Twitterの連携アプリを「許可する」ボタンのリスク - Zerobase Journal
TwitterのDM(ダイレクト・メッセージ)機能はメールよりも気軽で便利な連絡手段として普及しつつあります。でも、気をつけてください。あなたが技術者のようにTwitterのことを理解していないのであれば、DMが盗み見られる可能性は、おそらくあなたが考えている以上です。 〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました(参照:Twitterブログ: ミッション: アプリ認証でのアクセス権)。さらには連携アプリの一覧画面もありますので、プライバシーに関する機能が充実しました。詳しくはサードパーティアプリケーションとの連携方法もご覧ください。〕 〔註:本稿はなるべく多くの人に読んで頂けるように、易しく書きました。このように「註」欄で詳しい説明を書いていますが、詳しく知りたい人向けですので、読み飛ばして頂いても構いません〕 「DMで大事な話をするこ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
内部からの攻撃に備えるセキュリティ対策とは
ネットワーク攻撃の80%は内部からのものだとよくいわれる。最近の調査でも、経営者が内部の脅威を経営問題だと考えていることが確認された。2010年で12年目になるErnst & Youngの世界情報セキュリティ年次調査によると、回答者の25%は社内からの攻撃が増えたといい、75%は元従業員からの報復を心配していた。 だが、内部から攻撃される可能性はどの程度あるのだろうか。 Windowsサーバのハッキングによく使われる手口は幾つかあるが、内部攻撃の比率を正しく測定できる方法は事実上存在しない。 その理由は、内部からの攻撃の多くは(大部分とはいわないまでも)検出されずに終わるためだ。このリスクを回避するために必要なコントロールは大抵の場合、存在しないか、あるいは適切に管理されていない。Privacy Rights Clearinghouseの「Chronology of Data Breach
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Migraine Pain Relief Healthy Weight Loss Contact Lens 10 Best Mutual Funds Free Credit Report Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
『サイボウズの社内メール』
ECナビでは、社内外での情報共有のためのツールとして ここ1年くらいで徐々にメーリングリストから、 グループウェアのサイボウズoffice7 の社内メール機能に 移行してきました。 http://kantan.cybozu.co.jp/office7/product/basic/message/ 理由はいくつかあるのですが、個人的には下記の2つかなと思ってます。 ・社内メールは社内のみなのでスパムがない。 ・スレッドが続くし、誰が入っているのか自明なので議論しやすい。 実際利用して思うのは明らかにメーリングリストよりも使いやすくて 情報共有の効果高いです。 もちろんデメリットとして社外の人とのやり取りは通常のメールなので 2つのインターフェースを利用しなければいけないという制約は ありますが、最近はタブブラウザだしそういうのもあまり気にならない ようになってきました。 mixiを利用してい
Twitterがフィッシング対策 不正URL検出機能を導入
Twitterは3月9日、セキュリティ対策として、不正なURLの検出機能を導入することを明らかにした。 この機能は、Twitterのダイレクトメッセージ(DM)、DMが届いたときのメール通知に含まれるURLを不正サイトのデータベースと照合するというもの。これにより不正なURLを検出して遮断し、悪質サイトへのリンクがTwitter上で拡大することを防ぐという。 DMとメール通知のURLは短縮されて「http://twt.tl/~」となり、このURLをクリックすると、有害かもしれないページの場合は警告ページが表示される。この機能は段階的に展開しているため、まだ全ユーザーに導入されたわけではないようだ。またHTMLメール対応のメールクライアントでは、twt.tlではなく長いURLが表示されることもあるという。 2月にはTwitterのDMを使ったフィッシングが横行した。フィッシングDMを使ってユ
スパムの元凶--活発に活動する10大ボットネット
文:Michael Kassner (Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2010-03-09 07:00 最新のレポートによると、スパムは電子メール全体の95%以上を占めているという。こういった状況を生み出している元凶はボットネットにある。そこで本記事では、われわれの敵であるボットネットのうち、最大のものを10個紹介する。 本記事を執筆するためのリサーチを行っていた際に見つけた一連のブログ記事(英文:前編、中編、後編)を読み、内容の再考を迫られることになった。スパムを送信しているボットネットのランク付けは、思っていたほど簡単ではないということが分かったのである。上記のブログを執筆しているTerry Zink氏は、以下のような観点を挙げている。 ボットネットを構成するゾンビPCの数 ボットネットが送信する総バイト数 ボットネットが送信する総メッセ
【RSA Conference速報】クラウド適用、最大の懸念はセキュリティ:「ベンチャースピリット」 X 「セレンディピティ」:オルタナティブ・ブログ
3月1日から4日間、毎年恒例のセキュリティ業界最大のイベント「RSA CONFERENCE 2010」がサンフランシスコで開催された。同カンファレンスには、セキュリティに足を突っ込み始めた2004年から参加し続け、今回で7年目を迎える。 2004年当時の出張レポートを読み返してみると、基調講演には、マイクロソフトのビル・ゲイツ氏、シマンテックのジョン・トンプソン氏(元会長)、サンマイクロシステムズのスコット・マクリーニ氏、シスコのジョン・チェンバース氏と蒼々たるメンバーが登壇しており、今では懐かしい限り。各ベンダー・トップの世代交代の波が押し寄せているなか、RSA Conferenceの顔であるEMCのバイスプレジデント、アーサー・コビエロ氏(RSAプレジデント)だけは健在だった。 それでは、アーサー・コヴィエロ氏の初日の基調講演の模様をお伝えしよう。 同氏は、冒頭で「我々セキュリティ業界
2ちゃんねる攻撃で米企業がFBIと法的措置検討 損害2億2千万円 - MSN産経ニュース
ネット巨大掲示板「2ちゃんねる」が攻撃され、アクセスしづらい状況が続いた問題で、サーバーに被害を受けた米IT企業が米連邦捜査局(FBI)などと協議、攻撃に対する法的措置を検討していることが2日、分かった。韓国からの大規模なサイバーテロの可能性が高いとみられている。 2ちゃんねるのサーバー管理会社に関係する国内IT企業のサイトによると、サーバーが置かれている米サンフランシスコのIT企業、PIE社に1日からサイバー攻撃が行われ、大規模な障害が発生した。2ちゃんねる以外のサーバー利用者にも被害が出ており、中には米政府機関に関係するサーバーも含まれていた。損害額は約250万ドル(約2億2000万円)に上るという。 PIE社では、「韓国を含む多くのコンピューターから、かつてない深刻な攻撃を受けた。詳しい状況は現在調査中だが、FBIやサンフランシスコ市警と協議しており、法的措置も検討している」と話して
暗号化かトークン化か──金融データ保護上のメリットとデメリット
金融サービス業界のセキュリティとコンプライアンス問題をめぐり、「暗号化(データ保存と移動時の両方について)かトークン化か」という論議が盛んになっている。PCI DSS(PCIデータセキュリティ基準)やFFIEC(米国連邦金融機関検査協議会)といった情報セキュリティ診断要件(暗号化およびデータ保護について膨大な項目がある)順守のプレッシャーがかかる中、組織はカード所有者などの重要な情報を守るため、最善の方法を求めている。「エンド・ツー・エンド」の暗号化とトークン化は解決策として有望だが、それぞれに明らかなメリットとデメリットがあり、技術投資を行う前に慎重な検討が必要だ。 まずは暗号化について取り上げよう。エンド・ツー・エンドの暗号化とは、保存されたデータを暗号化し、暗号化したまま移動して、最終地点に到達した時点で暗号を解除(復号)することをいう。エンド・ツー・エンドの暗号化は、信頼できるアル
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
公的個人認証JPKIの普及の条件とは
文:仙波 大輔(NPO法人 東アジア国際ビジネス支援センター[EABuS] 専務理事) 我が国の行政手続き電子化のための重要なセキュリティ基盤として公的個人認証サービス(JPKI)の運用が開始されて6年が経過し、その証明書発行件数は累計で100万件を超えた(図1)。 一方、JPKIを必要とする電子化された行政手続きの利用は、一部を除いて必ずしも進んでいない。2009年1月時点で政府の行政ポータルサイト「e-Gov」から利用できる国の行政手続きは1万2287ある。これらの電子化行政手続きの全部がJPKIによる電子署名を必要としているわけではなく、電子化された手続き数が4342と最も多い厚生労働省を例にとると、JPKIを必要としている手続きは約16.5%(716手続き)に過ぎない。もちろん、いわゆる軽微な手続きを含めてすべての手続きにJPKIが必要とは考えないし、個別の行政機関で独自の認証制度
みずほ情報総研とアドバンスト・メディア、iPhone 3GS用「音声認証」機能開発 | パソコン | マイコミジャーナル
Apple「iPhone 3GS」 みずほ情報総研とアドバンスト・メディアは、iPhone 3GS向け営業支援システムに対応するセキュアな「音声認証」機能を開発。AIGエジソン生命に提供・導入を行う。 今回開発した「音声認証」機能は、声紋認証に加え様々な認証・セキュリティを組み合わせることで、誤認率を0.00000003%以下に抑え、高いセキュリティ性の確保を実現。この新機能により、スムーズかつ厳格な本人認証を行えることから、営業支援ツールとしてiPhone 3GSを採用するAIGエジソン生命が、全営業社員に向け「音声認証」機能の導入を決定した。 同時にAIGエジソン生命では、アドバンスト・メディア開発のiPhone 3GS向け「AmiVoice音声認識エンジン」に、みずほ情報総研が保険業向け業務で培ったノウハウを元にした「汎用音声認識保険言語モデル」を組み合わせた音声認識機能も導入。これ
Google、Buzzサービスの使用中止設定も可能に=プライバシー問題の批判受け | TechWave(テックウェーブ)
GoogleがTwitter風サービス「Buzz」を発表してからまだ4日しかたっていないが、プライバシー問題に関する批判を受け機能を次々と改良している。米国時間13日付のGoogle公式ブログによると、人気メールサービスgmailからBuzzの機能自体を削除することも可能にするという。 公式ブログによると、gmailのコンタクトリストのユーザーが自動的に友人関係に含まれる初期設定を取り消すことが決定されたほか、写真共有サービスのPicasa上で公開した写真がBuzz上に自動的に表示されたり、RSSリーダーのGoogle Reader上で共有設定になっているお気に入りのウェブページのアドレスをBuzz上に自動的に表示される初期設定が取り消されることになった。 またgmailの設定画面にBuzzのタブが追加され、その中でBuzzのサービス自体をgmail内で非表示にしたり、完全に使用を中止する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://isec.ipa.go.jp/
https://jp.techcrunch.com/2010/03/10/20100309twitter-phishing/
iphonewalker.net
高木浩光@自宅の日記 - はてブiPhoneアプリでログインしてはいけない