パナソニックの会員サイト「CLUB Panasonic」が不正ログイン被害を受けた可能性があると発表しました。ここではその関連情報をまとめます。 概要 パナソニックの会員向けサイト CLUB Panasonicが不正アクセスを受け、約7万8千アカウントが不正にログインされた可能性があります。 2014/04/23 「CLUB Panasonic」への不正ログインに関するお知らせとパスワード変更のお願い(パナソニック) 魚拓 2014/04/23 「CLUB Panasonic」への不正ログインに関するお知らせとお詫び(PDF) (1) 被害状況 被害を受けたWebサイト CLUB Panasonic 不正ログイン被害件数:78,361件 ログイン試行回数 約460万件を超える ログイン試行日数 約30日間(日割単純計算で1日あたり15.3万回以上) ログイン成功率 1.7% 会員数 約65
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
Struts2においてクラスローダーの操作を許してしまう脆弱性(CVE-2014-0094)について先日調べたのですが、その後のセキュリティベンダの調査により当初に比べて影響範囲が変わってきていることから、再度整理をかねてまとめます。尚、これら情報はpiyokangoが全て検証したわけではないためご注意ください。また当然ながら悪用することは厳禁です。 Apache Software Foundationより、当該脆弱性情報に関するアナウンスが出ました。 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation S2-021 クラスローダーが操作される脆弱性の影響範囲 NTT-CERTやMBSD、LACの調査により次のStrutsのバージョンが影響を受けることが判明しています。またBeanUtilsを使ってリクエスト
Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ
VeriSignの認証技術を取り入れた「Symantec O3」サービスを発表。シングルサインオンや二要素認証、アクセスログ管理などの機能を提供する。 シマンテックは5月20日、クラウドサービス利用でのシングルサインオンやアクセス制御、コンプライアンス支援のための機能を提供する認証サービス「Symantec O3(オースリー)」の提供を開始した。1ユーザーあたりの参考利用価格は年間3000円(1万ユーザー規模で導入の場合)からとなる。 新サービスは、パブリッククラウドサービスやプライベートクラウドおよびオンプレミス型システムへのシングルサインオンによるログイン、ユーザーごとのアクセスコントロール、ワンタイムパスワードを組み合わせた二要素認証、各種サービスへのログイン管理といった機能を持つ。Symantecのセキュリティサービスと同社が買収したVeriSignの認証技術を組み合わせた初の商品
シマンテックは2013年5月20日、Salesforce CRMやGoogle Appsといった複数のSaaSへのログイン手続きをSSO(シングルサインオン)によって簡素化するサービス「Symantec O3(シマンテックオースリー)」(写真)を発表、同日提供を開始した。プロキシーとして動作するSSOソフトをSaaS型で提供する。同社がSSOソフトを提供するのは、今回が初めて。参考価格(税込み)は、1万人規模で導入した場合に1ユーザー当たり3000円から。 エンドユーザー(社員)は、Symantec O3の上でID/パスワードによるユーザー認証を経た後、アクセス中継ゲートウエイであるSymantec O3を介して、背後にある各種のSaaSにアクセスする(ワンタイムパスワードも利用可能)。システム管理者画面からは、どの社員がどのSaaSにアクセスできるのかなどのポリシーを設定できる。また、個
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
米Googleは現地時間2013年3月5日、各国/地域の政府によるアクセス制限やデータ開示要請などに関する情報を提供するサイト「Transparency Report(透明性レポート)」に、米連邦捜査局(FBI)の国家安全保障書簡(NSL:National Security Letter)発行数を含めると発表した(画面)。 NSLは、FBIが通信会社やインターネット会社に対し、国家安全保障上の捜査を目的としてサービス加入者に関する情報提出を要請するために発行する書簡。NSLの発行には裁判所の承認を得る必要はなく、FBIはNSLを受理した企業がその事実を口外することを禁じる権限を持っている。 Googleは「特に2001年9月11日の同時多発テロ事件以降、NSLの使用増加を懸念する声が高まっていることから、NSLに関してより多くの情報をユーザーに提供する方法を模索してきた」と説明。このたび米
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):
情報セキュリティ総合科学 第 4 号 2012 年 11 月、論文受付 2012 年 8 月、同 10 月採録 118 クラウド・コンピューティングにおける個人情報保護の 課題 村上 康二郎1 概 要 クラウド・コンピューティングの登場および普及によって, 様々な法的課題が発生しているが, その 中でも, 個人情報保護に関する問題は, 中心的な問題になるものと考えられる. クラウド・サービス を提供する事業者(本稿では, 「クラウド事業者」と称する)が, ユーザに関する個人情報を取得す る場合や, クラウド・サービスを利用する事業者(本稿では, 「クラウド・サービス利用者」または「利 用者」と称する)がユーザの個人情報を取得し, 当該事業者がそれらの個人情報をクラウド事業者 において保存, 管理する場合などが想定されるが, このような場合には, 個人情報保護に関する 様々な問題が発生するこ
昨今、日本におけるクラウドインフラが目覚ましい発展を遂げている。外資系クラウド事業者による東京リージョンの開設、国産クラウド事業者による相次ぐ郊外型データセンターの設立、仮想化ベンダーやハードウェアベンダー、SIerによるプライベートクラウドやクラウド連携サービスの提供などが挙げられる。 クラウドインフラが技術的に整いつつある中、ユーザー企業は徐々にクラウドの導入を検討し始めるのではないか。 このような仮説の下、TechTargetジャパンでは2012年1月24日から2月9日にかけて、プライベートクラウド、ハイブリッドクラウド、パブリッククラウド(PaaS/IaaS)といったクラウドインフラに関する利用動向調査を実施した。事業継続やコスト削減、IT統合など、クラウドに対する期待が分かった一方で、セキュリティやコストに関する課題意識も浮き彫りになった。 アンケートのダウンロード パブリック、
A tool for viewing SAML and WS-Federation messages sent through the browser during single sign-on and single logout.
画面1●電通Drafficで熱海への旅行者の導線を分析したところ 混雑統計データ:(C)2012 ZENRIN DataCom 地図データ:(C)2012 ZENRIN Z12LE第367号 電通は2012年10月中旬から、ゼンリンデータコム、シンクエージェントと共同で、統計的に処理した位置情報データベースを活用したマーケティング支援サービス「Draffic(ドラフィック)」の提供を始める。現実の人の導線を集計したデータを提供し、観光地や商業施設の集客策や周遊促進などの施策を検討するための基礎資料として使えるようにする。価格は個別見積もりだが、基礎的な分析の場合は数十万円から請け負う。 「既存のマス広告だけでは集客が難しい時代になっている。人の導線に関する“ビッグデータ”をうまく活用して新たな集客経路を作り、それを検証する手段が必要だ」と電通コミュニケーション・デザイン・センター次世代コミ
お客様の設定により、お客様情報が「非表示」となっております。お客様情報を表示するにはdアカウントでログインしてください。 お客様情報表示についてへ お客様情報表示についてへ ご注意事項 ご利用上の注意事項 自動で定期的に位置情報を取得してサービス提供者に送信します。 オートGPS機能に対応しているサービスを利用する(または停止する)には、対応機種とオートGPSサービス情報の設定を有効にする必要があります。 オートGPSサービスの設定方法は、各サービス、各アプリでご確認ください。 位置情報の送信にはパケット通信料が発生します。 お客様のご利用の方法によっては、定期的な通信により、携帯電話の消費電力が増加し連続通話(通信)時間・連続待受時間が短くなりますのであらかじめご了承ください。 低電力時動作設定が初期設定では「停止する」になっているので、電池残量が少なくなると自動的にオートGPS機能が停
お客さんから依頼されて新しいFacebookアカウントを作成(登録)しました。 それで、アカウントの安全性を確保するため「携帯電話番号を登録して送られてきた確認コードを入れる」場面が来ます。 と、ここで私はひとまず仮で「いつも使っているFacebookアカウントに登録済みの電話番号」を登録しました。 図で説明すると、こういうことです。(画像中にある番号はダミーです) それで、まあすんなり「新しいFacebookアカウント」に電話番号の登録もできたので、何も思っていなかったのですが、これがまずかったようで、以下のメールが「いつも使っているFacebookアカウント宛に」立て続けに届きました。 1.まず・・「携帯電話番号がプロフィールから削除されました」なんてことだ・・・ 2.「Facebook登録電話番号の変更」した旨を通知されました電話番号が削除されるなんて意図していないです・・・ 3.そ
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
ページが見つかりません。 目的のページは、移動または削除によって無効になっている可能性があります。申し訳ありませんが、検索またはリンク先よりお探しください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
