セキュアブレインが国内20のカード会社を狙うウイルスに対して注意喚起 | 株式会社日立システムズ(旧セキュアブレイン)
このプレスリリースに記載されている情報(価格、仕様、サービスの内容、発売日、お問い合わせ先、URLなど)は、発表時点のものです。最新の情報につきましては、こちらのお問い合わせ先にご確認ください。 2014年7月16日 報道関係各位 セキュアブレインが国内20のカード会社を狙うウイルスに対して注意喚起 株式会社セキュアブレイン(本社:東京都千代田区、代表取締役社長 兼 CEO:成田 明彦、以下「セキュアブレイン」)は、金融機関を狙う不正送金ウイルスが国内20のカード会社を攻撃対象とする更新がされたことを確認しました。セキュアブレインは、注意喚起を促すと共に、その手口を公開します。 今回、攻撃対象の変化が観測されたのは通称VAWTRAK、またはPaprasと言われるウイルスで、感染したPCで攻撃対象のインターネットバンキングサイトにアクセスした際に、MITB(マン・イン・ザ・ブラウザ)攻撃によ
@wikiで登録ユーザー全員の情報流出 不正書き換え相次ぐ アクセスに注意を
アットフリークスは3月9日、「@wiki」の登録ユーザー全員の情報が流出したと発表した。ページの管理者情報などがネット上に流出しており、一部ページで不正な書き換えが相次ぐ事態になっている。ページに悪意のあるファイルを埋め込まれている可能性もあるため、安全が確認されるまでアクセスには注意が必要だ。 同社によると、流出したのは登録者全員のユーザ名、暗号化されているパスワード、メールアドレス、登録時のIPアドレス。緊急措置として全ユーザーのパスワードを強制リセットし、パスワード変更を呼び掛けている。 ネットでは8日ごろから一部に不正なファイルが見つかり、@wikiサーバが事実上丸見えになっていると騒ぎになった。コンテンツなどを格納しているサーバごとのデータベースファイルとみられるものがネット上に流出している状態だ。 @wikiに開設されている「パズル&ドラゴンズ非公式wiki」では、タイトルを複
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
そろそろ「ZIPで暗号化」の謎文化をなくしたい - teruyastarはかく語りき
Twitter / dnobori: ファイルをZIPで暗号化し、まずZIPをメールで送り、しばら ... https://twitter.com/dnobori/status/346488232537632768 Daiyuu Nobori ファイルをZIPで暗号化し、まずZIPをメールで送り、しばらくして別メールで8文字程度の乱数パスワードを送るという謎のプロトコルが日本企業で流行っているが、ZIPのパスワードは総当たりでかなり高速に解析できるし、そもそもパスワードをメールで送っているので効果が疑問。 僕も昔そのように送られてきて同じ疑問もったことあります。 はてブコメントみると、 2度送ることであて先ミスによる添付からの情報漏れを防ぐという効果はそこそこ期待できる。 誤送信による一撃死を免れるためのプロトコル。 まぁでも実際メールやFAXの誤爆とかよくある事なわけで。 暗号の強度では
Google、Apple、Yahoo!などのサーバーにある個人情報を直接のぞき見できる極秘システム「PRISM」とは?
by Katy 通話や通信の内容が企業や政府によって監視されているのではないかと疑っている人は少なくないと思いますが、実際に、政府機関がネット関連企業の中央サーバに直接アクセスして個人情報などを参照することができる「PRISM」というシステムがアメリカで5年以上にわたって運用されていることが明らかになっています。 U.S. intelligence mining data from nine U.S. Internet companies in broad secret program - The Washington Post http://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/201
高木浩光@自宅の日記 - 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機, 追記(4月1日)訂正あり
■ 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機 まもなく武雄市に2軒目のTSUTAYAが開業するということで、昨日から一般市民に先んじて内覧会に招集された市長のお友だちらから続々と喜びの声があっている。また、会員登録の事前登録が始まっているため、入手したTポイントカードの写真を撮ってツイートする人が次々と現れている。 カード作ってみた #osoreiri #武雄市 @ 武雄市立図書館 instagram.com/p/XbaH0pkQSn/ — 末広栄二さん (@e_suehiro) 2013年3月29日 武雄市のTカードに更新してきたーーー(^ー^) レンタル無料券とスタバの無料券もらったー(^ー^) twitter.com/kpnnnnu/status… — KPさん (@kpnnnnu) 2013年3月29日 このように、Tポイントカードの番号(Tカード番号)
なぜネット決済の支払フォームはあんなに入力項目が多いのか?
By Fosforix いろいろなサイトで買い物をしてお金を払う場合、フォームにいろいろな情報を入力しなければならないのですが、なぜあんなにたくさんの項目を埋めなければならないのか?という根本的疑問について「Sift Science Blog」がまとめています。 Why are payment forms so complicated? | Sift Science Blog http://blog.siftscience.com/why-are-payment-forms-so-complicated-2/ これが最小限のあるべきフォーム。クレジットカード決済の場合、カード番号・期限を入力するだけで終わりのはず。3つのフィールド、合計20文字入力すればOK。 しかし実際にはこうなっています。14フィールド、131文字も入力必須。 姓・名・住所・国・都市(市町村)・州(都道府県)・郵便番号
Dropboxのセキュリティが向上する「2ステップ認証」の設定方法。 | AppBank
AppBank の主任です。昨年、Dropbox でも「2ステップ認証」が利用可能になり、セキュリティを向上させる手段が増えました。 「2ステップ認証」とは、ユーザー名とパスワードという通常の認証に加え、一定間隔で生成されるコードを入力する認証も行うもの。 ユーザー名・パスワードは固定ですがコードはランダムなので、乗っ取り・不正アクセスをより困難にします。Google でも採用されています。 という訳で今回は Dropbox で 2ステップ認証を設定する方法をご紹介します。 ※Google/Gmail で2ステップ認証を行う方法は以下の記事でご紹介しています。→Gmailの乗っ取りを防ぐ「2段階認証」を設定する方法 iPhoneアプリをインストールする あらかじめ2ステップ認証に必要なアプリをダウンロードしましょう。必要なのは Google Authenticator。無料です。 Drop
「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告
企業が手にできる最悪の保証といえば、政府によるソフトウェア使用禁止令だろう。2013年1月10日(米国時間)、米Oracleに起きたことは、まさにそれだった。米国土安全保障省(DHS)が、全てのコンピュータユーザーに対して、重大な脆弱性があることを理由に、クライアントPCのJavaを無効にすべきだと警告したのだ。 関連記事 米Oracleの怠慢を批判――「Javaはアンインストールすべき」 検出不可? Javaの脆弱性を突く「ファイルなしボット」 Javaをアンインストールせずにセキュリティを高める方法 「Java 7 Update 10」に、「Red October」というグローバルマルウェアネットワークへ接続する重大な脆弱性悪用プログラム(エクスプロイト)が見つかった。そのエクスプロイトは、世界中の政府系機関にある数百台のクライアントPCに侵入し、数カ月間にわたって活動していた。 Or
スマホの盗難・紛失対策、“まさかの落とし穴”に注意 (nikkei TRENDYnet) - Yahoo!ニュース
この記事は「日経トレンディ2013年2月号(1月4日発売)」から転載したものです。内容は基本的に発売日時点のものとなります。 【詳細画像または表】 写真やメールなどプライベートな情報が詰まったスマホは、落としてしまった際のリスクが甚大だ。不正なアプリやウェブサイトの脅威からだけでなく、端末そのものを守る必要もある。 まず基本となるのが端末ロック。数字によるパスコードや指でなぞるパターンなどで端末をロックすれば、安全性はグッと上がる。多くのユーザーが行っている最低限の対策だ。だが気を付けたいのが、人間の心理や端末管理の隙を突いて情報を盗む「ソーシャルハッキング」。シンプルなロックだと簡単に破られる危険性があるのだ。 例えばパターンロックやパスコードロックは「画面に残った指の跡を手がかりにロックを解除されてしまう場合がある」(情報処理推進機構)。軌跡をなぞればパターンロックを解除できる
Java のセキュリティ保護機能は無意味、無署名の Java アプリでも警告無しに実行可能 | 財経新聞
ある Anonymous Coward 曰く、 Java SE 7 Update 10 以降には Java コントロールパネルにセキュリティ設定を行う項目があり、ここでセキュリティレベルを変更することで無署名の Java アプリケーション実行時に警告メッセージを表示させることができる。しかし、この設定にかかわらず無署名の Java コードを実行させることが可能だという (ITmedia ニュースの記事より) 。 ポーランドのセキュリティ企業が実際に無署名のコードを Windows 上で警告無しに実行させることに成功したそうで、結論としては Java のセキュリティ設定は当てにならない、ということになった模様。 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | Java 関連ストーリー: Java 7 Update 11に新たな脆弱性の報告 2013年01月
ブラウザにファイルをドロップしてはいけない - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
CPU2000個分の性能で秒間約175万通りのパスワード推測を可能にする「FPGA」とは?
By gazzat 論理回路をユーザーが自由にカスタマイズできるLSI 「FPGA(Field Programmable Gate Array)」は、通信基地局、大規模ルータなど高度な処理を行う機器から、ディスプレイ、プロジェクタ、携帯端末など幅広い分野に活用されている技術です。しかし、この技術を応用してクラッキングを行うことで、市販のCPUやGPUを使用したシステムより圧倒的に早くパスワードを突破することが可能であることが明らかになりました。 Accelerating Password Recovery the Addition of FPGA ≪ Advanced Password Cracking ? Insight ◆FPGAとは? FPGA 入門よると、FPGAとは「Field Programmable Gate Array」の頭文字をとったもので、「現場(Field)」で「書き
ヤフー、ログイン専用IDを導入 - 日本経済新聞
ヤフーはインターネットサービスを利用するための「ヤフーID」について、22日からログイン専用のIDを導入する。メールアドレスなどから類推されやすい従来のIDとは異なり、利用者以外は把握できない専用IDを加えて不正利用を防止する。今秋には毎回別のパスワードを発行する「ワンタイムパスワード」も導入し、安全性をさらに高める。ヤフーが新たに導入する「シークレットID」は本人以外は見ることができない
Facebook 日本人ユーザ約1150万人のユーザ ID を集めてみました | ぱろすけのメモ帳
以前、 [婚活] facebook で日本人ユーザの ID 一覧を取得する という記事を書きました。そこで示したスクリプト(をちょっと改変したもの)をぐるんぐるん回し、日本人ユーザとして登録されている人のユーザ ID が1150万人分ほど集まりましたので、ここに共有したいと思います。 原理としては、 facebook の全ユーザについて、ユーザ ID 1番から順番に地域をチェックし、日本と登録されているもののみその ID を保存しています。これだけの日本人を得るために数十億人分の ID をチェックしてます。 [ ダウンロード fb_jpn_ids.zip ] 解凍していただきますと、2つのフォルダがあります。”type1″ フォルダには100000000000000番以降のものが、 “type2″ にはそれ以前のものが、適当に分割されて格納されています。 https://www.face
「MacはWindowsよりも安全」という神話が完全に崩れてきてるのか...最近の脆弱性発見数はMacがWindowsの倍以上に!
「MacはWindowsよりも安全」という神話が完全に崩れてきてるのか...最近の脆弱性発見数はMacがWindowsの倍以上に!2012.04.28 21:00 湯木進悟 Macにもウイルス対策ソフトが必要ですね... 「Windowsと違ってMacはウイルスとかに感染しないから安心」だなんて神話は完全に間違っているとの指摘がなされてきましたけど、このところMacの狙われ方は加速してきてるのかもしれませんよ。iPhoneの発売以来、日本でもググンとユーザーが増えてきてることと関係があったりするのかな? 今年に入って最初の四半期(1月~3月期)の間に、プラットフォーム別で発見された脆弱性の数は、なんとMac OS Xがトップで91個と報告されていますよ。その大半がブラウザーのSafariに起因するもので、すでにほとんどの脆弱性にパッチが適用されて修正済みとなってはいるものの、同時期にWin
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っている 
ggsoku.com
Engadget | Technology News & Reviews
「Macは安全なのではなく、ただ狙われていなかっただけ」という専門家の見解について | ライフハッカー・ジャパン
