Amazon Web Services を悪用して Share ネットワークへ攻撃 | スラド セキュリティ2009/7/10 頃から、AWS (Amazon Web Service) を悪用 (?) して P2P ソフト「Share」のネットワークのみをターゲットにした大規模な「攻撃」が仕掛けられている模様。 この攻撃を受けると、無防備なノードの Share はエラーを吐いて通信停止状態に陥る。まとめサイトにて既に対策法をまとめたインストーラなどが存在するが、インストール及び運用は自己責任で。
韓国への DDoS 攻撃のマルウェア、システムデータを全消去する設計か? | スラド セキュリティ
ストーリー by reo 2009年07月11日 13時00分 death's-day-is-doom's-day 部門より 韓国と米国への DDoS 攻撃につかわれている Mydoom ワームに感染した Windows システムは、金曜日 (7 月 10 日) から感染したシステムのデータを消去しはじめるのではないかとの話が報じられているそうだ (本家 /. 記事より) 。 ワシントンポストの Security Fix blogによるとこのマルウェアはウェブサーバからペイロードをダウンロードするよう設計されており、このペイロードにはハードドライブのデータを「memory of the independence day (独立記念日の記念に)」というメッセージとそれに続く「u」の文字で、接続されている物理ドライブ全てを上書きするというトロイの木馬が含まれているとのこと。 なお、同様の話は
今度はNECネッツエスアイ社員がShareで流出事件 | スラド セキュリティ
探偵ファイルやZAKZAKなどで記事になっているが、NECネッツエスアイの社員がShareを使用し、暴露ウィルスに感染して情報流出を起こしたことが話題になっている。 上記記事によると、流出した内容には大量の盗撮画像に動画といった犯罪行為の形跡や、社内の画像、本人に関する情報、そして顧客に関する情報なども含まれているらしい。類似の事件としては、IPA職員による情報流出が思い起こされる。 NECネッツエスアイは、NECネッツエスアイが個人情報保護対策のコンサルティング力を強化などと同社自ら宣言し、「プライバシーアワード2009 プライバシーコンサルタント資格普及賞」も受賞しているが、不心得者一人の存在により同社の信用(や株価)が打撃を受けるのみならず、個人情報保護に関する啓蒙活動を行っている団体や認定制度の存在意義が問われかねない事態になるところが情報セキュリティの怖さである。 ちなみに、5月
抗がん剤で指紋が薄くなっていた旅行者、入国審査で止められる | スラド セキュリティ
ストーリー by reo 2009年06月02日 11時00分 セキュリティレベルを上げることで私達は何を得たのだろう 部門より 米国への入国審査で指紋を検出できなかった 62 歳の男性が、セキュリティ上の脅威で無いことが判明するまで 4 時間拘束されるという事態が起きていたそうだ (本家 /. 記事より) 。 男性の指紋が薄かったのは抗がん剤の副作用のため。男性が 3 年間使用していた「カペシタビン」という抗がん剤は副作用として手に炎症が起こり皮膚がむけたり出血がおきたりする「手足症候群」を発症することがある。これにより指紋が薄れる場合もあるが、抗がん剤の投与が終われば指紋は復活するとされている。しかし患者によっては一部が不完全のままということもあるそうだ。 この件は Annals of Oncology にて取り上げられ、カペシタビンを使用している患者は米国入国の際、医師に一筆書いても
盗んだノートPCを使っていた窃盗犯、自動オンラインバックアップが原因でお縄 | スラド セキュリティ
本家経由ブルース・ペレンスの記事によると、カリフォリニア州バークリー北東部において活発に活動していた車上荒しが逮捕された。逮捕の切っ掛けとなったのは、オンラインストレージサービスにアップロードされた窃盗犯の写真である。 この窃盗犯は、盗んだノートPCを個人的に利用しており、内蔵のカメラを用いて自分の写真を撮ったとのこと。犯人にとって不運だったのは、持ち主がオンラインストレージを利用した自動バックアップサービスを利用していたことである。犯人の知らぬ間に、撮った写真はストレージサーバにアップロードされ、それに気付いた持ち主は直ちに警察に通報。前科のある犯人は警察によって容易に特定された。また、写真の背景から所在地はモーテルの一室であると想定され、警察はIPアドレスの割り出しを急ぐとともに、地域にあるモーテルの巡回を行なった。そして、巡回中の警官に発見された犯人はあえなく御用となった。 たれこみ
GIGAZINE曰く「楽天は個人情報を1件10円で販売している」…… | スラド セキュリティ
GIGAZINEの記事「楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明」によると、楽天が個人情報を流出ではなく「販売」していたそうです。すでに実名・住所などを利用したエロサイトの業者スパムが多数届いているとのこと。 このように釣られてしまった方も多数いらっしゃるようだが、GIGAZINEの記事によると、楽天が提供するネットショップ運営システムでは、通常店舗側が確認できる個人情報は顧客の名前や住所、電話番号のみで、メールアドレスは確認できないとのこと。また、注文を行った顧客の情報をCSV形式でまとめてダウンロードできる「CSVデータダウンロード」機能というのもあるが、こちらにもメールアドレス情報は含まれていない。 しかし、月間売上が1,000万円以上、もしくは月間注文数が1,000件以上ある店舗の場合は、審査が通り、かつ個人情報の遵守を誓約する
perfect dark の暗号が破られた | スラド セキュリティ
ネットエージェントにより P2P ファイル共有ソフトウェア「perfect dark」の暗号が解読され、ファイルの共有状況、ダウンロード状況などの匿名性を崩すことに成功したそうだ (luminのコードメモのエントリー、NetAgent の Perfect Dark調査サービスのページ) 。 perfect dark のノード (ユーザ数) は 1 日当たり 35,000 ~ 40,000 ノード。ネットエージェントのサイトにあるスクリーショットによれば、いつ、誰が、どのファイルをアップロード、ダウンロードしていて、何 % ぐらいまでダウンロードできているかまで調査できるらしい。 perfect dark はある程度サイズのキャッシュをダウンロードしてアップロード状態にしておかないと、指定してたものがダウンロードできない仕様なので、キャッシュをすぐに消して安全に使おうということもできない。暗
2ちゃんねるのサーバー、「世界最強」宣言 | スラド セキュリティ
2ちゃんねるをホスティングしていることでも知られるBIG-server.comが、サイバーアタックに対する勝利宣言をしている。このニュースリリースによると、2ちゃんねるは12月15日より韓国のIPアドレスから断続的に攻撃を受けたそうだが、一度もサーバーはダウンすることもなく、uptimeは最短のものでも15日となっているそうだ。 これにより、同社は「IT先進国である韓国からの組織的な攻撃に耐えたことで、A-Tigerサーバー、T-Bananaサーバーの両システムが世界最強のサーバーと証明されたと自負しております」と述べている。 しかし、uptimeが15日って短いと思うんですが、Webの世界ではそんなにサーバーが落ちまくるのでしょうか……。
はてなブックマークの新しい登録ブックマークレットは危険 | スラド セキュリティ
最近はGoogleへの激しい攻撃を行っている高木先生が、今度は最近リニューアルされたばかりのはてなブックマークに噛みついている。「新はてなブックマークの登録ブックマークレットは使ってはいけない」という記事だ。 新しいはてなブックマークの登録ブックマークレットは、ブックマークレットを実行したWebページ内にウィンドウのようなものを表示し、そこで登録が行えるようになっている。問題となるのは、はてなにログインしていない状態でこのブックマークレットを起動した場合だ。この場合、Webページ内の疑似ウィンドウにログインフォームが表示されるのだが、この疑似ウィンドウ内に表示されたログインフォームが本当にはてなのログインウィンドウなのかどうか、簡単には確認できない。そのため、ニセのログインフォームを表示させ、はてなのアカウント情報を盗もうとする悪意のあるサイトが登場することも考えられる。 この指摘に対して
日本IBM、委託先社員PCからShareネットワークに流出した個人情報の削除に着手 | スラド セキュリティ
ストーリー by hylom 2008年11月25日 13時34分 Shareなら削除できるということなのか? 部門より 日本IBMは、11月20日、神奈川県教育委員会から受託していた授業料徴収システム関連の約11万件の個人情報がShareネットワーク上に流出した事故に関して、Shareネットワーク上で検索及び入手可能な状態にあるデータを削除する方法を確認し、その実施計画に着手すると発表した。(プレスリリース)。 個人情報の流出元は業務委託先社員が所有するPCで、このPCには県立高校の生徒の個人情報を含むシステム関連情報が保存されていたほか、Winnyがインストールされており、かつウイルスに感染していたことが確認されている(Internet Watchの記事)。
問題のあるSSL証明書の安全性を担保するPerspectives | スラド セキュリティ
ドメイン名の異なる証明書や自己署名証明書がはびこる昨今のインターネットですが、こうした証明書の安全性を担保するPerspectivesというFirefox機能拡張がSF.JP Magazineの記事で紹介されています。Perspectivesはカーネギーメロン大学で開発されており、以下のような仕組みになっています。 証明書エラーが発生したら、Perspectivesはその証明書について公証サイトに問い合わせる 公証サイトは問題のある証明書のフィンガープリントを収集、追跡しており、問い合わせを受けた証明書がどれくらい前から使われているのかを応答する 証明書が使われていた期間が十分長ければ、Perspectivesはなりすましではないと判断し証明書を受け入れる(期間はユーザーが調節できる) もちろん、認証局が保証する安全性とは比べようもありませんが、ユーザーが証明書エラーに馴れてしまって危険な
スラッシュドット・ジャパン | 楽天・ドリコムの行動ターゲッティング広告、HTML/CSSの仕様の不備を突いて訪問先サイトを調査
6月27日のストーリー「行動ターゲティング広告とプライバシー」で、「閲覧情報の照会範囲が世界中のウェブサイトへと拡大」というのが謎とされていた、楽天とドリコムの新型広告システムについて、その仕組みがNIKKEI NETの記事「行動ターゲティング広告はどこまで許されるのか」で明らかにされた。 記事によると、「ブラウザ側の欠陥を突くことによって閲覧履歴を取得するもの」で、「Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、JavaScriptによってそのリンクの訪問の有無を調べ、どんなカテゴリーのサイトに多く訪問しているかを集計」しているのだという。 記事では「合法ではあるが、企業のビジネス行為として倫理的に許されるものだろうか」と疑問を投げかけているが、スラッシュドットのみなさんはどう思われるだろうか。
MI6の機密入りデジカメ、eBayで販売される | スラド セキュリティ
The Sunの記事によると、英国の諜報機関であるMI6の機密情報が含まれたデジカメが中古市場に流れてしまっていたらしい。 そうとは知らずに買った人が旅行の写真をPCにコピーしたらあら不思議、テロリストやらロケットランチャーやらの写真が出てくる出てくる。警察に届けても最初は相手にされなかったのが、数日後物凄い数の対テロリスト部隊が家にやってきてPCとデジカメを押収していったとか。 迷惑料として1000ポンド(約18万7,000円)を貰ったそうで、PCやデジカメに取り返しのつかないようなデータが入っていたのでなければそう悪くない話だろうか。まあ、運が悪けりゃ何も悪くないのにアメリカの収容所に拉致監禁されて二度と帰してもらえなかったかもしれない事を考えると、無事だっただけでも儲けものか。 The Sunの記事によると、メモリにはアルカイダのテロリストに関する名前やスナップ写真、指紋や学歴といっ
オンラインカジノで大規模な不正発覚 | スラド セキュリティ
オンラインカジノサイトUltimateBet.comで2005年から2008年の間、カジノのソフトウェアのセキュリティホールを突いたチート行為が行われていたことが明らかになった。(The Sydney Morning Herald、本家記事より) ことの発端は、オンラインポーカーのフォーラムに、一部プレイヤーが非常に高い確率で勝利していることを怪しむ声が投稿されたことにあり、最終的には一人のユーザーが疑惑のアカウントを含む多くのユーザーの履歴を統計分析し、通常考えられないような勝率を出している事を証明した。 報告を受けたカジノの親会社Tokwiroによる内部調査の結果、社員が不正に関わっていることが判明したそうだ。不正の手口はカジノのソフトウェアのセキュリティホールを利用し、対戦相手が伏せているカードを見抜くというものであった。 現在Ultimatebetや、Tokwiroがもつ他のオンラ
米テキサス州、PC修理業を行うのに探偵免許が必要に | スラド セキュリティ
ストーリー by hylom 2008年07月04日 13時20分 パソコンを修理していたらとんでもないものを見つけてしまったー、どーしよー 部門より 米テキサス州でPC修理業に携わるには探偵の公的免許(Private Investigator License)が必要になるという法律が昨年施行された(本家/.記事)。 免許無しで「捜査」とみなされる行為を行った場合、最高$4,000の罰金と最長1年の懲役及び最高$10,000の民事処罰に科せられる可能性がある。「捜査」の定義は広く、普通のPC修理業務でも「捜査」行為とみなされる場合があるという。さらに、この法律は無免許であることを知った上でその事業者に「捜査」とみなされる行為を依頼した消費者にも同じ処罰が科せられる可能性があるとのことである。 免許取得には、刑事司法の学位を取得するか、もしくは免許のある事業者の元で3年間実務を積まないといけ
6億3700万人が旧バージョンのブラウザを使用しているという調査結果報告 | スラド セキュリティ
CNETJapanやITmedia エンタープライズで取り上げられていたニュース。 6億3700万人のウェブユーザーが現在、旧バージョンのブラウザを使用しており、より多くのウェブベースの攻撃にさらされている恐れがあるとGoogleのスイス法人とIBM傘下のInetrnet Security Systems、スイスのETH Zurichの研究者が報告書をまとめた。レポートを見ると最終メジャーバージョンを利用しているユーザが全体の59.1%という数字が報告されている。 また、最もセキュアなバージョンを利用していないユーザ数が全体の45.2%(一部バイアスあり)という数字も報告されている。 この数値から6億3700万という人数を割り出している。 その他にも同報告書では、メジャーバージョンブラウザのシェア推移や、ブラウザに組み込まれているプラグインの普及率なども掲載されており興味深い。 タレコミ人
「顔認証」のたばこ自販機に、「雑誌の顔写真で認証が通る」脆弱性発覚 | スラド セキュリティ
「顔認証」によって年齢を認証して成年者のみにタバコを販売するという自販機が、関西を中心にテスト設置されているそうだが、その顔認証自販機に「雑誌などの顔写真をかざすことで未成年でもタバコを購入できてしまう」という脆弱性があることが「サンケイスポーツ」で報告されている。 報告によると、雑誌に掲載されていた15センチほどの50代男性の顔写真を自販機の認証用のカメラにかざしたところ、問題なく認証に成功してしまったとのことだ。また、8センチほどのサイズの、30歳過ぎ女性タレントの顔写真でも購入が可能だったとも報告されている。ただし、あまりにも小さい写真だと成功しないようで、3センチほどの写真では失敗したそうだ。 この脆弱性はメーカーも認識しているとのことで、現在生体確認が必要なバージョンを開発中、とのこと。未成年者のたばこ購入は健康障害へのリスクが高いため、早急な対策が望まれるところだ。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
半導体製造機器にウイルス対策ソフトが装備される | スラド セキュリティ
ASUS、今度は外付けHDDにウイルス混入 | スラド セキュリティ