HASHコンサルティング株式会社 公開日:2009年11月24日 追記日:2010年1月21日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding(DNSリバインディング)問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景 携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送出される。現在、iモ
「Interop Tokyo 2008」において10日、DNS関係者に向けたコンファレンス「DNSの安定運用に向けて:基礎知識から最新対応策まで」が開催された。 今回の主要なテーマは、「健全な運用」。DNS(Domain Name System)はインターネットを支える重要な基盤技術のひとつだが、近年では悪用や妨害といった事件も目立つようになった。そのため、安定し、リスクの少ないDNS運用を行なうことがより強く求められるようになってきている。 ● キャッシュポイズニングのリスクは健在 DNSが抱えるリスクとして代表的なものがキャッシュポイズニングである。キャッシュポイズニングとは「毒入れ」とも呼ばれ、DNSを悪用するための代表的な手法として知られている。その動作原理は、キャッシュサーバーが出した問い合わせへの応答を偽造し、キャッシュサーバーに偽の情報を読み込ませて(利用者にとって有害な情報
》 バンコク中心部で同時多発テロか 20人以上負傷 (asahi.com, 12/31)、 タイ:バンコクで同時爆弾テロ、2人死亡 (毎日, 12/31) 》 朝鮮日報選06年韓国10大ニュース (朝鮮日報, 12/31) 》 台湾南沖地震方面 米ベライゾン、台湾地震受け太平洋横断ネットワークの強化を計画 (ロイター / ThinkIT, 12/29) 台湾地震損傷の海底ケーブル、完全復旧は1月中旬以降 (読売, 12/29) 台湾南部地震でアジア通信ネットワークの脆さが露出 (IBTimes, 12/29) 台湾地震ネットワーク障害にみる海底ケーブルの四方山話 (ITmedia, 12/29) 》 [海洋基本法]「なかったことの方が不思議だ」 (読売, 12/31)。確かになあ。 》 狂犬病ワクチン足りない! 予防接種中止の病院続出 (asahi.com, 12/31)。全国的に足りない
12月6日、Internet Week 2006のセッションの1つとして行われた「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 12月5日から8日にかけて「Internet Week 2006」が横浜で開催された。このうち12月6日に日本ネットワークインフォメーションセンター(JPNIC)が主催した「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 なりすましと反射を悪用したDoS攻撃 取り上げられた課題の1つは、偽装した発信元IPアドレスから不特定多数のDNSサーバにクエリを投げかけ、被害者に多数のパケットを反射させてDoS状態に陥れる「DNS amplification attack」だ。2006年3月には実際にその被害が発生し、警察庁からも関連するレポートが公表され
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
