岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について。 当事者からの報告とそれに関連した高木先生などのつぶやきをまとめています。不完全かつ進行中です。

日本のファストファッションを代表するブランド「ユニクロ」が、先日より行っている「UNIQLO LUCKY LINE」キャンペーン。一部でTwitterのパスワードが漏えいしている可能性があると指摘されていましたが、本日、この疑惑についてユニクロが言及、ウワサを否定しました。 ▽UNIQLO LUCKY LINEに関するお知らせ - UNIQLO ユニクロ TwitterIDとパスワードを入力することで、バーチャルの行列に並ぶことができる「UNIQLO LUCKY LINE」。「ユニクロ誕生感謝祭」のキャンペーンの一環として公開されており、並んだ他のユーザーとのコミュニケーションがはかれるほか、オンラインクーポンなどが当たるそうです。しかし公開当初より「パスワードを保存している」「パスワードが漏えいしている」といった情報がTwitter上で飛び交っており、議論の対象となっていました。 これに

平素はユニクロをご愛顧いただき誠にありがとうございます。 ５月２４日よりご提供させていただいているUNIQLO LUCKY LINEに関しまして、当コンテンツが皆さまのTwitterパスワードを保存している、また、そのパスワードが漏洩している、という情報がインターネット上に流れておりますが、そのような事実はございません。 当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。 また、パスワードが載っているテキストファイルが公開されているとの情報がインターネット上に流れておりますが、UNIQLO LUCKY LINE上の行列を表示するための公開情報（コンテンツ上に表示されるTwitter ID・名前・アイコン画像パス・ツイー

みなさ～ん、そのウェブカム...大丈夫？ 誰かに遠隔操作で見られてませんか？ というのも、今アメリカのとある高校で全生徒に支給したMacBook内蔵カメラを学校側が遠隔操作して、そこを鍵穴のように生徒の自宅の様子を監視・盗撮していた疑惑が浮上して大問題になっているんですよ。 問題の学区は、ペンシルバニア州フィラデルフィア市の富裕層が住むLower Merion学区（LMSD）。帰宅後も一緒に勉強できるよう、ウェブカメラ内蔵のMacBookを所轄の2つの高校に通う在校生2300人全員に支給しています。どんだけお金持ちなんでしょう。 そこまではいいんですが、昨年11月、在校生のブレイク・ロビンス（Blake Robbins）君が｢自宅で良からぬことをしている｣と教頭に叱られたんですね。なんで知ってるんだろう？ といぶかしく思ったら、なんと証拠の写真が教頭の手元にあるではあ～りませんか！ そうで

パスワードを忘れたお客様には、新規に発行するのが昔からの伝統だな。 忘れた人に答えられると言うことは、システム側で平文で保存していると言うことをお客様に伝えているので都合が悪い。 逆に、その会社のセキュリティを調べるために真っ先にするのは、パスワードを忘れた振りをして復元するだ。 それで平文が帰ってきた場合、セキュリティがザルだと思って良い。 そもそも、本人を偽られた場合（ソーシャルハッキングをされた場合に）個人情報であるパスワードを教えた責任は、騙されたでは済まない。 教えないで、新規にランダムパスワードを設定すれば十分。にもかかわらず、元のパスワードを教えろと言ってきた場合、それは、犯罪に関わっている可能性が高いと判断して問題ない。 そういう意味では、忘れた場合に自分が設定したパスワードが平文で帰ってくるサービスはセキュリティがザルなので、使い捨てパスワードを設定しない利用者も悪いとい

PCWeek: Hackers Show It's Easy to Snoop on a GSM Call PCWorld: GSM Encryption Cracked, Showing Its Age BBC: Secret mobile phone codes cracked 日本では使われていない(が、世界では主流に近い)携帯電話通話方式のGSMに使われている暗号が解かれた模様。 この手の研究は多くの国で違法らしい。米国では電話盗聴技術の議論すらご法度なんだとさ。 が、弁護士の指導の元、違法とならないように研究したKarsten Nohl氏は、GSM通話に使われている暗号の解読に成功。既に2TBに及ぶ逆引きデータベースを用意したらしい。 現時点ではリアルタイム盗聴に必要なハードは３万ドル。 ムーア法則によれば、再来年には半額になる（笑 さてさて...GSM網に依存している国々はどう

Microsoftの勧告に従って特定のファイルやフォルダをスキャン対象から外せば、重大な結果をもたらすこともあり得るとTrend Microは警告する。 米Microsoftがコンピュータのパフォーマンスへの影響を理由に、特定のファイルとフォルダをウイルス対策ソフトのスキャン対象外とするよう勧告したことに対し、Trend Microが12月21日のブログで懸念を表明している。 Microsoftは技術文書で、特定のファイルとフォルダを指定してウイルス対策ソフトでスキャンしないように促した。これらファイルに感染の危険はなく、スキャンすればパフォーマンス上での深刻な影響が出る可能性があるとしている。 Trend Microにはこれについてユーザーから問い合わせがあり、調べた結果、確かにWindows Updateと一部のGroup Policy関連ファイルをスキャンの対象から外すのは、システム

サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは！！」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん！」という投稿だった。

Amebaのセキュリティ対策について｜スタッフブログアメブロまわりを数分程度ざざっと眺めただけでも、 いたるところでCSRFの対策が入ってないようなんだけど、 この規模のサービスなら、いちおうそれなりにやっておいた方が…。 たぶん現状だと脆弱性をひとつひとつどこかに報告するとかっていうレベルじゃないです…。 (これらをセキュリティホールと呼ぶのか仕様と呼ぶのかは知らないけど…) [» この日記のブックマークコメントを見る/書く ]

いつもAmebaをご利用いただきまして、ありがとうございます。 一部の皆様より質問いただきました、弊社サービスのセキュリティ対応について、 ご報告いたします。 弊社では新規サービスの開発時はリリース前に、 既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。 調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や 破壊につながる可能性がある部分については即時の対応を、 それ以外の部分については一定期間内での対応実施を徹底して参りました。 現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、 緊急対応を行っております。 ご迷惑をおかけいたしますが、ご理解いただきますよう、お願いいたします。

前の日記にも書いたけれど、 ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、 ちょっとだけ調べてみたよ。 (参考) [ほまち]　gooブログ検索 ぼくのIDって「hamachiya2」なんだけど、それとすごくよく似たIDを誰かが取得して、そのIDのプロフィールページに変なコードが仕掛けられてあったみたい。 ざざっと調べた感じだと、下の４つのIDを確認したよ。 homatiya2 (ほまちや２) [プロフィールの魚拓] [画面キャプチャ] homachiya2 (ほまちや２) [プロフィールの魚拓] [画面キャプチャ] hamatiya2 (はまtiや２) [プロフィールの魚拓] [画面キャプチャ] hamachya2 (ぼくはまちちゃん！こんにちは…) ※綴りに「i」がない [プロフィールの魚拓] [画面キャプチャ] いずれもプロフィールページに「 http://bit.