バグを発見した人に、最高2万ドルの報酬金を出します―。 メッセンジャーアプリ開発のLINEは、2015年8月から9月にかけ、LINEアプリの脆弱性を報告したユーザーに報奨金を支払う「LINE Bug Bounty Program」を実施した。計200件の報告が集まり、LINEはこのうち7人が報告した14件の脆弱性を認定、1人については最高額の2万ドル（240万円）を支払った。 自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者（バグハンター）に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度（バグバウンティ）」と呼ばれる。 米国では、マイクロソフトやグーグルのようなIT企業に加え、ペイパルのようなITサービス企業、さらには航空会社の米ユナイテッド・エアラインズのような一般企業も導入している（関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」

フィッシング対策協議会は9日、スクウェア・エニックスのゲーム「ドラゴンクエストX」を騙るメールが出回っているとして、注意を呼びかけた。 それによると、「[スクウェア・エニックス アカウント]のお知らせ」というタイトルのスパムメールが出回っているとのこと。9日時点ではフィッシングサイトは稼働しており、JPCERT/CCにサイト閉鎖のための調査を依頼済みとのこと。 メールは、ドラクエの画像を使用したHTMLメールとなっており、表示されるURLも一見本物だが、実際には偽装されており、「http://hiroba.dqx.jp.mcsu.●●●●.cc」などの偽サイトに誘導される。 「ドラゴンクエストX」を騙るフィッシングサイトは、過去にも周期的に出現している。最近では2014年6月、2015年1月、2015年7月などに、偽メールの流行と偽サイトの出現があり、同協議会が注意を呼びかけている。過去の

アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側から他人の車を操作する実証ビデオも公開している。 セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。 詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、個々の車に割り当てられている車両識別番号（

障害が起きたWebサービスは個人で運営しているサービスです。 2016年2月、障害から20日後にサービス再開しましたがアクティブユーザは以前の18%です。未だ回復の目処は立っていません。冗長化していないサーバがウイルス感染し、その後の対応も後手後手に回ってしまいました。 2016年1月末に起こるべくして起こった障害について記事にしてみました。ご迷惑をお掛けしてしまい本当に申し訳ありません。 ■ ユーザは、もう戻ってこない どんなウイルスに感染したのか SYNフラッド攻撃（SYN Flood Attack）を他のWebサイトに行うウイルスに感染して、確認していませんが他のサービスをSYNフラッド攻撃していたと思います。またウイルス感染時にサーバのsshdを書き換えられsshで接続できなくなりました。感染後にコンソールログインして書き換えられた醜い authorized_keys を見た時ゾッ

ISPのアクセスポイントなどがユーザーのPCに割り当てるIPアドレスをもとに、ユーザーの地域（都道府県、市外局番）やインターネット接続に利用している接続回線の種類を判別します。 本IPアドレス検索サービスは、ウィルスの発信元調査や増えつづけるネット犯罪の初期捜査などにご活用ください。また、地域指定型オンライン広告を実施されるポータルサイト様など媒体社様および広告代理店様につきましては広告ターゲティングのご確認用にご利用ください。 ご利用上の注意 IPアドレス検索の地域・接続回線種別の判定は「SURFPOINT™ 」を利用して行われており、またWhois検索結果は各NICやレジストラのWhoisを参照した結果が表示されます。 動作について IPアドレス検索では、一部機能でセッションを利用しています。 動作がおかしい・表示が行われない箇所がある等、ございましたらブラウザの設定が「Cookieを

高市総務相は１２日の閣議後記者会見で、顔写真と住所・氏名の一致しないマイナンバーカードが作成されるトラブルがあったことを明らかにした。 カードを管理する地方公共団体情報システム機構（東京）によると、こうしたカードはすでに１０程度の自治体に届いているが、申請者と別の人に交付した事例は確認されていないという。 同機構によると、申請者がパソコンやスマートフォンで２３桁のＩＤの番号を誤って入力し、別の人のＩＤと偶然一致した場合、申請者の顔写真付きで、別人の住所や氏名、マイナンバーが記されたカードが作られていたという。

最近芸能界がLINEだベッキーだで騒がしいのですね。 LINEの内容が漏れたのはハッキングだのLINEサーバーからの流出だの言われてるけど恐らく違う。 なぜなら私はそれ以外の方法で恋人のLINEをチェックしてたから。 備忘録として書いておきますのね。 まず前提としてiosである事。もう一つは古い機種がある事。 まあ若い子は古い携帯を残しておく人が多いだろうからやりやすいだろうね。 まず説明すると流出したとされるLINEのアイコンが四角なのね。 これが何を意味するかというと古いiosなのよ。 アップデートしてあるLINEってアイコンは丸なのよ。 古いiosって事は古い携帯って事なのね。 去年の年末に四角いアイコンってのはまず考えられない。 そんで恐らくゲスの方が機種変して新しいiphoneにLINEアカウントを移行したと思うんだけどその際に古い機種のLINEを削除しなかったんだよね。 この時

Insecamというおかしなサイトが話題。世界中の無防備なWebカメラを覗き見ることができる。 メニューから「メーカー」「国」「場所」を選べる仕様 http://www.insecam.org/ （自己責任で） 日本ではPanasonic製のカメラが覗き見られているもよう。中には銭湯の脱衣所などもあり、セキュリティー意識の低さが物議に。 Insecamというおかしなサイトが、世界中の無防備なWebカメラ73000台を表示できる、と豪語している。 その多くはCCTVやシンプルなIPカメラだが、それらに共通しているのは、一般的にアクセス可能なネットワークポートへストリーミングされていることと、デフォルトのパスワードをそのまま使っていることだ。だから誰でも、Webをクロールするロボットなどを使って、単純に”admin/admin”とタイプし、そのストリームにアクセスできる。 わざわざ弱いパスワー

世界中で広く使われているインターネットの閲覧ソフト「インターネット・エクスプローラー」について、開発したマイクロソフトは、最新版以外のセキュリティー対策を１２日で終了します。専門家は、サイバー攻撃が巧妙化するなかで、ソフトウエアメーカーの対策には限界があり、利用する個人や企業などの側でのセキュリティー対策がより重要になっていると指摘しています。 マイクロソフトは、「インターネット・エクスプローラー」でサイバー攻撃を受けるおそれがあるプログラム上の弱点が見つかった場合、「パッチ」と呼ばれるばんそうこうのような修正プログラムを作り、無料で配布しています。 しかし、先月までの２年間に見つかり「パッチ」を作成した弱点は合わせて５２７にも上り、そのうちの８５％は情報漏れにつながるおそれがある危険性が高いものとなっています。 このため、マイクロソフトは、これまでの態勢で安全対策を続けるのは難しくなった

お久しぶりです、五島夕夏です！ 以前にセキュリティのプロである徳丸浩先生の一日に密着し、たくさんのセキュリティテクニックを勉強してきました。 今回、またセキュリティに関するお話を聞けるということで、『NO MORE 情報漏えい』を運営するMOTEXさんのオフィスにやってきました！ それでは、さっそく徳丸先生のもとへ行きましょう！ 徳丸先生、おじゃましまーす！ 徳丸先生 「やあ夕夏さん、こんにちは。セキュリティのプロ、徳丸です。今日も変わらず綺麗だね」 徳丸 浩（とくまる ひろし）先生HASHコンサルティング株式会社・代表取締役。セキュリティのプロ。システムの脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動も行うすごい人。 ゆうか 「先生、お久しぶりです。先日はいろいろと教えていただいてありがとうございました。今日もまたセキュリティについてたくさん

こんにちは、2015年も終わりですね。昨年よりエンジニアのお仕事をはじめております自称エンジニアの@mochizukikotaroです。 お祭り記事ですので、皆様の箸休めの一助にでもなればと思いながら、全力で書きたいと思います。 まず感謝 当記事は、「素人がAWSに手を出し、のんきに過ごして気づいたら、自分のミスで不正利用され$6,000ほどの請求が来ていて」一週間ほど食べ物も喉を通らず、AWS様に泣きついた結果、「なんとか情け容赦を頂いた」という内容です。 本文中には多少ふざけた言葉選びが散見されるかもしれませんが、私は全力で AWSさんに感謝 をしております。 この先、 僕と同じような過ちを犯す可哀想な素人エンジニアを、この世から一人でも無くしたい。 と切に願っております。 最初にお断りしておきますが、 当記事から得られる、プログラミングインテリジェンスは1gくらいです。 一定レベル以

米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。 Redditでこの問題を報

インターネットの大手交流サイト「フェイスブック」に他人のＩＤやパスワードで不正にアクセスしたとして、都内の会社員が警視庁に逮捕されました。警視庁は１００人以上のＩＤに不正なアクセスを繰り返し、非公開で投稿されていた女性の写真を集めていたとみて調べています。 これまでの調べで古賀容疑者は、不正にアクセスしたあと女性が非公開で投稿していた私的な画像などを自分のパソコンに保存していたということです。警視庁によりますと、調べに対して古賀容疑者は容疑を認めているということです。 古賀容疑者のパソコンには、フェイスブックと「ｉＣｌｏｕｄ」と呼ばれるアップル社のデータ保管サービスのＩＤのリスト、のべ７７０人分があり、このうちおよそ１２０人分について、不正なアクセスが確認されたということです。警視庁は、女性の写真を集めるため、不正なアクセスを繰り返していたとみてＩＤなどのリストの入手方法を調べています。

中国のバイドゥ（百度）が提供するAndroid用アプリに重大なセキュリティ上の問題が発覚。その影響範囲の広さから衝撃が走っている。この問題への対処は可能だが、感染経路などを考えると、今後の影響は広範囲に及ぶ可能性がある。 問題が見つかったのはバイドゥが提供しているAndroidアプリ開発キット（アプリ開発を容易にする部品集）の「Moplus」だ。Moplusは、特に中国で開発されているAndroid用アプリに多数採用されている。影響範囲が広い理由の一つは、開発キット自身がセキュリティ問題を抱えているため、それを使って作成されたアプリにも同様の問題が存在している可能性を否定できないためだ。 バイドゥには前科 バイドゥがセキュリティ問題を引き起こしたのは今回が初めてではない。日本語かな漢字変換ソフト「BaiduIME」に、入力した文字列をバイドゥのサーバーにアップロードする機能が備わっているこ

By Orde Saunders マルウェアやスパム対策ソフトを開発するSophos(ソフォス)が、セキュリティ面で高い信頼性があるとユーザーに評価されているウェブブラウザのランキング「信用度イメージランキング」を発表しました。人気以上にセキュリティが高く評価されているブラウザもあれば、ユーザー数は多いもののセキュリティ面で信用できるという評価を得られていない人気ブラウザなど、ブラウザのセキュリティに対する興味深いユーザーイメージ像が浮かび上がる結果となっています。 Which web browser do you trust? [Poll] | Naked Security https://nakedsecurity.sophos.com/2015/09/30/which-web-browser-do-you-trust-poll-2/ Firefox beats Chrome and

あなたのマイナンバーは届いたかな？ 実は僕、皆さんより一足先にマイナンバーを持っているんだ。なんと44年前からね。 ということで今回は"マイナンバーの先輩"として色々話させてもらいましょう。 もちろん、僕が持っているのはアメリカのものだから、正確にいうと「マイナンバー」ではない。アメリカの場合はSocial Security Number(社会保障番号、略してSSN)と呼ばれている。 考えてみれば英語で「マイナンバー」とは「私の番号」という意味。"Can I have your my number?"（あなたの私の番号を教えてください）は、結構ばかばかしいセンテンスとなってしまう。日本の役所の方々は英語でやり取りするときはどう対応するのかな？ 時は1936年、大恐慌の真っ最中だった。ニューディール政策の一環として発足した社会保障プログラムに合わせ、SSNは発行された。当時は年金の管理用だっ