漏えいパスワードのリストを見て分かった“強いパスワード”の作り方
「l」を「1」にする、頭を大文字にする――といった“昔ながらの強いパスワード作りの常識”が通用しなくなった今、私たちはどうやって強いパスワードを作ればいいのでしょうか。 ITが欠かせない時代を生きる私たちにとって「パスワード」は、いつまでたっても解決しない面倒な問題。でも、だからといって諦めたらそこで終わりです。そんなわけで今回は、パスワードの現状を知ってもらうことで、この問題を“自分ごと”にしてもらおうと思います。 そのパスワード、「pwned」ですか? まずは、悪意がある人がIDを手に入れたとき、パスワードをどうやって推測するかを考えてみましょう。私なら「簡単なパスワードのリスト」や、「既に漏えいしたパスワードのリスト」を使って、次から次へと入力を試すでしょう。「複雑なパスワードを付けましょう」「使い回しをやめましょう」というのは、こうした“素人考えでも出てくる攻撃”を防ぐという意味が
パスワード定期的変更の効能について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
DLL の植え付けの脆弱性のトリアージ – 日本のセキュリティチーム - マイクロソフト
Updated Researcher Portal Submission Form: Discover the New Fields in the Submission Form Thursday, July 20, 2023 Summary: We are excited to announce the release of the updated Researcher Portal submission form. These new fields allow Security Researchers to provide additional context for the reported security issue, providing product teams with more data for analysis, gain insights and identify t
ゼロ幅文字にエンコードした隠し情報で、文書をリークしたメンバーを特定 | 秋元@サイボウズラボ・プログラマー・ブログ
とある会員制掲示板からの文書の流出に困った運営者が、ユニコードの見えない文字「ゼロ幅文字(Zero-Width characters)」を使って流出させたユーザーを特定した、という話が出ていました。 数年前の話、Tom さんが所属していた競技ビデオゲームのチームでは、ログインが必要なプライベートの掲示板を使って連絡していました。その掲示板に書かれた秘密情報や戦術に関する重大アナウンスなどがしばしば掲示板外のウェブにコピペされ、チームにとって大きな問題となっていたそうです。 外部ユーザーの攻撃で中身が漏れたというよりは、メンバーの誰かがコピーしているのでは、と考えた Tom さんは、当時気になっていたユニコードのゼロ幅文字を使ったトリックを仕掛けたそうです。 ユーザーを特定する情報を、見えない文字に変換して埋め込む ログイン中のログインユーザーのユーザーIDを、一定のルールによってゼロ幅文字
第115回 セキュリティトレンド - ワンタイムパスワードの仕組み -
過去の記事を整理・一部リライトして再掲載したものです。 古い技術情報や、 現在、TDKで扱っていない製品情報なども含まれています。 自宅でインターネットを使ったオンラインバンキングやネットショッピングなどはとても便利ですが、IDとパスワードを悪意ある第三者に知られてしまうと、知らないうちに口座からお金が引き出されたり、勝手に買い物をされたりする危険があります。IDやパスワードによる認証をより強固にするために、最近広まっているのが、ワンタイムパスワードです。 バレたら使われてしまう、IDとパスワード 銀行のATMでお金を引き出す時には、口座番号が記録されたキャッシュカードと、自分だけが覚えている暗証番号を使います。銀行のホストコンピュータは、口座番号と暗証番号の組み合わせで、このカードを利用している人が間違いなく本人であるということを確認し、ATMから出金します。 銀行のATMに限らず、コン
Chromeにおいて非セキュアなHTTPで送信されたCookieの有効期限を短くする議論 - ASnoKaze blog
暗号化してないHTTPで送信されたCookieの有効期限を短くしたいという議論は、Mozillaでも以前から行われてきました。「Intent to ship: Treat cookies set over non-secure HTTP as session cookies」。 もちろん、IETFでもMozillaのMartin Thomson氏らによって同様の提案がされています。 asnokaze.hatenablog.com それに続く形で、Chromeでも非セキュアなHTTPで送信されたCookieの有効期限を短くするかという議論が行われています。 Intent to Deprecate: Nonsecurely delivered cookies. Intent to Deprecate: Nonsecurely delivered cookies この議論は、Webのセキュリティ
国内最大規模のセキュリティコンテスト「SECCON 2017」開催。NICTがハッキングの攻防を可視化するツール投入で盛り上がる中、国内大会と国際大会で優勝したチームは?
国内最大規模のセキュリティコンテスト「SECCON 2017」開催。NICTがハッキングの攻防を可視化するツール投入で盛り上がる中、国内大会と国際大会で優勝したチームは? [フリーランスライター高橋睦美氏 執筆]2018年2月17日から19日にかけて、国内最大規模のセキュリティコンテスト「SECCON 2017」が開催されました。 2月17日は日本国内の学生・技術者による国内大会、2月18日と19日は米国や韓国、台湾など海外からのチームも含めたオンライン予選を勝ち抜いたチームによる国際大会が行われ、3日間にわたる熱戦が繰り広げられました。 国内大会には予選や連携大会を突破した24チームが、国際大会には招待チームも含め15チームが参加。オンライン予選には、過去最大となる102カ国からの参加があったそうです。 もはや「秘伝のソース」ではセキュリティを守れない SECCON 2017のメインイベ
Ruby製Webアプリのcookie-onlyセッション破損でセキュリティリスクの可能性(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Session-only cookie corruption in Ruby web apps | perlkour 原文公開日: 2017/11/21 著者: perlkour RackやRailsにはクッキーモンスターがいます。 ブラウザは、ドメインやレスポンス内でcookieの数やサイズに制限を設けています。この制限を超えると、まずいことが起こる可能性があります。明らかなケースについてはRackやRailsが防止を試みますが、本記事では現在の実装で生じる問題について説明します。また、RubyのWebアプリで発生する問題の潜在的なインパクトや、問題の緩和方法についても検討します。 この情報は、(セッションIDに限らない)セッションハッシュ全体をエンコードした内容を含んでいるセッションcookieを転送するWebアプリと強く関連
ルーターの設定情報改ざんについてまとめてみた - piyolog
2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。 ここでは関連情報をまとめます。 確認されている被害事象 (1) ルーターの設定情報が改ざんされる ルーター内部に設定されたDNS情報が改ざんされる。 DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。 (2) マルウェア配布サイトへ誘導される 改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。 一部サイト(Twitter,Facebookなど)は正規のIPアドレスが返されサイトへ接続できる。 誘導先の配布サイトではマルウェアのインストールを促す
Google Chromeの不正な拡張機能、大手組織を含む50万ユーザーが利用
GoogleのChrome Web Storeで提供されていた拡張機能4本に、任意のJavaScriptを不正に挿入して実行する仕組みが実装されているのが見つかった。 セキュリティ企業のICEBRGは、米GoogleのChrome Web Storeで提供されていた悪質な拡張機能を発見したと発表した。ダウンロード回数は世界で合計50万を超えていたといい、同社はブラウザの拡張機能が、企業などの組織に対して投げ掛けるリスクに警鐘を鳴らしている。 ICEBRGの1月15日のブログによると、ある顧客のワークステーションで不審なトラフィックが検出され、調べた結果、Chrome Web Storeで提供されていた「Change HTTP Request Header」という拡張機能が原因だったことが判明した。 同拡張機能は一見、不正なコードは含まれていないように見えていたが、任意のJavaScript
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか? 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
2万3000件以上のSSL/TLS証明書の秘密鍵が電子メールでやりとりされたことが判明し、その全てが失効となる事態に
by Suzy Hazelwood SSL/TLS証明書の大手認証局であるDigiCertは2018年2月28日に、約2万3000件の証明書を即時失効したと発表しました。失効の理由は、証明書販売代理店のCEOが証明書の秘密鍵を電子メールで送信してしまったためとのことです。 DigiCert Statement on Trustico Certificate Revocation - DigiCert https://www.digicert.com/blog/digicert-statement-trustico-certificate-revocation/ インターネットが一般家庭に普及し、必要な買い物もインターネットでできるようになりました。その一方で、買い物をするために必要なクレジットカードや個人情報など、他人に知られたくないデータがインターネットを介してやり取りされることも増えた
(レポート) 内製ツールを使ったチート診断・脆弱性診断 #denatechcon | DevelopersIO
はじめに 本ブログは2018年2月7日(水)に開催されたDeNA TECH CONFERENCE 2018のセッション、「内製ツールを使ったチート診断・脆弱性診断」のレポートです。 スピーカーは株式会社DeNAの汐田 徹也さん。 レポート 自己紹介 セキュリティエンジニア。 ミッション。 ほぼ全てのサービスの脆弱性診断。 オンラインモバイルゲーム、ゲームプラットフォーム、ECサイト、エンタメ系、オートモーティブ、コミュニティ、ヘルスケア... 設計のセキュリティ面のレビュー。 DeNAの脆弱性診断について セキュリティ部セキュリティ技術グループ。 エンジニアだけの組織、10人弱。 ほぼ全てのサービスの脆弱性診断を実施。 新規のゲームがリリースされる時には2周間程度貼り付け。 ネットワーク診断も実施。 診断チームと開発者の関わり方。 内製ならではの大きなメリット。 スケジュールを柔軟に設定可
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
この人に聞きたい! 辻伸弘のセキュリティサイドライト(6) 「標的型攻撃メール訓練は意味あるの?」 理解を求めて戦うラック担当者
「他のセキュリティ対策ソフトはもういらない」とアピールするWindows Defenderの現状
Intel、Core 2 Duoなど旧CPUの「Spectre」対策を中止
「朝日新聞社のサイバーセキュリティ報道について」
Spectreと同じ分岐予測を利用した新たなCPU脆弱性「BranchScope」 ~Haswell/Skylakeなどで実証に成功、Intel SGXを突破
RyzenやEPYC内蔵のセキュリティチップに深刻な脆弱性 〜チップセットの隠しバックドアも発覚
多数の格安スマホ、出荷段階でウイルス感染
