2014-02-24
不正ログイン防止のため、パスワードと登録情報のご確認をお願いします 弊社自身の調査により、はてなのサービスに対して外部から不正なログインが行われた可能性があることが判明しました。 ただし、弊社サーバーへの侵入によるアカウント情報の流出や、パスワードを機械的に推測してログインを試行するといった不審な行動は確認されておらず、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された可能性が高いと考えています。 そこで、他社サービスと同一のID(メールアドレスまたはユーザー名)およびパスワードを使用しているユーザー様は、安全のため登録メールアドレスがご自身のものであるかを確認の上、早急にパスワードを変更してください。 それ以外のユーザー様も、下記にあるように登録情報等をご確認の上、より安全なパスワードと、正しく有効なメールアドレスを設定いただけるようお願い
入力情報を送信するIME
2013/12/26 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 入力情報を送信するIME IMEの通信解析で利用されたSSLの解析技術に関して NHKなどで報道されている、パソコン用の日本語入力ソフトBaidu IME、 Android用の日本語入力ソフト Simejiの送信データを解析した件に関して詳細をご説明します。 検証解析環境 <SSLによる暗号化通信を解析できる環境> 解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました。 Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。 クラウド入力Offの場合でも入力文字列を送信していました。 パスワードなど半角入力のみ
Capy CAPTCHAは一瞬で突破できる - 素人がプログラミングを勉強していたブログ
Capy CAPTCHA 早速、実証コードが(CAPY IS A VERY READABLE CAPTCHA)出たようだ。このように一瞬で突破されてしまい意味がない。 さきほどインターネットを見ていたらスパム防止用の「読みづらい画像認証」に、日本人が終止符を打った技術が斬新過ぎる!経由で、Capy - 低コストで導入も簡単な不正ログイン対策という、パズルを使った新しい新しくないCAPTCHAを知った。 コンテストに優勝するなど肯定的な反応が多いので、この記事では、このCAPTCHAのセキュリティ上の問題点について簡単に書いておこうと思う。 まず、Capy - デモにデモが乗っているので、タイプ別に問題点を示す。 パズルタイプの破り方 ジグソーパズルの空白を埋めるタイプのCAPTCHAである。話にならない。 まず、縦横が5pxごとに吸い付くようになっているので、縦横400px*300pxだと
9月18日に関連したサイバー攻撃に関しての注意喚起 | セキュリティ対策のラック
2013年09月25日更新 多くの通信機器がインターネットに接続され私たちの生活を便利で豊かにしてくれる一方で、国や企業等の組織に対する抗議行動の一つとして、インターネットに接続された対象組織が運営するサービスに対して、様々な攻撃行為が行われていることは皆様ご存じのとおりです。 例年9月18日前後に、このような攻撃行為が増加する傾向にあります。 攻撃件数の増加について(2012年9月18日発表、2012年9月24日更新) https://www.lac.co.jp/lacwatch/alert/20120918_000158.html 9月18日は、満州事変の発端となった事件が発生した日で、抗議活動を扇動する人がネット上の掲示板などに抗議活動に関する呼びかけを書き込み、それに呼応した人々によってサイバー攻撃が行われるといわれています。これにより、攻撃を受けたサービスの運営が停止したり、企業
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
いまさら聞けないパスワードの取り扱い方
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解するshigeki_ohtsu
ssig33.com - 機密情報をどうやりとりすればよいか
機密にGmail使うなって言ってんだろ: やまもといちろうBLOG(ブログ) この人の話とか反応したら負けだと思うんですが、あまりにも内容が酷いと思うので。 まず Gmail が信用できないというなら何を信用しろという話になるんでしょうか。 「アメリカ法人のサービスなんだから」信用できないという話ですが、現実問題としてアメリカの諜報機関がアメリカ法人のサービスを盗聴するのは大変めんどくさい手続を踏んでいるわけです。 一方 CIA が NSA と協力して外国の会社を盗聴するとか、 CIA が日系人の工作員を日本のサービスプロバイダに潜り込ませるとか、そういうのであればアメリカ国内法の問題は一切発生しないわけです。どちらが工作員に情報を詐取されるリスクが大きいか考えるべきだと思います。 そもそも一切機密情報をメールで送るべきではありません。この点について Amazon のアプローチを参考にすべ
内部メール誰でも閲覧「グーグルグループ」利用 (読売新聞) - Yahoo!ニュース
インターネット上でメールを共有できる米グーグルの無料サービス「グーグルグループ」で、個人情報や中央官庁の内部情報など少なくとも6000件以上が、誰でも閲覧できる状態になっていることが分かった。 確認できただけで4省庁の職員が業務に関するメールを公開しており、このうち環境省の幹部らは、今年1月に合意された国際条約の交渉過程を流出させていた。他国との会談内容も明かしており、同省は「セキュリティー意識が甘かった」としている。 グーグルグループは、登録者の間で同時にメールを配信できるサービス。ただ、初期設定のままだと閲覧制限がかからないため、気づかないまま情報を誰でも見られる状態にしているケースが多いとみられる。 読売新聞が調べたところ、全国の七つの医療機関や介護施設のメールで300人以上の病状が掲載されたカルテなどが公開状態になっていた。このほか、高校生の健康診断や中学生の家庭環境、政党の
FAQ:2要素認証について知っておくべきこと--Twitterなど大手サービスで進む不正アクセス対策
2要素認証(2FAと略されることが多い)によって、ユーザーの基本的なログイン手続きの手順が1つ増える。2FAがない場合は、ユーザー名とパスワードを入力するだけでログインは完了だ。パスワードは単一要素認証である。2つめの要素を追加することで、理論上はアカウントのセキュリティが強化される。 「Twitterは(2つめの要素を追加するために)SMSを利用する決定を下した。同社の立場からは、そうすることが理にかなっているからだ」。Duo Securityの最高技術責任者(CTO)であるJon Oberheide氏はこのように述べた。Duo Securityは身元の証明にアプリを利用している。SMSには「あらゆる場所で使われているという側面がある。必要なのは携帯電話だけだ」(Oberheide氏) しかし同氏は、非常に大きな注目を集めたTwitterハッキングの多くは法人のTwitterアカウントを
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
JAXA|JAXAにおけるコンピュータウィルス感染に関する調査結果について
昨年11月30日にお知らせしました、当機構職員の端末がコンピュータウィルスに感染した事案に関して、その後、専門調査会社の協力を得て行った調査の結果についてお知らせいたします。 (1)コンピュータウィルスに感染した1台の端末(以下、「当該端末」という。)以外の端末へのウィルス感染はないことを確認しました。 (2)当該端末へのウィルス感染は平成23年3月17日に発生しました。同年3月15日に送付された「なりすましメール」が感染原因でした。 (3)当該端末から外部の不正サイトへの通信は、平成23年3月17日から平成24年11月21日まで行われていました。通信量及び通信内容は不明ですが、当該端末内の情報が外部に漏洩した可能性は否定できません。 (4)当該端末に保存されていた全てのファイルの詳細な調査を行い、仮に外部に漏洩していたとしても当機構の事業の円滑な遂行に支障がないことを確認しました。 (5
冨田疑研活動報告: ノートン先生,20万円のファイルを華麗かつ豪快に消しさる!
202312 « 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 » 202402 ( ゚д゚) ( ゚д゚ ) ∑( ゚д゚ )ハッ!! ノ ォ ト ォ ォ ォ ォ ォ ン ! ! ! ! ! ! わからない方にいっておくと,MATLABとはアカデミック割引でも20万円する数値解析ソフトウェア. 一般正規品で70万円くらい. そんなドヤ顔で「危険なので勝手に削除しておいたよ(はぁと)」とかいわれてもなあ. 今回何故気づいたかといえば,最新版のノートン先生は「月単位レポート」とかいって一ヶ月単位で活動の履歴を表示してくれるようになったのです.そこの検疫項目に「削除しました!」っていう項目が随分と並んでいるので履歴を確認してみてびっくりなのでした.しかも,Auto Prot
SSLサーバ証明書No.1のグローバルサインに訊く 「認証局としての歩み」と「不正アクセス疑惑への対応」 - はてなニュース
Webをブラウズしていると、アドレスバーの左端が緑色に輝くことがあります。SSLでセキュアな通信をしている印です。これを保証するのが、通信先サーバに置かれたSSLサーバ証明書。グローバルサインは、通常かなり手間のかかるSSLサーバ証明書の取得において、「クイック認証SSL」「スキップ申込サービス」「ワンクリックSSL」など利便性の高いサービスを提供し、日本国内のSSLサーバ証明書市場においてルート認証局別シェアでNo.1を獲得しました。グローバルサインが「1位」の座を獲得するまでの歩み、そして今後について、セキュリティコンサルタントの上野宣さんが訊きました。 ▽ SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社) (※この記事はGMOグローバルサイン株式会社によるPR記事です) SSLサーバ証明書とは SSLサーバ証明書は、「通信データの暗号化」と「通信相手の認証」とい
クレディセゾン ネット閲覧情報収集停止 NHKニュース
大手カード会社のクレディセゾンは、パソコンに「ツールバー」と呼ばれる仕組みを導入した利用者から、インターネットの閲覧履歴などの情報を収集していましたが、利用者に対する説明が不十分だったとしてサービスを停止し、収集した情報を削除することになりました。 大手カード会社のクレディセゾンは、去年4月から、インターネットの検索などが簡単にできる「ツールバー」と呼ばれる仕組みを導入した利用者に対して、商品と交換できるポイントを提供するのと引き換えに、インターネットのどのようなサイトをいつ閲覧したかなどの情報を収集していました。こうした情報は、クレディセゾンのほか、韓国の大手IT企業にも提供されていましたが、クレディセゾンは、情報の収集についての利用者に対する説明が不十分だったとして、5日、サービスを停止するとともに、これまで収集した情報をすべて削除すると発表しました。 これについて、クレディセゾンは「
iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
個人情報の不正な保管と流出の可能性に関するお詫びとお知らせ|カルピス株式会社
平素は弊社製品に格別のご愛顧を賜りありがたく、厚く御礼申し上げます。 さて、2009年8月から10月にかけて弊社が実施いたしました「’09年秋のHAPPY REFRESH キャンペーン」(注)にご参加いただきましたお客様の個人情報95,689件が、2012年2月3日(金)から7月5日(木)までの約5カ月間、インターネット上で検索可能なサーバーに置かれていたことが判明いたしました。なお、弊社では、判明した当日のうちにサーバーから一切の個人情報を削除し、現在はインターネット上で閲覧できないことを確認しております。 このような事態を発生させ、キャンペーンにご参加いただいたお客様ならびに関係者の皆様には、多大なご迷惑とご心配をお掛けいたしますことを、深くお詫び申し上げます。 1.経緯 2012年7月5日(木)に、「’09年秋のHAPPY REFRESH キャンペーン」にご参加いただいたお客様
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本のSNS利用者は知らない人とつながりすぎ、リスキーだとシマンテック懸念 
九州大:「数万年要する」暗号解読 2週間で成功- 毎日jp(毎日新聞)
“遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感? 
ドコモのspモード設定にトラブル、他人のメアドが変更可能な状態