[まとめ]有名どころネットサービスの通信セキュリティ比較
各社サービスの通信暗号化をまとめてみた。 判定基準は Transport Layer Security - Wikipedia会社サービスプロトコル暗号化方式判定ゆうちょ銀行ゆうちょダイレクトTLS 1.0AES_128_CBC実装によるみずほ銀行みずほダイレクトTLS 1.0RC4_128安全ではない三菱東京UFJ銀行三菱東京UFJダイレクトTLS 1.0AES_256_CBC実装による三井住友銀行SMBCダイレクトTLS 1.0RC4_128安全ではないりそな銀行りそなマイゲートTLS 1.2AES_128_GCM安全シティバンク・ジャパンオンラインTLS 1.03DES_EDE_CBC強度不足、実装によるジャパンネット銀行ログインTLS 1.2AES_256_CBC安全住信SBIネット銀行ログインTLS 1.2RC4_128安全ではないAmazonアカウントサービスTLS 1.0AE
![[まとめ]有名どころネットサービスの通信セキュリティ比較](https://cdn-ak-scissors.b.st-hatena.com/image/square/b1638cdb5807a4788e4ba3c1109a984166e095fc/height=288;version=1;width=512/https%3A%2F%2Fanond.hatelabo.jp%2Fimages%2Fog-image-1500.gif)
クレジットカードの情報盗むウイルス被害 NHKニュース
インターネットバンキングのパスワードがコンピューターウイルスによって盗まれ、預金を奪われる被害が過去最悪のペースで増えていますが、2か月ほど前から、クレジットカードについても同じ手口で情報が盗まれ、高額の買い物をされる被害が相次いでいることが分かり、カード会社などが注意を呼びかけています。 クレジットカード会社などによりますと、国内では、ことし4月ごろから、ネットバンキングだけでなく、クレジットカードの情報を盗み取るウイルスの感染が広がっているということです。 あるカード会社では、こうした手口による被害が、分かっているだけで20件近くに上り、何者かが不正に、合わせて200万円分ほどの買い物をしたということです。 ウイルスは、カードの利用明細の確認などを行うホームページにログインすると、別の偽の画面を表示し、利用者にカード番号や有効期限、セキュリティコードなどを入力させて、盗み取るということ
ウィルス混入のお知らせ | BUFFALO バッファロー
この度は弊社ダウンロードサーバーの休止で多大なご迷惑をお掛けしました事、深くお詫び申し上げます。 調査の結果、弊社委託のダウンロードサーバー内の一部のファイルが不正に改ざんされていた事が判明しました。 改ざんされたファイルをダウンロードし実行されたお客様のパソコンはウィルスに感染している可能性がございます。 早急にウィルスパターンファイルを最新にしていただきウィルスチェックをお願いいたします。 本件に関するお問い合わせは下記、専用窓口へお願いいたします。
OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
YDN「広告配信先レポート」が「firestorage.jp」のダウンロードリンク晒して炎上案件か?
これらの「配信先URL」にアクセスしてみると。 ああこれはダメなやつだ。 firestorageユーザーがアップロードしたファイルの「ダウンロードリンク」が、YDNの「広告配信先レポート」でモロバレです。 ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。 いや漏れてるから。 ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。 ダウンロードファイル名から判断する限りではありますが、明らかに社外秘だろ的なものがいくつも含まれており、関係各位の今後の身の処し方が他人事ながら大変心配で
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
Google Public DNS Server Traffic Hijacked
The Internet is becoming a dangerous place day-by-day and especially for those innocent web users who rely on 3rd party services. The latest bad news is that the World's largest and most widely used Google's free public DNS (Domain name system) resolvers raised security red flags yesterday. DNS is the master address list for the Internet, which translates IP addresses into human readable form and
検索連動型広告の悪用に関する続報と対策について - Yahoo! Japan マーケティングソリューションカンパニー 公式ブログ
弊社の広告審査を故意に回避するような手段を用いて、何者かが弊社検索連動型広告から京都銀行の偽サイトへの誘導を行っていた事実を当ブログにて2月21日に報告いたしました。 この事実を受けて行った対応・対策についてご報告します。 まず上記事案の悪用者と同一と思われる者のアカウントを調査したところ、名古屋銀行とWebMoney(ウェブマネー)の偽サイトへの誘導行為が見つかりました。この2件については、既に停止措置を行っております。 また、先の事案と併せて、本件につきましても、捜査機関への情報提供を行うとともに、両社への連絡を行いました。 <掲載期間> 名古屋銀行 2月11日から2月14日まで WebMoney(ウェブマネー) 2月14日から2月21日まで 並行して、類似の事案がないかも調査しましたが、現時点では同様の手口による悪用は確認さ
総務省|報道資料|「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
昨今、リスト型アカウントハッキングとみられる不正アクセス事案が急増していることに鑑み、総務省では、サイト管理者などのインターネットサービスを提供する事業者が適切な対策を講じることによって、被害の拡大を防ぎ、安心・安全なインターネットの利用環境の確保に資するよう、事業者向けの対策集を作成しましたので公表します。 昨今、国内のウェブサイトに対して、リスト型アカウントハッキング(リスト型攻撃)※とみられる不正アクセス事案が急増しています。 このようなリスト型攻撃に対しては、関係者が適切な対策を講じ、今後の被害の拡大を防ぐことが重要です。このため、総務省では、「情報セキュリティアドバイザリーボード」(参考1)のワーキンググループ(参考2)での議論を踏まえ、サイト管理者などのインターネットサービス提供事業者が、サービスを運営する際に参考にしていただきたいリスト型攻撃への対策集を作成しました。 ※ リ
GitHubに大規模な不正ログイン試行 | 徳丸浩の日記
GitHubのブログおよび国内の報道によると、GitHubに対して大規模な不正ログインが試みられたようです。 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 GitHubにブルートフォース攻撃、一部のパスワードが破られるより引用 私もGitHubアカウントがありますのでSecurity Historyページを確認したところ、不正ログインの試行が確認されました。IPアドレスは、ベネズエラ、タイ、ブラジルのものです。 GitHubアカウントをお持ちの方は、念のためSecurity Historyを確認することを推奨します。 今回の不正ログインの特徴は以下のようなものです。 少数の「弱いパスワード
ロリポップ騒動から、AWS移行で死んだ日
昨日は疲れました。死んだといっても過言では無い。このサーバもほとんど落ちた。1日のアクセス数60000人。ただしアドセンスはたいしたことない。だってみんな必死で検索してるんだもの・・・。 ここいうツイートで癒やされました・・・涙 ロリポップと契約していた顧客がロリポップのサーバ改ざん発表のあとで直撃弾くらいました。ショップでなくてブログだったので引っ越しを先に考えていたのが甘かったです。それもパスワードを複雑にして2段階認証を設定して、wp-config.phpも推奨通り404にしていてやられました。のちにロリポップ側で400に強制変更したようだが、404だってそうそう入れるものじゃ無い。侵入されたサイトのバックアップを直前に取ってあったので、時限爆弾の可能性もあるなとエンジニアが半日かけて精査したけどないようでした。ログイン画面からプルートフォースアタックで入って来たわけではないのは確か
日本企業の社外秘資料、大量流出=中国の文書共有サイトに―大手軒並み被害 (時事通信) - Yahoo!ニュース
日本企業の社外秘資料、大量流出=中国の文書共有サイトに―大手軒並み被害 時事通信 8月7日(水)14時30分配信 【北京時事】文書・資料やデータをインターネット上で共有できる中国の有力サイト「百度文庫」に日本企業の社外秘資料や内部文書が1、2年前から大量流出し、誰でも見られる状態になっていることが7日分かった。情報流出問題を調査し、日本企業の対応にも当たる分部悠介弁護士(上海駐在)によると、大手メーカーの特許出願前の技術資料や、日本の広告会社の顧客向けプロジェクト提案資料なども流出したことがあるという。 時事通信の調査では、トヨタ自動車、ホンダ、東芝、日立製作所、パナソニック、ソニー、三菱重工業など日本を代表する大手企業に関する内部資料が軒並み百度文庫に流れていた。 日本の経済産業省は「産業界から被害の声が出てきていることを認識している。問題意識を持って被害の実態を注視したい」と指摘、
フロント・ページ - MarkupDancing
World & Sociery ゲリラ・オープン・アクセス宣言 last modified on 2024-01-12 アーロン・スワーツの「ゲリラ・オープン・アクセス宣言」の日本語訳と解説です。 冒頭に戻る World & Sociery On “Google’s Ideological Echo Chamber” last modified on 2021-04-03 Google の元技術者であるジェイムズ・ダモーアが回覧用に社内で発表した “Google’s Ideological Echo Chamber” という文書を発端にして展開している論点をとりあげています。 「街場」なんて存在するのか last modified on 2015-10-27 以下の文章は、何度か途中まで書いて「くだらない」と思いながらも、再び書き直してきたものである。どうして書き直すたびに「くだらない」と
【警報】ここ数日でGmailの乗っ取りが半端ない件。2段階認証も突破の恐怖!!
朝起きて驚いた・・・!! 受信フォルダにGmailのアカウントを乗っ取られた方々からのスパム多数。「アカウント乗っ取られました。スパムを削除してください」とのメールも複数。Facebookでは自分もやられた、との報告とお詫びが並んでいる。 あわてて自分のアカウントをチェック どこから??ってここからです。Gmailのアカウントの「アカウントアクティビティ」 自分のは乗っ取られておりませんでした。一応安心。 実はGmailのアカウント乗っ取りは今に始まったわけではない。年初あたりにもいろいろなブログなどで警告が書かれていた。しかし実際にまとまって複数の乗っ取られたアカウントからのスパムが来たのははじめてです。一気に広まった?? メールヘッタを見るとGmailの送信サーバを使っているようだ。アドレス帳の全員に同報で同じメールを打ってます。 メールのタイトルは「FW:」「greetings」など
スマホの指紋跡を悪用したパスワードの盗難を防ぐには | ライフハッカー・ジャパン
あなたのスマホを光にかざしてみてください。ほら、指紋の跡が見えませんか? 実はこれ、パスワードや暗証番号を盗むヒントになってしまいます。 「Smudge Attack」と呼ばれるこの手口に引っかからないようにするにはどうすればいいのでしょうか。Q&Aサイト「Stack Exchange」で、セキュリティの専門家がその疑問に答えています。 Smudge Attackの基本(回答者:D3C4FFさん) Smudge Attackが成功する可能性は、最後にロックを解除してからどれだけスマホに触れたかによって変わりますが、全体に通じる原則は変わりません。特に、Androidのパターンロックの場合はこれが明確です。 ペンシルバニア大学がこの件について発表した論文によると、90%以上の確率でパスワードを解読できたそうです。特にパターンロックの場合、成功率が高くなります。さらに、アプリの使用による「ノイ
JPEG画像のEXIFヘッダにマルウェアを隠して実行させる新しい手口が登場
JPEG画像のEXIFヘッダに隠された仕掛けられたマルウェアを、Sucuri Research Labの調査チームが発見しました。このマルウェアはPHPの機能を用いてEXIFヘッダを読み込ませ、自らを実行させるようになっていました。 Malware Hidden Inside JPG EXIF Headers | Sucuri Blog http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html Sucuri Research Labのチームは攻撃サイト認定されたサイトでこのマルウェアを発見しました。通常、バックドアはBASE64変換やgzip圧縮で身を隠しますが、このマルウェアはJPEG画像のEXIFヘッダに隠されていて、PHPの機能を用いて実行されるようになっています。 まず、サイト内で見つかった
時代の転換点に必ず起きること――「危険」を指摘する連中が一番「危険」である
時代の転換点に必ず起きること――「危険」を指摘する連中が一番「危険」である:Gartner Column(1/2 ページ) 次代に生き残る企業になるためには、イノベーションが必須である。しかし、そのイノベーションの芽を「何となく危険」だからという理由で、摘み取っていないだろうか。 Gartner Columnの記事一覧 前回、CIO アジェンダ 2013の内容について、説明しました。勘の鋭い読者は、既に気付いていると思いますが、2011年に入ってから、ガートナーは、従来のITやICTという表現から、デジタル・テクノロジと言い換えて、新たなる時代の到来を予言してきました。そして、2013年に入って、旧来の情報システムの導入で成功体験を得てきたオールドタイプのCIOが、新たなるデジタル・テクノロジを活用してビジネスの構造そのものを変革しようとするニュータイプの人々(おおむね若者)を、既得権益を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webクローリング&スクレイピングの最前線 公開用
エクスコムグローバル株式会社|XCom Global, Inc.