高木先生案件かもしれません。 ネットバンクでは基本的にトークン(ワンタイムパスワード生成機)を使うようにしています。トークンとは一定時間毎に暗号化による6桁のパスワードを表示する親指くらいの大きさのデバイスです。 ジャパンネット銀行ですと、ログイン時はパスワード(自分で決めた英数字最大8文字)でログイン可、振込みや限度額変更など重要な処理の場合にトークンが表示するワンタイムパスワードを入力という合理的な設計になっています。 一方、三井住友銀行(SMBCダイレクト)はログイン時はパスワード(自分で決めた英数字最大8文字)とトークンのワンタイムパスワードの両方が必要、そして、振込みや限度額変更など重要な処理の場合にはもうトークンは関係なくて、昔ながらの暗証カードが必要、という変てこな仕様になっていました。 これですと外出先から振込みがあったか確認したいなんて場合にトークンを持ち歩かなければなり
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
写真●左から、トレンドマイクロの新井悠氏、FFRIの鵜飼裕司氏、CODE BLUE事務局の篠田佳奈氏、サイボウズ・ラボの竹迫良範氏、ネットエージェントのはせがわようすけ氏 情報セキュリティに関する国際会議「CODE BLUE」の事務局は2013年11月6日、報道陣向けの発表会を開催し、CODE BLUEの概要などを解説した。CODE BLUEを開催する目的の一つは、国内の優れたセキュリティ研究ならびに専門家を海外に発信すること。 CODE BLUEは、国内のスタッフや専門家によって国内で実施される、日本発の情報セキュリティ国際会議。過去、国内でもセキュリティの国際会議が実施されているが、「その多くは海外発」(CODE BLUE事務局の篠田佳奈氏)。例えば、PacSecはカナダ、Black Hat JapanやRSA Conference Japanは米国が発祥の地だ。 今回が第1回となるC
2. 自己紹介 大学時代 京都大学数理解析研究所では代数幾何 コンピュータとは縁のない世界 暗号にも興味を持つ mp3エンコーダ「午後のこ~だ」の開発(LGPL2) 就職後 IPAからの依頼で暗号解読プログラムの作成(2004年) 『機械学習の学習』(CCA-BY3) 2012年ジュンク堂のコンピュータ書籍売り上げ3位 http://compbook.g.hatena.ne.jp/compbook/20130110 暗号の高速な実装(2013/8の時点で世界最速) The Realm of the Pairings(SAC2013) http://sac2013.irmacs.sfu.ca/sched.html 2013/11 2 /58
情報通信研究機構(NICT)は10月22日、「SSL」(Secure Socket Layer)の脆弱性を検証するシステム「XPIA」(エクスピア)を構築したことを発表した。 「SSL」は、電子政府システム、インターネットバンキング、オンラインショッピングなど、広く普及しているセキュリティシステムで、インターネット上での安全な通信を支える技術となっている。一方で、2012年に、SSLに対する新しい脅威が報告された。 SSLでは、通信相手のサーバが本物であるかどうかの確認(認証)などに公開鍵暗号「RSA」が利用されているが、昨年、ヘニンガーとレンストラのチームによって、乱数の偏り等が原因で、同じ秘密鍵(素数)を含む公開鍵が多数生成され、SSLサーバ証明書に組み込まれて利用されていることが報告された。2つのRSA公開鍵に同じ秘密鍵が含まれていた場合、最大公約数を求めることで簡単にその秘密鍵が暴
米政府などによるインターネット上の諜報活動が、当初報じられていたよりも深刻であることが明らかになった。米国のインターネット通信の大半を傍受したり、暗号通信を解読するためにソフトウエアに情報収集用の裏口(バックドア)を仕掛けたりするなどしていた。政府主導のこうした諜報活動によって、通信の秘密だけでなく、インターネットの安全性さえも脅かされようとしている。 暗号通信も解読 一連の諜報活動は、米国家安全保障局(NSA)や米中央情報局(CIA)の職員だったエドワード・スノーデン氏が、英ガーディアン紙や米ニューヨーク・タイムズ紙などに提供した秘密資料によって明るみに出た。 口火を切ったのは、2013年6月に報道された「PRISM」問題だ。NSAは、米マイクロソフトや米グーグルといった大手ネット事業者のサーバーから、電子メールなどの個人情報を入手する「PRISM」というプログラムを実施していた。だが、
いかにWindows XPが攻撃しやすいか 2013年10月08日07:39 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。 [Windows XPでIE8の脆弱性を悪用し電卓を起動したところ] 攻撃が簡単な理由は、Windows 7ではASLRといってメモリ
アメリカの新聞ニューヨーク・タイムズは、アメリカとイギリスの情報機関が、インターネット上で広く使われている暗号の解読に成功し、銀行の決済や、医療記録などの個人情報をひそかに収集していると伝えました。 これは、アメリカの新聞ニューヨーク・タイムズが、CIA=中央情報局の元職員スノーデン容疑者から提供された文書を基に伝えたものです。 それによりますと、アメリカのNSA=国家安全保障局が、スーパーコンピューターによる解析によって、インターネット上で広く使われている暗号の解読に成功し、銀行の決済や個人の医療記録、さらに電子メールなどの個人情報をひそかに収集しているということです。 また、こうした個人情報の収集を巡っては、イギリスの情報機関が、一部のIT企業の協力を得ていたとも伝えています。 暗号解読の機密計画は、アメリカの南北戦争における戦いの場所の1つから「ブルラン」と名付けられており、イギリス
999:名無しのプログラマー 2099/99/99 99:99:99 ID:ItSoKuHou ロリポップなどGMO系のレンタルサーバーで運用されているWordpressのブログが軒並み乗っ取られる事件が起きました。 その件についてTwitterとブログで注意喚起をした@Isseki3氏にGMOの熊谷社長が「風説の流布になるぞ」と噛み付きます。 そして翌日公式から「ロリポップ!レンタルサーバー」で第三者から「大規模攻撃」を受け、WordPressを利用している一部ユーザーのサイトが改ざんされる被害が発生したと発表wwww一部といってもなんと(8,438件)ですww 追記: 8月28日 20時58分 Isseki Nagae @Isseki3 ロリポップとinterQの共有MySQLからクラックされて多数のサイトが乗っ取られている件、GMOの明日の株価はヤバイと思う・・・たぶん顧客の大量流出
管理を無茶振りされたサーバを守り抜け! Hardening One Remix開催:優勝は会津若松市のITエンジニア集団(1/2 ページ) 2013年7月6日と13日に分け、「守る技術」「運用する技術」を競うセキュリティイベント「Hardening One Remix」が開催された。 「え、これ、めっちゃ古いバージョン入ってない?」「SSHの設定は変えておかないとまずいよねぇ」「さっきやられたから、修正して再起動して、もし次来たときには自動的に再起動するようにしておいたよ」……2013年7月6日と13日に開催されたセキュリティイベント「Hardening One Remix」。6日の競技会場では、参加各チームでこんな緊迫したせりふが飛び交った。 Hardening One Remixは、「守る技術」「運用する技術」を競うセキュリティイベントだ。Web Application Securit
なぜ、こうなった――フジテレビの人気番組「ほこ×たて」で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。 結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ×たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。 今回の「ほこ×たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への
検察が、片山祐輔氏の犯人性についての主張を明らかにするとしていた7月10日午後5時過ぎ、主張を書いた書面が提出され、弁護人に請求証拠が開示された。それを受けて記者会見した弁護人は、「片山さんと犯行を直接結びつける物的証拠は全くなかった」と強調した。これまで、片山氏が猫に首輪をつける場面のビデオ映像があるとか、片山氏が以前使っていたスマートフォンから犯人が送りつけたのと同じ猫の写真が復元されたなど、決め手となる物証があるという報道が何度もなされてきたが、開示された証拠の中には、そうしたものはなかった、という。 会見する佐藤博史弁護士ただ、検察側は、片山氏が犯人とみて矛盾しない、あるいは片山氏が疑わしく思えるような間接証拠をいくつも出している模様だ。そうした証拠を積み重ねることで、有罪の心証を形成しようという作戦なのだろう。 江ノ島の猫に首輪は誰が…たとえば、江ノ島については、1月3日午後2:
The AKE Protocol List The AKE Protocol List は、安全な通信インフラに不可欠な認証および鍵交換(AKE, Authentication and/or Key Exchange)の主要な暗号プロトコルの現時点の安全性が一目で分かる画期的なポータルサイトです。このサイトは、産官学全ての組織のみならず個人まで広く使っていただけます。 凡例 評価の厳密さを★の数の多さ(1〜4)で表し、利用の可能性を色で区別しています。表の見方の詳細は本ページの最後をご覧下さい。 現状安心して利用できる(現時点において攻撃が発見されていない) 現状安心して利用できる(攻撃が発見されているが現時点では非現実的な脅威) 対策を施せば安心して利用できる(攻撃が発見されているが回避策がある) もはや安心して利用できない(現実的な脅威のある攻撃が発見されている) 国際標準 プロトコル
■ Tポイントは何を改善しなかったか さて、昨年9月に、「Tポイントは本当は何をやっているのか」を書いてからもう9か月経った。その後、この件がどうなったかを確認しておく。 まず、問題となった「T会員規約」だが、10月1日に(毎年恒例の)改訂があったが、文言が少し直された程度で、問題とされていた肝心の部分は、何ら修正されなかった。 第4条 (個人情報について) 2. 当社が取得する会員の個人情報の項目 (1)「お客様登録申込書」の記載事項及びT-IDお申し込み時の登録事項(変更のお申し出の内容を含みます)氏名、性別、生年月日、住所、電話番号、電子メールアドレス等 (2)ポイントプログラム参加企業における利用の履歴 (3)T-ID及びTカードの停止・退会状況その他第3条第2項に関する事項 (4)ポイントの付与又は使用等に関する情報 (5)クレジットカード番号 (6)その他の記述または個人別に付
■ 動機が善だからと説明なく埋め込まれていくスパイコード 5月にこのニュースを見たとき、嫌な予感がしていた。 父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日 北海道湧別町を襲った3月の地吹雪の中で父親が娘を抱いたまま亡くなった事故で、消防が父親の携帯電話の位置情報を携帯電話会社から得ようとしたが得られず、父娘の捜索を中断していたことが分かった。総務省は情報提供のしくみが整っていなかったことが原因とみて、位置情報をすみやかに伝えるルールを作り、全国の消防本部と携帯各社に通知した。 ルールを整備するのはよいことだが、この記事は、基地局レベルの位置情報ではなく、GPSレベルの位置情報を用いて救助しようという話になっていて、そもそも、キャリア(携帯電話事業者)に頼んだところで、どうやって端末のGPS位置情報が得られるの?という疑問を持った。
パソコン(PC)遠隔操作事件で、「真犯人」と名乗る人物が報道機関や弁護士へ送り付けた犯行声明メールのアカウント(以下:当該メールアカウント)への当社記者のアクセス(以下:当該アクセス)についての当社の見解は以下の通りです。 ◇ 当社は、顧問弁護士とともに詳細に事実関係を調べ、検討した結果、当該アクセスについて「不正アクセス禁止違反の犯罪は成立しないことが明らか」と判断しています。 以下、その理由をご説明します。 【1】「不正アクセス禁止法」違反罪の構成要件に該当しない ■「当該識別符号の利用権者」がアクセスを承諾していた 「不正アクセス行為」の構成要件を定めた不正アクセス禁止法第2条4項は「当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く」と明記しています。 当該メールアカウントを使用した犯行声明メールは昨年10月9日、報道機関や弁護士に送信されまし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
