引き継ぎあるある
こんにちは、有江です。「退職した担当者から引き継いだパスワードでなぜかシステムにログインできない。どうすればいいか」という質問がよくあります。システムを引き継ぐ際、最も重要な情報は管理者のユーザー名とパスワード。これさえ分かれば、あとは分かる人が見れば大体のことは分かりますので何とかなります。 しかし、逆にそれが分からないと大問題ですので、ここで一句! 「引き継ぎや 必ず試せよ パスワード」。では、また次回をお楽しみに。 ・過去の「IT4コマ漫画」一覧はこちら 有江敬寛 ケーティーコンサルティング専務取締役。ITに携わる全ての人のITスキル向上を目的として「IT向上委員会」を設立、委員長を務める。現在ワコムのペンタブレット「WACOM Bamboo Comic」とセルシスの漫画制作ソフト「Comic Studio Pro」を利用して「IT4コマ漫画」を執筆中。 関連記事 IT4コマ漫画:「
PHPでデータベースに接続するときのまとめ - Qiita
【2021/10/15 追記】 この記事は更新が停止されています。現在では筆者の思想が変化している面もありますので,過去の記事として参考程度にご覧ください。PDO に関しては大きく変わっていない部分が多いとは思いますが, PHP 8.x 以降での動作保証はありません。 あらかじめ読んでおきたい記事 Qiita - 【PHP超入門】クラス~例外処理~PDOの基礎 by @7968 初心者がやりがちなミス 以下のどれかに1つでも当てはまるコードは見直す必要があります.付録にリンクを貼っておきましたので,「該当するかも?」という人はクリックして飛んで読んでください.太字にしてあるものは脆弱性に直結する危険度の高いものです. mysql_query などの非推奨関数を利用している SET NAMES あるいは SET CHARACTER SET などで文字コードを指定している そもそもデータベース
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
WAF除外ルールも作れるWordPressセキュリティプラグイン「SiteGuard WP Plugin」
普及率が高いぶんクラッカーから狙われやすいWordPress。セキュリティを高めて自衛しておきたいところですが、そんなセキュリティを高めるのにかなり良さげなプラグインがリリースされました。その名も「SiteGuard WP Plugin」。 WAF製品を提供しているJP-Secure社がリリースしたプラグインで、セキュリティ向上のための機能を複数持っています。 「SiteGuard WP Plugin」の持つ機能 「SiteGuard WP Plugin」は以下の機能を有しています。 管理ページアクセス制限ログインページ変更画像認証ログイン詳細エラーメッセージ無効化ログインロックフェールワンスピンバック無効化WAFチューニングサポート 1〜7までの機能は類似プラグインや、他の単一プラグインなどで導入することもできますが、8のWAFチューニングサポートはこのプラグインならではの機能だと言えま
匿名通信システム「Tor」を自宅のモデムにつなぐだけで実現できるルーター「anonabox」
IPアドレスを知られることなく、インターネット接続ができる匿名通信システム「Tor(トーア)」は、エドワード・スノーデン氏が暴露した監視システム「PRISM」に対しても効果があったことが極秘書類の中で明らかにされています。そんなTorで匿名化された安全なインターネット通信を、手持ちのモデムやルーターに接続するだけで実現してくれるTorルーターが「anonabox」です。 anonabox http://anonabox.com/home.php 「anonabox」の仕組み・機能・使い方などを説明するムービーは以下から見ることができます。 「anonabox」はTorを実行するために設計されたインターネット・ネットワーキングデバイスです。手持ちのモデムに接続するだけで使えるように作られています。 LAN入力・LAN出力・Micro-USB端子を搭載しています。 ◆anonaboxの仕組み
WordPressに仕込まれたマルウェアのコードが恐ろしすぎた
『Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース
スマホの周囲の会話はジャイロスコープ経由で盗聴可能
By Kārlis Dambrāns 近年のスマートフォンに必ずといっていいほど搭載されているのが、物体の角度や角速度を検出するためのジャイロスコープ。位置情報の精度を高める役割も果たしているので、iOS・Androidのアプリがジャイロスコープを利用するときは、特別な許可を取らなくても使うことができます。しかし、最新のジャイロスコープはスマートフォン周辺の音響信号を測定することが十分に可能なほど高性能になっており、スタンフォード大学の研究チームが「ジャイロスコープから得られる超長波情報をもとに、スマートフォンの周りで行われた会話の内容を認識可能なレベルにまで解析する」という、なにやらとんでもないことを成功させました。 Mobile Sensors Exploitation http://crypto.stanford.edu/gyrophone/ Gyrophone: Recognizi
【ヤバすぎ】アプリ誤操作で銀行口座のログイン情報や個人情報が大量にさらされている件
巷では海外セレブのヌード画像が再び流出している件が話題となっていますが、情報漏洩しているのは何もセレブだけとは限りません。 あるサイトに、銀行口座のログイン情報や各種個人情報を含む、大量のテキストデータがさらされています。 このサイトは主にプログラミングコードを公開して共有する目的で利用される「pastie」。 漏洩している情報の中には以下のように日本のオンラインバンクのログイン情報など機密情報が見つかりました。 他にも、ソーシャルネットワークのIDやパスワード、オークションのやりとり、メールのコピー(下書き?)なども見つかりました。 これらはほんの一例です。他にも大量の個人情報も漏洩しておりサイトを見ればみるほど空恐ろしくなります。 なぜこのようなことになっているのか? 原因は、iPhoneの脱獄アプリ「action menu」にあると見られています。「action menu」はテキスト
まさかの誤爆!LINE乗っ取り犯が“台本”を送信、その全文を公開 - 週刊アスキー
嘘のような本当の話。 編集部記者の知人宛てに、LINE乗っ取り犯からやり取りに使用する台本が送られてきたとのこと。本来、購入してほしい商品の写真を説明として相手に送信するつもりが、間違ってやり取りに使用する台本を添付したものだと思われます。 そのファイルの中には日本語と中国語の対応表のような例文が並べられ、「すみません、ちょっといいですか。」からはじまり、コンビニで指定した金券を購入するよう指示した内容になっています。なんと画像にして19枚分! あらゆるパターンに対応できるよう工夫されているのがわかります。 以下は、今回送られてきた台本の内容すべてになります。このようなメッセージが届いたときは注意しましょう。また、以前にLINEアカウントが乗っ取られたときの対処法を紹介しているので、もし乗っ取られてしまった際は参考にしてみてください。
アダルトサイトのDMから分かった顧客情報の漏えい原因
「ヘンなアダルトサイトのDMが来る」とレンタルショップ会社にクレームが来た。顧客情報の漏えいが判明し、調査に乗り出してみると、意外な部分が原因だと分かった。それは……。 九州のX県にあるレンタルDVDショップ運営のA社は、Y市に大きな本社ビルを構えて営業していた。X県だけで20店舗以上あり、近隣の県を含めた九州全体を商圏として計35店舗を展開していた。インターネット上でも活発に営業し、現在ではその売上が全店舗の売上の4割以上に匹敵するほどの成長をみせている。 そのA社で突如、情報漏えいが発生した。それは、L興業が運営する某アダルトサイトのダイレクトメール(DM)から発覚したのである。L興行は電子メールでも盛んに営業していたが、売上を伸ばすために今では珍しくDMを利用した。そのDMのあて名ラベルの左下に、小さくA社の顧客管理番号が印刷されていたのである。さて、今回はどういう状況だったのだろう
無料でアメリカやイギリスなどを経由して自分のIPアドレスを隠せるソフト「SafeIP」
アメリカ、イギリス、フランス、ドイツ、ポーランド、カナダなどを経由させることによって自分のIPアドレスを隠してネットを利用できるようになるのが「SafeIP」です。オンライン上で匿名性を高めることができるとともに、地域によってアクセスが制限されるサイトなども見ることが可能になります。 SafeIP - Free Anonymous Surfing http://www.freesafeip.com/ ページ上部にある「Download Now」をクリックするとダウンロードが始まります。 ダウンロードした「SafeIP.exe」をダブルクリック。 インストーラーは最初から日本語設定なので、このまま「OK」をクリック。 「次へ」をクリック。 使用許諾契約書を読み、「同意する」にチェックを入れた後に「次へ」を押します。 SafeIPをインストールするフォルダを指定して「次へ」をクリック。 デスク
Java更新版「Java 7 Update 13」、前倒しでリリース 攻撃の発生受け
Oracleは、脆弱性を突く攻撃が発生したことから定例パッチを前倒しで公開。AppleもMac OS X v10.6.8向けのJavaアップデートを公開した。 米Oracleは2月1日、Javaの深刻な脆弱性を修正した更新版の「Java 7 Update 13」を公開した。脆弱性を突く攻撃が確認されたことを受け、19日に公開予定だった定例のクリティカルパッチアップデートを前倒ししてリリースした。 同社のセキュリティ情報によると、今回のアップデートでは計50件の脆弱性に対処した。このうち44件は、Java Web StartアプリケーションやJavaアプレットを使ってWebブラウザ経由で悪用される恐れがある。危険度は50件のうち26件について、共通指標のCVSSベーススコアで最も高い10.0と評価。ユーザーに対し、できるだけ早くアップデートを適用するよう強く促している。 米Appleも同日、
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響
脆弱性に対処した更新版の「libupnp 1.6.18」が公開されたが、パッチが行き渡るまでには時間がかかる見通し。US-CERTでは、可能であればUPnPを無効にするなどの対策を促している。 ルータなどのネットワーク機器に広く使われている「Universal Plug and Play」(UPnP)に複数の脆弱性が確認された。大手メーカー各社の製品を含む数千万台が影響を受けるとされ、米セキュリティ機関のUS-CERTはメーカーやデベロッパーに対し、アップデートを適用して脆弱性を修正するよう呼び掛けている。 US-CERTが1月29日に公開したセキュリティ情報によれば、UPnPデバイス用のオープンソースポータブルSDKである「libupnp」にバッファオーバーフローの脆弱性が複数存在する。さらに、libupnpを使っているデバイスはWANインタフェース経由でUPnPクエリーを受け入れてしま
アカウント乗っ取りを防げ!Google2段階認証プロセスを設定する全手順
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
Tカードの問題 - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
朝日新聞で医薬品の購買履歴がCCCに説明なく送られているという記事が出ました。 これに関係して,CCCは個人情報の保護に関する法律に抵触している証拠を貼っておきます。 薬局関連では刑法の第百三十四条,第六十一条 ,第六十二条が関係します。 個人情報保護法では第二十四条が関係します。 *追記:担当者名を伏せ,その後のやりとりを追記しました。 まず,7月2日に問い合わせフォームから問い合わせを行いました。 その後のやりとりは以下の通り。 cs.tsutaya@ccc.co.jp cs.tsutaya@ccc.co.jp 7月4日 (13日前) To 自分 スギタニトモヒロ様 ご依頼をいただきました開示方法についてご連絡をさせていただきます。 弊社では、個人情報保護法に則り、開示には書面による申請を基本としており、 開示項目はT会員入会時にお預かりした登録個人情報(氏名・生年月日・性別・住所・電
カルピスの顧客情報約10万件が流出か、業務委託先で不正行為も
カルピスは7月13日、顧客の個人情報9万5689件がインターネット上に公開され、第三者に漏えいした可能性があると発表した。現在はデータを削除して閲覧できないようにしたといい、電話による専用窓口を開設するなどの対応を進めている。 同社によると、漏えいした可能性がある情報は2009年8~10月に実施いた「’09年秋のHAPPY REFRESH キャンペーン」で収集した個人情報。全体のうち5万4266件はキャンペーンに登録・応募した顧客のもので、氏名、フリガナ、郵便番号、住所、電話番号、メールアドレス、性別、年齢、応募した賞品コース、キャンペーンを知ったきっかけの情報(一部は任意)となる。残る4万1423件は、キャンペーンに登録したが応募をしなかった顧客のメールアドレスのみとなっている。 漏えいした可能性は7月5日に判明。キャンペーン参加者の個人情報がインターネット上に公開されているとの通報が外
アンドロイドアプリ情報サイト[アンドロイダー]
レビューサイト「アンドロイダー」サービス終了のお知らせ 2010年より運営してまいりました「アンドロイダー」は、 2017年6月30日(金)をもって、サービスを終了いたしました。 長きにわたりご愛顧いただき、心よりお礼を申し上げます。 アンドロイダーのビジネスについて アグリゲーション事業 端末メーカーや通信キャリア、各種メディアのご要望にあわせ。当社がアプリ開発者との窓口を担い、コンテンツやアプリのスピーディーなアグリゲーションを実現いたします。 事例: KDDI株式会社「auスマートパス」 株式会社NTTドコモ「スゴ得コンテンツ」 プライバシーポリシー
「Androidアプリのセキュア設計・コーディングガイド」、JSSECが公開
日本スマートフォンセキュリティフォーラム(JSSEC)は2012年6月11日、「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。Androidアプリの安全性の高いコーディング方法、サンプルコードとともに解説している。 ガイドではActivtyの作成と利用、Broadcastの送受信、Content Providerの作成と利用、Seviceの作成、SQLiteの仕様、ファイルの扱い、パスワード入力画面の作り方、PermissionとProtection Levelの扱いなどについてコーディングのルールを提示している。 また内容に対するパブリックコメントも受け付けている。「最新かつその時点で正しいとおもわれることをできるだけ記載・公開し、間違いがあればフィードバックをいただいて常に正しい情報に更新する」(JSSEC)。 「Androidアプリのセキュア設計・セキュ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、無料で2GBのドライブストレージをプレゼント セキュリティ診断を完了したユーザー向け
【やじうまWatch】パスワードの変更間隔、16日でも27年でも効果は大差なし? 定量的評価の結果が話題に -INTERNET Watch