Steven J. Vaughan-Nichols (ZDNET.com) 翻訳校正: 編集部 2018-03-16 15:42 新興セキュリティ企業のCTS Labsは、AMDの「AMD Ryzen」と「AMD EPYC」プロセッサに10を超える脆弱性を発見したと主張した。CTS Labsはイスラエルのテルアビブに本社を置く、これまであまり知られていなかった企業だ。しかし、Linus Torvalds氏はその主張をうのみにしていない。 Torvalds氏は以下のように記している。 「『BIOSや、CPUのマイクロコードが邪悪なものに変更された場合に、セキュリティ上の問題が発生する可能性がある』などと読めるセキュリティアドバイザリなど今までにあっただろうか?そういうことだ」(Torvalds氏) また、同じスレッドには、「私はたった今、あらゆるハードウェアに存在する欠陥を発見した。セキュア
コインチェックは3月8日、仮想通貨流出問題について会見で今後の対応を発表した(写真:ロイター/アフロ) コインチェックは3月8日、同社からのNEMの流出について発生原因の調査結果を発表した。発表によると従業員の端末がマルウェアに感染し、遠隔操作ツールによってNEMのサーバー上で通信傍受を行い、NEMの秘密鍵を窃取した上で、窃取した秘密鍵を利用して外部の不審通信先にNEMを不正送金したという。調査結果の詳細をレビューしないことには分からないことも多いが、どうにも釈然としない疑問点が残る。 なぜ端末がマルウェアに感染しただけで本番システムに入れたのかまず従業員の端末がマルウェア感染したとして、なぜ本番システムに侵入できたのだろうか。コインチェックのシステムはAmazon Web Serviceを利用しているが、AWSではシステム管理者権限を持つユーザーについて、多要素認証を使うことが推奨されて
Since the second half of 2017, Kubernetes has been gaining momentum in adoption as well as in its ecosystem support. We see more and more enterprises choosing Kubernetes for the orchestration of their cloud native deployments. This is in no small part thanks to the many enterprise-grade features added in versions 1.8 and 1.9, including many security-related constructs that make it easier to manage
しかも、取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反だよ。何回言ったらわかるの? たかがドメイン名(笑)とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る(「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報)くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ
TL;DR 平文のTCP/IPの通信では送信したデータの完全性は期待できないので、経路にはSSL/TLSを使いましょう TCP/IPはUDPと違い、信頼性のある通信を実現するためのプロトコルという説明がよくされる。なのでTCP/IPでやり取りしたデータは1bitの狂いもなく転送先に届くと思われがちだ。TCP/IPが信頼性のある通信を確保してると言われているのは下記の理由による。 1. データが届かなかった場合の再送処理がプロトコルに入っている 2. TCPパケットにペイロードのチェックサムがあり、不具合が検知されると修正もしくは再送される(ただし16bit) 3. IP層の更に下の層にチェックサムがあり、不具合が検知されると修正もしくは再送される(イーサの場合32bit) しかしチェックサムはそれぞれ16/32bitのため、昨今の超大量データを取り扱うにはかなり心もとない。 1. ざっくり
安全なパスワード管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの作成 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。
三浦瑠麗氏がフジテレビ「ワイドナショー」で発言した「大阪に多数のスリーパーセルがいる」について、批判が集まっている。 三浦氏は、ハフィントンポストの取材に答えた上で、批判に応える記事をブログに上げている。 冒頭申し上げておきたいのは、北朝鮮工作員は存在するということだ。 例えば、西新井事件や新宿百人町事件、あるいは数々の拉致事件に、日本に在住する工作員・諜報員が関与していたことは自明である。 諜報活動はどの国も行っている。イギリスの例で言うなら、諜報機関であるMI6の長官候補までなったキム・フィルビーが実はソ連のスパイであった、という例もあるわけで、当然日本の中にも諜報員が存在するであろう。 防諜が国家の重要な責務であることも論をまたない。 であるから、そこの点に関して、何も申し上げることはない。北朝鮮の工作員は存在し、その存在は日本にとって脅威である。それは論点ではない。 問題は、三浦氏
はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当によくできると思いました。フレームワークの意味について考えさられます。 HTTPSの通信 HTTPSの通信はTCP/IPプロトコルスイートとして、TCPの上層にSSL/TLSがあり、アプリケーションプロトコルのHTTPプロトコルが載って通信をしています。 コネクションとセッションは通信の概念として別になります。TCPでクライアントからWebサーバに対してコネクション(経路)が確立され、その上でセッシ
最終更新日:令和元年9月18日 更新履歴:平成30年12月20日 平成30年10月1日 平成30年3月12日 平成30年2月6日 全国銀行協会が、クレジットカード番号やセキュリティコード(CVV)をお伺いするようなことは一切ありません。また、お客さまの取引番号や暗証番号、パスワードをお伺いすることもありません。 全国銀行協会の公式ウェブサイトを騙るフィッシングサイト/偽サイトの存在が確認されています。銀行口座・パスワード、クレジットカード番号・セキュリティコード(CVV)を入力させるフォームも存在するため、ご注意ください。 ◆偽サイト 当協会の公式ウェブサイトは https://www.zenginkyo.or.jp/ となりますのでご確認のうえ、ご利用ください。 また、銀行協会職員や銀行員等を名乗り、言葉巧みにお客さまの口座情報や暗証番号を聞き出そうとする事例や、偽サイトが表示されたスマ
2度のインシデントが示す安全なシステムへの理解不足勤勉な国民性を持ち、システムの運用を行わせれば確実に仕事をこなすことで世界的にも知られている日本において、Mt. Gox事件に続く、2回目の取引所における大きなインシデントが発生した。筆者は、以前より、日経IT Proの連載「ブロックチェーンは本当に世界を変えるのか」(大幅加筆をして書籍『ブロックチェーン技術の未解決問題』として出版)において、ブロックチェーンを用いたシステムにおけるセキュリティ確保の難しさを解説し、スタンフォード大学で行われたブロックチェーンのセキュリティに関するトップの会議であるBlockchain Protocol Analysis and Security Engineering 2017 (BPASE 2017)、IEEE Security & Pricvacy on the Blockhcain(IEEE S&B
テザー(Tether)のスキャンダルで仮想通貨に不安が走っています。1月31日、米国商品先物取引委員会(CFTC)がテザーとビットフィネックス(Bitfinex)に対して召喚状を送りつけました。それが今回の仮想通貨の全面的な下げの引き金になっています。 まずビットコイン。今日は-13.7%下げました。 次にイーサリアム。今日は-9.0%下げました。 次にXRP、今日は-18.25%下げました。 なぜテザーへの召喚状がこれほどのインパクトを持つのでしょうか? この謎を解くにはテザーという仮想通貨の価値提案を理解する必要があります。テザーは「ドルとの1:1の交換比率を維持する」ことを約束しています。つまり「余り変動しない仮想通貨」なのです。 余り変動しないということは、トレーディングの対象としては面白くありません。 しかしいつでもドルと1:1で交換できるからこそ、その他のいろいろな仮想通貨に投
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く