はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当によくできると思いました。フレームワークの意味について考えさられます。 HTTPSの通信 HTTPSの通信はTCP/IPプロトコルスイートとして、TCPの上層にSSL/TLSがあり、アプリケーションプロトコルのHTTPプロトコルが載って通信をしています。 コネクションとセッションは通信の概念として別になります。TCPでクライアントからWebサーバに対してコネクション(経路)が確立され、その上でセッシ

Skip to main content >閉じる

[2018/07/07 追記] 本記事ではChrome拡張について説明していますが、Firefox1やEdgeの拡張機能もほぼ同じ仕組みで動いています。 [2023/11/06 追記] #参考 ページを追加しました。 Chrome拡張。便利な機能を簡単に追加できるので使っている人も多いと思います。 ただ、インストール時の権限の注意書きが分かり難いので無条件に承認（追加）していることもあるのではないかと思われます。 そこで、本記事ではChrome拡張の権限の種類・確認方法の他、拡張がどこまで（悪いことを）できるのかとその対策を3段階の権限（危険性）レベルごとに紹介していきたいと思います。 便利だが危険性もあるChrome拡張 Chrome拡張をインストールすると、Webページを読むというブラウザ本来の機能だけでなく様々なことができるようになります。 例えば、Webメールの新着通知や記事などの

iPhone7/7 Plusの発売からまだ1週間ですが、すでに「ジェイルブレイクに成功した」という声が一部ハッカーの間から上がっています。 24時間でジェイルブレイクに成功 iPhoneのジェイルブレイクとバグ発見で知られる19歳のハッカー、ルカ・トデスコさん（通称qwertyoruiop）は、たった24時間でiOS10搭載のiPhone7のジェイルブレイクに成功したと発表。Motherboardに対し「iPhone7は正しい方向に向かっている。それでも100％安全ではない。そんなものは存在しないのだから」と語っています。 トデスコさんはハッキングに成功した証拠として、ルートアクセスのスクリーンショットや動画を公開しています。 手法を公開する予定なし ただしAppleがパッチをリリースするまでは、ジェイルブレイクの手法を公開する予定はないとのことです。トデスコさんとしては直接修正したいとこ

Photo by Blue Coat Photos 警視庁の「サイバーセキュリティ対策本部」は9月7日、職員の情報セキュリティー技術向上に向けた競技会を初めて開催した。 各部署から選ばれた計228人が情報技術やサイバー犯罪などの基礎知識に関する設問にパソコンで解答し、正答率と解答速度を競った。成績上位の5人は、9月27日に開かれる、サイバー攻撃を想定した実践的な選抜競技会に出場するという。 なぜこのような競技会を？ と思うかもしれないが、サイバーセキュリティの人材不足は、世界的な問題になっている。インテル セキュリティの調査レポートによれば、日本を含む世界8ヵ国の大多数（82%）がサイバーセキュリティーにおける人材不足を認識しているという。 特に日本では、組織幹部がサイバーセキュリティーに関するスキルを重視しているか、という質問に対し、「非常に重視している」「重視している」と回答した割合が

こんなことを想像してみてください。 あなたは大企業で働いています。仕事はかなり退屈です。端的に言えば、あなたの顔も見たくないという経理担当の3人しか使わないようなアプリケーションのために定型的なコードを書いて、才能を無駄にしているという状況です。 あなたが本当に情熱を注げるのはセキュリティです。毎日、 r/netsec を読み、仕事の後にはバグ報奨金プログラムに参加しています。ここ3カ月間は手の込んだ株式取引ゲームをプレイし、報奨金を得ています。ヒープベースのバッファオーバーフローを発見し、優良株を選ぶ手助けとなるAVRシェルコードをいくつか書いたからです。 あなたが取り組んできたビデオゲームが、実は巧妙な偽装のリクルートツールであったと判明し、全てが変わります。世界最高のセキュリティコンサルタント会社、Mont Piperが人材を募集していて、あなたは面接に行くことになったのです！ 飛行

これが現代テロリストたちの使うソフトウェア。金に糸目をつけない周到ぶり…2016.08.07 22:30 湯木進悟 よい子はマネしちゃダメよ…。 無法なテロ攻撃で世界を震撼させているイスラム国（ISIS）ですけど、その戦闘員たちのIT技術の高さが、このところ捜査当局の頭を悩ませてもいるようですね。匿名通信を可能にするTORの使用が必須なのかと思いきや、最近はTORをめぐる監視が厳しくなってきたのを察知して、実に多彩な別手段へと、素早く移行しているんだとか。 暗号化通信ツールの開発者のうち、そのツールが犯罪者たちに向けたものではないと、きっぱり言い切れる人などほとんどいないはずだ。 米国家安全保障局（NSA）のRichard Ledgettさんは、国家防衛とテクノロジーをテーマに開催されたDefense One Tech Summitにて、このようにコメント。世に出回る多くの暗号化通信ツール

TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS（Hypertext Transfer Protocol Secure）は、HTTPによる通信を安全に（セキュアに）行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった

公開鍵暗号の仕組みをまとめることにした。 先日作成して公開したエンジニア向けのパズル８は公開鍵暗号の仕組みを使っている。RSA暗号のコード書いてデバッグして、暗号の仕組みをかなり理解したので、せっかくだからまとめた。 公開鍵暗号 金庫の中にに大事なモノを保管する時、まずは金庫を閉めて鍵をかける。すると鍵を持っている人にしか開けられなくなる。これが通常の鍵の仕組み。 ただネットを介した通信での暗号方式では少し事情が異なる。 まず送信者が金庫を閉めて鍵を使って鍵をかける。そしてそれを受信者に届ける際には金庫と鍵を送ってもらう必要がある。しかし金庫と鍵を同時に送るのは危険。途中でその鍵が見られたりコピーされたりしたら、金庫に入れる（暗号化すること）意味が無くなってしまうからだ。大事なモノに鍵をかけて送るのに、その鍵を送る方法が無防備だとまったく無意味になってしまう。 そこで数学者の叡智により編み

みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!

2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (

プラグインハイブリッド車(PHEV)として2015年に世界販売台数No.1を記録している三菱自動車の「アウトランダーPHEV」には、車両情報のチェックや充電・空調などの操作をスマートフォンから行える「三菱リモートコンロトール」というシステムが組み込まれているのですが、ここに外部からの乗っ取りを受けうる危険性が潜んでいることをセキュリティ会社が発見しました。 Hacking the Mitsubishi Outlander PHEV SUV - YouTube Hacking the Mitsubishi Outlander PHEV hybrid | Pen Test Partners https://www.pentestpartners.com/blog/hacking-the-mitsubishi-outlander-phev-hybrid-suv/ セキュリティ会社のPen Tes

ESETの専門家がCrypTeslaを操る集団と接触して暗号解除のためのユニバーサルマスターキーが欲しいと求めところ、相手はこの求めに応じたという。 コンピュータのファイルを暗号化して人質に取るランサムウェア「TeslaCrypt」の作者が、プロジェクトの打ち切りを宣言して暗号解除のためのマスターキーを公開した。セキュリティ企業のESETが5月18日のブログで伝えた。 TeslaCryptは別名「CrypTesla」「vvvウイルス」などと呼ばれるマルウェア。感染するとコンピュータ内のファイルが暗号化されて判読できない状態になり、被害者は復元と引き換えに身代金を要求されていた。 ESETの専門家は、CrypTeslaを操る集団が被害者に提示していたサポートチャネルを通じて匿名で同集団と接触し、暗号解除のためのユニバーサルマスターキーが欲しいと求めた。驚いたことに、相手はこの求めに応じてキー

東京・渋谷区にあるジュエリーを販売する会社のホームページが不正アクセスを受け、最大で２０万人の顧客の個人情報が流出したおそれがあることが分かりました。さらに、一部の顧客については、クレジットカードの情報も流出したおそれがあるということです。 会社によりますと、ことし２月ホームページの動きが鈍くなったため調べたところ、外部からの不正アクセスが発覚し、さらに２週間後に「ホームページから顧客の個人情報を盗んだ」という内容の英語の電子メールが届いたということです。会社は顧客に連絡するとともに警察に被害届を出したということですが、流出したおそれがあるのは最大で１９万９７０９人分の名前、住所、生年月日などで、このうち５３７人分については、クレジットカードの番号や有効期限、それにカードの裏に記載され、本人認証に使う「セキュリティーコード」も含まれているということです。 ザ・キッスは「お客様にご迷惑とご心

2015年12月に私が発見した VALUE-DOMAIN での CSRF 脆弱性について、その脆弱性の報告と修正までの経緯を記しておきます。 きっかけ アカウント削除ページの作り アカウント削除ページの問題点 VALUE-DOMAIN への報告 CSRF 攻撃によるアカウント乗っ取りの問題 IPA への届出 余談：IPA への届出の仕方について IPA へ届出した後の状況 VALUE-DOMAIN ユーザの方へ きっかけ 数年前に VALUE-DOMAIN を利用していましたが最近は使っていないのでアカウントを削除しようとしたところ、アカウント削除操作を行うページの作りが「不自然である」ことに気付きました。更に調べたところ CSRF 攻撃によってアカウント乗っ取りが可能な状況であることが分かりました。 アカウント乗っ取りが可能な CSRF 脆弱性は2015年12月22日にIPAに報告し、2

データベースにおけるSaaSパーティショニングモデル、データベースエンジン毎の構成イメージ、マルチテナント化に向けた考慮点について解説しています。