もう避けられない? 暗号の2010年問題 - @IT
2008/11/20 PKIや電子署名、暗号化通信……さまざまな場面で利用されている暗号技術が、そのままでは2010年以降利用できなくなるかもしれない――RSAセキュリティは11月20日、この「暗号の2010年問題」に関する説明会を開催した。 米国立標準技術研究所(NIST)では、暗号解読研究の動向やコンピュータの処理能力の向上といった要因を考慮しながら、米政府機関が使用すべき暗号アルゴリズムと鍵サイズ(鍵長)をまとめている。そして、共通鍵暗号にしても公開鍵暗号にしても、2010年以降、より鍵サイズが大きく安全なものへの移行を推奨している。 そもそも暗号の強度は、アルゴリズム自体の強度に加え、利用される鍵のサイズによって変わってくる。鍵サイズが大きくなればなるほど解読に要する時間は長くなるため、安全性は高まる。だが一方で、コンピュータの処理能力も高まっており、暗号解読に要する時間が現実的な
[続報]イーバンク銀に不正アクセス、8口座から140万円引き出し
ネット銀行のイーバンク銀行に対してインターネット経由での不正アクセスがあった問題で、何者かによって口座から預金が引き出されていたことが分かった。ユーザーのIDとパスワードを実際に入力しており、8つの口座が被害にあったという。 ユーザーIDとパスワードについてイーバンク銀は「当社からの流出ではないが、入手先は不明」と説明する。被害額は現時点で合計140万円。イーバンク銀が警察に通報している。 イーバンク銀は11月12日にユーザーからの指摘で不正アクセスを認識。被害にあった合計8口座のユーザーに伝えた。イーバンク銀は同日に対抗措置として、不正アクセス元のIPアドレス範囲をブロックした。これに伴って多くのユーザーが最大半日の間、サービスを利用できない状態となってしまった(関連記事)。 イーバンク銀は「ユーザーの被害額はすべて保険で支払われる。利用者には口座を今一度確かめてほしい」としている。 ■
![[続報]イーバンク銀に不正アクセス、8口座から140万円引き出し](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
あの手この手で守るべきカード情報、その中身とは? ― @IT
第2回 あの手この手で守るべきカード情報、その中身とは? 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/10/7 PCI DSSではクレジットカード、デビットカードなど「ペイメントカード」の情報保護指針を定めています。日本でも身近になったクレジットカードですが、どのような情報が含まれるのでしょうか。クレジットカード情報の保護から、基本的なセキュリティの考え方を再度確認してみましょう(編集部) 第1回「エンジニアも納得できる“PCI DSS”とは」では、PCI DSSの概略を解説しました。第2回ではPCI DSSで守るべき「カード情報」について、そもそもカード情報と呼ぶものに何が含まれるのか、そしてどのようにカード情報を守るべきかを解説します。 「カード会員情報」って16けたの番号だけじゃないの? 一言でカード会員情報といっても、そ
悪質なFlashリダイレクタ
「Malicious Flash redirectors」より August 21,2008 posted by Stephan Chenette,Security Researcher 当ブログの読者の大多数にとって,悪人グループがWebページへのアクセスをリダイレクタで自動転送することなど,当たり前の話だろう。こうした自動転送は,ユーザーがよく使うハイパーリンクを何らかの方法で細工して実行することが一般的だ。例えば,悪人たちは,悪事とかかわりのないWebサイトへのアクセスをほとんど知られていない攻撃用Webサイトに転送するための,短く分かりにくいコードをWebページに加える。多くの場合,攻撃用Webサイトの内容や場所は動的に変える。 たいていの場合,実際に使用されるリダイレクタは「iframeリダイレクタ」と「オープン・リダイレクタ」の2種類である。 iframeリダイレクタ ifra
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
ソースネクストのウイルス対策ソフトにぜい弱性,細工されたファイルのスキャンで検出機能が停止
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は8月12日,ソースネクストのウイルス対策ソフト「ウイルスセキュリティ」,「ウイルスセキュリティZERO」に見付かったぜい弱性について,詳細をJVN(Japan Vulnerability Notes)で公開した。 このぜい弱性は,細工を施された「.rar」形式の圧縮ファイルをスキャンすると,ウイルス検出機能が停止してしまうというもの。以降はウイルスを検出できなくなるため,パソコンがウイルスに感染する危険性が高まる。 影響を受けるのは「ウイルスセキュリティ バージョン 9.5.0173」以前と,「ウイルスセキュリティZERO バージョン 9.5.0173」以前。対策は,これらのソフトを最新版に更新することである。 ソースネクストによれば,このぜい弱性の修正プログラムは7月10日に公開
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
ソフトウェアによる暗号化手法の知っておくべき特性
機密データを保護するための手法を追う連載第2回では、さまざまなベンダからソリューションが提供されている「ソフトウェアによる暗号化手法」にフォーカスします(編集部) データはいつ、どこで暗号化されているのか コンピュータのハードディスクには、通常何らかの機密データが保存されています。これらのデータのセキュリティを確保することはビジネス上最優先事項とされてきました。本連載では、データの保護について理解を深め、また適切なソリューションを選定する際に役立つよう、この重要な主題に関する記事を掲載していきます。第1回では、ハードディスクへのアクセスを抑制する手法の長所と短所に焦点を絞り、いわば玄関の鍵に当たる部分を取り上げました。 シリーズ第2回では、保護における次の層、つまりディスクドライブにあるデータの実際の暗号化に焦点を絞ります。 機密データを暗号化する意味を再確認する OSやBIOSが提供する
DebianのOpenSSLに脆弱性、「弱い鍵」が破られる恐れ - @IT
2008/05/20 「Debian」とその派生ディストリビューションに含まれる「OpenSSL」パッケージに脆弱性が発見され、複数のセキュリティ機関が警告を発している。すでに、この脆弱性を狙って暗号鍵を破り、不正侵入を試みる攻撃コードの存在も報告されている。 OpenSSLは、SSL/TLSによる暗号化通信を行うためのツールキットだ。脆弱性は、Debian、およびUbuntuをはじめとするその派生ディストリビューションに含まれるOpenSSL 0.9.8c-1以降に存在する。 今回問題となっている脆弱性は、バッファオーバーフローのように直接の不正侵入を許す性質のものではない。OpenSSLでは、暗号化通信のための暗号鍵/証明書を生成できるが、問題があるのは、その基となる乱数の生成アルゴリズムだ。 DebianのOpenSSLパッケージのメンテナによる誤ったパッチ適用によって、SSL/SS
Windows Defenderでスパイウェアを検出/削除する - @IT
Windows Defenderをシステムにインストールしておくと、スパイウェアや迷惑ソフトウェアなどを検出し、その実行を禁止することができる。 スパイウェアとは、ユーザーの同意を得ずに(もしくはその意図を明確に示さずに)、ポップアップ広告などを表示したり、ユーザーの情報(Webサイトの閲覧履歴など)を収集したり、システムの設定を変更したりするソフトウェアのことを指す。Webサイトに仕込まれており、(その分かりづらい同意ダイアログなどにより)ユーザーが知らず知らずのうちにダウンロードしてインストールされていることが多い。このスパイウェアを検出し、削除するソフトウェアはアンチスパイウェアと呼ばれる。 Windows Defenderは、マイクロソフトが無償で提供しているアンチスパイウェアである。Windows Defenderをダウンロードしてインストールすることにより、スパイウェアや迷惑ソ
スパイウエアにご用心~駆除作業体験記~
1カ月ほど前,知人から「自宅のパソコンに問題があるので調べてもらえない?」と頼まれた。最初は,ウイルスの被害にでも遭ったのかと思ったが,いざ調べてみると,最近話題の「スパイウエア」が原因だった。スパイウエアの種類によっては,ウイルスよりも大きな被害をもたらす場合がある。今回の記事では,筆者が実施したスパイウエア駆除作業を紹介する。「パソコンの調子が何かおかしい」と思っている方は,参考にしていただきたい。 ホームページがアダルト系サイトに 筆者に連絡をくれた知人は,セキュリティに関して全く気を使っていなかった。パソコンを購入してから一度として「Windows Update」を実施していないというし,ウイルス対策ソフトもインストールしていないという。このため,「ウイルスに感染したために調子がおかしいのだろう」と考えた。もしそうならば,とりあえずウイルス対策ソフトの体験版をインストールさせて,現
「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは ― @IT
2008/04/11 すべての暗号はいずれ破られる。2000年前のシーザー暗号の時代から高度な暗号技術が一般化したデジタル通信の現代に至るまで、それが暗号通信の歴史が証明し続けた事実であると同時に、もっとも人口に膾炙したクリシェでもあった。例えば、鳴り物入りでリリースされたDVDのコンテンツ暗号技術「CSS」(Content Scramble System)が、リリースからわずか数年で10代のノルウェー人ハッカーに破られたことは記憶に新しい。 【追記】(2008年4月15日) この記事は取材に基づいて執筆したものですが、一部専門家らから「CAB方式暗号は解読不能」というのは誇大表現ではないかとの疑義が呈されています。アルゴリズムの公開や第三者による検証がない現在、この記事に登場するCAB方式が発案者・実装者の主張通り画期的な暗号方式で、本当に解読が不可能であるかどうか分かりません。現在、専
ディレクトリ統合 第1回 シングル・サインオンはなぜ必要か?
企業でのWebサービスの実現が具体的になるにつれ、パスワード/IDマネジメントが重視されるようになり、「シングル・サインオン」がますます注目を集めている。この連載では、シングル・サインオンの実践ステップなど具体的な考え方を紹介する。また、メタディレクトリやLDAPなど「ディレクトリ統合」をキーワードとしてシングル・サインオンを実現するための技術を分かりやすく解説する。(編集部) シングル・サインオンとは何か 現在、多くの企業の情報システムは、多種多様なプラットフォームを組み合わせて利用しています。そして、それらのプラットフォーム上では多種多様なアプリケーションが動作しています。 通常、ユーザーはクライアントPC上のOSや各アプリケーションに対して、ログインの手続きを行ったうえでそれらを使用します。ユーザーは自分自身を識別するための情報(例えばユーザーIDとパスワードの組み合わせ)を提示し、
Amazonの「ほしい物リスト」で本名や趣味がばれる? ネットで騒動に
「Amazon.co.jp」でユーザーが欲しい商品を登録しておける機能「ほしい物リスト」(「ウィッシュリスト」から3月8日に名称変更)を通じて、ユーザーが公開を意図していない個人情報がもれている――と、3月11日ごろからネットで騒動になっている。 ほしい物リストは、自分にプレゼントしてほしい商品を登録・公開できる機能。リストは非公開設定も可能だが、デフォルトでネット全体に公開され、従来から名前やメールアドレスで検索可能だった。メールアドレスで検索した場合、本名が登録されていれば、本名も表示する。 「あの人にプレゼントしたい」と思い立った際、名前やメールアドレスで検索すれば、相手の欲しい物リストを見つけられる――という訳だ。 だが今回、このリストを通じて、ユーザーが意図しない個人情報がもれていると騒動になった。リストや本名がデフォルトで公開されていると知らず、非公開のつもりでお気に入り商品メ
SSLとは 【Secure Socket Layer】 ─ 意味・解説 : IT用語辞典 e-Words
概要 SSL(Secure Sockets Layer)とは、インターネットなどのIPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ。データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる。 SSLは公開鍵暗号を応用したデジタル証明書による通信相手の認証(一般的にはサーバの認証)と、共通鍵暗号(秘密鍵暗号)による通信の暗号化、ハッシュ関数による改竄検知などの機能を提供する。Webアクセスに使われるHTTPと組み合わせ、Webサイトで認証情報や個人情報、決済情報などの送受信を安全に行う手段として広く普及している。 認証局と証明書SSLでは公開鍵暗号により通信相手の確認や通信の暗号化に用いる暗号鍵の交換を行うが、そのためには相手方(クライアント側ソフトウェアにとってサーバ側)の公開
公開鍵暗号とは - IT用語辞典
公開鍵暗号 【public key cryptosystem】 非対称鍵暗号 / asymmetric key cryptosystem 概要 公開鍵暗号(public key cryptosystem)とは、対になる2つの鍵を使ってデータの暗号化・復号を行う暗号方式。暗号化に用いる鍵は公開され、復号に用いる鍵は秘匿される。公開鍵から効率よく暗号鍵を割り出すことはできないようになっている。 1976年にウィットフィールド・ディフィー(Whitfield Diffie)氏とマーティン・ヘルマン(Martin E. Hellman)氏によって基本原理が考案された。具体的な暗号方式として世界で初めて公表されたのは、1977年にロナルド・リベスト(Ronald L. Rivest)氏、アディ・シャミア(Adi Shamir)氏、レオナルド・エーデルマン(Leonard M. Adleman)氏が考
基礎知識 SSLの仕組み
SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する方法のひとつです。 通常、インターネットでは、暗号化されずにデータが送信されています。そのため、通信途中でデータを傍受されると、情報が第三者に漏れてしまう可能性があります。また、相手のなりすましに気付かずに通信すると、データがなりすましの相手に取得されてしまう可能性があります。 現在、クレジットカード番号や個人情報を扱う多くのホームページでは、通信途中での傍受やなりすましによる情報漏洩を防ぐ目的で、SSLを利用しています。 利用者がSSLを利用できるサーバーとデータをやり取りする場合には、Webサーバーと利用者のコンピュータが相互に確認を行いながらデータを送受信するようになるため、インターネットにおける通信内容の暗号化及びなりすましの防止が実現されます。 IE(Internet Ex
第6回 DoS攻撃の仕組み - 原理から学ぶネットワーク・セキュリティ:ITpro
サービスを停止させることを目的とする攻撃をDoS攻撃といいます。場合によってはサーバーを乗っ取られたり,不正なプログラムを起動されたりする危険もあります。 DoS攻撃(Denial of Service Attack)は,4つのセキュリティ・モデルの最後に当たります(図1)。Webサーバーやメール・サーバー,DNSサーバーなどのインターネット上に配置されているサーバーが攻撃対象となります。悪意を持つ人は,このサーバーに対して攻撃を仕掛けて,サーバーの機能を停止させたり性能を劣化させます。これにより,正当なユーザーがサービスを受けられなくなります。サービスを停止させる迷惑行為です。 DoS攻撃はネットワークを使って遠隔で危害を及ぼします。その種類は,サーバーに対して大量のトラフィックを浴びせかけ回線容量を消費させるものと,サーバーの仕組みやソフトウェアの欠陥を突いて,サーバー自体の動作を停止
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://headlines.yahoo.co.jp/hl?a=20080208-00000004-cnet-sci