Androidの乱数生成機能の問題、36万以上のアプリに影響する恐れ
Bitcoin Walletが突破される恐れのある問題についてシマンテックは、この問題が30万以上のAndroidアプリに影響を及ぼすだろうと警鐘を鳴らしている。 オープンソースの仮想通貨「Bitcoin」のWalletアプリに関する問題について、米Symantecは8月14日、この問題を引き起こす原因となったAndroid OSの乱数生成機能の脆弱性が36万以上のアプリに影響を及ぼす可能性があると報告した。 同社によるとBitcoin Walletの問題では、Walletアプリの一部は、Androidに実装されているSecureRandomクラスを用い、同じ乱数を使って複数のトランザクションに署名をしていた。トランザクションはBitcoinネットワークに公開されるため、攻撃者がトランザクションのブロックチェーンをスキャンしてトランザクションを探せば、所有者の同意を得ずにBitcoin W
警察庁がTorの遮断を要請するという報道について - yet2come's diary
まず、事実として 警察庁がISPに対してTorのブロックを要請する、というのは英文記事への翻訳ミスによる誤報です 翻訳ミスがあった英文記事については4/23夜に修正されています 4/18に警察庁の有識者会議*1がまとめたとされる報告書は4/23現在公開されていません 4/18に毎日新聞(毎日.jp)から「警察庁有識者会議:ネット管理者が通信遮断を 匿名悪用で」という報道がありました。(記事タイトルについては4/23夜に「ネット管理者が」から「サイト管理者が」に修正されています)私の所属するインターネット関連事業者団体にも問い合わせがあったようで一時話題になったのですが、その時はむしろその実効性についての意見交換が主でした。日本語の記事はちゃんと読めばあくまで対象は「サイト管理者」ということだったので、それ以上の詳細については警察庁からの連絡(もしくは最終報告書の公開)がないとわからないよね
スマートフォンを利用している方へ:警視庁
最近、スマートフォンを利用する人が増えています。 便利なスマートフォンですが、携帯電話と同じ感覚で使用していると、思わぬトラブルに巻き込まれる可能性もあります。 スマートフォンは携帯電話とは異なり、パソコンに電話機能が付いたものと考えてください。このため、パソコンと同様のセキュリティ対策が必要です。 スマートフォンを標的としたウイルスも発見されており、被害にあわないためにも、スマートフォンが抱えている問題点をしっかりと把握し、適切な対策を行うことが大切です。 【保護者の方へ】 お子さんがスマートフォンを使用する場合は、本当に必要なのか、その必要性をよく考えてください。 また、利用する際には必ずフィルタリングを設定しましょう。スマートフォンの場合は携帯電話と異なり、Wi-Fi(無線LAN)経由のアクセスでもフィルタリングが動作するよう、保護者自身が適切な設定を行う必要があります。 ※フィル
Amon2とJSONとセキュリティ - tokuhirom's blog
[1]http://d.hatena.ne.jp/ockeghem/20110907/p1[2]http://www.atmarkit.co.jp/fcoding/articles/webapp/05/webapp05a.html[3] http://msdn.microsoft.com/ja-jp/asp.net/ff713315[4] http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross-site_including.phpあたりをよんで、JSON とセキュリティについてかんがえてみた。 ここで、有効とされている対策のうち while(1); を先頭に付与するPOST ですべて処理するといったあたりは、RESTful でないし、BK 感がひどいというか本質的ではないのでできるだけやりたくない。 また、Amon2 では互換
ブラウザにファイルをドロップしてはいけない - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
早くもやってきた「PC管理不良罪」の未来 - novtan別館
たぶん、ウイルス作者の歪んだ正義感は、こうやって明るい監視社会を作るのに役だっています! 「パケット警察」は、近頃日本において遠隔操作ウイルスにより知らない間にパソコンが踏み台にされ、かつ警察により誤認逮捕される方が発生する事件が頻発しインターネットユーザーの間で大変な不安が発生していることを鑑み、これらのユーザーの方々の不安を解消するとともに今後同様の事件が発生した場合において被害を受けた方が自己の無実を証明し真犯人を追跡するための重要な証拠として利用できるツールとして、ソフトイーサが緊急に開発してリリースするソフトウェアです。 報道発表資料 - 「パケット警察 for Windows」を開発しフリーウェアとして緊急リリース さすが、ソフトイーサの作者、多分冤罪発覚直後に作り始めたくらいでしょうか。 コレ自身はまあ素晴らしいと言っても過言ではないかなというものなんだろうと推測しますが(ネ
報道発表資料 - 「パケット警察 for Windows」を開発しフリーウェアとして緊急リリース
2012 年 10 月 22 日 (月) ソフトイーサ株式会社 技術開発部 (茨城県つくば市) 遠隔操作ウイルスによる冤罪防止のための通信記録・プロセス起動記録ソフト 「パケット警察 for Windows」を開発しフリーウェアとして緊急リリース 筑波大学発ベンチャー企業である ソフトイーサ株式会社 (代表取締役 登 大遊 / 本店所在地 茨城県つくば市、以下「ソフトイーサ」といいます) は、新たに「パケット警察」という名称の、遠隔操作ウイルスによる冤罪防止のための通信記録・プロセス起動記録ソフトを開発しました。「パケット警察」は本日よりフリーウェアとして無償でダウンロード可能です。 「パケット警察」は、近頃日本において遠隔操作ウイルスにより知らない間にパソコンが踏み台にされ、かつ警察により誤認逮捕される方が発生する事件が頻発しインターネットユーザーの間で大変な不安が発生していることを鑑み
弁護士 “戦慄を禁じえない” NHKニュース
遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で逮捕・起訴されたあと釈放された大阪の男性について、大阪地方検察庁は19日、男性の起訴を取り消しました。 これについて男性の弁護士は「逮捕前から一貫して捜査に協力し、関与を否認していたのに、捜査機関は安易に身柄を拘束したうえ、言い分を聞くことなくうその自白を誘発するような取り調べを行った。男性はこうした捜査で著しい精神的、経済的な打撃を受け、強い憤りを覚えており、今も全く納得できない。また、真犯人に対しては大きな憤りを感じている。誰しもがこのような事件の標的にされる可能性があり、弁護士としても戦慄を禁じえない」というコメントを出しました。 また、一連の事件で、三重県警察本部は、逮捕したあと釈放した津市の28歳の男性に男性に対し誤認逮捕を認めて謝罪しました。 謝罪を受けた男性の母親は自宅前で「警察から謝罪を受けました。これ以上は
時事ドットコム:プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作
プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作 プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、このウイルスは主にプログラム開発者らが使用する高価な専門ツールで作成された可能性があることが18日、専門家らへの取材で分かった。 ウイルス作成者のパソコン本体に証拠が残らないようにした痕跡があったことも判明。警視庁捜査1課などは日常的にプログラムを開発する人物がウイルスを作った可能性が高いとみて、特定を急ぐ。 このウイルスを入手、解析した情報セキュリティー会社「ラック」(東京都千代田区)の西本逸郎専務理事によると、ウイルスは「VisualStudio2010」というソフト開発ツールを使って作成されていた。数万円から数十万円以上する専門的なソフトで、素人が購入することは考
警察幹部「ネット規制が甘いからこういう犯罪が起きた」 : 暇人\(^o^)/速報
警察幹部「ネット規制が甘いからこういう犯罪が起きた」 Tweet 1: スノーシュー(東京都)::2012/10/19(金) 00:46:36.11 ID:WN4sIibW0 「先進国の中でみても、日本はネット犯罪の法規制など対策が圧倒的に遅れている。 『通信の自由』は保障されるべきだが、それを『錦の御旗』のように掲げて法規制を骨抜きにしようとする官僚が政府部内にいるのでは、話にならない」 ネット規制の法制化にかかわった経験のある警察関係者は、こう語気を強める。 これは、インターネットを「省益」ととらえて、ネット対策の主導権をやみくもに握ろうとする一部省庁を揶揄した言葉だ。 こうした動きが、結果的に対策を遅らせているという。 米国のネット犯罪事情に詳しい警察OBは「米国は国家戦略として、大手コンピューターソフト会社と組んで、ネット社会を取り締まっている。どんなソフトにも、開発者にしかわから
TechCrunch | Startup and Technology News
As a teen model, Katrin Kaurov became financially independent at a young age. Aleksandra Medina, whom she met at NYU Abu Dhabi, also learned to manage money early on. The…
「カレログ」、川端総務相が問題点検討を表明
カレログについて川端総務相が言及。個人情報保護の観点から「しっかり研究したい」と述べ、総務省が問題点を検討する方針を明らかにした。 Androidアプリ「カレログ」について、川端達夫総務相は9月13日の閣議後の記者会見で、「同じようなことが当然起こりうるので、一度しっかり研究したい」と述べ、総務省が個人情報保護の観点から問題点を検討する方針を明らかにした。 カレログは、インストールしたスマートフォンの持ち主の位置情報や通話履歴、バッテリー情報をPCで確認できるようにするアプリ。犯罪に悪用される危険性やプライバシー保護上の問題点が指摘され、セキュリティ対策ソフト会社のMcAfeeが「スパイウェア」と認定していた(改善されたバージョンについては認定を留保)。 川端総務相は「本人の同意が明確にあるということをどう担保できるのかということが一番の要点だ。サービス改善の中で検討しているようなので、様
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。 TLS認証プロセスの脆弱性
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
MS:「VistaのUACはユーザーをいらいらさせるために搭載した」:ニュース - CNET Japan
サンフランシスコ発--Microsoftの製品ユニットマネージャーを務めるDavid Cross氏によると、「Windows Vista」のユーザーアカウント制御(UAC)は、故意にユーザーを「いらいらさせ」、サードパーティのソフトウェアメーカーにセキュリティの高いアプリケーションを作るよう圧力をかけるために設計されたのだという。 Cross氏は、UACの設計に責任を持つグループプログラムマネージャーを務めていた。UACが有効になっている場合、管理者アカウントではなく標準ユーザーアカウントでVistaを使用するよう求められ、プログラムをインストールしようとすると警告が表示される。 Cross氏は米国時間4月10日、サンフランシスコで開催された情報セキュリティイベント「RSA Conference 2008」で次のように語った。「(Vistaに)UACを搭載したのはユーザーをいらいらさせるた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに ~早急な対策が望まれるオープンリゾルバーDNS問題
武雄市樋渡市長突撃奮闘記
http://japan.internet.com/webtech/20130207/2.html
“遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感? 
asahi.com(朝日新聞社):サイバー攻撃の「指示役」に日本のコンピューター8台も - 社会