電力使用を細かに監視し制御できる「スマートメーター」のデータから、視聴しているテレビ番組を解析することが可能なことが分かったそうだ (The H の記事、本家 /. 記事より) 。 ミュンスター応用科学大学の行った研究によると、ドイツのスマートメーター「EasyMeter」のデータの電力消費パターンを解析することで、視聴している DVD やその他媒体で再生されるコンテンツ、TV 番組を判別することが可能であるとのこと。その画面遷移の明るさや暗さ、データ量などが分析の鍵となるとのことで、他機器からの干渉が少ないことも重要であるという。 スマートメーターの電力データは電力事業者によって利用されることとなっている。今までスマートメーターで分かることと言えば「電子レンジを使ったか」「オーブンを使ったか」くらいであると考えられていたが、より詳細な解析が可能であることが明らかとなり、今後はデータ保護の
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
複数のパスワードを一括管理できる、クロスプラットフォームでオープンソースの無料アプリ『KeePass』の、Firefoxアドオン『KeeFox』ができました。 パスワード管理ツールと言えば「LastPass」が素晴らしいと何度か紹介してきましたが、どんなにセキュリティがしっかりしていても、サードパーティーのサーバでパスワードを管理する事に抵抗がある人も多いと思います。その気持ちはよく分かります。だからこそ、KeePassを使ってきたという人もいるでしょう。 しかし、これまでKeePassにはブラウザのプラグインが無く、LastPassほどブラウザとの親和性も高くなかったため、少々不便な思いをしていたのではないかと思います。ですから、今回のKeeFoxの登場は待ってましたという感じではないでしょうか。 KeeFoxは、アドオンとしてはまだ少々詰めの甘いところがありますが、KeePassを愛用
先日、このブログ用に使っていたtwitterアカウントをハックされてしまった。しかも2回も。 どなたかが当ブログのcontactフォームを通じて教えてくださり、気づいた(その節はありがとうございました)。 慌てて確認してみると、確かに見覚えのない英語のメッセージと怪しげなリンクがtweetされていた。消そうにも、パスワードまで変えられており、ログインできない。 しかし、twitterから登録メールアドレス宛に以下のようなメールが届いていた。 要約すると「あなたのアカウントが乗っとられた可能性があるので、パスワードをリセットしました。このリンクからパスワードを変えてください」という感じ(それにしても、この中途半端な和訳はいつ直るのかな…)。 どうやら、アカウントハックにあったことがtwitterには判別できるらしい。やはり、無差別に攻撃しているのだろう。 でないと、こんなに地味なアカウントを
本城信輔/McAfee Labs東京 主任研究員 Gumblarは,ドライブバイ・ダウンロード(drive-by-download)攻撃の一つである。ドライブバイ・ダウンロード攻撃とは,Web サイトにアクセスしたユーザーのきちんとした同意を得ずに,マルウエア(ウイルス)を勝手にダウンロード・感染させる脅威だ。このうちWebブラウザやアプリケーションのぜい弱性を悪用する方法は,数年前から見られるようになった。今年1月には,「Operation Aurora」という,Internet Explorer(IE)のゼロデイのぜい弱性を悪用したドライブバイ・ダウンロード攻撃も発見された。 2009年4月ころに発見された,元々のGumblar攻撃の流れは,図1の通り。大きく五つのステップがある。(1)攻撃者がWeb管理者になりすましてWebページを改ざん,(2)ユーザーが改ざんされたWebページにア
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
■乗り換えても無駄 感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体 SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険 今のところ大丈夫なクライアントはある でも、大勢の人が乗り換えたら、マルウェアがバージョンアップして対応してくるだけだよ ていうか、パスワードを保存すること自体が危険だよ INIファイルに変えたって同じだよ! ■特定のマルウェアに感染しなければ大丈夫 もちろん、「絶対感染しない」ってのは不可能だけどね 感染した場合に、FTPソフトが保存してる情報を盗み出して利用される だから危ないと騒がれてる 「特定のマルウェア」とは、8080系とか“Gumblar”とかいわれてる奴 ** ■過去にパスワードを保存していないなら平気 ** ■今後もパスワードを保存しなければ平気 保存して無いものは盗みようが無い
Windows UpdateでOSを最新の状態にしておくウイルス対策ソフトを入れて最新のパターンファイルにしておく●Webサイトのサーバーで コンテンツが改ざんされて悪質なプログラムが仕込まれていないかチェックするといったことが必要です。 パソコン側の対策すべてのWeb担当者に今すぐしてほしいのが、ガンブラー系ウイルスがねらっているプログラムのバージョンアップ。とはいえ結構面倒なんですよね。そこで、IPA(情報処理推進機構)が無償で提供しているMyJVNバージョンチェッカを使いましょう。3分で簡単に、バージョンアップが必要なプログラムが残っていないかチェックできます。 MyJVNバージョンチェッカのページへ行く http://jvndb.jvn.jp/apis/myjvn/vccheck.html 「MyJVN バージョンチェッカの起動」からXP用かVista用かWindows 7用かを選
分かり難いパスワードを設定することがいかに大切かということは、ライフハッカーでも口を酸っぱくして何度も言ってきました。それでもまだ多くの人が、分かりやすくて安直なパスワードを使い続けています。3,200万人分のパスワードを分析しても、未だによくあるパスワードの上位はこんな感じ(画像参照)なのです。 去年の12月、FacebookなどのSNSにマルチメディアスライドショーなどを提供している「RockYou」が、パスワードデータベースの情報を漏洩しました。3,200万人分のパスワードとログイン情報が、一人のハッカーの手によって公に晒されてしまったのです。 セキュリティ会社の「Imperva」は、3,200万人のパスワードをくまなく調べ分析しました。その結果、RockYouのユーザーが設定しているパスワードの欠点と、パスワードがあまりにも更新されなさ過ぎるという嘆かわしい事実を、「Consume
いささか旧聞だが、本家記事Mobile: Second 3G GSM Cipher Crackedによると、3G GSMにおいてトラフィックの安全性を保つ「Kasumi」暗号が新しく開発された解読法によって破られたそうだ。「related-key attack」というこの方法では、完全な復号鍵が得られるという。ただし、Kasumiが即時に危険な暗号となるようなことはないという。 「Misty」と呼ばれる暗号の改良版であるKasumi暗号は「A5/3」とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文では この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ
名古屋・岐阜県の中小企業を中心に、twitter、Facebookなどのソーシャル・メディアのビジネス活用を支援する、株式会社はちえん。の代表、ソーシャル・マジシャン坂田誠がノウハウを語るブログ 言うまでもなく、twitterが大ブーム。 そして、どんどんユーザーが増えてきています。 そんな中、少し危惧している事態が一点。それは各ユーザーが意図しない、個人情報をだだ漏らしになっている点です。 今回、犯罪や詐欺などに巻き込まれない為に、twitterで特定条件の個人情報を獲る方法を示してみます。 といっても、特別なツールは必要なく、使うのはtwitter公式検索です。 例えば「彼氏と別れたばかりの女性」だけをtwitterで探したいとしましょう。 その場合、twitter公式検索にて、検索のオプションを使って、こんな風に検索します。 すると、検索結果に、ノイズは入るものの、結構な割合で「彼氏
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く