クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国家安全保障局(NSA)は3月初旬にサンフランシスコで開催されるセキュリティカンファレンスRSA Conferenceで、リバースエンジニアリングツールを披露する。その後、オープンソースソフトウェアとして公開される予定だという。 公開されるのは「GHIDRA」という名前の逆アセンブラだ。逆アセンブラとは、実行ファイルからアセンブリ言語を生成して、人間による解析を手助けするソフトウェアのことである。 NSAは2000年代の初めにGHIDRAを開発し、数年前から、さまざまなマルウェアや疑わしいソフトウェアの内部の仕組みを調べるサイバーチームを擁するほかの米政府機関と同ソフトウェアを共有している。 GHIDRAの存在は国家機密というわけでは
最終退社時の自分の机 2012年に修士卒からの新卒でNTT研究所に入り、6年間お世話になりました。 研究所では同期や先輩や後輩や上司に恵まれ、存分に書籍や論文を読んで勉強して力を蓄えたり、対外的な発表の場にも恵まれ外ではできないような体験をすることができました。 ありがとうございました。 入社当時に作られたtogetterを見返すと togetter.com togetter.com まるで昨日のように感じられる。 NTT社内で僕が何をやっていたかについては言える物は軒並みアウトプットされているのでわざわざここでは触れない。 NTT研究所について NTT研究所を客観的に見た時にどうかを書いていく とにかく人に恵まれている。採用の倍率が高いのもあって潤沢な学生エントリーからよりすぐりのエリートが謎の力でポテンシャルを見極められて採用されている。同期を見てひと目ですごい奴も居れば、一見してわか
Theme 第 35 回のテーマは Security の Bug Bounty 編です。 今回は、脆弱性報奨金制度(Bug Bounty)のしくみについて、 Bug Hunter として報告をする側である @kinugawamasato さんと、報告を受け付ける側である @k2wanko さんと、 @hnagatomo さんをお呼びして議論しました。 報告する側 ハンターは何を見ているか ハンターにとっての報告制度 報告しやすさ CSP と脆弱性 バグハントを始めたい人へ 報告される側 なぜ報奨金制度を行うのか プラットフォームと自前運営 評価の難しさと CVSS 成立するが CSP でブロックされるバグはどう扱うか 報奨金制度を始めたい人へ これらを踏まえ、 Web セキュリティで 今何が起きているのか、 これからどうなっていくのか について議論しました。 Show Note 脆弱性報奨
by Sh4rp_i ここ10年間に製造されたIntelのプロセッサに、設計上の欠陥が見つかりました。最悪の場合、パスワードやログインキー、キャッシュファイルなどが格納されたカーネルメモリーの内容を読み取られる恐れがあるとのことなのですが、Intel x86ハードウェアに存在する欠陥のため、マイクロコードアップデートでは対応不可能で、各OSがソフトウェアレベルで修正をかけるか、バグのない新たなプロセッサを導入する必要があるとのこと。 'Kernel memory leaking' Intel processor design flaw forces Linux, Windows redesign • The Register https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/ このバグは、データベースアプリケーショ
macOS Sierraへアップグレードする前に確認しておきたい機能や、注意点をまとめました。詳細は以下から。 日本時間2016年9月21日にリリースされるmacOS 10.12 Sierraでは様々な新機能や利便性・パフォーマンスの向上が行われていますが、そのアップグレードに伴いいくつかの機能が廃止され、新機能が原因の不具合が発生しているようなので、それぞれ注意点をまとめました。 システム要件 AppleはmacOS 10.12 SierraでアップグレードできるMacのハードウェア条件をEl Capitan時のハードウェア条件から引き上げ、Late 2009以降のiMacおよびMacBook, Mid 2010以降のその他のMacがアップグレードできるようになっていますが、
■ [Security] Webとセキュリティとソフトウェア工学 超久しぶりに、かつ真面目な内容で更新です。 徳丸浩さんのTwitterでの 何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない / “一般ブロガーがAmazon Web Service(AWS)で独自ドメインのWordpressサイトを10分で作る方法…” に対して、 山田さんの(恐らく)達観したコメント「こうやってセキュリティが素人プログラマーや、見習いプログラマーを殺すんだろうなぁ。想像していたとはいえ、現実になってくると絶望しかない。」 を、 奥くんのコメント経由で見たわけです。 正直なところ、徳丸さんの元のコメントには100%同意で、山田さんもわかった上での達観なんだと思うのです(少なくとも「批判」ではないと思う)が、 ソフトウェア科学→セキュリティ→ソフトウェア工
はじめに 概要 本記事は、Windows用のソフトウェアのインストーラに潜むセキュリティ問題につき注意喚起するものです。 影響範囲 対象 OS: Windows Vista以降 ※検証はWindows 10 で行っております ※サーバ系のWindows OSも同様と推測しますが、対象範囲は把握しておりません ソフトウェア: 多数あると推測しています ※どの程度のソフトが該当するか詳らかには把握しておりません ※あくまで、個々のインストーラ作成者の設計上の問題であって、インストーラ作成ツールやフレームワークそのものの問題ではないという認識です 影響およびタイミング 当該ソフトや関連ソフト ( ブラウザ、プラグイン等 ) の脆弱性、バグ、あるいはユーザの誤動作による影響 ( ファイル、レジストリ改ざん等 ) が、システム部分にも拡大するおそれがあります ※新たに脆弱性ができる訳ではないため、影
JVNVU#94598171 Samsung Galaxy S にプリインストールされた SwiftKey が言語パックのアップデートを正しく検証しない脆弱性 Samsung Galaxy S にプリインストールされている、SwiftKey SDK を用いたキーボード機能には、言語パックのアップデートを正しく検証しない脆弱性が存在します。 Galaxy S4 Mini Galaxy S4 Galaxy S5 Galaxy S6 国内携帯大手 3社によると、3社で販売している日本国内向けのこれらの製品は、本脆弱性の影響を受けないとのことです。 Samsung Galaxy S における SwiftKey 言語パックのアップデート機能の実装には、skslm.swiftkey.net との通信を HTTP で行う脆弱性が存在します。攻撃者は中間者 (man-in-the-middle) 攻撃によ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報を盗むトロイの木馬が含まれたバージョンのオープンソフトウェア「Putty」のクライアントが出回っていることが明らかになった。 Symantecの研究者によれば、開発者のプライバシーや安全性を侵害する可能性のある、オープンソースSSHクライアントPuTTYの非公式バージョンが配布される事例が見つかっている。 Simon Tatham氏が開発したPuTTYは、世界中のウェブ開発者、管理者、ITスタッフに利用されている。このクライアントは協調作業やITプロジェクトの作業で使われており、暗号化された接続を通じてリモートサーバに接続するのに使用される。 しかし、今回はPuTTYのオープンソースであるという性質が悪用された。 トロイの木馬バージ
HashiCorp 社から、新たなソフトウェアである Vault by HashiCorp がリリースされました。 - HashiCorp Blog: Vault この Vault について、Getting Started を一通り実施した後に Docs の一部を確認してみたので、簡単にその内容をまとめてみます。 Vault とは何なのか Vault を一言で言うと、機密情報(Secret) を管理するツールです。 これだけ IT が広がっている現在、機密情報の範囲も広がり続けており、データベースにアクセスするためのユーザ/パスワードや、連携するシステムの API キー等、多岐に渡ります。こういった情報、おまえのところのシステムではどう管理してた?XML に生で書いてる、あるよねそういうの。jdbc.properties に直書き、うんうんわかるわかる。ちょっとがんばったら crypt で
Breaking av software 市場に出回っているアンチウイルスソフトウェアの脆弱性についての研究発表のスライド資料が公開されている。 アンチウイルスソフトウェアは、セキュリティ向上のために重要だという意見があるが、このスライド著者は疑問を投げかけている。そもそも、ソフトウェアの追加は、攻撃できる箇所が増えるということだ。アンチウイルスソフトウェアは果たしてセキュアに作られているのか。 特に、多くのアンチウイルスソフトウェアは、カーネルドライバーを使ったりしている。もし脆弱性があればとんでもないことだ。 アンチウイルスソフトウェアの攻撃手段としては、細工されたファイルフォーマットをスキャンさせる事が大半だ。アンチウイルスソフトウェアは、様々なフォーマットのファイルをパースする必要がある。もし、そのパーサーにバッファーオーバーフローなどの不具合があれば任意のコードを実行させることが
Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 2014-12-09 03:40:07 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 2014-12-09 03:45:03 Hiromitsu Ta
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Mac」をマルウェアから保護するには、Appleが提供している「XProtect」だけで十分だと考えるユーザーもいる一方で、Macを導入しているほとんどの企業はそのように考えていない。独自のマルウェア対策ソフトウェアを開発したGoogleもそのうちの1社だ。 GoogleのMacintosh Operationsチームによって開発された「Santa」というソフトウェアは、「バイナリコードをブラックリストとホワイトリストで管理する」ものだ。 Googleはこのツールを、他の人々も貢献できるオープンソースプロジェクトとしてGitHub上で公開した。Macintosh Operationsチームは、「OS X」向けのこのセキュリティツールの
突然の変更はMacの開発者にとってはいい迷惑だ。 アップルは今週月曜日、現行版のMac OS X 10.9 Mavericksに搭載されているデジタル署名ツールを使用して「再署名」しない限り、古いMac OS向けアプリケーションの多くが起動しなくなるだろうとデベロッパーに伝えた。この突然の変更に多くのデベロッパーは不満を感じている: No biggie, only 40 of my apps will break after https://developer.apple.com/library/prerelease/mac/technotes/tn2206/_index.html#//apple_ref/doc/uid/DTS40007919-CH1-TNTAG205 … is instituted: — Landon Fuller (@landonfuller) Aug 5, 2014
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く