概要 CSRF(Cross Site Request Forgeries)とは、Webブラウザを不正に操作する攻撃手法の一つで、偽装したURLを開かせることにより利用者に意図せず特定のサイト上で何らかの操作を行わせるもの。 攻撃者はあるサイトへ特定のリクエストを発生させるURL(Webアドレス)を用意し、何らかの方法でこれを偽装・隠蔽してWeb閲覧者に開かせる。閲覧者は気付かずに、あるいは何のURLであるかを誤認して開き、攻撃者の意図したリクエストを発生させてしまう。 URLを開かせる手法はいくつか知られており、Webページやメール本文にリンク先について虚偽の内容を記載したリンクを設置する、HTMLのimgタグのようにページを開くと自動的にURLが読み込まれるタグを悪用する、ページ上にURLを読み込ませるようなスクリプト(JavaScript)や自動転送(HTTPリダイレクト)などを仕掛け
ローソンがPonta会員用のAndroidアプリ(ローソン公式スマートフォンアプリ)をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。 「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」(高木浩光氏による画面キャプチャ) なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。 Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。 ちなみにセキュリティ専門家
Appleは米国時間4月12日午後、「Flashback」を除去する統合ツールを公開した。Flashbackはユーザー情報を盗み出すよう作られたマルウェアで、つい先ごろ60万台以上のマシンに存在することが確認された。 Flashback除去ツールは同日公開されたJavaのセキュリティ更新に含まれており、Appleは2日前の10日、このツールをユーザーに提供する計画を目立たない形で発表していた。 Flashbackは、ウェブブラウザやその他のアプリケーションを通じてユーザーのパスワードなどの情報を取得するよう作られたマルウェアの一種だ。ユーザーは多くの場合、これを正規のブラウザプラグインと誤解して悪意のあるウェブサイトを訪問してしまう。その時点でFlashbackは個人情報を収集するためのコードをインストールし、この情報をリモートサーバに送り返す。Flashbackの直近の変種では、ユーザー
日経 ITpro の記事によると、私物のスマートフォンや PC を業務で利用することを許可する企業が増えているらしい。 事例として挙げられているのは DeNA やアジア航測、ヒビノ、KDDI、コニカミノルタホールディングス、明豊ファシリティワークスの 6 社。スマートフォンは社外でのメール閲覧やスケジュール管理などで便利だが、コスト的な問題で全社員に支給するのは難しい。そのため、申請によって私物スマートフォンの利用実態を把握・管理できる状態にしたうえで利用を許可する、という形のようだ。 いっぽう、私物 PC の場合はちょっと事情が異なるようで、こちらは節電・災害対策や在宅勤務のために認めているとのこと。KDDI では大規模な在宅勤務制度をスタートさせたとのことで、これに合わせて私物 PC の業務利用を許可したとのこと。
Facebookが6月から提供開始した自動顔認識によりタグ付けを促す機能に対し、ドイツのデータ保護当局が違法とする裁定を下した(The Atlantic Wireの記事、 ZDNet UKの記事、 マイコミジャーナルの記事、 本家/.)。 以前のストーリーでも紹介されているように、Facebookの自動顔認識機能に対してプライバシーの侵害を懸念する声が欧米を中心に上がっていた。EU域では第29条データ保護調査委員会が調査を行っていたが、違法と裁定するのはドイツが初となる。ハンブルクのデータ保護委員、Johanness Casper氏は、この機能がドイツおよびEUのデータ保護法に違反しており、データを削除する方法がユーザーに知らされていないことを指摘し、声明で「Facebookに対して顔認識機能を無効化にし、これまで保存されたデータを削除するよう再三要求してきた」と述べている。これに対してF
2011/08/03 シマンテックは8月2日、企業がTwitterやFacebookなどのソーシャルメディアを利用する際にどのような自衛策を取っているか、その実態をまとめた「2011年 ソーシャルメディアからの保護に関する調査(2011 Social Media Protection Flash Poll)」を発表した。 調査対象は、北米、EMEA(ヨーロッパ、中東、アフリカ)、アジア太平洋(日本含む)、中南米の33カ国で企業の経営陣とIT管理者を務める1225人。企業規模は小規模(従業員数1000~2400人)、中規模(同2500~4999人)、大規模(同5000人以上)に分類している。 同調査によると、82%の企業がソーシャルメディアの利用に伴い順業員の発信内容のアーカイブ(収集、保管、検索)やセキュリティポリシーの策定、教育プログラムの確立を検討していることが分かった。実際に導入フェ
存在すらしないよりも炎上アテンションのほうがまだマシ ネットへの情報漏洩をどう防いでいくか、あるいは漏洩しても問題のないよう自らの行いをどう正しくしていくか……それに対する合理的な思考は、残念ながら日本ではできないように感じる。 海外では万が一情報が流出したとしても、その結果「得」の方が多ければ気にしない。それが日本では得:損=9:1(9よくても1のリスク)でダメ! となり、そこでツブれる。あまりにもセンシティブな思考停止……。 欧米の一部の攻撃的な企業はもちろんディフェンスもするが、それだけでなく、むしろ流出情報がいかに結果としてポジティブな印象を与えられるかについての実験や姿勢もある。 日本人は何に関しても潔癖に安心を求める。食にも、セキュリティにも。これを前向きに捉えれば、消費者の厳しい目がより衛生的な食品を作り出したり、より信頼性の高いクラウドを作り出したりすることに繋がる。しか
6月13日、ハッカー集団の「ラルズ・セキュリティが、米上院議会のコンピュータ・ネットワークに侵入したと明らかにした。ワシントンの米連邦議会議事堂で1月撮影(2011年 ロイター/Jim Young) [ワシントン 13日 ロイター] ハッカー集団の自称「ラルズ・セキュリティ(Lulz Security)」は13日、米上院のコンピュータ・ネットワークに侵入したことを明らかにした。 同集団はウェブサイト上に一連のファイルを公開。同ファイルは直ちに重大な影響を及ぼす内容ではないとみられるが、同集団が上院のネットワークに侵入したことを示しているという。 国土安全保障省の元サイバー担当者、スチュワート・ベーカー氏は「確かに同集団がネットワーク内に侵入し、ファイルサーバを発見したことを示している。機密度の高い内容かどうかはファイル名では分からない」と語った。 同集団はこれまで、ソニー6758.T関連サ
東日本大震災から3日後の2011年3月14日。この日の午前に最初のトラブルは発生した。テレビ局が東日本大震災の義援金を番組などで呼びかけたところ、みずほ銀行東京中央支店のテレビ局の義援金口座(以下、口座a)に、振り込みが殺到した。 午前10時16分、振り込みによって生じた「取引明細」の件数が上限値を超え、口座aに対する「預金・取引内容照会」ができなくなった。取引明細は通帳の記帳に使う。 みずほ銀は口座aを、格納できる取引明細の上限値が小さい「個人・通帳口」として間違って設定していた(表-1)。 みずほ銀は口座の種類を二つの属性の組み合わせによって区別している。一つは「個人」か「法人」か。もう一つは、取引明細を通帳に記帳する「通帳口」か、記帳しない「リーフ口(ぐち)」かである。 これら二つの属性によって、格納できる取引明細の上限値が変わる。通常、義援金口座のような大量振り込みが予想される口座
6月11日、国際通貨基金(IMF)は、コンピューターシステムがサイバー攻撃を受けたと明らかにした。写真はIMFのロゴ。ブカレストで2009年3月撮影(2011年 ロイター/Bogdan Cristel) [ワシントン 11日 ロイター] 国際通貨基金(IMF)は11日、コンピューターシステムがサイバー攻撃を受けたと明らかにした。IMFのデービッド・ホーリー報道官は「IMFはすべて正常に機能している」とし、攻撃について現在調査していると述べた。 ブルームバーグは、サイバー攻撃が外国政府とつながりがあるハッカーによって仕掛けられたとみられ、電子メールや書類が消失したと伝えている。 情報セキュリティー専門家でIMFや世界銀行の業務を行うトム・ケラーマン氏は、攻撃の目的について、ある国が影響力を高めようと、IMFのシステムにソフトを内蔵しようとした可能性があるとの見方を示した。 また、ニューヨーク
全世界で7700万人分の個人情報が流出した可能性があるソニーのオンラインサービス「プレイステーション・ネットワーク」。情報セキュリティーの専門家は「ハッカー集団とソニー側とが国外でトラブルになっていた」と、問題の背景を分析している。 情報流出を巡っては、ソニー・コンピュータエンタテインメントがホームページで21日、同日昼ごろからネットワーク障害により停止させていると掲載。23日には「障害」が「外部要因によるとみられる」と記し、ハッカーによる不正侵入を受けていることを明らかにしていた。森井昌克・神戸大大学院教授(情報通信工学)によると、インターネット上では21日から「アクセスできない」と話題になっていたという。 「ソニーはハッキングされたとは言っていなかったが、不確かな情報を出すと逆に混乱してしまう。被害の拡大を防ぐためにネットワークを遮断したというのは正しい対応だったのではないか」。森井教
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
