by Drew Stefani 自分が家にいない間に不審者が侵入していないか、あるいは留守番中のお年寄りや子ども、ペットは問題なく過ごしているかなど、セキュリティ目的でネットワークカメラを設置している人は少なくありません。しかし、ネットワークカメラに侵入して映像をのぞき見ることができるソフトウェアがわずか3000円で販売されていて、カメラのIPアドレスリストも流通していることがわかっています。 大量家庭摄像头遭入侵 你家的摄像头安全吗？-中新网 http://www.chinanews.com/sh/2017/06-19/8254561.shtml 中国・央视网の記者によると、販売されていたのは隠されているカメラのIPアドレスをスキャンするソフトウェアと再生用ソフトウェア、詳細な取扱説明書のセットで、価格は188元(約3100円)。央视网の記者が接触した販売者の場合、1日の稼ぎは500元(

本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日　CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない

4月に入り、「Android」と「iOS」のパッチが相次いでリリースされたことで、スマートフォンのある機能を担う部品が、格好の標的の1つとしてにわかに注目を集めている。それは、複雑さを増していながら、攻撃への防御が手薄なWi-Fiチップだ。 「iPhone」のユーザーは、Googleの「Project Zero」のセキュリティ研究者Gal Beniamini氏に感謝すべきだろう。同氏のおかげで「iOS 10.3.1」がリリースされ、攻撃者がiPhoneのWi-Fiチップを悪用してコードを実行できないよう修正されたからだ。このバグは、「iPhone 5」から「iPhone 7」までのモデルに存在している。これらのモデルはすべて、大半のスマートフォンと同じく、BroadcomのWi-Fiシステムオンチップ（SoC）を搭載している。 また、Androidデバイスの多くも、Beniamini氏がB

エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正　安全確保のため情報公開を先送り Make WordPress Core Conten

Googleのクラウドは間違いなく世界最大規模のコンピュータシステムです。膨大なハードウェアとソフトウェアから構成されるこの巨大なシステムを、同社はどうやってセキュアに保っているのか。そのことを解説したホワイトペーパー「Google Infrastructure Security Design Overview」が公開されました。 ホワイトペーパーには、Googleのデータセンターを構成するデバイスの1つ1つにまで独自のセキュリティチップを組み込んで正規のデバイスかどうかを相互に認証するという物理レベルのセキュリティから、何層のものロードバランサーからの情報を集約してDos攻撃を検知すると、その通信を破棄するといったDoS対策。 そしてマシンも従業員もサービスも包括するグローバルな名前空間など、きわめて広範かつ綿密なセキュリティ施策が説明されています。 クラウドがいかに高度なセキュリティで

2016年8月22日頃から、日本の複数サイトで接続し難い、あるいは出来ないといった事象が確認されています。ここでは関連情報をまとめます。 サーバー(Webサイト)への接続等で障害発生しているサービス、サイト 各サイトのTwitter等での発表をまとめると次の通り。 障害発生元 発生原因(運営元発表抜粋) さくらインターネット DoS攻撃、あるいは攻撃と思われる 技術評論社 サーバへのDoS攻撃が検知されたことを受け，サービスが提供できない状態 スラド DDoS攻撃の影響 はてな さくらインターネットDNSサーバー障害に起因 したらば掲示板 ネットワーク障害 ふたば★ちゃんねる サーバ会社よりDoS攻撃との報告 小説家になろう 上位回線の管理会社よりDos攻撃を受けているとの連絡 OSDN DDoS 攻撃の影響 Feeder 全サーバがDDoS攻撃を受けており、サービスをご提供できない状態

徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。 セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ

アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側から他人の車を操作する実証ビデオも公開している。 セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。 詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、個々の車に割り当てられている車両識別番号（

IoT機器の利用が広がるにつれ、IoT機器のセキュリティ対策が重要となりつつある。本稿では、具体的な事例とともに、IoTにはどのような脅威が存在するのか指摘しつつ、その対策について解説していく。 一般に、情報機器のセキュリティ対策では、「機密性（Confi dentiality）」、「完全性（Integrity）」、「可用性（Availability）」――の3つの要件、いわゆる「CIA」が重要とされる。機密性は、盗聴や不正アクセスの脅威に対し、アクセス権限を持つ者だけが情報にアクセスできること。完全性は、破壊や改ざんされることなく、情報を正常な状態で維持することを指す。可用性は、サイバー攻撃やシステム障害が発生しても、情報へのアクセスが継続できることである。 以降では、これらの3つの要件について、具体的な例を挙げて説明していこう。 機密性：強固なパスワードと機器の隔離で対処 IoT機器に

IoT分野におけるエアギャップ 知られていない脆弱性がIoT機器に潜在する可能性があることを考えると、サイバー攻撃により莫大な損害を被ることや、人命に危害が及ぶ事態に陥ることも予想される。このためIoT機器がインターネットなどの外部から直接操作できる状況にあることは極めて危険である。その対策の1つとして「エアギャップ」と呼ばれる物理的な隔離手法がある。 厳密な意味のエアギャップは、図8の（a）に示すように、IoT機器と外部（インターネットを含む）との間をネットワークでつながずに物理的に切り離した状態を指す。IoT機器との情報の出入りは、USBメモリーなどの外部記憶媒体、あるいは、保守用パソコンを介することで、外部からIoT機器への直接のサイバー攻撃を回避できる。その作業は専門知識を持った技術者が作業することが一般的である。 一方、IoT機器が普及すると、OSやアプリケーションの自動的なアッ

ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ

総務省は、日本年金機構や長野県上田市など公的機関で相次いだサイバー攻撃事件を受け、「自治体情報セキュリティ対策検討チーム」を立ち上げた。2015年7月9日に第1回会合を開催。8月12日に中間報告を公表した（写真1、関連記事：マイナンバー見据え専門人材組織化で自治体のサイバー攻撃対策支援、総務省）。 チームの構成員はセキュリティの専門家や弁護士、自治体の情報システム担当者7人。このうち自治体代表の3人は、IT活用先進自治体として知られる京都府や神奈川県藤沢市の担当者に加え、上田市総務部広報情報課の佐野茂樹係長も名を連ねる。 この連載で触れてきたように、佐野係長は、外部機関からのサイバー攻撃に関する通知を受けてから、緊急対応の最前線に立ち続けてきた（［1］を参照）。「サイバー攻撃を受けて迷惑を掛けている状況で、検討チームの構成員はとても引き受けられないと固辞した。だが、猿渡知之大臣官房審議官か

スマートフォン（スマホ）でメッセージをやりとりする無料通話アプリケーションのLINEを運営するLINE株式会社（東京・渋谷）は8月5日、LINEのセキュリティ上の欠陥（脆弱性）を報告した人に対して500～2万ドル（約6～250万円）の報奨金を支払うと発表した。報告は8月24日から9月23日まで受け付け、報奨金の額はLINEが重要度に応じて決めるという。 LINEは、今までにもたびたび脆弱性が報告され、その都度改善されてはいるものの、安全性に疑問を投げかける声は依然として強い。日々進化を続けるインターネットにあって、「これで絶対安全」「将来にわたって不安はない」といえるセキュリティなどあり得ないだろうが、その時々において最善と考えられる手段を講じてもらいたい。そうでなければ、日本国内だけでも5200万人に上るといわれるLINE利用者は安心できない。 LINEは、Facebookなどのソーシャ