車盗難リレーアタックってなに?仕組みと対策方法は?
皆さんの車はスマートキーを利用されていますか? 現在販売されている車で大体の車種には設定されていると思われます。 ポケットに入れたまま鍵の施錠やエンジンスタートができるので便利ですよね♪ 昨年570万台の車に導入されています。 ポケットに入れたままプッシュスタートボタンを押すだけに慣れてしまうと、従来のカギタイプだと面倒になってしまうくらいです。 しかしそんな便利なスマート気を狙った車盗難方法「リレーアタック」があるのご存知ですか? スマート気が持つ弱点利用した車盗難のやり方で、近年この方法を利用した犯罪が増えているので注意が必要です! 今回はリレーアタックの仕組みや対策方法についてお伝えします!
仮想通貨の入出金停止に関するご報告、及び弊社対応について
弊社が運営する仮想通貨取引所Zaifで現在発生している仮想通貨の入出金停止に関して、これまでの経緯と今後の対応について以下の通りご報告いたします。 報道関係者各位 弊社が運営する仮想通貨取引所Zaifで現在発生している仮想通貨の入出金停止に関して、これまでの経緯と今後の対応について以下の通りご報告いたします。 1.はじめに 平成30年9月14日頃以降、弊社サービスにおいて、仮想通貨の入出金等の一部のサービスが稼働しておらず、お客様には大変なご迷惑をおかけしております。 弊社における調査の結果、入出金用ホットウォレットの一部が外部からの不正アクセスによりハッキング被害を受け、弊社が管理する仮想通貨のうちの一部が外部に不正流出させられたことが判明しました。 このような事態は、弊社を信頼して大切な資産をお預けになられている全てのお客様の信頼を裏切る結果となり、伏してお詫び申し上げる次第です。 当
情報セキュリティ技術動向調査(2010 年上期):IPA 独立行政法人 情報処理推進機構
現在利用されている公開鍵暗号のほとんどはRSA暗号方式であると言っても過言ではないが、標準化がされている公開鍵暗号の方式は他にも存在する。特に楕円曲線暗号(ECC)は同レベルの強度を持つRSA暗号と比較して鍵長が短いことに加え処理の速さも特徴となっていることからポストRSA暗号として注目を浴びている。 ECCは単一の暗号アルゴリズムではなく、楕円曲線上の離散対数問題を安全性の根拠とする暗号方式の総称である。そこには、楕円曲線上でDiffie-Hellman(DH)鍵共有を行うECDHや楕円曲線上でDigital Signature Algorithm(DSA)を実現するECDSA、楕円曲線上でMenezes-Qu-Vanstone(MQV)方式を実現するECMQVなどが含まれる。 2005年、米国国家安全保障局(NSA)は機密情報の保護のために用いる暗号アルゴリズムのリストであるSuite
Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因
Joomla!にコード実行脆弱性(CVE-2015-8562)があり、パッチ公開前から攻撃が観測されていたと話題になっています。 Joomlaに深刻な脆弱性、パッチ公開2日前から攻撃横行 「Joomla!」に再び深刻な脆弱性、3.4.6への速やかなアップデートを推奨 パッチ公開の前に攻撃が始まる状態を「ゼロデイ脆弱性」と言いますが、それでは、この脆弱性のメカニズムはどんなものだろうかと思い、調べてみました。 結論から言えば、この問題はJoomla!側に重大な脆弱性はなく、PHPの既知の脆弱性(CVE-2015-6835)が原因でしたので報告します。 exploitを調べてみる 既にこの問題のexploitは公開されていますが、悪い子が真似するといけないのでURL等は割愛します。以下のページでは攻撃の原理が説明されています。 Vulnerability Details: Joomla! Re
パンドラの箱?TLS鍵交換の落とし穴、KCI攻撃とは何か - ぼちぼち日記
1. 初参加のセキュリティキャンプ 先週ですが、講師としてセキュリティキャンプに初めて参加しました。 担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。ありがとうございました。 講義では、学生の方々が短い時間ながら難しい演習に真面目に取り組んでくれました。質疑なども皆受け答えがしっかりしていて、技術的にもレベルが高い回答も多く、非常に驚きました。これだけ優秀な10代、20代の若者が、全国各地から毎年50人も集まるのを実際に見ると、彼らの将来が楽しみです。これまで10年以上継続してこのような活動を続けきた成果でしょう。私自身、とても良い経験をさせていただき
AWS Solutions Architect ブログ
お知らせ: 本ブログ記事でも紹介されているホワイトペーパー"AWS Best Practice for DDoS Resiliency"の日本語訳が公開されました。こちらよりダウンロードできますので是非ご参照ください。 分散型サービス妨害攻撃(DDoS)はネットワークや、システム、アプリケーションを、それらが処理できる以上のトラフィックやコネクション、リクエストにより溢れさせる企てとして有害な攻撃者により時折用いられるものです。 当然のことながら、お客様はしばしばこの種の攻撃から私達がどのようにお客様のアプリケーションを守ることを支援できるのか尋ねられます。 お客様の可用性を最大化する支援をするため、AWSはDDoS対策アーキテクチャーを構築するためにAWSのスケールを活用できるようにするベストプラクティスを提供しています。 これらのベストプラクティスは"AWS Best Practice
OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記
TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアがgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア
年金情報漏洩より遥かに深刻? 連邦職員情報「1800万件」流出に揺れる米国 (前編) - THE ZERO/ONE
日本年金機構の個人情報流出事件以降、日本政府が蜂の巣をつついたような騒ぎとなっているのと同様に、米国でも連邦政府職員の情報を管理しているOPM(Office of Personnel Management 連邦人事管理局)が大規模なサイバー攻撃を受け、1800万件とも言われる個人情報が流出したことが大きな騒ぎに発展している。このインシデントは北米で繰り返し報じられており、そのたびに新たな情報や新たな憶測が生まれている。そのうえ数多くの政府機関が関与しているためか、どんどん話が複雑になっているので、本稿では一連の流れを整理してみたい。 当初の発表では「400万件の漏洩」 6月4日、このインシデントを報告したホワイトハウスは、今回のサイバー攻撃によって危機に晒されたと考えられる元職員・現職員の個人情報は「少なくとも約400万件」になると発表した。狙われた個人情報は、職員たちの社会保障番号(SS
GHOST脆弱性を用いてPHPをクラッシュできることを確認した
GHOST脆弱性について、コード実行の影響を受けるソフトウェアとしてEximが知られていますが、PHPにもgethostbynameという関数があり、libcのgethostbyname関数をパラメータ未チェックのまま呼んでいます。そこで、PHPのgethostbynameを用いることでPHPをクラッシュできる場合があるのではないかと考えました。 試行錯誤的に調べた結果、以下のスクリプトでPHPをクラッシュできることを確認しています。CentOS6(32bit/64bitとも)、Ubuntu12.04LTS(32bit/64bitとも)のパッケージとして導入したPHPにて確認しましたが、phpallで確認した限りPHP 4.0.2以降のすべてのバージョンのPHPで再現するようです。なぜかPHP 4.0.0と4.0.1では再現しませんでした。 <?php gethostbyname(str_
Xbox Liveはほぼ復旧、「キム・ドットコム氏との取引で2社への攻撃を終了した」とハッカー集団
米国時間の12月25日からダウンしていた米Microsoftの「Xbox Live」が、26日未明ごろから復旧し、本稿執筆現在、コンテンツの購入以外のサービスはほぼ正常に動作している。 Xbox Liveと同じタイミングでダウンしていたソニーの「PlayStationNetwork」(PSN)はまだ断続的に利用できない状態だ。 Microsoftとソニーからはこの障害についての公式な発表はまだない。 障害発生の際、犯行声明をツイートした「Lizard Squad」を名乗るハッカー集団は、25日の午後4時ごろ、「約2時間前に攻撃を中止した。現在のダウンタイムはただの余波だ」とツイートした。 Lizard Squadは、攻撃を終了したのはMEGAUPLOADの創業者、キム・ドットコム氏との取引成立によるものと説明した。 Xbox Liveでゲームの「Destiny」をプレイしたいというドットコ
PHPカンファレンス2014セキュリティ対談資料
2. 自己紹介 •氏名:大垣靖男 •エレクトロニック・サービス・イニシアティブ有限会社代表取 締役社長 •社団法人PHP技術者認定機構顧問理事 •その他–BOSSCONJAPANPHPセキュリティアライアンスCTO、 PostgreSQLユーザー会、PHPプロジェクトコミッター、岡山大 学大学院非常勤講師など •著作:はじめてのPHP言語プログラミング、PHPポケット リファレンス、Webアプリセキュリティ対策入門など •Twitter/Facebook:yohgaki •メール:yohgaki@ohgaki.net •ブログ:http://blog.ohgaki.net/ 2014/10/11 PHPカンファレンス2014 2
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
ImperialViolet - POODLE attacks on SSLv3
My colleague, Bodo Möller, in collaboration with Thai Duong and Krzysztof Kotowicz (also Googlers), just posted details about a padding oracle attack against CBC-mode ciphers in SSLv3. This attack, called POODLE, is similar to the BEAST attack and also allows a network attacker to extract the plaintext of targeted parts of an SSL connection, usually cookie data. Unlike the BEAST attack, it doesn't
WordPressに仕込まれたマルウェアのコードが恐ろしすぎた
『Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース
TCP 10000番ポートへのスキャンの増加に関する注意喚起 / JPCERT-AT-2014-0038 JPCERT/CC 2014-10-10
各位 JPCERT-AT-2014-0038 JPCERT/CC 2014-10-10 <<< JPCERT/CC Alert 2014-10-10 >>> TCP 10000番ポートへのスキャンの増加に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140038.html I. 概要 JPCERT/CC では、TCP 10000番ポートへのスキャンが 2014年9月下旬より増加 していることを、インターネット定点観測システム (以下、TSUBAME) *1 にお いて確認しています。 TCP 10000番ポートは、ウェブベースのシステム管理ツールである Webmin の 標準ポートとして利用されることが多く、開発者によると Webmin は先日公開 された GNU bash の脆弱性の影響を受けるとのことです。 Changes since Webmi
OWASP ZAP | OWASP Foundation
The OWASP® Foundation works to improve the security of software through its community-led open source software projects, hundreds of chapters worldwide, tens of thousands of members, and by hosting local and global conferences. Project Information Flagship Project Classification Tool Audience Breaker Builder Downloads Download OWASP ZAP! Questionnaire Please help us to make ZAP even better for you
OWASP Japan | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept OWASP Japanチャプターのホームページへようこそ。 OWASP - Open Worldwide Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。The OWASP Foundationは、NPO団体として全世界のOWASPの活動を支えています。 OWASP Japanチャプターは、首都圏のみならず、国内全域における
OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Who is the OWASP® Foundation? The Open Worldwide Application Security Project® (OWASP) is a nonprofit foundation that works to improve the security of software. Through community-led open-source software projects, hundreds of local chapters worldwide, tens of thousands of members, a
Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
Browse by time: December 2018 (1) December 2016 (1) December 2015 (1) January 2015 (1) September 2014 (2) July 2014 (2) April 2014 (1) February 2014 (1) January 2014 (3) December 2013 (2) September 2013 (3) June 2013 (1) May 2013 (1) April 2013 (1) March 2013 (2) February 2013 (5) やっと更新する気になった。 もくじ 0. 産業で説明 1. 理論編 2. 攻撃編 3. パッチ 4. 結論 0. 産業で説明 bashが アホで 地球がヤバイ 1. 理論編 bashの関数機能は、環境変数の中でも使える仕様になっています
Bash specially-crafted environment variables code injection attack
This article was originally published on the Red Hat Customer Portal. The information may no longer be current. Update 2014-09-30 19:30 UTC Questions have arisen around whether Red Hat products are vulnerable to CVE-2014-6277 and CVE-2014-6278. We have determined that RHSA-2014:1306, RHSA-2014:1311, and RHSA-2014:1312 successfully mitigate the vulnerability and no additional actions need to be ta
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
