By Charis Tsevis 暗号化されたデータを復号するために、暗号装置の動作状況を物理的に調べることで間接的に復号用のキーを盗み出す攻撃方法は「サイドチャネル攻撃」と呼ばれています。さまざまな手法が開発されるサイドチャネル攻撃に「PCの電位状況を測定することでRSA暗号の秘密鍵を盗み出す」という攻撃法が編み出されました。 Get Your Hands Off My Laptop http://www.cs.tau.ac.il/~tromer/handsoff/ Touching a Laptop Can Break Its Encryption | MIT Technology Review http://www.technologyreview.com/news/530251/how-to-break-cryptography-with-your-bare-hands/ サイドチ
他社のWebサービスなどから流出したアカウント(ユーザーIDとパスワード)のリストを使って、別のWebサービスに対して不正ログインを試みる「リスト型攻撃」が後を絶たない(図1)。国内ネットサービスの多くが被害に遭っている(関連記事:「リスト型攻撃」が止まらない)。 リスト型攻撃は、「リスト攻撃」「パスワードリスト攻撃」「アカウントリスト攻撃」などと呼ばれている。2013年末ごろからは、総務省が発表資料などで「リスト型アカウントハッキング」という名称を使っているため、Webサービス提供者なども、この名称を使うようになっている(関連記事:リスト型アカウントハッキング)。 リスト型攻撃では、特定のIPアドレスから、数万回から数百万回にわたって不正なログインが試行される。だが、一つのユーザーIDに対するログイン試行は1~2回であることがほとんどなので、正規ユーザーのログイン試行と区別することが難し
米Twitterは8月20日(現地時間)、新スパム対策システム「BotMaker」の導入により、スパムを40%削減できたと発表した。 Twitterはほぼリアルタイムのツイートを表示するというサービスの性格上、スパム遮断が技術的に難しい。また、開発者向けにAPIを公開しているため、スパマーはTwitterのスパム対策の手の内を把握できてしまう。 Twitterはこの2つの問題に対処するために、BotMakerを構築した。このシステムは、ボット(イベントが発生した際にどう対処するかを決めるルール)の集合で成り立っており、1日当たり数十億件のイベントに対処している。プロセスは、リアルタイムツールの「Scarecrow(かかし)」、Scarecrowが見逃したイベントに機械学習技術で対処する「Sniper(狙撃者)」、ユーザーの行動データを分析する周期的なプロセスの3段階ある。 ボットは人間が読
トレンドマイクロは、企業のネットワークを標的型攻撃から保護するために、さまざまな企業の IT管理者と協力してセキュリティ対策を行うことがよくあります。こうした協力体制のなかで、弊社は、IT管理者が標的型攻撃に対してある種の誤解を持っていることに気づきました。これは、おそらく企業全般にも言えることでしょう。本稿では、こうした誤解を取り上げ、「標的型サイバー攻撃」、「持続的標的型攻撃(Advanced Persistent Threats、APT)」としても知られる攻撃手法に対し、IT管理者はどのような対策を取るべきかを説明します。 ■誤解1:標的型攻撃は一度の対策で十分である 標的型攻撃は一度の対策でよいと考える IT管理者がいます。つまり、一度検出して実行を阻止すれば、攻撃が終了すると考えます。しかし実際には、標的型攻撃は巧妙で持続的なものです。攻撃者はときに用意周到に計画を立て、標的とし
完全匿名で「どのユーザーがどんな投稿をしているのか」や「自分が誰とコミュニケーションを取っているのか」すらも分からないという一風変わったSNSアプリ「Secret」が、ブラジルでの使用を禁止されました。 Brazil court to Apple, Google: Wipe anonymous sharing app off users’ phones | Ars Technica http://arstechnica.com/tech-policy/2014/08/brazil-court-to-apple-google-wipe-anonymous-sharing-app-off-users-phones/ Secret may be banned in Brazil over anonymity, after judge grants preliminary injunction —
音楽共有サービスのSoundCloudは8月21日(現地時間)、クリエイターのための新プログラム「On SoundCloud」を発表した。クリエイターのアカウントを「Free」「Pro」「Premier」の3種類に増やし、最高レベルのアカウント「Premier」のクリエイターは広告収入を得ることができる。 SoundCloudは“オーディオ版YouTube”とも呼ばれる無料の音楽SNS。ユーザーは自作の楽曲や音を投稿してコメントをもらったり、他のユーザーの楽曲をダウンロードしたり、ユーザー同士で交流したりできる。アマチュアだけでなく、プロのアーティストもプロモーションのために新曲をアップロードすることもある。 これまでは広告が表示されることもなく、無制限にコンテンツを聴くことができたが、まず米国でPremier会員のコンテンツを聴く際、音声あるいは画像、動画の広告が表示されるようになる。ユ
これまで病院での携帯電話の使用を厳しく制限してきたガイドラインが更新され、使用制限が大幅に緩和されることになる。 総務省や携帯電話会社などがメンバーの「電波環境協議会」が19日に発表した新しいガイドラインでは、携帯電話と医療機器の性能が向上して電波による影響が大幅に減ったことなどから、「利便性・生活の質の向上のため、医療機関でも患者らの携帯電話使用は可能な限り認められることが望ましい」と、これまでの方針を全面転換した。 一方、手術室などでは引き続き電源を切ることを推奨し、カメラ機能はプライバシー保護や情報管理のため原則禁止が適切とした他、マナーの観点から多人数病室での通話は制限されることが望ましいとしている。 今後は、各医療機関がこのガイドラインを基に新たなルールを定めることになる。
動画サービス「niconico」の「ニコニコチャンネル」にて、「ブロマガ」を配信しているチャンネルの有料登録者数が合計20万人を突破したことが明らかになった。 「ニコニコチャンネル」は、企業・団体が動画や生放送の配信ができるプラットフォームとして2008年にサービスを開始し、現在までに566チャンネルが開設。2012年8月に記事コンテンツ「ブロマガ」の配信機能を実装、2013年12月に企業や団体だけでなく一般ユーザーが開設できる「ユーザーチャンネル」をオープン。一般ユーザーもブロマガや動画・生放送投稿によって課金できる仕組みを提供している。 有料登録会員はプロや著名人・芸能人だけでなく、ゲーム実況者「M.S.S Project」によるチャンネルが有料登録会員数上位30位に入るなど、プロアマ関係なくさまざまなジャンルのチャンネルが人気を集めているという。有料ニコニコチャンネルの年間分配額は、
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます トレンドマイクロは8月19日、2014年第2四半期(4~6月)の日本と海外でのセキュリティ動向を分析した報告書を公開した。ウェブサービスアカウント乗っ取りの国内被害アカウント件数が過去最大となったほか、オンライン銀行詐欺ツールの国内検出数が初めて全世界で1位となるなど、ネットユーザーを狙った攻撃の増加が一段と進んでいると表現している。 同社によると、4~6月は、計60万件以上のウェブサービス用ログインアカウントが不正に侵害されたことが公表されている。トレンドマイクロが集計を開始した2013年第1四半期以来、最も規模が大きく、前四半期(2014年1~3月)と比較すると約10倍になった。 ECサイトやSNSなどが攻撃対象となっており、SNS
8月18日にEmurasoftは同社が開発、販売しているテキストエディタ「EmEditor」において、ソフトウェアの更新機能を使用した際にマルウェアに感染する可能性があったことを発表しました。ここでは関連情報をまとめます。 概要 8月13日にEmurasoftが同社のWebサイトが不正アクセスを受け、情報が漏えいした可能性があることを発表しました。さらにその5日後の8月18日にEmEditorの更新チェックを行った際にマルウェアに感染する可能性があったことを発表しました。尚、この記事中の日付は日本時間として記述していますが、前後している可能性もあり参考程度として下さい。 公式発表 Emurasoft Webサイト 不正アクセス関連 本サイトのハッカーによる攻撃について クリーン アップ作業が終了しました EmEditor 更新チェックによるマルウェア感染の可能性関連 EmEditor 更新
2014年7月25日頃、NTTグループ各社はじめ複数の組織が自社サイトのコピーサイトが確認されているとして注意喚起を掲載しています。ここでは関連情報をまとめます。 まずは読みたい 北河さんの模倣サイト騒ぎに関する考察 模倣サイトとして各所から注意喚起が出されているサイトは、模倣サイトではなくAnonymous Proxyサービスと呼ばれるもの - Togetterまとめ 他参考になるところ 模倣サイトと呼ばれている「3s3s」について « (n) 今話題の3s3s.orgについて判ったこと | 別館「S3日記」 NTTグループの発表 NTT 【ご注意下さい!】NTTのホームページを模倣したウェブサイトにご注意ください。 NTTドコモ NTTドコモのコーポレートサイトを模倣したウェブサイトにご注意ください DCMXサイトを模倣したウェブサイトにご注意ください NOTTVサービスのサイトを模倣
週刊アスキーが8月21日に報じたLINE乗っ取りを行っている人物から送られてきた台本らしきファイル「整理日本語言(1).txt」について、画像で紹介されていたため検索される人のことを考え文字起こしをしました。 この台本ファイル?を見るとWebMoney、iTunesの他、クレジットカードや口座番号を聞き出そうとするものも含まれています。 週刊アスキーの次の記事で画像掲載されている日本語文の文字起こしをしたものです。 まさかの誤爆!LINE乗っ取り犯が“台本”を送信、その全文を公開 のっとられてしまった場合は LINEが乗っ取られた! そのときあなたが取るべき行動と対処法とは 呼びかけパターン すみません、ちょっといいですか。 忙しいですか?手伝ってもらってもいいですか? ちょっと手伝ってもらえますか? 何してますか? 忙しいですか? いいですか? 実はね、ちょっと頼みがあるけど 電子マネー
嘘のような本当の話。 編集部記者の知人宛てに、LINE乗っ取り犯からやり取りに使用する台本が送られてきたとのこと。本来、購入してほしい商品の写真を説明として相手に送信するつもりが、間違ってやり取りに使用する台本を添付したものだと思われます。 そのファイルの中には日本語と中国語の対応表のような例文が並べられ、「すみません、ちょっといいですか。」からはじまり、コンビニで指定した金券を購入するよう指示した内容になっています。なんと画像にして19枚分! あらゆるパターンに対応できるよう工夫されているのがわかります。 以下は、今回送られてきた台本の内容すべてになります。このようなメッセージが届いたときは注意しましょう。また、以前にLINEアカウントが乗っ取られたときの対処法を紹介しているので、もし乗っ取られてしまった際は参考にしてみてください。
By BristolRE2007 コンピューター同士がネットワークでつながれるインターネット社会においては機内Wi-Fiを通じて飛行機をハッキングできる可能性が存在したり、TVの電波をハッキングしてスマートTVにアタックを仕掛ける「レッドボタン攻撃」の危険性などのセキュリティリスクが必然的に高まるわけですが、アメリカではWi-Fi経由で道路の信号システムをハッキングして街じゅうの信号を自由に操れる危険性が存在していることが明らかになりました。 Researchers find it’s terrifyingly easy to hack traffic lights | Ars Technica http://arstechnica.com/security/2014/08/researchers-find-its-terrifyingly-easy-to-hack-traffic-lig
By othree フリーのセキュリティソフトを提供するMalwarebytesの研究員が、偽物の「Evernote用拡張機能」を発見し、これをウイルス・マルウェア・URLの無料オンラインスキャンサービスVirusTotalにてスキャンしてみたところ、怪しいプログラム(PUP)であることが判明しました。 Fake Evernote Extension Serves Advertisements | Malwarebytes Unpacked https://blog.malwarebytes.org/intelligence/2014/08/fake-evernote-extension-serves-advertisements/ Fake Evernote extension is spamming Chrome users, warns Malwarebytes- The Inqui
Appleの認可を受けていないアプリをインストール可能にするためOSを書き換える改造行為は「Jailbreak(ジェイルブレイク、脱獄)」と呼ばれていますが、ウイルスやマルウェアなどに感染するセキュリティリスクを高めてしまいます。そんな脱獄済みiOSデバイスを狙った「AdThief」または「Spad」と呼ばれるマルウェアに、7万5000台以上が感染していることがフォーティネットの研究によって明らかになりました。 AApvrile-July2014-2.indd - vb201408-AdThief.pdf (PDFファイル)https://www.virusbtn.com/pdf/magazine/2014/vb201408-AdThief.pdf Over 75000 jailbroken iOS devices fall prey to AdThief malware - Neowin
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems(CHS)社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
米Twitterは8月20日(現地時間)、遺族が故人に関連する画像や動画のツイートをリクエストできるよう「Twitterのルールとポリシー」を改定した。同日、Twitterの公共コミュニケーション担当者がツイートで発表した。 ポリシーの「亡くなられたユーザーに関するご連絡」というページに、新たに「画像の削除」という項目が追加された(本稿執筆現在、日本語化されていないので訳は本稿筆者によるもの)。 「故人への想いを尊重するため、Twitterは亡くなった方の画像を特定の状況において削除します。遺族あるいは権限を持つ個人は、対象となる方の死亡前後に致命的な被害を受けた際、「privacy@twitter.com」にメールすることで画像あるいは動画の削除をリクエストできます。Twitterは削除リクエストを検討する際、コンテンツの報道価値などの公共の利益について考慮するため、すべてのリクエストに
総務省はスマホのクーリング・オフ導入に関する中間とりまとめ案を、6月30日に発表した。来年の通常国会で電気通信事業法の改正案を提出し、2015年度にはクーリング・オフ対象外(2014年8月現在)であるスマホ契約において、制度が導入される方針が明らかになった。 そもそもクーリング・オフとは、契約後の一定期間内であれば、無条件で契約を解除できる制度のこと。制度が適用される取引は、訪問販売や電話勧誘販売などに限られ、店頭での購入は適用外とされてきた。スマホ利用者の多くは店頭で端末を購入するため、これまではクーリング・オフができなかったのだ。 ここで改めて制度導入の背景を考えてみると、スマホ契約に関するトラブルが増えていることがあげられる。全国消費生活情報ネットワーク・システム(PIO-NET)によると、スマホに関して寄せられた相談件数は、2010年の1490件、2011年の4762件、2012年
米Twitterは、最近一部のユーザーでテストしていたタイムラインへのフォロー相手のツイート以外のコンテンツ表示を正式機能にした。同社の関連するヘルプページに8月19日(現地時間)、新たな項目が加わったことを米Quartzなどが伝えた。 日本語のヘルプページには本稿執筆現在、まだ新項目が追加されていないが、米国版では2項目目として「さらに、あなたがフォローした方がいいアカウントのツイートや、人気があったりあなたに関連性が高いとTwitterが判断したツイートを、あなたのタイムラインに追加します。つまり、あなたがフォローしていないアカウントのツイートが表示されるということです。Twitterはタイムラインに表示するツイートを、ツイートの人気やあなたのネットワーク内での扱いを含むさまざまな要素に基いて選択します。その目的は、あなたのタイムラインをさらに関連性を高く、興味深いものにすることです」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
