サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJavaAppletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
情けない話ですが、自分の大チョンボでAWS の個人アカウントが第三者にアクセスされた結果 190万円相当のリソースが使われ、最終的にAWS さんに免除を頂きました。反省込みで本件のまとめを書きます。 自分が馬鹿を幾つも重ねた結果であって、AWS 自体は怖くないというのが伝われば幸いです はじめにまとめ S3 実験してた時に SECRET KEY を見える場所に貼っていた事があり、第三者がそれでアクセスし大量の高性能インスタンスを全力で回す (恐らくBitCoin採掘)AWS さんから不正アクセスの連絡があり、急いで ACCESS KEY 無効&パスワード変更、インスタンス全停止、イメージ削除、ネットワーク削除 免除の承認フェーズを進めて、クレジットカードの引き落とし前に完了して助かるAWS さんのサポートAWS さんは最大限サポートしてくれました 承認フェーズが進まない時もあまり
Microsoftから無償のセキュリティスキャナツール「Microsoft Safety Scanner」が公開された。ウィルスやスパイウェアなど、悪意あるソフトウェアを検出したり削除する機能を提供する。32ビットおよび64ビットの双方の環境に対応。32ビット版で68MB強、64ビット版で70MB弱ほどのサイズ。Windows 7 64ビット版で動作するMicrosoft Safety Scanner スキャンの種類として「クイックスキャン」「フルスキャン」「カスタムスキャン」を選択可能Microsoft Safety Scannerにてスキャン中 ウィルスやスパイウェアなどが検出されなかった場合の表示Windows XPにてMicrosoft Safety Scannerで実行した場合 ウィルスやスパイウェアなどが検出されなかった場合の表示 「Microsoft Safety Sc
高級ホテルなどの客室のカード式オートロックドアの下の隙間(すきま)から針金を差し込み、内側から開錠する手口で、就寝中の宿泊客の現金や貴金属が盗まれる被害が相次いでいることが、捜査関係者への取材で分かった。同様の被害は昨年12月から東京都内で少なくとも約20件(数百万円相当)に上り、関西や九州でも報告されているという。警視庁捜査3課は20日、中国人の男4人を窃盗容疑で逮捕し、被害者が気付いていない場合もあるとみて全容解明に乗り出した。【山本太一、内橋寿明、小泉大士】 ◇ドア下から針金差し込み 捜査関係者によると、昨年12月以降、東京都港区やJR新宿、池袋両駅周辺などのホテルの客室で、高級指輪や腕時計などが盗まれる事件が続出。現金約100万円が盗まれるケースもあった。 いずれもカード式などのオートロックタイプだったが、カードが使われた形跡はなく、窓も破られていなかった。捜査3課がドアを詳
「それ Unicode で」などで紹介されている、Unicode の U+202E (RIGHT-TO-LEFT OVERRIDE; RLO)を使って拡張子を偽装された exe ファイルの実行を抑止する方法を思いついた。 メモ帳を開いて、"**"と入力する(前後の引用符は不要)。 "*"と"*"の間にキャレット(カーソル)を移動させる 右クリックで「Unicode 制御文字の挿入」から「RLO Start to right-to-left override」「RLO Start of right-to-left override」を選択 Ctrl-A で全て選択、Ctrl-C でクリップボードにコピー。 ローカルセキュリティポリシーを開く 画面左側の「追加の規則」を右クリック 「新しいパスの規則」を選択 「パス」欄で Ctrl-V をして、メモ帳の内容を貼り付ける。セキュリティレベルが「
セキュリティ企業のトレンドマイクロは2010年6月3日、新たに確認されたウイルス(マルウエア)の詳細を報告した。特徴は、ウイルス調査をかたる日本語のメールに添付されていることと、アイコンや拡張子を偽装して「Word」の文書ファイルに見せかけていること。 今回のウイルスについては、国内のセキュリティ組織JPCERTコーディネーションセンター(JPCERT/CC)も2010年6月1日に注意喚起している。JPCERT/CCでは、ウイルスを添付したメールの特徴を説明したが、ウイルスについては詳述していなかった。今回トレンドマイクロでは、ウイルスの特徴について詳しく解説した。 JPCERT/CCが報告しているように、今回のウイルスは、社内のウイルス調査をかたるメールに添付されていた。メールの件名は、「『緊急』社員全員の参加でVIRUS・悪性スクリプト用ファイルの調査」。本文には、「添付したマニュアル
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開したGoogle OnlineSecurityBlog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っ
CWE is a Software Assurance strategic initiative sponsored by the National CyberSecurity Division of the U.S. Department of HomelandSecurity. CWE - 2010 CWE/SANSTop 25 Most DangerousProgrammingErrorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステックTOPページ
NHKのラジオで話した内容+αをせっかくなので関連資料とともに簡単にまとめておく。 【状況】 米国独立記念日の7/4頃より米国および韓国の政府機関、銀行、著名サイト等に対して大量の通信による分散型サービス妨害攻撃(DDoS攻撃)が発生、現在にいたるまで断続的に攻撃の通信が発生しているが特に7/7から9にかけて多くのサイトが過負荷によりサービス不能の状態に陥った模様 【参考】 ■米韓の政府系サイトなどにDDoS攻撃が発生(ITmedia, 2009/07/09) http://www.itmedia.co.jp/enterprise/articles/0907/09/news014.html ■米韓へのサイバー攻撃やまず 韓国で3回目の攻撃(NIKKEINET, 2009/07/09) http://www.nikkei.co.jp/news/main/im20090709IMC79001
作家の田口ランディ氏が以前エキサイトブログでやっていた『不眠に悩むコヨーテ』が何者かに乗っ取られたようだ。 『不眠に悩むコヨーテ』(現在) 『不眠に悩むコヨーテ』(Web Arcive) ブログタイトルとユーザー名の「flammableskirt」もそのままで、映画『おくりびと』の受賞歴をコピペしただけのページになっている。 ページ最下段の 「お小遣い ジャパンネット銀行 イーバンク銀行 新生銀行 ライフマイル マクロミル」へのリンクが目的だろう。 閉鎖、サーバ契約失効後に乗っ取られた『ていたらくてぃぶ』 少し前では、俺ニュースクローンの『ていたらくてぃぶ』が記憶に新しい。 サイトの運営方針を決めないまま、サクラサーバーと契約したところ、前管理人様の存在を知り、方針が決まるまで、前管理人様のサイトの体裁をアップさせていただいておりました。前管理人様に対して失礼な行動だったと深く反省しており
すべてのMicrosoft 製品Microsoft 365 OfficeWindows Surface Xbox セール サポート ソフトウェアWindows アプリ OneDriveOutlook SkypeOneNoteMicrosoft TeamsPC とデバイス Xbox を購入する アクセサリVR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox LiveGold Xbox とゲームPCゲームWindowsゲーム映画とテレビ番組 法人向けMicrosoft AzureMicrosoft Dynamics 365Microsoft 365Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer &IT .NET Visual Studi
米Microsoftが、10月23日午前10時(米国時間)に定例外のセキュリティパッチをリリースすることを明らかにした。 この脆弱性は、リモートからのコード実行を可能にするものという。深刻度は4段階で最高の「Critical(緊急)」としている。 影響を受けるのは、Windows 2000 SP4、Windows XP SP2/SP3、Windows Vistaおよび同SP1、Windows Server 2003 SP1/SP2、Windows Server 2008。Windows Server 2008ではServer Coreも影響を受ける。 パッチ適用後は、コンピュータの再起動が必要となる。
陸自内部文書、ウィニー介し流出 広島の幹部作成資料も2008年10月20日12時13分印刷ソーシャルブックマーク 陸上自衛隊の内部文書が、ファイル交換ソフト「ウィニー」のネットワーク上に流出していることが20日、わかった。確認された範囲では防衛機密を含む情報はないという。陸自第13旅団司令部(広島県海田町)の幹部自衛官作成とみられるデータも含まれ、幹部はウィニーを使っていたことを認めたという。 防衛省では06年以降、ファイル交換ソフトの使用や、私有パソコンでの業務データの取り扱いなどを禁じているが、幹部の私有パソコンに残っていた業務データがウィニーを介して流出した可能性があり、処分を検討している。 陸自によると、流出が確認されたのは、99年から05年にかけて作成されたとみられる業務データで、「FOC」関連のフォルダーの中に、陸自の通信設備を予算要求するための部内での説明資料や、通信関連部署
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
