高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
犯罪者は、だまし取った金銭を手元へ移すとき、足がつかないように「運び屋」を使います。これが「マネーミュール」です。 Money Mule(マネーミュール)は、日本語にすると「お金を運ぶラバ」、いわゆる「非合法のお金の運び屋」を意味します。 犯罪者は、フィッシングサイトなどの詐欺でだまし取ったお金を自身の手元へ送金する際に、警察や被害者本人から自分が特定されることのないように、第三者である「運び屋」の口座を経由します。運び屋は、自分の口座を経由することで手数料を受け取る仕組みです。運び屋となるのは、ちょっとしたお小遣い稼ぎのつもりで送金を手伝ってしまう、犯罪に加担するとは思ってもいない一般の人たちです。「自分の口座に一時お金を預かるだけで、その金額の何%か、または1割、2割のお金を受け取ることができますよ」、「楽にひと月何十万のお金を手に入れられますよ」…犯罪者たちは、そんな甘い言葉で犯罪へ
「パスワードはハッシュで保存すれば安全」と思われていますが、本当にそれだけで大丈夫なのでしょうか? この記事では、パスワードを安全に守るソルトやストレッチングといった手法について解説します(編集部) (3/4)
ガラケーからスマートフォンになって、より快適にフェイスブックなどを楽しまれている女子が増えている。 これは、とても良いことだ。よりリッチな体験でソーシャルネットワークが楽しめるからだ。 しかし、彼女たちの数人とメッセージをやりとりをしていて、ビックリすることがある。なんと、自宅らしき情報が丸見えでダダ漏れになっている。そして、そのことを彼女たちはまったく知らないという状況にある。 これは余計なおせっかいと言われるかもしれないが、犯罪にもストーキングにも使えてしまうので、ぜひ、警鐘をならしておきたいと思う。 まずは、facebookの最初の設定を見てほしい。スマホアプリのfacebookを立ち上げて、【設定画面】の確認だ。 '''「メッセンジャーのロケーションサービス(個別メッセージの位置情報サービスのことだ)」が、 「スレッドでデフォルトでオン(メッセージのタイムラインでは標準で位置情報を
[読了時間: 5分] スパムアカウント3人からの申請を受けてしまうと、アカウントが乗っ取られるという証明スクショがこれだ。 ダミーアカウント3人に申請を受けてしまっている状態だと、この画面の後1−2分で、アカウントの乗っ取りは終了してしまう。 乗っ取った後、悪意のあるユーザーは以下の事が出来る。 ・メッセージの盗み読み。 ・Facebookにクレジットカードやペイパルを紐付けている場合は、それを使った課金。 ・あなたの友人へのなりすましスパムメール。 ・アカウントの削除。 ・あなたの管理するFacebookページの乗っ取り。 等々 では、上記の被害に合わない為に何をするべきか、そして予防策として何をするべきかを説明して行こう。 スパムアカウントの特徴 まずスパムアカウントの傾向を説明したい。 敵をしれば〜って奴だ。 基本的に男性に送られてくる、スパムアカウントは現在下記の様な特徴を持ってい
25-GPU cluster cracks every standard Windows password in <6 hours All your passwords are belong to us. Welcome to Radeon City, population: 8. It's one of five servers that make up a high-performance password-cracking cluster. Credit: Jeremi Gosney Welcome to Radeon City, population: 8. It's one of five servers that make up a high-performance password-cracking cluster. Credit: Jeremi Gosney A passw
こんにちはこんにちは!! 最近また、アカウントを乗っ取られただとか、ハッキングされたとか、 そういう話をちょくちょく聞くようになってきて物騒な世の中ですね>< そこで、ぼくの考える「いちばん簡単なアカウントの乗っ取り方」について ちょっと書いておきたいと思います! 1. 「パスワードを忘れた」をクリック 2. 「秘密の質問に答える」をクリック 3. ペットの名前や、好きな映画を聞かれるので、対象者のSNSやブログを調べる・または直接聞く 4. アカウントゲット さすがに最近は「秘密の質問」を使っているWebサービスは減ってきたけど、まだまだ結構あるんですよね。 これって人によっては、ものすごく脆弱な仕組みだと思うので、こんなもの早く絶滅すればいいのになーと思ってます。 日記になんでもかんでも書いちゃうような、いわゆる情弱さんなんかは、これで高い確率で乗っ取れるし、 ネットに慣れた人でも、過
PHPに新たな脆弱性が見つかって、CGIモードで動作するPHPの場合コマンドライン引数がHTTP経由で渡せてしまうため、-sオプションを渡すとPHPのソースコードが丸見えになるというのが話題になってます。(-sオプションはhtmlでシンタックスハイライトまでしてくれてコードが見やすくなる) そこでFacebookに向けてこれを試してみると・・・ https://www.facebook.com/?-s こんな情報が!! <?php include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS'; このURLにアクセスすると、セキュリティエンジニアの求人情報ページに行きます :) おしゃれー
■ 逃げてー!「健康クラウド」ゼロプライバシー特区?(見附市、新潟市、三条市、伊達市、岐阜市、高石市、豊岡市) 昨年8月、総合特別区域法が施行され、内閣官房の総合特別区域推進本部で手続きが進められてきたところ、先月、以下の総合特区が指定されたそうだ。 スマートウエルネスシティ総合特区が指定されました, 新潟県見附市, 2012年1月27日 見附市が代表となり、7市、2団体で国の総合特別区域に申請していた「健幸長寿社会を創造するスマートウエルネスシティ総合特区」が、総合特区に指定されました。(略) 見附市の規制・特例措置等への提案 (略)自治体供用型健康クラウドの整備 さて、この「健康クラウド」というのはいったい何だろうか。この特区の規制・特例措置はどのようなものだろうか。詳しいことは以下の資料に書かれている。 健幸長寿社会を創造するスマートウエルネスシティ総合特区 別記様式第5の1 事業名
前の記事 タリバンも英語でTwitter 「Dropboxの暗号化は嘘」:FTCへの告発 2011年5月16日 IT コメント: トラックバック (0) フィードIT Ryan Singel サイトトップ画像は別の英文記事より 2500万人のユーザーを擁するオンライン・ストレージ人気サービス『Dropbox』を、有名なセキュリティー研究者が米連邦取引委員会(FTC)に告発した。セキュリティーと暗号化についてユーザーをだましたという内容だ。 5月19日(米国時間)にFTCに提出された告発状(PDFファイル)では、Dropbox社はユーザーに対し、保存されるファイルは完全に暗号化されており、同社の従業員はファイルの内容を見ることはできないと説明していたが、それは事実と異なるとして非難されている。 告発状を提出したのは、現在は博士課程に在学中で、FTCで1年勤務したこともあるChristophe
Sophos Sophosは3月2日(米国時間)、Twitterにおいて詐欺サイトへのアクセスを誘うリンクがいっせいに広がっていると警告した。「Twitterに費やした時間を表示するつぶやき」を装い、興味を持ったユーザにつぶやき内のリンクをクリックさせて詐欺サイトへ誘導する。 リンクをクリックするとTwitterアカウントにアクセスする「Time on Twitter」という詐欺アプリケーションへアクセスの許可を与えるかどうか求められる。アクセスを許可すると「Twitterに11.6時間費やしている」といったメッセージがつぶやかれたのち、アンケートに答えれば景品がもらえるという詐欺サイトへリンクが表示される。 この詐欺アプリへのbit.ly短縮URLはすでに無効になっており、クリックしても該当ページは表示されなくなっている。ただし同様の方法を使った亜種がその後登場しており、似たような手口に
高機能携帯電話・スマートフォン「iPhone(アイフォーン)」で携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を“盗み見”してしまった――。 アイフォーン利用者の間でそんなトラブルが起きている。本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の識別番号(携帯ID)を付与して一般の携帯電話に「なりすまし」て、サイト閲覧を可能にするソフトが原因だ。会員の情報が漏れていた宅配大手「ヤマト運輸」(東京都)では、サービスの一部を停止し、被害状況の調査を始めた。 トラブルが起きたのは、ヤマト運輸の「クロネコヤマトモバイルサイト」。サイト上で集荷や再配達の依頼をできるサービスで、9月末現在、パソコンでの利用者を含め約560万人が登録しているが、氏名、住所、電話番号、メールアドレスなどの登録情報を他人が閲覧できるケースが確認された。 少なくとも2人から閲覧されていたことが分かった首
無線LANセキュリティ技術として利用されているWPAだが、より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。 日本の2人の研究者の発表によれば、同氏らが開発した手法を使えばWPAを利用したいかなるシステムであっても、1分とかからずに突破が可能だという。WPAの前身となるWEPの解読が数秒程度で可能なことはすでに知られているが、WPAもまたその脆弱性が明らかになりつつあるようだ。 今回の研究を発表したのは広島大学の大東俊博氏と神戸大学の森井昌克氏の2名で、8月6-7日に台湾で開催されたJWIS 2009 (Joint Workshop on Information Security 2009)の学会でその詳細が公開されている。JWIS 2009のサイトでその論文「A Practical Message Falsification Attack on WPA 」の内容が
「人はミスを犯すもの」。こんな前提に立ったJR西日本安全研究所の研究成果が注目を集めている。研究所は平成17年の福知山線脱線事故を機に3年前、立ち上げられた。信号機の点呼確認はすべて必要か、上司が部下をほめる効果はあるのか。成果は、従来の「事故は気合で防ぐもの」という鉄道界の体質を変え、自衛隊や病院、航空会社など畑違いの分野でも職員教育に取り入れられている。(森本充) 福知山線脱線事故後、JR西は、ヒューマンエラー(人為的ミス)への取り組み不足の反省から研究所を設立し、体質改善に取り組んだ。 運転や保線、事務など各部門から約25人を選び、「何がわが社に欠けているのか」探った。半年で冊子「事例でわかるヒューマンファクター」を発行した。 疲れるとどうなるか▽なぜマニュアルはあるのか▽多人数の中だと手を抜いていないか−。冊子は32のテーマを設定し、事例と解説、対策を紹介した。 社内教育向けに作ら
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
2008/04/11 すべての暗号はいずれ破られる。2000年前のシーザー暗号の時代から高度な暗号技術が一般化したデジタル通信の現代に至るまで、それが暗号通信の歴史が証明し続けた事実であると同時に、もっとも人口に膾炙したクリシェでもあった。例えば、鳴り物入りでリリースされたDVDのコンテンツ暗号技術「CSS」(Content Scramble System)が、リリースからわずか数年で10代のノルウェー人ハッカーに破られたことは記憶に新しい。 【追記】(2008年4月15日) この記事は取材に基づいて執筆したものですが、一部専門家らから「CAB方式暗号は解読不能」というのは誇大表現ではないかとの疑義が呈されています。アルゴリズムの公開や第三者による検証がない現在、この記事に登場するCAB方式が発案者・実装者の主張通り画期的な暗号方式で、本当に解読が不可能であるかどうか分かりません。現在、専
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
