パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
イケてないハッカー、その所業を晒される | スラド セキュリティ
root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?
高木浩光@自宅の日記 - 三菱電機IS曰く「2005年に想定した設計・構築、製品に欠陥とは考えていない」
■ 三菱電機IS曰く「2005年に想定した設計・構築、製品に欠陥とは考えていない」 8月11日の日記に書いた件がその後どうなったか確認してみた。 いくつかの図書館では、/robots.txt が修正されたことにより、検索サイトで正常に閲覧できるようになった。 以前は、8月11日の日記に書いたように、三菱電機ISの図書館システム採用の図書館の多くが、/robots.txt によってすべてのクローラを排除していたため、図1の「ビフォー」のように異常な検索結果になっていた。 なぜそんな設定をしていたのかは、このシステムでは以前からアクセス障害が発生していたためであり、朝日新聞が次のように伝えている。 ソフト会社、図書館側に不具合伝えず アクセス障害問題, 朝日新聞, 2010年8月21日 MDISは06年、不具合を解消した新ソフトを開発。東京都渋谷区など全国約45カ所に納入した。しかし、一部では
絶対消去できない情報がWinnyでネットに流出個人情報や機密情報が一瞬にして丸裸に!この難局をどう乗り切るか?
公認会計士、公認不正検査士、日本法科学技術学会正会員。慶応義塾大学商学部卒業後、1986年、ピートマーウィックミッチェル会計士事務所(現在のKPMGあずさ監査法人)に入所し、会計監査・リスクマネージメント業務に幅広く従事。2003年より2008年まで、(株)KPMG FASにて日本における不正調査サービスの責任者(パートナー)として、不正会計調査、経営者不正調査、従業員不正調査、個人情報流出事件調査など、多様な不正調査やリスクマネージメント業務を提供。2008年4月より、ACEコンサルティングを設立して独立。 社長!事件です イザという時に思考停止しないための「危機管理」鉄則集 海外で発生するテロや暴動そして天災、果ては脅迫から社内の権力闘争の暴露まで。現代の企業はまさにリスク取り囲まれて活動している。ことは生命にかかわることが多いにもかかわらず、依然として、日本企業はこの種のリスクには鈍
WindowsのDLLだけが危ないのか? DLL hijacking vulnerability概説(後編)
はじめに 前編では、DLL hijackingと呼ばれるプログラムのDLL読み込みに関する脆弱性の概要および、関連するイベントを紹介しました。 Microsoftはセキュリティアドバイザリ2269637を公開するとともに、Security Research & Defenseブログに「More information about the DLL Preloading remote attack vector」というエントリを追加し、より詳細な技術情報を説明しています。このエントリのなかで、アプリケーション開発者向けのガイダンスとして作成された word 文書「Secure loading of libraries to prevent DLL preloading attacks」が提供されました。現在は、この文書の日本語抄訳「ライブラリを安全にロードして DLL のプリロード攻撃を防ぐ」
不正な解析から知的財産を守る .NETアプリ「難読化」再入門 (1/2):CodeZine(コードジン)
ソースコードがないのに、ソースコードが公開されてしまう!? もし、開発プロジェクトに対し「実行ファイルには常にソースコードを添付すること」という条件が課せられたとしたら、「なんて非常識な!」と、とまどうプロジェクトリーダーや関係者は多いでしょう。オープンソース・プロジェクトならばともかく、実行ファイルの中にはユーザーの個人情報を処理するコード、IDやパスワードというセンシティブな情報を扱う部分、時間をかけて開発した高度な分析ロジックなどがあり、ソースコードが開示されれば保護すべきものが保護できなくなってしまうおそれがあります。 企業のコンプライアンスや情報セキュリティが重視される昨今では、ソースコードを厳重に管理し、勝手に持ち出したり、逆に個人コンピューターの持ち込みを厳しく制限している企業も少なくありません。特にパッケージソフトやゲームソフトにおけるソースコード保護の重要性は言うまでもな
Geekなぺーじ : 一般化するDNSブロッキング機能
2ヶ月前の記事ですが、ISC BINDにブロッキング機能が標準搭載されるという発表がありました。 BIND(Berkeley Internet Name Domain)は、オープンソースのフリーソフトで、世界で最も利用されているDNSサーバです。 このBINDにブロッキング機能が搭載される予定であると発表されることには、非常に大きな意味があります。 ある意味、DNSブロッキングがインターネットの標準機能へと近づいていることを示唆しているのかも知れません。 その発表はBIND作者であるPaul Vixie氏によって行われましたが、最初の一文が「新しいドメイン名の大半は悪意のあるものだ」というものでした。 犯罪目的で取得されたドメイン名があまりに多いことを嘆きつつ、ISC BINDにDNSブロッキング機能を実装したことを報告しています。 「Taking Back the DNS | Inter
asahi.com(朝日新聞社):本を返さない人のリスト、全国に流出 愛知の図書館から - 社会
謝罪する米津真・図書館交流プラザ総合館長(右から2人目)ら=愛知県岡崎市役所 愛知県岡崎市は28日、同市立中央図書館の個人情報163人分が全国37の図書館のコンピューターから見つかり、一部の図書館からインターネットを通して外部に流出したと発表した。返却期日までに本を返さなかった利用者の氏名や書名、電話番号などで、同図書館のシステムを作った業者が他の図書館に同じシステムを流用した際、個人情報を削除しなかったことが原因とみられる。 同市立図書館のシステムを作成、管理している三菱電機インフォメーションシステムズ(MDIS、東京)と同市が記者会見して明らかにした。 会見での説明によると、個人情報のリストは2005年6月末ごろつくられた。159人分の氏名と電話番号、年齢、本の書名のほか、図書館の利用者番号、貸出日などが掲載されていた。その時点で返却期日を過ぎても本を返していなかった人のうち、そ
文字コードに起因する脆弱性とその対策
4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
メール・FTP・ベーシック認証のパスワードを表示するフリーソフト「SniffPass」 - GIGAZINE
通信内容をキャッチすることによって、POP3・IMAP・SMTP・FTP・HTTPのパスワードを表示することができるフリーソフトがこの「SniffPass」です。「このメールアドレスのパスワードなんだったっけ?」という場合や「FTPのパスワードがわからないので実際に使っているFTPソフトの設定を見たが***になって表示されない」という場合に便利です。 パケットキャプチャ用のドライバは「WinPcap」と「Microsoft Network Monitor」が使用可能となっており、「Microsoft Network Monitor」のドライバを使えば無線LANからもパスワードを抜き出すことが可能となります。 というわけで、ダウンロードと使い方は以下から。 ◆有線LANの場合 まずは下記サイトから「WinPcap」をダウンロードします。 WinPcap, the Packet Capture
高木浩光@自宅の日記 - サイボウズOfficeも匙を投げた「簡単ログイン」
■ サイボウズOfficeも匙を投げた「簡単ログイン」 今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。 「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。 「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。 この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。 しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のイ
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
WEBインベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処 4.今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください
ウィルス感染したPCをきれいにしてくれる『AVG Rescue CD』 | ライフハッカー・ジャパン
PCを守る優れたアンチウイルスツールは数多くあります。しかし備えていても、PCがウィルスに感染してしまった場合は、どうしていますか?そんな時はブートCDを使うのがグッドチョイスでしょう。中でも無料で使える、『AVG Rescue CD』がオススメです。 AVG Rescue CDには、光ディスクにカンタンに焼けるISOイメージ版と、フラッシュドライブにインストールできる圧縮版があります。バーニングもしくはインストールが済んだら、選択したドライブからAVG Menuへ直接ブートして、ウィルススキャンやドライブテスト、レジストリエディットなどができます。ブートCDは、Linux版が元になっているため、願わくばシステムを再びブートできるよう、Linuxのいくつかのツールにアクセスすることも可能です。 AVG Rescue CDは、Windows/Linux用の無料ダウンロードツールです。ウィルス
Twitterクラック事件の原因?:Geekなぺーじ
昨日のTwitterクラック事件はDNSに不正な値を設定されたことが原因でした。 Twitter公式ブログでも以下のようにDNSが原因であり、本体が乗っ取られたわけではないと記述されています。 「Twitterブログ: 昨日のDNS障害についての追加情報」 この攻撃の間、われわれはDNSプロバイダのDynectと直接連絡を取り続けました。そしてDNSをできるだけ素早くリセットするよう緊密に作業しました。 これを見たときに「ああ、やっぱりDynectが原因だったか」と思いました。 恐らくTwitterは自分でネットワークやサーバをほとんど運営しておらず、DNS部分はCDN事業者のDynIncのサービスを購入していると推測されます(参考:Twitterのネットワーク構成を調べてみた)。 さらに、「CDN事業者のDynectにとってTwitterでの事件は経営に凄く大きな打撃を与えるのでは?」と
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
『詐欺に遭った』
たぶん、ほとんどの人には関係ないだろうけど、もしかしたらあなたの会社も、ということで書いておきます。 今朝ほどイーモバイルから5通のはがきがやってきました。回線契約しましたというお知らせです。 全く心当たりはなく、間違えて送ってきたんだろうと(1回線は契約しているので)、カスタマーサポートに問い合わせをしました。 ところが、契約している、書類もそろっているとのこと。 しばらくやりとりして、どういう経緯で契約になっているか尋ねたところ、「小売店さんで100円パソコンを5台購入されていませんか?」と。 (やられたな・・) 「詐欺ですね。どうすればいいですか?。」 「えーっと、うちの方では書類がそろっているので・・」 「や、それはわかってます。じゃ、解約してください」 「登記簿謄本と名刺を頂いているようです。ナカヤマカツジさんという方ですが。」 「そんな社員はいません。じゃ、解約できないんですか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
推測の困難なパスワードを設定してもWindowsのスクリーンロックが数十秒で強制解除される?
11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack '
JPドメイン Web改竄速報
