「パスワードの定期的変更」は基本的には無意味 | スラド セキュリティ
あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている(パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2))。 アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワードの変更後一定期間経つと強制的にパスワードの変更を求めるものもある。しかし、徳丸氏によると、このような一定期間でのパスワードの変更はあまり意味が無いという。 パスワードの変更に意味があるのは、攻撃者にパスワードが漏洩した後、その攻撃者が長期にわたってそのパスワードを使ってアカウントを監視し情報を盗み取るようなケースのみだという。それよりも、12文字以上の長いパスワードを使うことや、パスワードの使い
RFIDを3フィート離れた距離からハッキング可能に。Black Hatで公開予定 | スラド セキュリティ
ラスベガスで開催されるBlack Hatでセキュリティ研究者Fran Brown氏がRFIDのハッキングを行うプレゼンテーションを行うという。RFIDのハッキングは以前にも成功例があるが、接触距離が数センチと近距離でなければ成功しなかった。今回のFran Brown氏の方法を使用すれば、最大3フィート(0.9144メートル)という距離があっても100%確立で成功するという(Black Hat、threatpost、本家/.)。 この手法を利用することで近接したRFIDバッジ情報を盗むことができるほか、クローンしたカードの作成、データセンターのアクセス件を得る、リーダーとコントローラを直接攻撃するといったことが可能になっているようだ。このハッキングに使用されたカードリーダーはArduinoを元にしており、回路図およびコードはBlack Hat上で発表される予定となっている。
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 | スラド セキュリティ
Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという(Togetterまとめ:Amazonのほしい物リストを公開していると個人情報を抜かれます)。 必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。 これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい
SSL証明書、正しく設定されているのはたった3% | スラド セキュリティ
セキュリティ企業Qualysによると、正しく設定されているSSL証明書はたった3%しかないそうだ(eSecurity Planet、本家/.より)。 Qualysは1億を超えるドメインをスキャン、その結果1240万ドメインは解決されず、1460万ドメインはレスポンスが無かったとのことで、アクティブドメインはこのうち9200万であった。アクティブドメインのうち、Port 80と443の両方でQualysのスキャンに応えたのは3400万ドメインであり、Port 443をより詳しく調べたところ、内2300万ドメインがSSLを実際に運用していた(概してPort 80はHTTPに使われ、443はHTTPSやSSL保護されたサイトに使用されている)。 SSL証明書はどのドメインに対しても発行することが可能だが、SSL証明書のドメインが接続先のドメインと一致することが最善とされている。しかしこの2300
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
英刑務所、受刑者に所内システムをダウンさせられる | スラド セキュリティ
サイバー犯罪で刑に服している27歳の受刑者に刑務所内のプログラム開発を行わせようとしたところ、この受刑者にシステムをダウンさせられるという事件が英国で起きていたそうだ(Mirror.co.uk、本家記事)。 この受刑者は偽造クレジットカードを使い650万ポンドを不正に手に入れたとして懲役6年の刑に服していたとのこと。刑務所では所内TVシステムを構築するにあたり、この受刑者にプログラム開発を行わせることにしたという。しかし所内システムに自由にアクセスできる環境に受刑者を置き、さらに作業をきちんと監視しないという非常にお粗末な管理体制だったとのこと。 この隙に受刑者は刑務所のシステムの全てのマシンに複数のパスワードを設定した上、システムをダウンさせてしまったそうだ。一連のパスワードは非常に巧妙に仕組まれていたそうで、刑務所は専門業者を雇ってシステム再稼働にこぎつけたという。 なお、この受刑者は
「詐欺的DNSサーバ」が増加中 | スラド セキュリティ
本家/.の記事より。悪意あるクラッカーにより設置され、問い合わせ に対し正当なIPアドレスを返さない「詐欺的DNSサーバ」 (Rogue DNS Servers)が増加しているそうだ(AP 通信の記事)。ジョージア工科大学とGoogleが共同で行った調査によ ると、インターネット上には約68,000もの詐欺的DNSサーバが存在する。 マルウェア等によりエンドユーザのコンピュータの設定が汚染されたDNS サーバを参照するように改変されてしまった場合、クラッカーはいかなる 偽サイトにもユーザを誘導することができる。実際に誘導される先はいか にもインチキくさいものからほぼ完璧なコピーサイトまで様々のようだが、 深刻な脅威であることに違いはない。アンチウイルスソフトでは手の施し ようがない場合が多いのが、この手法の普及に一役買っているようだ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
