Nintendo Switch 2: Everything we know about the coming release

Webサイトの暗号化（SSL化、HTTPS対応）はこれまでEコマースやプライバシを守る目的で部分的に導入されてきたが、SHA1からSHA2への切り替え、モバイル端末の普及やHTTP/2の登場によって、サイト全体を常にHTTPS通信にする常時SSL化の動きが活発になっている。さらにSSLサーバー証明書を無償で入手可能なLet’s Encryptのサービス開始や主要なWebサーバーソフトウェアの安定版でHTTP/2が利用できるようになったことでその動きは加速している。本稿ではSSL化を取り巻く最近の状況を整理し、NginxとLet’s EncryptによるHTTP/2＆SSL化の実装例も紹介していく。 これまで証明書の無償入手は限定的 HTTPSのWebサイトを運用するには通常、商用の認証局にSSLサーバー証明書の発行を申し込み、必ず費用が発生するものだった。一部限定した目的では無償で利用でき

長野県上田市では2015年6月12日に、庁内LANがサイバー攻撃を受けていたことが判明した（写真1）。同月下旬から、調査が本格化した（［1］を参照）。 そのなかで、「医療費通知」を装う標的型攻撃メールを受信・開封したために、「Emdivi（エムディビ）」と呼ばれるタイプの遠隔操作ウイルスに感染していたことが明らかになった（関連記事：医療費通知を偽装した電子メールにご用心、遠隔操作ウイルス感染も）。だが、2月に受信したとみられる標的型攻撃メールは、メールサーバーには残っていなかった。 上田市ではこうしたサイバー攻撃を前提に、メールを長期間保存することはしていなかった。今回のケースでは、たまたまPCにメールが残っていたため、標的型攻撃メールを検出できた。 さらに調査を進めると、攻撃者はこの1台のPCを糸口に、LAN内部に様々な形で侵入していたことが分かってきた。ウイルスに感染させたり、情報窃取

【日本年金機構】 データ入力業務、“違法派遣”でどこの誰だか知らない人が入力していた 1 名前： サッカーボールキック(愛知県)＠＼(^o^)／：2015/06/05(金) 08:37:29.23 ID:rRcJlG880.net 日本共産党の堀内照文議員は３日の衆院厚生労働委員会で、日本年金機構の個人情報流出問題に関して、同機構が委託した年金データ入力業務で違法派遣が行われていた実態を示し、個人情報を扱う業務の外部委託はやめるべきだと主張しました。 塩崎恭久厚労相は、業務委託について「調べていきたい」と答えました。堀内氏は、同機構から年金データ入力業務を請け負った会社が、労働者派遣法に基づく許可・届出のない別会社に社員を派遣させて、業務に従事させていたことを指摘。この派遣会社の住所に実体はなく、従業員に給与も支払わないなど、個人情報をまともに扱える事業者に委託されていないとただしました。

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ企業Synackの研究部門長であるPatrick Wardle氏は、米国サンフランシスコで開催された「RSA Conference 2015」での講演で、「Mac OS X」のセキュリティ機能「XProtect」と「Gatekeeper」は容易に突破可能であると語った。 AppleはMac OS Xを狙った攻撃の増加を受けて、まずMac OS X 10.6（開発コード名：「Snow Leopard」）にXProtectを導入し、続いてMac OS X 10.8（同「Mountain Lion」）でGatekeeperを導入した。XProtectは、既知の脆弱性があるアプリやプラグインの実行を禁止してシステムを保護する。一方、

関連キーワード 指紋認証 | 認証 | ワンタイムパスワード | パスワード | 生体認証 20XX年のある日。セキュリティシステムで厳重に警備されたビルの中を1人の男が進む。厳重なセキュリティに守られた扉に到達するたびに、セキュリティカードをかざしたり、静脈や虹彩を認証したりしながら、高度なセキュリティシステムを次々に通過していく。たどり着いたコンピュータルームで、男はシステムコンソールに向かう。そこで待っていたのは、ID／パスワードの入力だった――。 ID／パスワードを中心とした認証を再考する動きが現れつつある。その背景には、ID／パスワード認証の弱点を突く攻撃が活発化してきたことがある。一方、米Microsoftの次期OS「Windows 10」にも採用が予定されているユーザー認証仕様「FIDO（Fast IDentity Online）」など、ID／パスワードに変わる新たな認証技術

米連邦政府のバラク・オバマ大統領は2月13日（現地時間）、スタンフォード大学で開催したサイバーセキュリティに関するサミットで、サイバー攻撃に対抗するための大統領命令を発表し、企業に協力を求めた。 オバマ氏はサミットでの演説（動画を記事末に転載）で、「米国をサイバー脅威から守る方法はただ1つ、政府と民間企業が協力し、真のパートナーとして適切な情報を共有することだ」と語った。 米連邦政府は同日発表したファクトシートで、Apple、Intel、Box、SquareなどのIT企業、SymantecやIntelが参加するCyber Threat Alliance、さらにBank of America、Visa、MasterCard、AIGなどの金融・保険企業による連邦政府への協力を紹介した。 Appleは、自社のネットワークに政府の「Cybersecurity Framework」を採用し、Visa

徳丸 浩 @ockeghem 私がパスワードの定期的変更問題について取り組み始めたきっかけは、パスワードの定期的変更が当たり前のように要求されているが、これに効果があるのだろうかという疑問からでした。定期的変更を要求する記事は数多くありますが、その理由を明確に説明している記事は見つかりません 徳丸 浩 @ockeghem そこで、手探りで「パスワードの定期的変更の意味探し」を始めました。私はこの種のことをよくやります。ある人から別の話題で、徳丸がやっていることは『存在しない聖杯を追い求めている行為』と言われました。同じように、「パスワードの定期的変更の意味」は私にとって「聖杯」でした 徳丸 浩 @ockeghem 記事を書いてその反応を見たり、twitterでのやりとり、自身の思索の結果、「パスワードの定期的変更の効果」は見つかりました。しかし、それは、聖杯に例えるのははばかられるほどに、

先日、とある企業からメールにて会員向けに「なりすましログイン」に関する注意喚起メールが届きました。 その中にパスワードを定期的に変更することが推奨されていたので、その根拠について質問し、先方の担当者とやりとりした結果を記録として残しておきます。長文の割にとくにオチはありません。 メール内容の引用は全文ではありません。文頭の挨拶文など、本筋に関係ない部分は省略しています。 当該企業を晒し上げることが目的ではないため、サービス名、担当者名は伏せています。 まず最初に、会員向けに届いたメール（の一部）がこれです。 本メールをお送りしているメールアドレスのIDでは、なりすましログインは確認されておりませんが、今後、会員情報が不正に利用されることを防ぐため、定期的なパスワードの変更をお勧めいたします。 ※なりすましログインが確認された方については、別途、弊社より個別にご連絡を差し上げております。 今

LinuxなどUNIXベースのOSで広く使われているシェル（コマンド実行環境）「GNU Bash」で2014年9月24日に見つかった非常に危険な脆弱性、いわゆる「ShellShock」の件で、IT業界が大騒ぎになっている（関連記事：「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も）。 記者は先週末、取材でほとんど外に出ていたが、取材先を訪問するたびに必ずこの話題が出ていたほど。もちろん、ITproはじめIT系ニュースサイトもShellShock関連のニュースを盛んに取り上げている。既にこの脆弱性を悪用する攻撃も始まっており、ボットネットも出現している。この先どんな被害が出るのか、想像するのも困難な状況だ。 記者は、記者としてこの手のセキュリティ記事を書く立場だが、対策をとるべきインターネットサイトの運用者としての立場も持っている。自宅で固定IPアドレス（IPv4）を契約

2014年9月25日以降、LinuxなどのUNIX系OSの多くに含まれるソフトウエア「GNU Bash（以下、bash）」に、非常に危険な脆弱性が見つかった（関連記事：「Bash」に重大な脆弱性）として、OSベンダーやセキュリティベンダーなどが注意を呼びかけている（図1）。インターネットに接続されたWebサーバーやルーターなどでは、細工を施されたデータを送られるだけで乗っ取られる恐れがある。実際、今回の脆弱性を狙った攻撃が確認されている。システム管理者は、影響を受けるコンピュータや機器の洗い出しと対策の実施が急務だ。 bashとは、シェル（shell）と呼ばれるソフトウエアの一種。シェルは、ユーザとOSを仲介するソフトウエア。例えば、ユーザーが入力したコマンドを解釈して実行する。シェルには「csh」や「tcsh」など複数の種類が存在する。今回脆弱性が見つかったbashは広く使われているシェ

※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln

[NEW] 2014/09/30: アプライアンスの対応状況まとめを随時更新中 CVE-2014-6271及びCVE-2014-7169ねた(Bash脆弱性)。 世間では、外部公開サーバー(特にWebサーバー)への対処が着々と進められています。Webサーバーだけでなく、メールサーバーへの攻撃パターンも早期に見付かっています。外部公開サーバーに対する総合的な点検が近いうちに進んでいくものと思われます。 bash Shellshock through MAIL .forward / qmail-alias piping (ML program etc.) CVE-2014-6271 http://t.co/QPbSE8dppM http://t.co/AFuHudkCdh September 26, 2014しかし、一般的なサーバー類だけでなく主にファイアウォールの内部に設置されているアプライ

様々な企業・組織から自社のサイトを「模倣したウェブサイト」が存在しているとして注意喚起が出されています。一部のツイートを紹介しますが、piyokango氏のblogに一覧が掲載されています。 NTTグループや楽天が発表した模倣サイトについて調べてみた http://d.hatena.ne.jp/Kango/20140725/1406285179