問:下記のどちらが強力なパスワードですか? という問題が出たようだ(しんやさんツイート、Togetter)。 1.「w6!j38?pa7J」 2.「CanYouCelebrate?」
問:下記のどちらが強力なパスワードですか? という問題が出たようだ(しんやさんツイート、Togetter)。 1.「w6!j38?pa7J」 2.「CanYouCelebrate?」
英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事、 The Guardian の記事、 Ars Technica の記事)。 英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。 ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいと
headless曰く、 Microsoftが1日付で公開したサポートドキュメントによると、Microsoftアカウントが非アクティブとみなされるまでの期間が短縮されるようだ(Microsoft account activity policy、Neowin、Windows Central)。 Microsoftサービス規約(MSA)ではMicrosoftアカウントをアクティブな状態に保つようユーザーに求めており、少なくとも5年に1回はサインインしなければ非アクティブとみなされることが明記されている。非アクティブとみなされたMicrosoftアカウントはMicrosoftにより停止(削除)されることになる。なお、Outlook.comの受信トレイおよびOneDriveについては少なくとも年に1回は個別にサインインする必要がある。 一方、新しいアカウントポリシーでは、少なくとも2年に1回サインイ
当然ながら、SSL/TLS の ルート認証局(以下ルートCA)であれば、自身の証明書の秘密鍵を所持しており、内部の秘密鍵にアクセスできる人物が不正行為を行うことが可能です。 勿論、ルートCAは秘密鍵の漏えいを防ぐために多額の資金を費やしており、秘密鍵にアクセスできる人物を最小限にしていますが、大手ルートCAであっても、過去に秘密鍵を漏らしてしまったり不正な証明書を発行してしまったりしたところも存在します。 他社(ルートCA)が秘密鍵を漏らしてしまったことが原因で、アップデータが改ざんされてマルウェアがインストールされてしまったら困るという理由で、既存のルートCAを信頼せずに自社で自社専用の認証局を開設して独自のルート証明書をインストールするというのは、思想としては悪くはないと思います。プレインストールというインターネットを経由しない安全な経路でインストールできているのですから、所謂「オレオ
メールサーバ間でのTLS通信というのは勿論やらないよりはマシですが、NSAやスパイ組織などがメールを盗み見ようとした場合、メールサーバの管理者に圧力をかけたり、スパイを紛れ込ましたり、メールサーバにバックドアをしかけたりして、メールの内容を盗み見ようとするでしょうから、根本的な対策にはなりません。また、相手がメールサーバから平文のPOP3やIMAPなどでメールを受信していたら、その部分が脆弱なことには変わりないし、メールサーバの管理者がメールを盗み見ることが可能なのには変わりありません。 従って、根本的な対策として PGP や S/MIME 対応をするべきです。しかし、フリーソフトのMUAでもPGPやS/MIME対応が数多くあるというのに、いつまでたっても Android 版 Gmail クライアントは、PGP にも S/MIME にも対応する気がないようです。 きっと、メールの内容を読み
Windows 10ではSafeDiscやSecuROMといったDRM技術が採用されたゲームタイトルが動作しないことが以前話題となったが、これらはWindows Vista/7/8/8.1でも動作しなくなっているようだ(MicrosoftのKB3086255、Neowin)。 SafeDiscやSecuROMが使用するのはMacrovisionの「secdrv.sys」というセキュリティードライバーで、Windowsに標準で収録されている。しかし、Microsoftのグラフィックスコンポーネントで発見された脆弱性(MS15-097)の修正にともない、secdrvドライバーのサービスを無効化するセキュリティ更新プログラム「KB3086255」が9月の月例更新で配布されたため、SafeDiscやSecuROMを使用するゲームタイトルが動作しなくなっているとのこと。 KB3086255がインスト
大手信販会社Visaがスマホ決済事業会社に対し、4月以降磁気ストライプ用カードリーダの頒布を禁止し、10月にはすべての磁気カードリーダをICカードリーダー搭載のものに置き換えることを要求したそうだ(日経ITpro)。また、これに際しVisaはアジア太平洋地域のみに規定されていたICカードリーダーにおけるPIN(暗証番号)入力の義務化を廃止したとのこと。 これを受け、米決済サービスを提供するSquareは米国で販売しているIC対応カードリーダーを今後日本でも販売する方針だという。一方PayPalは「PayPal Here」カードリーダーの出荷を停止している。楽天は、すでにPIN入力対応のIC対応カードリーダーを販売しており、PIN入力が不要化された後も安全なPIN認証を推進していくとのこと。
パスワード管理サービス「LastPass」を運営する米LastPassのシステムが攻撃を受け、登録者の電子メールアドレスやパスワードを忘れた際の質問文、マスタ-パスワードなどが流出したと報じられている(CNN)。 LastPassは独自のクライアントをローカルPCにインストールすることで、あらかじめ登録しておいたID/パスワードなどを呼び出して自動入力できるシステム。ユーザーは最初にマスターパスワードを入力すれば、それだけでパスワードでのログインが必要なサイトに簡単にログインできる。 LastPassではクラウドによるパスワード共有機能もあるため、もし暗号化されたマスターパスワードから平文のマスターパスワードが特定されてしまった場合、登録しているすべてのパスワードが窃取されてしまうことになる。 セキュリティ対策としてサービス毎に異なるパスワードを使用するというのは知られているが、複数のパス
(前略) 4.お客様への対応 (中略) 個人情報が流出したお客様 (中略) 流出の対象となったお客様 (中略) 該当するお客様 (中略) 上記のお客様 (中略) お客様 (中略) お客様 (後略) と、ゲシュタルト崩壊するほど(なんと7回も!)、「お客様」という言葉が使われていました。最近、市区町村の役所・役場でも、「お客様」と呼ばれることが増えてきていて戦慄しておりましたが、とうとう公式の Press Release でも使われるようになってしまったんですね。 「主人(host)」と「お客様(guest)」は本来対等な関係ですが、国民主権の国家において、国民と公務員は対等ではありません。国民が政治権力の源であって、公務員はその召し使いに過ぎないのです。公務員は英語では civil servant [weblio.jp] であり、翻訳すると「市民の召し使い」となることからも分かります。 「
使わなくなったパソコンや携帯電話を人に譲ったり、中古買取業者に売ったりする場合は個人情報保護の観点からデータを完全に抹消しておく必要がある。しかし、英ケンブリッジ大学の研究チームが行った調査の結果、Androidの端末データ初期化機能ではデータが完全に抹消されず、個人情報の一部などが復元可能なことが判明したそうだ(論文: PDF、 Light Blue Touchpaperの記事、 V3.co.ukの記事)。 研究チームでは5つのメーカーの中古Android端末21台(Android 2.3.x~4.3)を使用して、データ初期化の動作や残されるデータを調査。その結果、多くの端末で元の持ち主の情報やインストールされていたアプリのリスト、連絡先、Webブラウズ履歴、認証情報、マルチメディアデータ、メッセージデータなどの少なくとも一部が復元できたという。研究チームが「マスタートークン」と呼ぶGo
2004年11月27日以降、みずほ銀行のWebサイトにHTTPS(SSL/TLS) で接続すると 「https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました」 というエラーメッセージが表示されるようになったことが時代に逆行しているとスラドでも話題になったが、2015年4月10日現在、再びHTTPSでアクセスできるようになったようだ(みずほ銀行のトップページ)。なお、この件について、みずほ銀行はプレスリリース等による告知を行っていないが、EV証明書の有効期間が延長されていることから、恒久的な対応であると思われる。 みずほ銀行は、邦銀で唯一インターネットバンキングでトランザクション認証を導入(2015年3月15日)している銀行であり(過去記事)、今後ともセキュリティの強化を期待したい。
現代の旅客機の操縦室は侵入者に対する最後の防衛線となっている一方、内部からの脅威に対して航空会社がとれる対策は少ないそうだ(The New York Timesの記事、 本家/.)。 2001年の同時多発テロ事件以降、航空機の重要な安全対策の一つとして操縦室は要塞化している。しかし、先日発生したジャーマンウイングス9525便墜落事故では、副操縦士がこれを逆手にとって機長を操縦室から締め出し、故意に旅客機を墜落させた。米国では旅客機の操縦室へのアクセスは厳しく制限されており、乗客は操縦室のドア付近に集まることは認められない。操縦室のドアが開いているときはその手前のトイレを利用することもできず、通常は乗務員が通路をふさぐ。時には機内食用のカートを使用して通路をふさぐこともあるという。米連邦航空局(FAA)では操縦士のいずれか1人が客室に出る場合、乗務員が操縦席に座ることを義務付けている。欧州で
マスターブートレコードを含むHDDの全データを消去するマルウェア攻撃が発生している。米連邦捜査局(FBI)は米国内の企業に注意を呼び掛けているとのこと。被害企業名は公表していないものの、先日、新作映画などが流出したソニー・ピクチャーズエンタテインメント(SPE)に対するサイバー攻撃との関連が指摘されている。この事件では過去記事にもあるように、北朝鮮の関与も噂されている(ITmedia)。 セキュリティ情報サイトの米Krebs on Securityは関連するファイル名やハッシュなどの情報を入手し、マルウェアの特徴などについて解説している。この記事によれば、悪意のあるファイルが参照している言語パックは「朝鮮語」であるという(Krebs on Security)。
書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。 従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。 偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]などのソフトウェア部分を書き換えたイメージを入れておれば MITB(Man-In-The-Browser At
ソフォスのハードディスク暗号化ツール「Sophos Disk Encryption」をインストールしていると、スリープや休止状態かからの復帰時にログオン認証が行われなくなるという脆弱性が発見された(IPA:「Sophos Disk Encryption」における認証不備の脆弱性の対策について(JVN#63940326))。 この脆弱性を発見したのはサイボウズなのだが、その経緯が興味深い。サイボウズでは業務用ノートPCにSophos Disk Encryptionを導入していたのだが、従業員がそのノートPCを電車内で紛失。幸い駅係員が回収し、遺失物として保管されていたそうなのだが、回収したノートPCを調査したところ、パスワードを入力せずにログインできていたことが判明したという。ノートPCに第三者がログインした形跡も確認できたそうだ。 サイボウズ側はこれにより、業務に関連する情報が第三者に閲覧
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く