ヤマト運輸の対応が素晴らしかった
クロネコヤマトモバイルサイトで情報流出があり読売新聞で取り上げたられた件に関し、早速ヤマト運輸で対応が取られ、発表がありました。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について|ヤマト運輸 この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。 自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。 今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しま
クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
ヤマト運輸は10月25日、同社が提供している会員制サービス「クロネコメンバーズのWebサービス」の携帯電話版で、特定のスマートフォンから特定のアプリケーションを利用し、「クイックログイン機能」を使った場合に、本人と別のユーザーのページにログインができてしまう問題があったと発表した。現在は、クイックログイン機能を修正し、パスワードの入力が必須となっている。 同サービスは、荷物の集荷依頼や再配達依頼などがWeb経由で可能にするもの。同社が調査したところ、1人のユーザーのページに、別の2人がログインしており、メールアドレスや住所、電話番号などを閲覧できる状態になっていた。該当のユーザーには個別に対応しているという。 問題となったのは、ログインID/パスワードを入力せずに認証を行う「クイックログイン機能」(かんたんログインと表記するサイトもある)。多くの携帯電話向けサイトで実装されているこの機能は
iPhoneで他人の情報…携帯ID認証に穴(変更前: 「iPhoneで人の情報丸見え…閲覧ソフト原因」) : 社会 : YOMIURI ONLINE(読売新聞)
高機能携帯電話・スマートフォン「iPhone(アイフォーン)」で携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を“盗み見”してしまった――。 アイフォーン利用者の間でそんなトラブルが起きている。本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の識別番号(携帯ID)を付与して一般の携帯電話に「なりすまし」て、サイト閲覧を可能にするソフトが原因だ。会員の情報が漏れていた宅配大手「ヤマト運輸」(東京都)では、サービスの一部を停止し、被害状況の調査を始めた。 トラブルが起きたのは、ヤマト運輸の「クロネコヤマトモバイルサイト」。サイト上で集荷や再配達の依頼をできるサービスで、9月末現在、パソコンでの利用者を含め約560万人が登録しているが、氏名、住所、電話番号、メールアドレスなどの登録情報を他人が閲覧できるケースが確認された。 少なくとも2人から閲覧されていたことが分かった首
Kasperskyのサイト改ざん ユーザーを偽サイトに転送
ハッカーが大手セキュリティ技術企業に大恥をかかせた。Kaspersky LabのWebサイトが週末にハッキングされ、セキュリティソフトを求める顧客を、偽ソフトのダウンロードを勧める外部ページに転送していた。 10月17日に、ユーザーがKasperskyの米サイトからソフトをダウンロードしようとすると、「Security Tool」という偽ウイルス対策ソフトをダウンロードさせるマルウェアサイトにリダイレクトされた。Security Toolを実行すると、多数の脆弱性とセキュリティ脅威が見つかったと報告するポップアップウィンドウが表示され、これらの問題を修正する完全版のソフトを購入するようユーザーを脅かした。 ユーザーはさまざまなオンラインフォーラムにこの攻撃のことを書き込んだが、Kasperskyはいかなる侵害も起きていないと否定した。日本法人の社員と思われる人物が、問題は修正されたと書き込
会社PC危ない!アダルトサイト詐欺急増、衝撃の手口 (1/2ページ) - MSN産経ニュース
入会金を振り込みを求める画面と、アダルト画像が繰り返し表示され、それを消すことができない(一部モザイク) 会社のパソコンでアダルトサイトに接続したらウイルスに感染し、パソコンの電源が入っている間はずっとH画像が表示されたままに。表示を止めたければ金を支払えというメッセージが出てきたので、仕方なく払ったが、止まらなかった…。こんな新手のネット詐欺が横行し、サラリーマンらから消費センターなどに相談が相次いでいる。(夕刊フジ) 会社の仕事用パソコンで起きたトラブルは本来なら、会社に相談すべきこと。だが、アダルトサイトを見ようとしたら…なんて口が裂けても言えない。対応に困ったサラリーマンが、東京都消費生活総合センターや情報処理推進機構(IPA)の相談窓口に駆け込むケースが増えている。 手口はこうだ。アダルトサイトや大事件・事故の衝撃映像、画像を掲載するブログなどにつながるサイト入り口から先に進もう
高木浩光@自宅の日記 - 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7)
■ 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) 21日の日記で示したMELIL/CS(旧型)の構造上の欠陥について、その仕組みをアニメーションで表現してみる。 まず、Webアクセスの仕組み。ブラウザとWebサーバはHTTPで通信するが、アクセスごとにHTTP接続は切断される*1。以下のアニメ1はその様子を表している。 このように、アクセスが終わると接続が切断されて、次のアクセスで再び接続するのであるが、ブラウザごとに毎回同じ「セッションオブジェクト」に繋がるよう、「セッションID」と呼ばれる受付番号を用いて制御されている。 なお、赤い線は、その接続が使用中であることを表している。 次に、「3層アーキテクチャ」と呼ばれる、データベースと連携したWebアプリケーションの実現方式について。3層アーキテクチャでは、Webアプリケーションが、Webサーバからデータベー
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
Unicodeで拡張子を偽装された実行ファイルの防御方法 - 葉っぱ日記
「それ Unicode で」などで紹介されている、Unicode の U+202E (RIGHT-TO-LEFT OVERRIDE; RLO)を使って拡張子を偽装された exe ファイルの実行を抑止する方法を思いついた。 メモ帳を開いて、"**"と入力する(前後の引用符は不要)。 "*"と"*"の間にキャレット(カーソル)を移動させる 右クリックで「Unicode 制御文字の挿入」から「RLO Start to right-to-left override」「RLO Start of right-to-left override」を選択 Ctrl-A で全て選択、Ctrl-C でクリップボードにコピー。 ローカルセキュリティポリシーを開く 画面左側の「追加の規則」を右クリック 「新しいパスの規則」を選択 「パス」欄で Ctrl-V をして、メモ帳の内容を貼り付ける。 セキュリティレベルが「
Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 - GIGAZINE
Windowsの各種ユーザーアカウントのパスワードを解析して表示することができるオープンソースソフト「Ophcrack」を使ってみました。Windows Vistaにも対応しており、総当たりで解析するのではないため、非常に素早く解析できるのが特徴。数分程度の時間で解析できてしまいます。今回の実験ではジャスト3分でAdministratorのパスワードが表示されてしまいました、ショック。 通常はISOイメージをCDに焼いてCDブートで起動するのですが、今回はUSBメモリから起動してみました。実際に起動してから終了するまでの様子のムービーもあります。 というわけで使い方などの解説は以下から。 ※あくまでも自分のパスワードの弱さをチェックするためのソフトなので、使用する際には自己責任でお願いします Ophcrack http://ophcrack.sourceforge.net/ ダウンロードは
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
「初のiPhoneワーム」をセキュリティ企業が発見
このワームは「Ikee」という名前で、Jailbreak(iPhoneのロックを解除して好きなソフトを実行できるようにすること)したiPhoneのみに感染するという。このワームに感染すると、壁紙が歌手のリック・アストリーの写真に変わり、「ikeeは君を離さない」というメッセージが表示される。 Ikeeは、Jailbreak済みだがデフォルトのrootログインパスワードを変更していないiPhoneを標的とする。感染するとSSHサービスを停止するため、再度感染することはない。このワームはIPアドレスをスキャンして脆弱なiPhoneを探すが、スキャンするアドレスはほとんどオーストラリアのもので、同国以外でIkeeの報告は確認されていないという。 Jailbreak済みのiPhoneをIkeeから守るには、rootパスワードを変更する必要があるとF-Secureはアドバイスしている。 Ikeeのソ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
武田圭史 » 米国・韓国へのDDoS攻撃と北朝鮮
NHKのラジオで話した内容+αをせっかくなので関連資料とともに簡単にまとめておく。 【状況】 米国独立記念日の7/4頃より米国および韓国の政府機関、銀行、著名サイト等に対して大量の通信による分散型サービス妨害攻撃(DDoS攻撃)が発生、現在にいたるまで断続的に攻撃の通信が発生しているが特に7/7から9にかけて多くのサイトが過負荷によりサービス不能の状態に陥った模様 【参考】 ■米韓の政府系サイトなどにDDoS攻撃が発生(ITmedia, 2009/07/09) http://www.itmedia.co.jp/enterprise/articles/0907/09/news014.html ■米韓へのサイバー攻撃やまず 韓国で3回目の攻撃(NIKKEI NET, 2009/07/09) http://www.nikkei.co.jp/news/main/im20090709IMC79001
第27回 見過ごされているWebアプリケーションのバリデーションの欠陥 | gihyo.jp
今回解説するWebアプリケーションのバリデーションの欠陥はPHPに限った問題ではありません。多くのプラットフォームのWebアプリケーションで見過ごされているバリデーション仕様の欠陥です。それは文字エンコーディングのチェックです。 文字エンコーディングバリデーションの必要性 筆者の知る限りでは、2004年に相次いで今まで知られていなかったアタックベクタ(攻撃経路)が見つかりました。2004年に多く見つかった新しいアタックベクタとは不正な文字エンコーディングを利用した攻撃です。不正な文字列を利用したJavaScriptインジェクションやSQLインジェクションの攻撃手法が公開されました。 文字エンコーディングを利用した攻撃自体は当時でも新しい攻撃手法ではありませんでした。文字エンコーディングを利用した攻撃は、少なくとも2000年から広く知られていた攻撃手法でした。ブラウザが文字エンコーディングを
@IT Special PR:ネットエージェントの職人が「止める」にこだわる理由
「ウチには職人が多いんです」――ネットエージェントというと、Winnyによる情報漏えい対策、そしてWinnyトラフィックの解析という仕事が得意な会社として記憶に残っている方も多いだろう。今回はネットエージェントという「職人集団」が作り出した2つのプロダクトに着目しよう。 Winny調査などのフォレンジック技術で名の知られるネットエージェント。それを頼りにするのは企業だけではない。ネットエージェントの製品とサービスはいま、多くの学校にも取り入れられている。その理由は、利用者によるネットワークの悪用だ。 学校のネットワークには企業に比べ、さまざまな種類、用途のPCが接続される。企業であれば持ち込みPCを禁止してしまえばいいかもしれないが、学生個人のPCを接続拒否することは不可能だ。本来であればここに検疫ネットワークの仕組みを入れるべきであろうが、導入に時間がかかっては意味がない。学校のニーズは
ブログ等のアカウントを削除すると、そのアカウントを悪用される恐れを考慮すべき - 新しいTERRAZINE
作家の田口ランディ氏が以前エキサイトブログでやっていた『不眠に悩むコヨーテ』が何者かに乗っ取られたようだ。 『不眠に悩むコヨーテ』(現在) 『不眠に悩むコヨーテ』(Web Arcive) ブログタイトルとユーザー名の「flammableskirt」もそのままで、映画『おくりびと』の受賞歴をコピペしただけのページになっている。 ページ最下段の 「お小遣い ジャパンネット銀行 イーバンク銀行 新生銀行 ライフマイル マクロミル」へのリンクが目的だろう。 閉鎖、サーバ契約失効後に乗っ取られた『ていたらくてぃぶ』 少し前では、俺ニュースクローンの『ていたらくてぃぶ』が記憶に新しい。 サイトの運営方針を決めないまま、サクラサーバーと契約したところ、前管理人様の存在を知り、方針が決まるまで、前管理人様のサイトの体裁をアップさせていただいておりました。前管理人様に対して失礼な行動だったと深く反省しており
Windows管理者必携、Sysinternalsでシステムを把握する - @IT
Windows管理者必携、Sysinternalsでシステムを把握する:Security&Trust ウォッチ(43) SysinternalsというWebサイトをご存じだろうか? 何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。 筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。 Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。 このSys
高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
VBScriptで、フォルダのアクセス権におけるユーザーの継承元を調べる方法を教えてください。…