退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表
三菱UFJ証券の元社員が約148万人分の顧客名簿を持ち出し、約5万人分の情報を名簿業者に売り込んでいた。 三菱UFJ証券は4月8日、同社の元従業員が約148万人の顧客情報を不正に持ち出し、このうちの約5万人の情報が漏えいしたと発表した。警察と協力し、元社員を告訴する方針としている。 漏えいした情報は、昨年10月3日から今年1月23日までに新規口座および投信ラップ口座を開設した顧客4万9159人分の氏名と住所、電話番号、性別、生年月日、職業、年収区分、役職、勤務先の詳細情報。同社システム部の元社員が148万6651人分の顧客情報を不正に自宅へ持ち帰り、4万9159人分の情報を名簿業者に販売した。 同社によれば、3月中旬から顧客の問い合わせが増えたことで漏えいの事実を確認。情報セキュリティ統括責任者や顧問弁護士などで構成する緊急対策本部を設置して、調査を進めていた。 調査の結果、元社員が3社の
文字コードのセキュリティ問題はどう対策すべきか: U+00A5を用いたXSSの可能性 - 徳丸浩の日記(2009-03-11)
_U+00A5を用いたXSSの可能性 前回の日記では、昨年のBlack Hat Japanにおける長谷川陽介氏の講演に「趣味と実益の文字コード攻撃(講演資料)」に刺激される形で、Unicodeの円記号U+00A5によるSQLインジェクションの可能性について指摘した。 はせがわ氏の元資料ではパストラバーサルの可能性を指摘しておられるので、残る脆弱性パターンとしてクロスサイト・スクリプティング(XSS)の可能性があるかどうかがずっと気になっていた。独自の調査により、XSS攻撃の起点となる「<」や「"」、「'」などについて「多対一の変換」がされる文字を探してきたが、現実的なWebアプリケーションで出現しそうな組み合わせは見つけられていない。 一方、U+00A5が処理系によっては0x5C「\」に変換されることに起因してXSSが発生する可能性はある。JavaScriptがからむ場合がそれだ。しかし、
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
セコム作、塀のないハイテク刑務所:日経ビジネスオンライン
「豁達」――。警備業大手セコムの社内には、至る所に墨痕鮮やかな達筆で書かれたこの2文字が掲げられている。1986年、創業者の飯田亮(現・最高顧問)が北京で中国の政府高官から贈られた書を複製したものだ。「フータ」と読むこの2文字の意味するところは「心ひろやかに、明るく、小さなことにこだわらないさま」。感銘を受けた飯田は、以後この言葉を座右の銘としてセコムの経営に当たった。 「フータ」はセコムの持つ新進の気風をよく表す言葉だ。それは、警備から発して医療、福祉、情報システム、保険など失敗を恐れずに新たな事業に挑戦し続け、永遠のベンチャーたろうとする伸びやかな精神を表す。セコムの社内では、萎縮する部下に向けて上司が今も言う。「フータでいこう」。今日その声は、まるで世界同時不況で萎縮する企業社会全体に向けられているかのようにも聞こえてくる。 「日経ビジネス」2月23日号の「企業研究」でセコムを取り上
脱「軍事一辺倒」集団の素顔:日経ビジネスオンライン
バラク・オバマ新政権の外交ビジョンの一端は、2009年1月13日に開催された米上院外交委員会での国務長官指名承認を巡る公聴会で明らかにされた。新政権で国務長官の要職に指名されたヒラリー・クリントン上院議員は、 「米国は最も差し迫った問題を一国だけで解決することはできず、一方世界もこうした問題を、米国抜きで解決することは不可能である」 こう述べて、ジョージ・ブッシュ前政権の一国主義的なアプローチとは正反対の、国際協調主義的アプローチを採ることを宣言した。そして、 「我々は“スマートパワー”と呼ばれる外交、経済、軍事、政治、法律そして文化的な手段といった使用可能なあらゆる手法を検討し、状況に応じて最も適切な手段を使っていく」 ヒラリー発言は、軍事に偏重した前政権のアプローチから、外交を中心にあらゆるツールを組み合わせて使っていく「スマートパワー戦略」への転換を明確に打ち出した。 退役軍人のグル
複数の環境をまとめて最強のビジネスマシンを作る--ビジネスで使うMacレビュー
CNET Japanで「趣味と仕事の境界線」というブログを書かせていただいているのですが、先日ブロガーを対象におもしろい企画のご連絡をいただきました。 ECS ITソリューション事業部 取締役 部長 藤川佳。金融機関向け大規模システム開発を得意とするECSで5年にわたり開発に携わる。今年7月から小、中規模企業向けへのコンサルティングを担当 「仕事でMacはどう使えるか?」 という内容で記事を組むとのことで、レポートを書く人を募集されておりました。ちょうどMacBookの購入を検討中でしたので早速応募したところ、採用のご連絡をいただきました!6カ月間MacBookをお借りし、3回にわたり上記テーマでレポートを行わせていただきたいと思います。 設定方法等に関してはさまざまな方が公開しているので割愛し、実際にビジネスで使用してみて便利な点、困った点をレポートしていきたいと思います。 連載について
「サニタイズ言うなキャンペーン」私の解釈
高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)
2009年は「クラウド攻撃元年」に? Websenseが予想
2009年はクラウドサービスやWebアプリケーションを悪用した攻撃が発生し、ブログやSNSの悪用が急増するとWebsenseは予想する。 セキュリティ企業の米Websenseは、2009年のセキュリティ動向予想を発表した。クラウドサービスやWebアプリケーションを悪用した攻撃の発生、ブログやSNSの悪用増加などを見込んでいる。 予想の筆頭に挙げられているのは、「悪用を目的としたクラウド利用の増加」。クラウドベースのサービスは企業やユーザーにとって便利だが、サイバー犯罪者やスパマーにとっても魅力的なターゲットになり得るとWebsenseは解説。スパム送信や悪質なコードのホスティングといった高度な攻撃にクラウドが利用されるかもしれないと予想した。 2番目は「FlashやGoogle Gearsといったリッチインターネットアプリケーション(RIA)の悪用増加」。RIAのコアコンポーネントとユーザ
Expired
Expired:掲載期限切れです この記事は,産経デジタルとの契約の掲載期限(6ヶ月間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
明治安田生命、Winny感染で採用試験応募者の個人情報流出 - ITmedia News
Expired:掲載期限切れです この記事は,産経デジタルとの契約の掲載期限(6ヶ月間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定
CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克 教授から発表されたそうです。何よりすさまじいのが、既に知られているような特殊な環境が必要な方法ではなく、通常の環境で簡単に突破可能であるという点。しかも、諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 携帯ゲーム機であるニンテンドーDSは暗号化においてWEPしか現状ではサポートしていないため、今後、さまざまな問題が出る可能性があります。 一体どういう方法なのか、概要は以下から。 CSS2008において,WEPを一瞬にして解読する方法を提案しました. - 森井昌克 神戸大学教授のプロフィール WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
国土安全保障省、ノートパソコンの押収を無期限に可能に
米国国土安全保障省(DHS)は、驚くべき新政策を打ち出した。国境を通過するノートパソコンを押収する権利を、無期限に認めるというものだ。 2008年7月に発表されたDHSの2つの政策によると、税関当局は、「米国に入国、再入国しようとする者、米国を出国、通過しようとする者、または米国に居住しようとする者が運ぶ情報」を、(当然ながら)日常的に押収、コピー、「分析」することができるという(政策1および2を参照)。 電子情報の国境での検査は、テロリスト、麻薬の密輸入者、「著作権法または商標法」の違反者の発見に役立つとDHSは主張する(読者の皆さん、iPodやノートパソコンに、違法にダウンロードした楽曲がまったく入っていないだろうか。入っていれば重罪に問われる可能性がある)。 この新政策は憂慮すべきものであり、ノートパソコンを持って国境を通過する人は、DHSの検査をかいくぐるため暗号を使用するようにな
妹の質問に答える非常に斬新なPHP用のCAPTCHAモジュール「妹認証」
ネタではなく極めてマジメなBOT対策用モジュール、それが「妹認証」です。 MITライセンスで無償提供されており、質問文と回答文に日本語を完全にサポートし、質問文はPHP+GD+TTFフォントで画像出力を実現。標準でバンドルされている妹の名前は「れいにゃ」となっており、質問文やキャラクターを自分でカスタマイズすることも可能です。 実際の動作デモやダウンロード、導入方法などは以下から。 妹認証 - 妹がBOTからプログラムを守る http://www.okanesuita.org/auth_sister/ 以下のリンクから動作デモを体験することができます。 動作デモ http://www.okanesuita.org/auth_sister/?#demo 質問文が表示されるので回答を入力、「送信」をクリックすると…… 成功 以下のリンクからダウンロードが可能です。 ダウンロード http://
WebLogicに深刻なぜい弱性、認証なしでファイルを見られる恐れ
米オラクルは2008年7月28日(米国時間)、アプリケーションサーバーソフト2製品に緊急性の高いぜい弱性があると公表した。製品に含まれるApacheサーバー用プラグインにぜい弱性があり、悪用されるとサーバー内のファイルを認証なしで見られてしまう。ぜい弱性の深刻度を示す「CVSS」は最高レベル(10.0)としている。 問題となったのは「WebLogic Server」と「WebLogic Express」。もともとは米BEAシステムズが「BEA WebLogic」シリーズとして提供していた製品だが、オラクルがBEAを買収した2008年4月以降は、オラクルの製品として販売とサポートをしている(関連記事)。 オラクルは現在セキュリティパッチを準備中。パッチの用意が完了するまでは、有効なURLの長さを4000バイト未満に設定する緊急回避策を推奨している(米オラクルのセキュリティ情報[英語])。この
Skypeに盗聴用の「裏口」が存在?
無料インターネット電話ソフトのSkypeに、通話を盗聴できるバックドア機能が組み込まれているのではないかとの憶測が浮上している。Skypeも明確な否定はしていないという。英セキュリティ企業のheise Securityが7月24日付で伝えた。 heiseによると、発端はオーストリアの内務相の発言だった。同国のISPと当局の間で6月25日、IPベースサービスの合法的な傍受に関する会議が開かれたが、この席上、内務相が「われわれがSkypeの会話を傍受することに何も問題はない」とする趣旨の発言を行ったという。 heiseはSkypeに対し、バックドアは本当に存在するのか、特定の顧客にシステムへのアクセスを許しているのか、またはデータストリーム暗号解除用の鍵が存在するのかを問い合わせた。しかし、広報の返答は「マスコミの憶測にはコメントしない。現時点で話すことはない」というものだった。 Skypeに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
United States
早稲田大学、セクハラ相談リストがファイル共有ソフトで流出
Engadget | Technology News & Reviews
DNS キャッシュポイズニング続報 | スラド セキュリティ