパン
Dropboxのデータを暗号化してセキュリティを高めましょう。 最近、どのアカウントにもアクセスできるという事故でセキュリティと個人情報の漏洩が心配された『Dropbox』ですが、もしこの事故の影響で利用するのをやめるとお考えでしたら、簡単にセキュリティを強化する方法があります。それは、ファイルの暗号化です。 ライフハッカーがどれだけDropboxを愛用しているかは皆様もご存じだと思いますし、データ暗号化ツールには「TrueCrypt」を推奨していますが、この2つを合わせた活用法は少しだけしか説明していないのでこの機会に詳しくご説明します。 ■何が問題なのか? Dropboxは、ここ最近個人情報の漏洩とセキュリティの問題が目立っています。最近では認証システムのバグにより、4時間ほどいかなるアカウントでも簡単に入れるようになってしまいました。4月には「Business Insider」が、D
知っていますか? 脆弱性――アニメで見るウェブサイトの脅威と仕組み
知っていますか? 脆弱性――アニメで見るウェブサイトの脅威と仕組み:10個のツールで学ぶ、備える!情報セキュリティの脅威と対策 情報セキュリティ対策に活用できるIPAの10個のツールやコンテンツを紹介します。今回はWebサイトに関する脆弱性や対策を学べるアニメを取り上げます。 情報処理推進機構(IPA)は、ITの社会インフラとしての信頼性向上のため、情報処理技術者試験などによる人材育成、また、さまざまな脅威と対策の紹介といった活動をしています。本連載ではIPAの活動の中から、特にネットワークのセキュリティ対策についてIPAが提供している10個のツールやコンテンツを紹介します。 ネットワークの脅威やセキュリティというと、どうしても大企業の情報システム部門の仕事と考えられがちですが、実際にはPC、あるいはスマートフォンや携帯ゲーム機のような端末を操作する個人ユーザーにも大きく関わってくる部分で
下村努 - Wikipedia
下村 努(しもむら つとむ、1964年10月23日[1] - )は、物理学者、コンピュータセキュリティの専門家。アメリカのカリフォルニア州在住[2]。ケビン・ミトニックの逮捕に協力した[3][4]。アメリカ国籍[5]。 略歴[編集] 愛知県名古屋市生まれ[1]。父は、2008年にノーベル化学賞を受賞した生物発光研究者の下村脩。1歳で両親と共に渡米[3]、プリンストン(ニュージャージー州)で育つ[6]。10歳頃から、平均15歳位の子供達から成るコンピュータ・クラブに参加し、プリンストン大学工学部にあるコンピュータの操作にのめり込む。飛び級を重ね、中学を卒業しないまま[7]12歳頃には高校に上がる。この頃は両親との関係が芳しくなく、家より大学にいる時間が長かったという[8]。さまざまな学問に触れ、物理学と生物学とに惹かれる[9]中、15歳の時に、下村はそのコンピュータに関する能力を買われてプリ
5分で絶対に分かるVPN (1/6):5分で絶対に分かる - @IT
VPN(Virtual Private Network)とはいったい何だ 外出先などからインターネット経由で安全に社内へアクセスしたり、特定のビジネスパートナーに対して安全に情報を提供したりするニーズが高まっている。以前は、このようなニーズに対しては専用線か、Webベースでの暗号化接続を提供するSSL(Secure Sockets Layer)、メールの暗号化という方法が主に用いられた。 しかし、サービスが多様化するにつれて、利用するアプリケーションを意識することなく通信を暗号化したいというニーズが高まってきた。そうした要求に対して最も有効なソリューションが、「Virtual Private Network(VPN)」だ。 では、VPNのイメージを解説しよう。
高木浩光@自宅の日記 - 「VeriSignシール」という幻想
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実
Webコンテンツの改ざんを発見する
前回は、社内でWebコンテンツを作成し、サイトにアップロードして管理する場合のGumblar対策を解説した。Webコンテンツの作成を外部に委託している場合もあるだろう。そのような場合、委託先にも社内で作るときと同様のセキュリティ対策を求めることになる。具体的には、委託する場合の仕様書に、前回に説明したWebコンテンツ作成関連端末のぜい弱性対策を必須とする条項を入れることになる。 Webサイトへアップロードする前にコンテンツの安全性をチェック だが、委託仕様書などに従ったた契約における対策は、あくまで保険にしかならず、Gumblarが侵入する可能性に対して万全とはいえない。委託先から、Gumblarに汚染されたコンテンツが納品されてくる場合を想定して、あらかじめ安全なWebコンテンツの受け入れ態勢を作る必要があるだろう。 GumblarによるWeb改ざんの方法は、FTPクライアントのIDとパ
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
USBメモリを安全に持ち歩く方法 | nanapi[ナナピ]
USBメモリを安全に持ち歩く方法 に関するライフレシピをご紹介します。nanapi [ナナピ]は、みんなで作る暮らしのレシピサイトです。無くした時どうするの? 最近、価格の下落が激しく、一人で何本も使い分けている人もいるであろうUSBメモリ。 使い方は人によって様々ですが、私なんかは結構重要な(?)ファイルの持ち運びに使ったりする事もあります。 暗号化機能が標準搭載のUSBメモリもありますが、企業向けだったりして値段がちょっと… でも無くした時の情報漏洩が心配…… だったら手持ちのUSBメモリにパスワードかけちゃいなよ! 万が一知らない誰かに拾われても、中に入っているデータにアクセスできないように暗号化をかけてしまえばいいのです。 ■KASHU-USBメモリのセキュリティ このアプリケーションを使う事によって、暗号化機能が標準搭載のUSBメモリとほぼ?同等の機能を有することができます。
中古ドメインでGoogleAppsを使ったら - y-kawazの日記
最近あるドメインを取得したんだが、実はこのドメインは僕が最初に取得したものではなく、前のドメイン所有者が管理放棄したか期限切れになったモノを僕が取得したもののようだ。普通は中古のドメインだからといっても困ることはそうは無いもんだが、今回は珍しいケースに当たったのでネタにしてみる。 中古ドメインだったんだなーと気付いたのはGoogleAppsにドメインを登録しようと、ドメイン名を入力したときだ。 ↓こんなメッセージが出て登録できなかった。 このドメインは既に Google Apps に登録されています。 このドメインで Google Apps を使用する手順については、ドメイン管理者にお問い合わせください。 なんと既に登録されてるとな?すぐに前のドメイン所有者がAppsを使ってたんだなと思い至ったんだがさてどうしたらいいんだろう? GoogleAppsの管理アカウントを取り戻す手順 既に存在
ネットで誹謗中傷を書かれた時に、法的に個人を特定する方法 | nanapi[ナナピ]
ネットで誹謗中傷を書かれた時に、法的に個人を特定する方法 に関するライフレシピをご紹介します。nanapi [ナナピ]は、みんなで作る暮らしのレシピサイトです。はじめに インターネットは便利ですが、誰でも情報発信ができる以上、個人情報を書かれたり、悪質でひどい誹謗中傷を書かれたりするリスクがあります。 今のネット社会では、少しくらいの批判に反応するのは効率的ではありません。しかし、自分の生活や家族、大切な人にまで害を及ぼすような誹謗中傷をされたり脅迫をされた時は法的な処置をとらざえるを得ない時があります。 そこで、ネットで誹謗中傷が書かれた時の対応法を紹介します。 最初にやること まず、一番最初に何をやらないといけないか。それは 「書いた人の発信者情報をゲットする」 というところです。 それはたいていの場合、IPアドレスと呼ばれるものです。IPアドレスとは、インターネットに書き込む時に記録
iPhoneで撮影した写真の危険性と対策のまとめ | MY IPHONE . JP
こんにちは、kimsonです。 なにげなく撮影した写真から個人情報が流出してしまう可能性があるということをご存じですか? iPhoneで撮影した写真にはジオタグというものが自動で付加かれてます。(位置情報サービスをオンにしている場合。) ジオタグには撮影場所の緯度経度が記録されていて、写真をそのままブログなどに上げてしまうと簡単に位置がばれてしまいます。 解析するツールは結構あってまずJpegAnalyzer Plusこのツール このツールでiPhoneで撮影したおいしそうなステーキの写真を読み込むと・・・ jpeganalyzer 赤線で囲まれた部分に緯度経度の情報が書かれています。(画像をクリックすると大きい画像が見れて見やすいです。) 次のツールはfirefoxのExif Viewerというアドオンです。 このアドオンは機能が充実していて読み込んだ写真のジオタグから地図を
はてなのCAPTCHAを破るプログラムは30分で書ける - やねうらおブログ(移転しました)
CAPTCHAとは、スパムコメントなどを防止するための認証画像のことである。 それにしても、はてなのCAPTCHAはひどい。無いよりマシという考え方もあるのでそれについてはあまり議論する気は無いのだが、それにしてもこれを破るプログラムは30分あれば十分書ける。 具体的には、はてなのCAPTCHAには8つの好ましくない特徴と、2つの脆弱性がある。 ■ 8つの好ましくない特徴 ・画像自体のサイズが小さすぎる。→ こんなに小さいと探索量(計算量)が小さくて済む。 ・フォントにゆがみがない → フォントはある程度変形させたほうが良い。変形させてあるとテンプレートマッチングがしにくくなる。 ・フォントが固定。→ フォントは毎回変えたほうが良い。 ・フォントを回転させていない → フォントは文字ごとにある程度ランダムに回転させた方が良い。 ・フォントサイズが一定 → フォントサイズは文字ごとにある程度
ページ内の画像のダウンロードを超簡単に制限できる「dwImageProtector for jQuery」:phpspot開発日誌
ページ内の画像のダウンロードを超簡単に制限できる「dwImageProtector for jQuery」 2009年06月15日- dwImageProtector Plugin for jQuery ページ内の画像のダウンロードを超簡単に制限できる「dwImageProtector for jQuery」。 Flickr などで導入されていますが、右クリックしてダウンロードしようとすると、元画像ではなくダミーの画像のダウンロードが開始する、という仕組みを簡単に実現するためのjQueryプラグインです。 ダウンロードしようとすると、ダウンロード開始するものの、ダミー画像(blank.gif)がターゲットになります。 単純に、元画像にダミー画像(blank.gif)を被せているというハックなのですが、画像の右クリックダウンロードを抑制したい方には便利に使えます。 以下のようなケースで保存す
最も危険なネット検索用語とは?
ネットで無料アイテムを検索したり、自宅でできる仕事を検索すると、マルウェア感染ページが表示される確率が高いという。 ネットで音楽やスクリーンセーバーなどの無料アイテムを検索したり、自宅でできる仕事を検索したりすると、マルウェア感染ページが表示される確率が高い――。米McAfeeが5月27日に発表した報告書「Web’s Most Dangerous Search Terms」(Webで最も危険な検索用語)で、このような傾向が明らかになった。 McAfeeは米Google、Yahoo!などで検索件数の多い用語約2600語について、検索結果にスパイウェアやアドウェア配布サイト、フィッシング詐欺サイトといった悪質サイトが表示される確率を調べた。 その結果、最も危険な検索用語は「screensavers」で、最大危険度は59.1%。つまり、検索結果に表示される上位10件のリンクうち、ほぼ6件を悪質な
出したメールが相手に届かない!? メールの不達問題とスパム対策の関係
「自分が出したメールが相手に届かない」「行方不明になったみたいだ」──。そんな事例が目につくようになってきた。メールは、遅延はあっても“ほぼ間違いなく”届くものと考えているユーザーにとっては看過できない問題だ。 米Microsoft Researchの研究者が10月に発表した論文によると、送信されたメールの0.71~1.02%が「ただ消えて無くなる」としており、その主な原因がSMTPサーバーにおけるスパムフィルターにあると指摘している。 一般にスパム対策には、スパムを出させないようにする方法と、スパムを受け取らないようにする方法の2通りがある。前者の代表的な方法がOutbound Port25 Blocking(OP25B)やドメイン認証であり、後者の代表的な方法がフィルタリングである。 メールソフトのスパムフィルタリング機能やISPが提供しているスパムフィルタリングサービスなどの利用者な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://j-net21.smrj.go.jp/well/kojinjoho/5-074.html