Yahoo! JAPAN、ついに「秘密の質問」を廃止へ | スラド セキュリティYahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。 「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される | スラド セキュリティ
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿、 The Registerの記事、 Softpediaの記事、 Ars Technicaの記事)。 チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返され
マイナンバーカードは顔写真のない身分証と番号だけで取得できる | スラド セキュリティ
今年1月、他人名義の住民基本台帳カード(住基カード)を使って別人に成りすまし交通違反を免れようとした京都市の医師が逮捕されるという事件があった(読売新聞)。この事件は交通違反時に「免許証を忘れた」として他人名義の住基カードを提示して交通違反切符に署名を行ったというもの。使われた住基カードに記載された顔写真は容疑者本人のものだったが、名前や住所はこの医師が経営する病院の男性患者のものだったという。 住基カードは健康保険証など顔写真のない身分証2点を提示すれば申請できたとのことで、これを悪用して自身の顔写真入り住基カードが作成されたようだ。そして、これと同様に個人番号カード(マイナンバーカード)も、個人番号が分かれば顔写真のない身分証だけで作成できてしまうという(産経新聞)。 顔写真入り身分証を持たない人への交付を行えるようにするためにこのような仕組みになっているようだ。しかし、マイナンバーカ
「秘密の質問」をネット上でカジュアルに聞き出そうとする試みに注意 | スラド セキュリティ
「あなたはどこで生まれましたか?」という質問に答えることがセキュリティリスクになる、という話が話題だ(Askの本日の質問が危ない — Togetterまとめ)。 利用にログインが必要になるようなサービスでは、パスワードを忘れた際の対策として「出身地」や「好きな食べ物」「母親の旧姓」といった、「秘密の質問」を設定できるようになっているものがある。「あなたはどこで生まれましたか?」という質問に答えてしまうと、このような「秘密の質問」の答えを提供してしまうことになる可能性があるという話だ。「秘密の質問」の危険性については以前から議論されているが、最近はますますネットで気軽にコミュニケーションを取れるようになっているため、より危険性が増しているのかもしれない。 対策としては、「秘密の質問」には正直に回答を設定せず、必ず嘘の回答を設定するようにするというものがある。何を設定したか忘れてしまうというデ
スラッシュドット・ジャパン セキュリティ | スマートフォンにもcrapwareが進出
「crapware」などと呼ばれる不要なプリインストールソフトウェアがスマートフォンにも進出している(PC Proの記事、本家/.)。 メーカー製パソコンの中には大量のcrapwareが搭載されているものもあるが、現在ではAndroidスマートフォンが同じような状況に陥っている。PC Proの記事によると、ソニーエリクソンのXperia Mini Proでは最初の起動時には、Googleアカウントの設定よりも先にマカフィーのWaveSecureのセットアップ画面が表示されるという。また、公式のAndroid Marketの他にアプリケーションストアが4種類プリインストールされているほか、体験版のゲームやメディア管理ツールなどもプリインストールされているとのことだ。 パソコンの場合、crapwareは容易にアンインストールできる。しかし、Androidスマートフォンではユーザーがアンインスト
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に | スラド セキュリティ
「巫女SE」として一部の/.Jユーザーの間で話 題になったn_ayase氏(氏のTwitter)が、派遣先で試験を行ったシステムに深刻な脆弱性を発見、独断でシステムを停止させてあわや警察沙汰になるところだったそうだ。 詳細はTogetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」やTogetter - 「巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話」にてまとめられているが、n_ayase氏がとあるシステムの調査を依頼されてペネトレーションテストを行ったところ、コードが断片的にしかないうえにパスワードやクレジット情報が平文でDBに保存されており、漏洩の可能性も考えられる危険な状況だったらしい。このシステムは実際に稼働していた状態だったため本人の独断でサービスを停止した結果
生パスワードを平文メールで送ってくる企業 | スラド セキュリティ
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
Android、複数の人気アプリケーションで無断情報送信を確認 | スラド セキュリティ
人気のAndroidアプリケーション30個のうち半分がGPSデータやユーザ情報を広告主やリモートサーバなどに提供していることが分かったそうだ(Fast Company、本家/.)。 この調査研究を行ったのは、TaintDroidというアプリケーションを開発したペンシルバニア州立大学を中心とした複数の大学からなる研究チーム。TaintDroidは端末上の他のアプリケーションが送信しているデータをトラックすることが出来るアプリケーションである。 研究(PDF)によるとAndroidのアクセスコントロールは粗く、慎重に扱うべきデータがサードパーティから十分に保護されてないとのこと。調査対象となった30のアプリケーションのうち50%はGPSデータを広告のリモートサーバに送っていたという。7つのアプリケーションはユニークなIDを振っており、端末を特定できる可能性もあったとのこと。また権利を侵害するよ
武器としての児童ポルノ | スラド セキュリティ
本家/.記事「Child Porn As a Weapon」によると、折り合いの悪い人物を役職から引きずり下ろすための武器として児童ポルノが使われたそうだ(元ネタのThe Press Association記事)。 イーストロンドンの便利屋Neil Weiner氏は学校の管理人Edward Thompson氏と以前から折り合いが悪く、Thompson氏に役職を去ってもらい自分が代わりにその座に就くため、Weiner氏はThompson氏のコンピュータに児童ポルノを仕込み、警察に通報したそうだ。 最初の通報がWeiner氏の携帯電話から行われており、またWeinerはBBQで友人らにこの計画を豪語していたそうでWeinerは後に逮捕されるのだが、真犯人が突き止められるまで8ヶ月間Thompson氏は濡れ衣を着せられたまま同僚や近所から村八分にされていたとのこと。 ちなみに、警察のコンピュータ
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトバンクショップにて、店員が顧客のiPhoneに勝手にアプリをインストールする事案が発生? | スラド セキュリティ