はじめに Wi-Fiルータのセキュリティについて、2023年4月5日に警視庁より「家庭用ルーターの不正利用に関する注意喚起」が行われました。この中で対策として、次の4つが挙げられています。 初期設定の単純な ID やパスワードは変更する。 常に最新のファームウェアを使用する。 サポートが終了したルーターは買換えを検討する。 見覚えのない設定変更がなされていないか定期的に確認する。 定期的な設定確認が現実的に可能なのか疑問はありますがそれはさておき、今回は3番目のサポート終了についてです。 たとえばWindowsであればいつサポートを終了するのかずいぶん前に告知がありますし、他のソフトウェア製品についてもLTS(Long Term Support)の設定があるものは計画的にアップグレードを行えます。一方で家庭用のWi-Fiルーターについて、いつサポートが終了するのかわからないまま買っていまし
前置き 本記事は特定のサービスのリバースエンジニアリングを推奨するものではありません。 リバースエンジニアリングの学習を目的とした利用を前提としています。 また、この記事は私が2021年に公開したWrite-upの日本語訳です。 内容は2018年に行ったリバースエンジニアリングの結果に基づいていますが、2020年にはいくつかの仕様が変更されたことに留意してください。 Shh 0. LINEの解析について こんにちは、リバースエンジニアリングについて学んでいる らと です。 各国にはそれぞれ人気なメッセージングアプリがあると思いますが、私の国、日本ではLINEが最も多くのユーザーに利用されています。 私はLINEの通信プロトコルに非常に興味がありましたが、LINEはOSSアプリケーションではありません。 そのため、LINEをリバースエンジニアリングすることに決めました。 1. LINEってな
米マイクロソフトは自社の「Edge」ブラウザー向けに、VPN機能「Microsoft Edge Secure Network」の追加を発表しました。これにより、インターネット利用時の安全性を高めることができます。 VPNは「Virtual Private Network」の略称で、公開されたインターネットの中に仮想的なプライベートネットワークを構築する技術です。これにより通信内容の傍受が難しくなりセキュリティ性が向上する、さらには通信元の地域を隠すことで地域制限がかけられたサービスにアクセスできる、などのメリットが存在します。 Microsoft Edge Secure Networkはネットサービス企業の米クラウドフレアの協力により提供されるものです。ユーザーは同機能を利用することで、オンライン上でのセキュリティ性を向上できるだけでなく、自分がどのような場所からアクセスしているのかといっ
NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。 エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。 ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる”NIC二枚挿し”という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。 本記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割
2020/01/14: 実際に動くのを確認しました asnokaze.hatenablog.com (2020/09/17 注釈: Raw SocketsからDirect Socketsに名称が変更されました) ブラウザでTCP, DUPソケットを操作可能にする「Direct Sockets API」という仕様がW3CのWICGで議論されている。 また、blink-devでも「Intent to Prototype: Raw Sockets API」とプロトタイプの議論が行われている。 多くの方がセキュリティ上の懸念を抱くと思うが、ドキュメントでも慎重に検討すると書かれている。GithubでIssueを立てることも可能なので、思うことがある方は、まだまだ議論は始まったばかりでもあるので是非フィードバックされると良いと思う。(割と普通に聞いてもらえます) なお、Raw Socketsという名
利用者が記事を配信・販売できるサービスnoteで8月14日、執筆者のIPアドレスを確認できてしまう不具合が見つかり、運営元は謝罪し同日中に修正しました。同社は「一般的なIPアドレスから、個人情報を特定することはできません」としていますが、ネットでは有名人のIPアドレスと一致する5ちゃんねる投稿が検索されるなど騒ぎは続いています。IPアドレスから個人を特定されたり、他の投稿との名寄せが行われるリスクはどの程度あるのでしょうか。 IPアドレスとはインターネットで通信を行う際に必要な差出人・宛先を示す住所のことです。現在IPv4、IPv6という2つの世代の技術が利用されており、note社のサービスはIPv4のみを利用しています。インターネットのIPv4アドレスは2011年に枯渇し、その後も利用者が増え続けたISPではCGNAT等の技術を用いることで数百人の利用者が同じIPアドレスを共用しています
2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景 WebサイトをHTTPS化する最も大きな理由は、インターネットの信頼性を維持することです。TLS技術の現状や、安全なHTTPS化に何が必要かを、ヤフー株式会社の大津繁樹氏が解説します。 「SEO対策のためには、WebサイトをHTTPS化しないといけない。」 —— そう聞かされて対応を迫られている技術者の方も多いのではないでしょうか? 確かに、Googleは「HTTPSページが優先的にインデックスに登録されるようになります」と表明し、HTTPS化されたWebサイトが同社の検索結果で有利になると示唆しています。はたして、WebサイトのHTTPS化が必要な理由は、SEO対策だけなのでしょうか? そして、それはGoogleという一社だけの意向で推奨されていることなのでしょうか? こうした疑問に答
連載:知られざるダークウェブの世界 ダークウェブを調査・監視するホワイトハッカーのSh1ttyKids(してぃーきっず)さんが、知られざる「ネットの裏側」をレポートする。 著者:Sh1ttyKids(してぃーきっず) ダークウェブ上のサイトについて、調査・監視活動を行うホワイトハッカー。大麻販売サイトが秘匿するIPアドレスを探し当て、法執行機関へ提供するなどの実績を持つ。2018年12月には、セキュリティ企業Recorded Futureで「日本語圏のアンダーグラウンドコミュニティの過去と現状」と題したレポートを公開した。 過去の連載記事一覧 近年、海賊版サイトを運営するグループが、警察の捜査などによる身バレを防ぐために利用している「防弾ホスティング」。通常のホスティングサービスは、発信者情報の開示要求や警察からの捜査協力依頼には友好的に応じますが、防弾ホスティングではこうした要求を無視し
内閣府のWebサイトから、「恋人作るより風俗嬢」というWebサイトにリンクが張られている――5月9日、こんな情報がネットを駆け巡った。その真相は。 内閣府のWebサイトから、「恋人作るより風俗嬢」というWebサイトにリンクが張られている――5月9日、こんな情報がネットを駆け巡った。 内閣府がかつて運営していたWebサイトのドメインが失効した後、第三者がそのドメインを再取得し、新たにサイトを設置したことが原因。外部から指摘を受けた内閣府は9日昼、問題のリンクがあったページを削除した。「対応が後手に回り、申し訳ない」と担当者は話している。 問題のリンクがあったのは、内閣府のプログラム「戦略的イノベーション創造プログラム」(SIP)の2015年のシンポジウムを紹介するページで、専用の特設サイトにリンクを張っていた。特設サイトの運営は博報堂が担当。内閣府のサイトの外にドメインを取得して構築し、シン
森永です。 今日起きたらセキュリティクラスタがWPA2の脆弱性でざわついてて焦りました。 先ほど詳細なレポートがでましたので内容をまとめます。 だいたい分かればいい人は概要だけ読んで下さい。 KRACK Attacks: Breaking WPA2 本ブログの内容について暗号の専門家による監修はありません。誤った表現や誤解を招く表現があればお申し付け下さい。 概要 報告者 ベルギーにあるルーヴェン・カトリック大学でネットワークや無線のセキュリティなどを研究している博士研究員であるMathy Vanhoef氏 内容 Wi-Fi Protected Access 2(WPA2)の脆弱性が見つかった(WPA1も対象) 攻撃手法の特徴から「Key Reinstallation AttaCKs(KRACKs)」と呼ばれる WPA2というプロトコルの脆弱性なので、特定の製品(OS、デバイスなど)に関係
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 全国銀行協会(全銀協)は5月16日、企業や銀行間のオンラインデータ交換の新たな標準通信プロトコル「全銀協標準通信プロトコル(TCP/IP手順・広域IP網)」の仕様書を公開した。広域IP網をベースとした新たな全銀プロトコルとなる。 全銀協は、2016年秋にNTT東西が一般公衆電話網(PSTN)から広域IP網への移行とISDNサービスの廃止時期について具体的な検討を開始したことを受け、これらの廃止後に必要となる広域IP網に対応したプロトコルの制定を進めていた。 新たな全銀プロトコルは、既存の全銀プロトコルが企業と銀行や銀行間だけでなく、企業間のデータ交換にも使用されている実態を踏まえ、全銀プロトコル(TCP/IP手順)で規定された電文シーケ
セブンイレブンTwitter公式アカウントへの大量リプライ騒動で話題となっている、無料Wi-Fiに自動接続するアプリ「タウンWi-Fi」。 ユーザーからの意見が殺到したことを受け、タウンWiFi公式Twitter(@Town_WiFi)がアプリの仕組みを公開したところ、新たな問題が明らかになり、大手メディアITmediaで記事なるなど批判が殺到する事態となりました。 タウンWi-Fiとは そもそもタウンWi-Fiとは、株式会社タウンWiFiが提供する街中の「スターバックスWiFi」「ローソンWiFi」「イオンWiFi」などのWi-Fiスポットを便利に使うことができるアプリです。 Wi-Fiスポットへの接続や認証をアプリが自動で行うことで、Wi-Fiスポットを利用する際に生じる、登録やID/パスワードの入力といった手間を排除することができる便利さがポイント。 その便利さが受け、2ヶ月で100
街中の無料WiFiにパスワード入力なしで接続可能、使えるWiFiに自動接続! このサービスは盲点でした。少し考えれば思いつきそうなのに、今までなぜ登場しなかった...!!と思えるアプリ「タウンWiFi」が登場しました。 タウンWiFiは「街中のWiFiに自動接続」をしてくれるアプリ。例えば喫茶店やスーパーなど、そういった場所にある会員登録がないと使えないようなWiFiだったり、フリーで開放されているWiFiだったり。そんなWiFiに簡単に接続することができるようになります。 ユーザーにとっても、会員登録の手間が圧倒的に少なくなり、使える場所にいけば自動的にWiFiに接続してくれるんだから便利なことは間違いなし。特に通信制限に悩む学生の皆さんには心強いアプリになるはず。 現在対応しているWiFiスポットの情報は155種類。以下の特徴を見れば、どれだけ便利かわかるはず。 会員登録が必要なWiF
よって、このヘッダがgzip圧縮データに付いていれば、適当なWebサーバにgzip圧縮リクエストを出し、gzip圧縮レスポンスを待って、バイト数が0x1f 0x8bで始まっているかどうかということと、正確な圧縮日を確認できるのです。 一般的なWebサーバでは、これは非常に限定的なシナリオにおいてのみ有用です。なぜなら、サーバの地理的な位置はいずれにしても隠されず、これもまた隠されていないサーバIPアドレスが分かればすぐに特定されるからです。しかし、 秘匿サービス では、サーバの時間帯に関する情報は、サーバが稼働している可能性のある国を特定するのに非常に役立ちます。 gzipの仕様を見れば、ファイル更新時間のヘッダフィールドには、ローカル時刻ではなく、世界時を使用すべきことは明確です。しかし、多くのサイトが世界時の代わりにローカル時刻を送信しています。どうもMicrosoft Windows
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 電子フロンティア財団(EFF)は米国時間12月2日、無料で利用できるサーバ証明書発行サービス「Let's Encrypt」がパブリックベータになったことを発表した。 Let’s Encryptは、Webの暗号化を進めるEFFの長期プロジェクト「Encrypt the Web」の下で始まった。Internet Security Research Group(ISRG)が運営しており、EFF、Mozilla、ミシガン大学、Cisco Systems、Akamai TechnologiesなどがISRGのスポンサーとして支援している。HTTPの暗号化通信に必要なサーバ証明書を発行する認証局(CA)の利用にあたって費用と複雑さの2つが課題になっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く