先日、この Blog でも書きましたが、OpenSSL に脆弱性が見つかった件に関連して、自分のところで運用しているサーバで使用中の SSL サーバ証明書を再発行したので、その手順などをメモ。 ちなみに、私が使用しているのは Rapid-SSL さんなので、証明書再発行手続きの方法などは SSL サーバ証明書の発行元によって異なります。 なんで SSL サーバ証明書の再発行をするの? OpenSSL の脆弱性 (Heartbleed Bug) によって、攻撃者は 「SSL サーバ証明書」 の秘密鍵 (Private Key) を手に入れる可能性もありました。入手した秘密鍵を悪用することで、攻撃者は暗号通信を解読して盗聴を行ったり、不正な SSL サーバ証明書を発行することも可能です。 Heartbleed Bug は 2年以上前から存在していた (公表以前から気がついて黙っていた人がいるか
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
鳴り物入りでサービスが始まった『LINE電話』。実際に使ってみて、その仕組みが見えてきた。 LINE電話とは、LINEのプラットフォーム上で携帯電話や固定電話といった、電話番号に発信ができるサービスのこと。インターネット回線を用いており、仕組み的にはIP電話に近いが、電話番号を持たずLINE電話への着信はできない。代わりに、電話を発信した相手には、LINEに登録した携帯電話番号が表示される。 『30日プラン』を使用した場合、携帯電話への発信は1分6.5円と格安だ。では、この料金をなぜ実現できているのだろうか。 サービス発表時にLINEは「複数の大手回線事業者のプレミアム回線を採用」したとのリリースを出していたが、LINE電話から発信された電話番号の表示を見るとその謎の一端がわかる。 ↑LINE電話の料金。プレスリリースに掲載された比較にもあるように、通話料は他社より割安だ。 LINE電話に
わたしのメルマガは質問を受けてそれについて私が意見とかアドバイスをしてくというもの。毎週5〜6件の回答をしています。中には趣旨がよく分からず、「昨日自分が質問した内容に今日のメルマガで回答がない理由を説明しろ」「1ヶ月無料というので申し込んで質問し、課金されたらイヤなのですぐメルマガ解約した。そうしたらメルマガが来ない。もし回答していたら直で送ってくれ」とか意味わからんモンスター読者もいますが大半はまともな人です・・。 良く来る中で、あれっと思うのが「WordPressの浸透でこれからはプロのサイト制作とかはなくなるのでは?」みたいなものです。はっきりいうけどWordPressはインストールも簡単で、いろいろなプラグインも多いからそこそこのリテラシーがあれば少し勉強すれば個人のブログを開設するくらいはできる。ただ、これは個人のブログのレベルだからです。 個人なら乗っ取られて悪意のあるファイ
「SHODAN(*1)」を活用し、複合機・ネットワーク対応ハードディスク(*2)等の確認を 2014年2月27日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、オフィス機器、家電製品のインターネット接続に伴う新たな脅威や、不用意な外部公開をSHODANで確認する手順をまとめたレポート「増加するインターネット接続機器の不適切な情報公開とその対策」を2014年2月27日からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/technicalwatch/20140227.html 近年、ウェブサーバ機能やファイル共有機能等のインターネット技術を搭載したオフィス機器や家電製品が増えており、インターネットに接続されている機器は、2009年の9億台から2020年には260億台に達すると予測されています
インターネットで検索するだけで、セキュリティー対策が十分でない機器を探し出すことができることから、ハッカーの攻撃の足がかりになるとして、「闇グーグル」などと呼ばれるサイトがあります。これまで脅威と捉えられることが多かったこのサイトですが、賢く利用すれば、逆に攻撃の糸口を断ち切ることにつながると活用を呼びかける対策を、独立行政法人の情報処理推進機構がまとめました。 このサイトは、2009年に登場した「SHODAN」というインターネットサービスです。 定期的にインターネットを巡回しては、ネット上の住所に当たるIPアドレスなどを手がかりに、ネットに接続された機器の情報をデータベースに収めています。 検索できる機器はパソコンやサーバーだけでなく、オフィス機器や情報家電、さらには発電所の制御機器まで、およそ5億台に上ります。 もともと研究目的で開発されたということで、誰でも利用できます。 最大の特徴
この記事を読んだ。 なぜhao123に汚染されるのか - ex セットアップしたばかりのマシンのIEから、デフォルトの検索エンジンであるbingで「chrome」を検索すると怪しいサイトが広告に出てくるという話。 この記事を見てあっ、と思った。というのは一昨日、ちょうどbingで検索したら似たような広告が出てきたから。 【セキュリティ ニュース】「Adobe Flash Player」が今月2度目の緊急更新 - 別のゼロデイ脆弱性を修正:Security NEXT これ見てさっさと更新しようと思い、普段使わないIEを立ち上げてデフォのままになってるbingで「Flash」と入れた。すると出てきたのは次の画面。 普段なら広告なんてスルーして「get.adobe.com/jp/flashplayer」から更新するところを、adobeの文字が目に入ったので「adobe.fastsoftdownl
PC初心者が有名なマルウェアであるhao123を入れてしまうメカニズムがちょっと分かったので書き留めておく。 サンプルはセットアップしたばかりのWindows7パソコン。CPUはCore i5だがそれでもIEは重い。ブラウザをGoogle Chromeに入れ替えようとしてスタートページのMSN(検索エンジンはbing)から「chrome」を検索。 すると広告のトップに出てくるのは「www.download786.com」。いかにもなサイトだ。 ダウンロードのリンクは fastdownloadsoftw.areserver18.s3-eu-west-1.amazonaws.com/softwares/binary/504405/810823cbb5f742196e7fa1a65d5853b4d2580195/google-chrome_setup.exe 一応chromeのセットアップexe
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
正しい知識でWebアプリの脆弱性を解消! Webアプリケーションにはなぜ脆弱性が生まれるのか? 脆弱性を解消するにはどうプログラミングすればよいか? 仮想マシン上で動作する脆弱性サンプルへの攻撃を通して具体的な脅威と対処方法が学べる、すべてのWebアプリケーション開発者必携の決定版解説書! 関連サイト本書の関連ページが用意されています。 SBクリエイティブのホームページ内容紹介既にインターネット上には、セキュリティの情報があふれるように載せられていますが、それらの多くは表面的な内容であり、開発エンジニアの疑問に答えられていません。具体的には、以下の疑問です。 なぜ脆弱性が生まれるのか脆弱性があるとどのような影響があるか脆弱性を解消するにはどうプログラミングすればよいかなぜその方法で脆弱性が解消されるのか本書はこれらの疑問に答えるために書かれました。そのため、脆弱性が生まれる原理から、具体的
1月23日以降のGOM Player関係の情報反映のため、1月7日公開の内容から大幅に内容を変更しています。(1月7日記載内容は魚拓参照。) ここではもんじゅで発生したウイルス感染インシデント、及びラックが発表したGOM Player関係の攻撃についてまとめます。 概要 日本原子力研究開発機構(JAEA)の運営する高速増殖炉「もんじゅ」において、ウイルス感染による情報流出の可能性について報じられました。その後JAEAは公式に感染事案について発表しています。*1 日本原子力研究開発機構はInternetWatchの取材に対して、今回のウイルス感染はもんじゅをはじめとする当該機構を狙った「標的型攻撃では恐らくないと思われる」と説明していましたが、1月23日にラックがGOM Playerを使った攻撃について報告し、「新しい標的型攻撃の手口」と発表しました。*2 尚、ラックはGOM Playerを
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
2013-12-07 【Windows】秒速でパケットを盗聴する条件[ARP] ネタ 秒速でパケットは盗聴できる 以下の2つの手順で同一LAN内にある誰かのPCがどこと何を通信しているか(たとえばサイトURLとか)を知ることができます。 ARPスプーフィングする 自分のPCが通信するパケットを見る どっちもメチャメチャ簡単なので秒速でできます。今どきポチポチクリックしていればできてしまいます。つまり小学生でも盗聴ができてしまうのです。ノートPCでもスマホでもタブレットでも盗聴されちゃいます。 ARPスプーフィングする 早速やっていきましょう。ためにならない解説は飛ばしてやり方を見てください。 ARPスプーフィングについて しょぼい解説です。要らない方は飛ばしてやり方を見てください。 普段の通信 ターゲットを「弟」としましょう。弟はいつもこんな感じでニコニコ動画とかLOLとかやってるとします
高木浩光@自宅の日記 - Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される, 地域型ドメイン名は廃止してはどうか そもそも、こんな複雑なドメイン構造を一般の人々に理解せよというのは無理がある。ドメイン名は、セキュリティの拠り所として近年益々その重要性が高まっているのであるから、JPRSなり、JPNICが、一般のWeb利用者向けにドメイン名の読み取り方を講説してしかるべきと思うが、そのような活動は行われていない。 加えてこの際に言えば、政令指定都市についての地域ドメイン名は破綻している。 札幌市のドメイン名は、「city.sapporo.hokkaido.jp」ではなく「city.sapporo.jp」であるが、姫路市のドメイン名は、「city.himeji.jp」ではなく「city.himeji.hyogo.jp」であり、「www.city.hi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く