8月26日に大きな騒ぎとなった2ちゃんねるビューアの件を含む情報漏えいについてまとめています。適宜更新しています。 情報の出典は主に2ちゃんねる内の情報となるため、まとめている情報が正しいかは各自にてご判断下さい。特にデータの詳細については不明点が多いです。しばらくNAVERまとめで頑張っていましたが、情報量が増え、編集が困難となってきたため9月以降ははてなダイアリーでまとめます。 1. 「さっしーえっち ◆MwKdCUj7XWlQ」による情報漏えいの概要 8月25日未明に2ちゃんねるで騒ぎになったことをきっかけとして、翌8月26日にかけて2ちゃんねる、及び2ちゃんねるビューアの機密データがインターネット上に公開されていることが明らかとなりました。機密データはTorからのアクセスに限定される匿名掲示板 Onionちゃんねる(通称Tor板)にアップロードされています。 機密データのアップロー
Codenomicon 社の CEO が Heartbleed 発見の経緯やリスクの深刻さ、対処策について語る。 「最初の傷が一番深い(The First Cut Is the Deepest)」という歌をご存じだろうか? 残念ながら、今世間を賑わせている Heartbleed バグに関して言えば、この歌は全く当てはまらない。なぜなら、このバグでオンライン上のセキュリティが負った傷について知れば知るほど、その深さと危険度は増していく一方だからだ。 グーグルのエンジニア、ニール・メヒタとフィンランドのセキュリティー企業 Codenomicon 社が個別に発見した Heartbleed は、「近代のウェブを襲う最も深刻なセキュリティー問題の一つ」とされている。Heartbleed を発見、命名した Codenomicon 社のチームを率いる CEO、デビッド・シャルティエを取材して、その経緯と
こんにちは。今回は誰得感の否めないSELinuxエントリです。しかも独学なのでかなり眉唾物です。 SELinuxのポリシーをスクラッチで書くのが目的です。既存のポリシーを運用する話ではないです。 環境はDebian squeezeです。 SELinuxとは SELinuxは、Linuxにおいて詳細なセキュリティー制御を行うための仕組みです。一般的なデスクトップ用のLinuxではオフになっているようです。現在はLinuxのセキュリティー機構はLSMという仕組みで提供されていて、SELinuxやTOMOYO Linuxなどのなかから選べる仕組みのようです。 SELinuxは強制アクセス制御(MAC)といって、自分の所有物であっても管理者でなければ権限コントロールができない、みたいな仕組みらしいです。MACにすることの利点は馬鹿なユーザーが穴を開けてしまうのを防げることのようです。 インストール
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
Yahoo! JAPANで大規模な情報流出が発生した。パスワード(ハッシュ値:後述)と秘密の質問が、流出した可能性がある。Yahoo! JAPANと専門家に話を聞いた。 「パスワード」と「秘密の質問と答」が流出 Yahoo! JAPANでの情報流出の可能性があるユーザーに表示された警告画面。5月17日に表示されたもので、パスワードの変更を求めている(24日のパスワードリセットより前のもの) ユーザーに大きな影響を与える大規模な情報流出が発生した。Yahoo! JAPANへの不正アクセスによる流出だ。16日夜に起きた外部からの不正アクセスによって、Yahoo! JAPANの以下の情報が流出した可能性がある(24日11時時点)。 ・パスワード(約148万6000件):すぐには解読できないハッシュ化されたデータでの流出。ただし、後述するように解読される可能性がある ・秘密の質問と答(約148万
他人に教えないで! 不正アクセス事案発生! オンラインゲーム上で知り合った他人にIDとパスワードを教えたところ、不正アクセスされ、電子マネーを勝手に使用されてしまったという不正アクセス事件が発生しました。 IDとパスワードは、個人を特定する大切な情報です。 自己管理を徹底し、他人に教えないでください。 オンラインゲームサイトやコミュニティサイトでの注意点 オンラインゲームサイトやコミュニティサイト上において、 仮想通貨を増やしてあげる レベルを上げてあげる 裏技を教えてあげる など、言葉巧みにIDとパスワードを聞き出して不正アクセスし、不正利用するという事案が発生しています。 自分のIDとパスワードを他人に教えると、勝手にアイテムを捨てられたり、仮想通貨を使われてしまったり、キャラクターを消されてしまったりするかもしれません。 IDとパスワードは、絶対に他人に教えないでください。 また、
我らが池田信夫せんせが、またやらかしました。 どうも池田信夫のgmailアカウントがパスワードハックされて乗っ取られたようで、恐らく愉快犯と思われるクラッカーさんが池田信夫を騙ってほうぼうに「金送ってくれ」のクソメールを配信している模様です。さすがは池田信夫、時代の最先端すぎます。もはやソーシャルオレオレ詐欺みたいな状態で、なぜこうも池田信夫はいちいち面白いのでしょう。 <起> googleからいきなりアカウントを停止され怒り狂う池田信夫 googleから信夫gmailアカウントを停止されたと勘違いした池田信夫、怒りの矛先を素直な心で真正面からgoogleに向けて怒りゲージMAX状態で真っ赤となっております。 「これじゃ危なくてgmailは使えない」とか言ってますけど、危ないのはお前のパスワードだ池田信夫。 <承> 池田信夫、対処方法が分からず途方に暮れる どうやらgmailを主力で使って
日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括 テクノロジーコンサルティング統括本部 セキュリティソリューション本部 ビジネス開発 担当部長 榎本 司氏 従来,多くの企業では,それぞれの部門や業務ごとにシステムを構築していった結果,部分最適なシステムが林立している。これによりITリソースは複雑化し,管理コストの増大やセキュリティ上のリスクを招いている。これらは,クラウド環境ではさらに大きな問題となると、HPセキュリティソリューション本部の榎本司氏は警鐘を鳴らす。 「とくに,アプリケーションの認証処理がサイロ化したままだと,様々な問題が顕在化するでしょう」。 アプリケーションごとに認証システムを作りこんでいる企業は多いが,これでは,業務や人的システムの変更のたびに認証部分の改修の手間がかかり,新サービスの展開にも時間がかかる。セキュリティの管理業務が増え,管理
追記: (2021-06-04) いまだにこの記事へのアクセスが多いので、2021年現在におけるパスワードの取り扱いに関するベストプラクティス記事を紹介します。 cloud.google.com (追記ここまで) PSNの障害で盛り上がっていますが、クレジットカード番号は暗号化していたがパスワード含む個人情報は暗号化していなかったという点が注目されているようです。 というわけで、パスワードの保存方法についてまとめてみます。 前提となる暗号の話 いわゆる暗号化と呼ばれている技術には、以下の2種類があります。 1. 復号のための鍵があって、暗号化する前の「平文」に戻すことができる「暗号化」 ざっくり言えば、この2通りの操作ができます。 平文と鍵1 ―(暗号化)→ 暗号文 暗号文と鍵2 ―(復号)→ 平文 平文が暗号化される前のデータ、鍵と書かれているのが2048ビットだったりする暗号化の方法に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
