「もはやネットに『安全地帯』はなくなった」、専門家が警鐘
「2007年のインターネットセキュリティを振り返ると、その特徴の一つは、正規のWebサイトに攻撃キットが仕掛けられるケースが増えたこと。怪しいサイトにアクセスしなくても被害に遭う可能性がある。今や、インターネットに『安全地帯』は存在しない」――。米シマンテック セキュリティレスポンス ディレクターのケビン・ホーガン氏は2007年11月30日、報道陣向けの説明会において、2007年のセキュリティ動向などを解説した。 ホーガン氏は2007年の特徴として、プロ用の攻撃キット(攻撃ツール)が広く使われるようになったことや、信頼されているブランドが悪用されるようになったことを挙げる。 代表的な例が、「MPack(エムパック)」や「IcePack(アイスパック)」といった攻撃キットが、有名な企業/組織のWebサイトに仕掛けられるケース。脆弱(ぜいじゃく)性があるソフトウエアを使っている環境では、そうい
Immortal Session の恐怖 : 404 Blog Not Found
2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残
SSLってそんなに重要なんですか・・・?
http://takagi-hiromitsu.jp/diary/20071117.html#p01 セキュリティの専門家はそんな風にいうかもしれないけど、 なんとなく地銀の内部事情も窺い知れるというもの。 そもそも武銀のネットバンクにどれだけユーザーがついているのか。 異常な入出金なんて人間系ですべてチェックできるレベルなのではないか。 そんなレベルなんじゃないの? 設計が悪いという指摘はごもっとも。 だが、そもそもその手の地銀が自前でシステムを構築してないんじゃないか? サーバー運用まるごと委託している可能性の方が高い。 担当者の銀行に対する説明が不十分であるのは否めないが、 たいしてユーザーがいなそうなサービスだから相乗りさせている可能性は非常に高い。 認証をとってしまうとある銀行の負荷が増えて参照サーバーをちょっと動かしちゃえなんていう離れ業ができなくなる。 逆にいうとそういう離れ
「非公開」でも「拒否設定」しないと グーグル・ロボットで「情報流出」
Winnyなどでの情報流出が相次ぐなか、今度は検索エンジン経由の情報流出が発覚した。サーバーにアップロードしていた資料が、検索エンジンの「ロボット」に引っかかるようになっていた。ロボットから逃れるには、明示的に巡回を拒否するという設定が必要だ。 作業ミスで外部からアクセスできる状態に 流出したのは、NHKの子会社「NHKエンタープライズ(NEP)」が文化庁から企画運営を委託されているイベント「国際文化フォーラム」に関連する資料だ。同イベントは奈良市で2007年11月10日に開幕。開会式には秋篠宮ご夫妻もご出席なさったが、流出した資料には、ご夫妻の日程や宿泊先、会場の見取り図も含まれていた。 文化庁が11月12日、グーグルで資料の内容が検索できることをNEPに指摘して問題が発覚した。 NEPが調査したところ、問題のデータは、同社の契約スタッフが試用していたサーバーに保存されていたもので、元々
無線LANのWEP/WPAキーを表示するフリーソフト「WirelessKeyView」 - GIGAZINE
無線LANの設定も昔ほど複雑ではなく、全自動でかなりセキュリティの高い設定ができるようになっている機種も増えていますが、それに伴って「一体自分の無線LANのWEPキーは何なのか?」というのが万が一の際にまったくわからないという事態も増えています。そういう際に役立つのがこのフリーソフト「WirelessKeyView」です。 使い方は至って簡単、起動するだけ。それだけでWindowsのWireless Zero Configurationを使ったWEP/WPAキーが表示されます。ただ表示するだけでなく、テキストファイルにして保存したり、HTML形式のレポートにしたり、クリップボードに直接コピーすることもできます。 ダウンロードと使い方は以下から。 WirelessKeyView: Recover lost WEP/WPA key stored by Wireless Zero Configu
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
Expired
Expired:掲載期限切れです この記事は,ロイター・ジャパンとの契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
ぼくはまちちゃん! こんにちはこんにちは!! (1/5)
古くからのmixiユーザーであれば、“はまちちゃん事件”を覚えている人も多いだろう。2005年4月、mixiで大勢のユーザーが“ぼくはまちちゃん!”というタイトルを付けた、謎の日記を次々に公開するという怪現象が起こった。 きっかけとなったのは、あるユーザーが投稿した日記。その日記の本文には「こんにちはこんにちは!!」という言葉とともに“あるURL”が貼り付けてあった。 このURLが罠で、不思議に思って押すと、クリックしたユーザーのページに“ぼくはまちちゃん!”というタイトルで同じ文面/URLの日記が勝手にアップされてしまうのだ。 投稿は“ねずみ算”的に増え、一時は混乱状態に…… さらに、勝手にアップロードされた日記を見て「友達が変な日記を書いている」と興味を持った友達がURLをクリック……。mixi内には“ぼくはまちちゃん!”という題名の日記が“ねずみ算式”に増えていき、一部のユーザーを混
ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
ITmedia エンタープライズ:ソニーのUSBメモリに「rootkit的」技術
これらUSBメモリに付属するソニーの指紋認識ソフト「MicroVault USM-F」のドライバは、「c:\windows\」のディレクトリの下に隠れる形でインストールされるという。Windowsディレクトリ内のファイルとサブディレクトリを一覧表示しても、Windows APIではこのディレクトリとファイルが表示されない。 しかし、ディレクトリ名を知っていれば、コマンドプロンプトを使ってこの隠しディレクトリに入り込み、新しい隠しファイルを作ることも可能だ。しかも一部のウイルス対策ソフトでは、このディレクトリ内のファイルは検出されない。つまり、理論的にはマルウェアがこの隠しディレクトリを利用することが可能になるとF-Secureは分析する。 MicroVaultソフトは指紋認証を守る目的でこのフォルダを隠しているのだろうが、rootkit的な隠し技術を使うのは適切ではないとF-Secureは
MOONGIFT: » 本当は怖い家庭の無線LAN「KisMAC」:オープンソースを毎日紹介
FONが徐々に増えてきたように感じている。ミーティングの前に少し調べておくと、その付近で幾つか無線LANのスポットがあることが分かる。と同時にその付近に他の無線LANの信号が確認できる。 WEPを使って暗号化を行っているので安心と思っていないだろうか。個人的にはANY接続にする意味はないと思うのだが、意外とSSIDが拾えるスポットは数多い。付近の無線アクセスポイントを知るためのツールがこれだ。 今回紹介するオープンソース・ソフトウェアはKisMAC、無線アクセスポイント詮索ソフトウェアだ。 KisMACは指定した無線LANを使って、周囲のアクセスポイントを探査、表示できる。SSIDや暗号化の種類、BSSID、シグナルの強さ、ベンダー、チャンネルといった情報を一覧表示できる。 ほかにもGPSによる位置情報取得や、それらをマッピングする機能もある。一見しただけではお役立ちユーティリティという感
高木浩光@自宅の日記 - ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える
■ ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では、「無線LANアクセスポイントのMACアドレスを知られると、住所を知られることになる」という状況が生じ始めていることついて書いたが、そのリンク元に、それがもたらす被害の具体例としてストーカー被害を挙げている方がいらした。同じことについて私なりに書いてみる。 ストーカーに自宅を特定されて付き纏いなどの被害に遭っている被害者が、ストーカーから逃れるために転居することがしばしばあるようだ。勤務先を特定されていない場合や、転居先がそこそこ遠方であれば、その対処が有効なのだろう。 しかし、無線LANが普及した現在、平均的な家庭には無線LANアクセスポイントの1台や2台は設置されているであろう。自宅を特定したストーカーは、自宅前で無線LANパケ
Wi-Fi接続からクッキーを盗み見るツール | WIRED VISION
Wi-Fi接続からクッキーを盗み見るツール 2007年8月 9日 ハッキング コメント: トラックバック (1) Scott Gilbertson 2007年08月09日 セキュリティー関連会議『Black Hat USA 2007』がラスベガスで7月28日〜8月2日(米国時間)に開催された。 聞くだけでも恐ろしい話がすでにいくつか紹介されているが、英国放送協会(BBC)は、攻撃者がWi-Fi接続を通じてクッキーを見ることが可能になる方法を示したデモについて報じた。 Errata Security社のRobert Graham氏が作った2つのプログラム、『Hamster』と『Ferret』は、Wi-Fiのユーザーがウェブメールやソーシャル・ネットワーキング・サービス(SNS)のアカウントにログイン/ログアウトする際に、Wi-Fiのトラフィックをかぎ回り、クッキーを取得する。 攻撃者は、ユー
「PtoPネットワークは国家安全保障上の脅威」:米議員らが指摘
複数の米連邦議員が米国時間7月24日、PtoPネットワークは「国家安全保障上の脅威」をもたらす可能性があると指摘した。その理由は、米連邦政府の職員らがPtoPネットワークを通じて彼らのコンピュータに保存されている国家機密文書や極秘扱いの文書をうっかり漏えいする恐れがあるためだという。 政府改革委員会の委員長を務めるHenry Waxman議員(カリフォルニア州選出、民主党)は、この問題に関する公聴会で、問題の解決に向けた新法制定を検討していると語った。ただ、詳細は示さなかった。Waxman氏は、米国の国家機密事項が書かれた文書が他国政府、テロリスト、犯罪組織の手に渡る可能性に頭を悩ませているという。 また同公聴会では、PtoPソフトウェア「LimeWire」の開発元であるLime Wireの会長、Mark Gorton氏が、同製品の販売を通じて国家の安全を脅かしているとして激しく非難された
たった2行でできるWebサーバ防御の「心理戦」 − @IT
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
Greasemonkey スクリプトは安全ではありません
■ Greasemonkey スクリプトは安全ではありません Webアプリケーションセキュリティフォーラム の奥さんと高木先生のバトルより。 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 Greasemonkey には超絶便利な GM_xmlhttpRequest があるので、どのウェブサイト上でスクリプトを動かそうが、あらゆるサイトにアクセスする事が可能です。この観点から考えると、クッキーが漏洩するどころの騒ぎではありませんし、スクリプトを有効にするドメインが限られていた所で大した意味はありません。例えば Google Search を便利にするようなスクリプトに、mixi のパスワードを任意の値に変更させるようなトロイを仕込む事も難しくないでしょう(実際に作って試しました*1)。もちろん対象サイト上に、XSS や CSRF の脆弱性がなく
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
ワンクリック詐欺対策の『無視』が通用しない危険な例*ホームページを作る人のネタ帳
自動車キーロック・盗難防止装置の暗号を簡単に破る攻撃法が発見される - Engadget Japanese
マスコミが報じない危険な航空会社リスト