4月19日、独立行政法人情報処理推進機構(IPA)は、電子メールで一般的な認証パスワードの暗号が解読される危険性について「情報セキュリティ早期警戒パートナーシップ」に基づき注意喚起を行った。 一般的な電子メールプロトコルでは、本人確認のためにメールアカウントとパスワードによる認証を行うが、このパスワードが盗まれないように、APOPという認証プロトコルでは、MD5という暗号化処理を施している。このMD5の安全性については、以前から専門家や研究者が問題点を指摘していたが、一般的には長期間の盗聴による暗号文字列の収集が必要であることと、メールプロトコル自体、パスワードを解読しなくてもメール本文の盗聴や改ざんが可能なことから、これまで現実的な危険として取り上げられることは少なかった。 今回の注意喚起は、経済産業省の告示に基づきIPAなどが推進している「情報セキュリティ早期警戒パートナーシップ」に基
企業のセキュリティ対策として,必ず言われてきたのが次の三つの対策だ。すなわち,ファイアウオールの導入,ウイルス対策ソフトの導入,そしてセキュリティ対策パッチのこまめな適用である。ところが,こうした対策だけではもはや企業システムは守れない。犯罪組織によって,新しい手口の攻撃がどんどん開発され,企業の攻撃に応用されているからだ。このサイトでは,最新の攻撃手口と防御術を紹介していく。 クロスサイト・スクリプティング,SQLインジェクション,OSコマンド・インジェクション−−。Webアプリケーションに潜む様々なぜい弱性が指摘され,活発に議論されるようになってきた。しかしWebサイトの実態を見ると,必ずしも対策は進んでいない。多くの場合,原因は「正しい対処方法を知らない」こと。そこで本編では,Webアプリケーションに代表的なぜい弱性の共通原理と対策について解説する。 第1回 はびこる「インジェクショ
こんばんは、最近寒い夜が続いていて自転車通勤がつらくなってきた naoya です。 ウノウでは、フォト蔵や社内システムなどは、すべて専用サーバを構築して運用をしています。 今日は、専用サーバを構築するときに、僕がウノウで学んだ専用サーバでまず行う4つの設定を紹介します。 なお、今回の設定はすべて Fedora Core 5 をもとにしています。 (1) sudo を使えるようにする sudo コマンドを使えるようにします。sudo コマンドは、別のユーザとしてコマンドを実行できるコマンドです。 sudo コマンドを使えるようにするには、/etc/sudoers に sudo を許可するグループを追加します。次の例は、unoh グループを追加する例です。 %unoh ALL = (ALL) ALL, !/bin/su, /bin/su postgres, /bin/su * postgres
これから情報セキュリティのブログを書くことになりましたEiji James Yoshidaです。Jamesと聞いて外国人だと思われるかもしれませんが,実は英語をしゃべるのが苦手な日本人です。なぜ日本人なのにJamesかについては「Eiji James Yoshidaの記録」という私の個人ブログを読んでいただくとして,今回は記念すべき第1回目ということで今話題の任天堂のゲーム機「Wii」のセキュリティについて書きたいと思います。 2006年12月に発売された家庭用ゲーム機であるWiiは,スタンバイ・モードでもインターネットに接続して情報を取得してくるWiiConnect24という機能が実装されています。つまり,Wiiはインターネットに常時接続された家庭用ゲーム機なのです。 家庭用ゲーム機といえども,インターネットに常時接続されるとなるとセキュリティ技術者の血が騒ぎます。そこで,Wiiのセキュ
AppleがMacユーザーに対し、忘れたときに備えてパスワードを書きとめておくよう勧めている。 Appleは同社のウェブサイトMac 101に「My Mac Cheat Sheet」(PDFファイル)という文書を掲載している。その文書には、Mac OS X関連のユーザー名やパスワードだけでなく、電子メール、ISP、ルーターなどのログインアカウントを書きとめておく欄もある。 Appleはウェブサイトで「あなたや、Macに詳しいあなたの家族や友人のMacライフが少しだけ楽になるよう、忘れやすい情報を記入して安全な場所に保管しておくためのフォームを用意しました」と説明している。 Appleはどうかしてしまったのではと思うかもしれないが、そうではない。パスワードを付箋に書いてコンピュータのモニタやキーボードに貼り付けておくのは賢明ではないが、情報を書きとめて安全な場所に保管しておくのは有益である。
https接続を簡易化するツール、ブラウザからプライベートデータを消去する方法、アクセス履歴を無効にする方法などを紹介。(Lifehacker) 仕事をこなす上でも日々の生活を送る上でも、今日、インターネットはなくてはならない存在となっている。問題は、私的なネット利用が職場の上司の考えにそぐわない場合があることだ。 魅惑的なインターネットを使って少しばかり個人的な時間を過ごしたとしても仕事に支障は出ない、というのが筆者の信念だ。そこで今回は、職場でインターネットを閲覧する際に、プライバシーと自由を確保する方法を幾つか紹介する。 注:筆者はここで、職場での私的ネット閲覧について、どこまでが許され、どこからが許されないかという議論をするつもりはない。だから本稿は、「職場でのネット閲覧にも多少のプライバシーを確保したい」という考えに賛同できない方にはお勧めしない。もっとも、紹介するTipsはどれ
最優秀アンチウイルス・ソフトは「AntiVirusKit」,最下位は「Microsoft OneCare」 アンチウイルス・ソフトウエアの比較を行う独立系組織AV-Comparatives.orgが米国時間2月28日,2007年2月版の調査報告書「Anti-Virus Comparative No.13」を発表した。マルウエアのサンプル100万種以上を使ってアンチウイルス・ソフトウエア17製品を調べたところ,すべてのマルウエア検出に成功したという。ただし,全17製品がそろって検出できたマルウエアは全体の約64%にとどまった。 調査は,各アンチウイルス・ソフトウエアの状態を2月2日時点の最新版に更新し,2月1日時点で既知のマルウエア100万種以上を検出できるかどうか確認した。その結果,検出されないマルウエアは1種類もなかったが,調査対象の製品数を16製品に減らすと78種類の検出漏れが生じた。
■ 再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される(2005年4月) 一昨年4月23日の日記からリンクしていた、BUGTRAQ-JPの記事「au携帯電話のバーコードリーダでジャンプ先URLが偽装される」が文字化けして読めない状態になっている*1ので、以下にHTML化して再掲しておく。 Date: Fri, 15 Apr 2005 05:17:16 +0900 From: Hiromitsu Takagi <略>@takagi-hiromitsu.jp To: bugtraq-jp@securityfocus.com Subject: au携帯電話のバーコードリーダでジャンプ先URLが偽装される 以下は、JVN#9ADCBB12の事例について、ユーザおよび開発者が知っておくべきと考えることがらについて、発見者の立場からその発見内容および考察を公表するものである。 概要 a
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
ファイル共有ソフト「Winny」――著作権侵害、開発者の有罪判決、情報漏洩など、ダーティなイメージがある一方、P2P技術自体が違法なわけではなく、また裁判の行方によっては新しい技術開発が萎縮するという問題も抱えている。Biz.IDの読者ならばすでにご存知だろうが、Winnyの問題点を上司に説明するための法的なポイントを2月17日に行われたWinnyシンポジウムをヒントに考えてみた。 Winnyを開発した金子勇氏(元東京大学助手)に対しては、2006年末に著作権侵害幇助罪で150万円の罰金を命じる有罪判決が京都地裁から下された(京都地判平成18年12月13日、関連記事)。これを踏まえて、大阪弁護士会と情報処理学会、そして情報ネットワーク法学会の三者が共同シンポジウム「IT技術と刑事事件を考える――Winny事件判決を契機として――」を開き、議論を交わした。 上司から「Winnyってなに?」と
「Winnyは既に必要な技術ではなく、危険性を認識すべき」高木氏講演 文字数のわりに盛り沢山な内容。 以下に抜き書きしてみる。 「「Winnyは著作権侵害よりもむしろ、名誉毀損やプライバシー侵害にあたるような映像の拡散が止められないといった観点からの懸念がある」」 「たとえ多くの人が流通するのは問題であると考えているファイルでも、それを止めることが出来ない点が問題」 「キャッシュの中身を知ることは送信可能化権の侵害を自覚することにつながるため、ユーザーの側でもキャッシュの中身を知ろうとはしない」 「現在では他の技術も存在することから「既に必要な技術ではない」と主張」 squirtの仕組みでは、著作権者などからファイルの削除要求が来た場合には、それに応じなければ著作権侵害の意図があると見なされてしまうためで、「結局、著作権侵害を続けたいと考えている人が多いということではないか」 「「日本では
基本的に、まともな国際化ライブラリを使っていれば、上記のような不正な文字コードはきちんと処理してくれるはずです。実際、 Opera, Firefox, IE ともに適切にエスケープしてくれました。また、 UCS に変換した後にエスケープ処理を行うことでも対処できるかもしれません。しかし、複数のモジュールで構成されるような規模の大きいアプリケーションでは、そのすべてが適切な処理を行っていると保証するのも、なかなか難しいかと思います。ここはやはり、すべての外部入力に含まれる不正なシーケンスを、水際で正規化するという処理を徹底するのが一番かと思います。 例えば Ruby の場合、不正な UTF-8 コードを検出する最も簡単な方法は、 String#unpack を使って UCS へ変換してみることです(昨日の記事への kazutanaka さんからのはてぶコメントにて、 iconv でも同様なこ
米国シマンテックとインディアナ大学の研究者らは、悪意のあるJavaScriptコードによって、家庭用ルータが乗っ取られる可能性があるというテスト結果を発表した。研究者らは対策として、ルータの管理パスワードをデフォルト設定から変更するようユーザーに呼びかけている。 研究者らによると、この攻撃は2つの条件が満たされたときに可能になるという。1つはユーザーが悪意あるJavaScriptコードを含むWebページにアクセスしたとき、もう1つはルータの管理パスワードをデフォルトの状態で利用しているときだ。 研究者らは、シスコシステムズのリンクシス部門であるディーリンク(D-Link)の無線ルータ「DI-524」を利用し、ファームウェアを変更したうえでテストを行った。その結果、DI-524経由でインターネットにアクセスしたユーザーを、指定したDNS(Domain Name System)サーバ経由で特定
Runs on Windows, Linux and Mac OS X (intel) Windowsパスワード解析 Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 Windows のパスワードを解析するツール(取扱注意) | alectrope 403 Forbidden LiveCDでWindowsログイン画面のPASSを解析する方法 : Gizmodo Japan(ギズモード・ジャパン) 動画保守:windowsパスワードは無意味?最凶クラックツールophcrack - livedoor Blog(ブログ) Windows.FAQ - パスワードを忘れてしまった場合の対処法 暗号化HDD内のデータを簡単に解読するテクニック - 米大学の研究者らが発表 | エンタープライズ | マイコミジャーナル DreamPackPL - つれづれなるままに Windo
個人情報やクレジットカード番号を狙うフィッシング詐欺が後を絶たない。2007年1月15日には,偽りのオークション・サイトを利用した詐欺が確認された(関連記事)。具体的な被害額や情報を売買する組織の存在についても報じられている。 ブロードバンド推進協議会(BBA)の調査によれば,日本国内のフィッシング詐欺による被害額は約68億円(関連記事)。米ガートナーの調べによれば,海外では2006年の被害総額は28億ドル(約3360億円)以上に達する(関連記事)。このうち目立つのは,米ペイパルや米イーベイのように個人間決済を仲介するサービスや,クレジットカード会社をかたり,クレジットカード番号を狙った詐欺である。 米国連邦捜査局(FBI)の現役捜査官が発表した情報によると,”CARDER”と呼ばれる闇組織が,クレジットカード情報の収集や売買・交換などを行っているという。このような組織が存在することで,情
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
