Subscribed unsubscribe Subscribe Subscribe

ここ最近の #セキュリティのアレ

えー前回の記事からずいぶん間があいてしまいました。7、8月は収録のスケジュールがあわなかったり、公開収録をやってみたり、全文文字起こしに挑戦するなどもあって*1、連載のスケジュールがやや不規則になってしまいました。まだまだ試行錯誤を繰り返して…

#セキュリティのアレ (27) Torを使ってみよう

少し間があいてしまいました。先週末は Hardening 100 Value x Value というイベントで沖縄に行ってまして、まあ端的に言うと、忙しくてブログのことすっかり忘れてました。あれ、同じことをその前も書いた気が…さて先週は「Tor」について解説してみました。…

#セキュリティのアレ (26) 脆弱性情報の見方

Hardeningの準備にかまけて、ブログのことすっかり忘れてましたw 先週は GW前に公開された Apache Struts2の脆弱性を題材に、脆弱性情報への対処の仕方について話してみました。地味だけど結構大事!www.atmarkit.co.jpwww.youtube.com 参考リンクを紹介しま…

#セキュリティのアレ (25) Google Hackingとは?

今週はちょっとマニアックな用語解説シリーズで "Google Hacking" をテーマに取り上げてみました。www.atmarkit.co.jpwww.youtube.com 例によって参考リンクをいくつか挙げておきます。 Google Hacking Database, GHDB, Google Dorks Shodan ZoomEye | 钟馗…

#セキュリティのアレ (24) 4月の時事ネタ振り返り

GWの休み明け最初の今回は4月の時事ネタについてです。www.atmarkit.co.jpwww.youtube.com 2つの話題について取り上げてみました。 ケータイキット for Movable Type CMSのプラグインにある OSコマンドインジェクションの脆弱性が攻撃されて情報が窃取される…

#セキュリティのアレ (23) パスワードの定期的な変更について

最近はアレかねの記事しか書いてない気が…まあいっか。ということで今週の Show Notesです。www.atmarkit.co.jpwww.youtube.com 今回は「みんな大好きパスワード」のネタです。パスワードを定期的に変更することの効果については、もう議論は尽くされている…

#セキュリティのアレ (22) APTとはなにか

今回は専門用語解説シリーズの第2弾ということで APT (Advanced Persistent Threat) について取り上げました。www.atmarkit.co.jpwww.youtube.com動画の中でも触れてますが、過去にブログ等で何度か APTについて書いているので紹介しておきます。 Advanced P…

#セキュリティのアレ (21) セキュリティ情報収集術

今週はセキュリティ情報の収集術をテーマに話をしてみました。www.atmarkit.co.jpwww.youtube.com情報の種類 (脅威、脆弱性、事件/事故ほか) や情報の発信元 (メディア、ベンダー、専門家、被害企業、公的機関ほか) などに注意しつつ、どうやってその情報を…

#セキュリティのアレ (20) 「3月の注目事件」

今週は月に1度の時事ネタ特集号です。www.atmarkit.co.jpwww.youtube.com今回は 2016年3月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。 リスト型攻撃 当社インターネットショッピングサイトでの会員ID、パ…

#セキュリティのアレ (19) 「バックドア」ってなんだ?

今週はよくわからないセキュリティ用語の解説シリーズとして「バックドア」について話しました。まあシリーズとして続くかどうかわかりませんが…wwww.atmarkit.co.jpwww.youtube.com 動画の中で触れたバックドア関連の話題について、参考リンクをのせておき…

#セキュリティのアレ (18) パスワード管理ソフト

えーっと、すいません、忘れてましたw というわけで先週はパスワード管理ソフトの話題を取り上げてみました。www.atmarkit.co.jpwww.youtube.com 基本的な仕組みはこんな感じです。 各種WebサービスのIDとパスワードを AESなどで暗号化して保存する 暗号化の…

#セキュリティのアレ (17) ソーシャルエンジニアリング

今週のセキュリティのアレでは「ソーシャルエンジニアリング」について取り上げてみました。www.atmarkit.co.jpwww.youtube.com あるサービスのお客さま対応窓口に電話をかけ、ターゲットの人物になりすまして言葉巧みに個人情報を入手し、その情報を使って…

#セキュリティのアレ (16) 「2月の注目事件」

さてさて今週も公開されています「セキュリティのアレ」。遅くなりましたがいつもの Show Notes 的な「アレかね」です。www.atmarkit.co.jpwww.youtube.com今回は 2016年 2月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせ…

#セキュリティのアレ (15) CMSのセキュリティ

さて今週も公開されましたよ「セキュリティのアレ」。www.atmarkit.co.jpwww.youtube.com 今回は CMSのセキュリティがテーマです。先に結論を言ってますが、これですね。 CMS本体 (WordPress, Drupal, Joomla!など) を最新にする プラグインも最新にする Wor…

Apple vs. FBI 今週の動き

先週から始まった(いや実際にはもっと前からだが) Appleと FBIとの仁義なき戦い。なんのことだかわからないという方はまずはこちらの記事をどうぞ。negi.hatenablog.com さてこの記事以降に起こった今週の主な動きを時系列で簡単にまとめておく。 2月22日(月…

#セキュリティのアレ (14) ネットワーク対応機器のセキュリティ

今週も公開されましたー。 www.atmarkit.co.jpwww.youtube.com今週のテーマは IoT機器のセキュリティ。ホームルータ、HDDレコーダー、複合機、Webカメラなど、さまざまな機器がネットワークにつながるようになり、関連する事件も増えてきてます。どんなこと…

#セキュリティのアレ (13) 紙でもできるよパスワード管理

毎回書こうとか考えると途端に面倒に感じるわけですが。(´Д` ) まあそれはともかく今週も公開されてます。www.atmarkit.co.jp まずはゆるりと動画をご覧ください。 www.youtube.com 今週のテーマは「パスワード管理」。パスワードと言えば基本となるのが、以…

iPhoneの「バックドア」問題について

今週の 2月16日、カリフォルニア州の連邦裁判所から Apple社に対してある命令が出された。内容は昨年12月に起きたサンバーナーディーノ銃乱射事件の犯人の1人が所持していた iPhoneを FBIが調査するのを手助けするようにというもの。それだけなら特別なこと…

#セキュリティのアレ (12) 「1月の注目事件」

前々回の記事を書くまで 2年近く更新をさぼっていたわけですが、その間に @ITで動画の連載をはじめました。昨年11月からスタートして毎週更新しています。初めての試みなのでまだまだ試行錯誤しているところなのですが、専門家ではない方にもわかりやすく楽…

よく使われるパスワード 2015年版

先月、パスワード管理ソフトなどを開発している SplashDataが、毎年恒例の "Worst Passwords of 2015" のリストを発表した。その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調べて、2011年から毎年発表しているものだ…

TAOによるハッキングへの道

先月末にサンフランシスコで開催された ENIGMAという USENIXの新しいカンファレンスのクロージングセッションにおいて、アメリカ国家安全保障局 (NSA) の Tailored Access Operations (TAO) という部門のチーフである Rob Joyce氏がプレゼンテーションを行っ…

LulzSecリーダー Sabuへの判決

5月27日、LulzSecのリーダーだった Sabuについに判決がでました。情報提供者として協力してきた結果が非常に評価されて、保護観察つきながら自由の身となりました (“time served and one year of supervised release”)。米司法省のプレスリリースによると Sa…

JICS2014のセキュリティ・トラックに参加しました

先週 1/14,15に JAPAN IDENTITY & CLOUD SUMMIT (JICS) が開催され、その中のセキュリティ・トラックに参加させてもらいました。@ITさんの記事(の後半)でセキュリティ・トラックの内容について紹介されています。Japan Identity & Cloud Summit 2014レポー…

よく使われるパスワード 2013年版

先週 SpalshData が "Worst Passwords of 2013" のリストを発表しました。SpalshDataはパスワード管理ソフトなどスマートフォン向けの製品を開発している会社ですが、その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調…

Adobeでよく使われるパスワード Top 10

Adobeから大規模な情報漏洩が起きたことが先月明らかになったが、漏洩規模は当初想定よりもかなり大きく、およそ1億5千万件のアカウント情報が漏洩している(アクティブなアカウント約3,800万件を含む)。このうち 3DES (ECBモード) で暗号化されたパスワード…

OTRでオフレコチャット!

前回の記事で (Perfect) Forward Secrecy (FS) のテーマを取り上げたが、これは TLS/SSLだけに限定した話ではない。そこで今回はメールやチャットなどのメッセージングの話題を取り上げたいと思う。 PGP メールにおける End-to-Endの暗号化としては Pretty G…

Lavabit 事件とその余波、そして Forward Secrecy

Lavabit事件 Lavabitという名前をみなさんご存知だろうか。NSAの監視活動について内部リークを行った Edward Snowden氏が利用していたメールサービスとして今年の夏に一躍有名になったところだ。Snowden氏は香港に滞在して複数のジャーナリストにNSAの内部情…

(続) Facebookのパスワードリセット機能のまとめ

前回の記事では、複雑な Facebookのパスワードリセット機能についてまとめてみたのですが、引き続き調べてみるとおもしろいことがわかってきました。ということで続編です。(割とどうでもいいような細かいことが気になるんですよね。)まずは前回の復習。私が…

まだまだ続く不正ログイン事件

4月に「複数の会員サイトへの不正ログイン事件が発生」という記事を書いたのだが、その後も多くのサイトで不正ログイン事件が起きている。前回紹介したものも含め、3月から7月にかけて発生した事例についてまとめておく。 まとめ 対象 期間 試行回数 不正ロ…

Operation Ababil Phase 4 開始

このブログでも度々紹介している米金融機関への DDoS攻撃作戦 "Operation Ababil"。3月初めから Phase 3が開始され、5月上旬から一時中断していましたが、先週から Phase 4として再開してしまいました。Phase 4, Operation Ababil - Pastebin.com Well, mist…

Facebookの「セキュリティのための質問」を再設定する方法

前回の記事に書いたように、Facebookではパスワードをリセットするための一つの方法として「セキュリティのための質問」を利用することができる。ただし問題がひとつある。Facebookでは一度設定した「セキュリティのための質問」をあとから変更することがで…

Facebookのパスワードリセット機能のまとめ

Facebookのパスワードを忘れてしまった場合、「パスワードを忘れた場合はこちら」のリンクから、パスワードを再設定することができる。いわゆるパスワードリセット機能で、大抵の Webサービスには似たような機能があると思うが、Facebookでは実に多様な方法…

NSAの監視プログラムに関する米政府の主張

Edward Snowden氏のリークによって大騒動となっている NSAの監視プログラムについて、今週、米国議会の上院や下院において米政府からの情報開示や、NSA長官などの政府高官による証言が相次いで行われました。これらの情報から、現時点でのこの問題に関する米…

2段階認証ノススメ (まとめ)

(2013-08-07 更新あり) 主要なサービスで 2段階認証に対応する動きが拡がってきたので、ちょっとまとめておきます。金融系のサービスやマイナーなものはいれてません*1。こうやって並べて比べてみると、細かいところで違いがあっておもしろいですね。なお現…

Apple IDにおける 2段階認証の問題点

最近、Microsoft、Twitter、Evernote、LinkedInなども相次いで 2段階認証 (two-step verification) のサポートをはじめ、主要なサービスでは必須の機能という感じになってきました*1。Appleでも 3月にアメリカ、イギリスなどから開始され、5月には対象国が拡…

Operation Auroraの真の目的?

APT

5/20付けの The Washington Postに興味深い記事が掲載されていたので内容を簡単に紹介したいと思います。Chinese hackers who breached Google gained access to sensitive data, U.S. officials say - The Washington Post Chinese hackers who breached Go…

Yahoo! Japanからの ID流出でユーザが注意すること

(5/23 追記) Yahoo! Japanからパスワードに関する情報も流出した可能性が高い、との追加発表あったので、その内容について追記しました。 先週末の 5/17に Yahoo! Japanから発表があり、外部からの不正アクセスによって最大 2,200万件の Yahoo! Japan IDが流…

LulzSecメンバーへの判決

5月16日、イギリスで LulzSecのコアメンバー 3人とサポーター1人の計 4人への判決が出ました。世間を大きく騒がせたハッカーチームへの最初の判決ということで、メディアも多数取り上げています。私もこれまでにブログで記事を書いたこともあるし、LulzSecの…

再考・APT

APT

少し前に Mandiantのレポートについての解説記事を書いたのですが、この内容に大幅に加筆してまとめ直した記事を @ITさんで書かせていただきました。少し間があいてしまいましたが、内容はもちろん、参考文献のリンク集も充実させてます。ぜひご覧ください!…

警察庁が ISPに Torのブロックを要請!?

Tor

元は毎日新聞のこの記事。 警察庁有識者会議:サイト管理者が通信遮断を 匿名悪用で パソコン(PC)の遠隔操作事件を受け、発信元の特定を困難にする匿名化システム「Tor(トーア)」を悪用した犯罪対策を検討していた警察庁の有識者会議は18日、サイ…

WordPressを狙った大規模な攻撃

一昨日あたりから WordPressを狙う大規模な攻撃が世界中で観測されていて、セキュリティベンダやホスティング事業者などが注意を呼び掛けています。*1WordPressを狙った大規模なブルートフォース攻撃(?)が観測されているみたい。CloudFlareの報告→ http://t.…

Bitcoin熱は続くよ、どこまでも?

先週、「Bitcoinがアツイ!」という記事を書いたばかりですが、今週も相変わらず話題豊富でした。主な動きをちょっとまとめてみました。Mt.Goxにおける直近 5日間の値動き 4月 9日 (火) 1BTCが $200を突破。その後もじわじわと上昇を続ける。 4月10日 (水) 1…

複数の会員サイトへの不正ログイン事件が発生

(4/9, 4/17 追記あり) 先週、複数の会員サイトで不正ログインが続けて発生しました。 日付 サイト 概要 参照 3/26 Tサイト 299 IDで不正ログインによるポイントの利用 (1) 4/2-4/9 goo 約10万アカウントで不正ログイン (2)(3)(4) 4/4, 4/9-4/10 フレッツ光メ…

Bitcoinがアツイ!

仮想通貨 Bitcoinの勢いが止まりせんね。今月になって市場に流通する Bitcoinの総額がはじめて 10億ドルを突破して話題になったばかりですが、その後も価格は上がり続けていて、さっき見たら 15億ドルになっています。バブルというか投機の対象になってる感…

Darkleech感染事案についての補足情報

昨日 (4/3)、多数の Webサイトが Darkleechによって感染している状況を Ciscoがブログで報告し、その内容をもとに Ars Technicaが記事を公開しました。この感染事案について、いくつか補足情報をまとめておきたいと思います。(主に自分用) Exclusive: Ongoin…

「懐かしいタイプの攻撃」に注意!

ナノリマス (Nanorymous) の一人として先週取材を受けた記事がさきほど @ITで公開されたようです。「それ知ってたわー、10年前から知ってたわー」と専門家:「懐かしいタイプの攻撃」に注意喚起 - @IT 3月に韓国で発生した大規模なサイバー攻撃を踏まえ、複…

3/20 韓国同時多発サイバー攻撃について (3.20 大乱)

3月20日の午後、韓国の複数の放送局、金融機関において同時多発的にマルウェア感染によるシステム停止が発生しました。本記事では現在公開されている外部情報をもとに、事件の概要をまとめます。(あわせて読みたい) piyokangoさんの大変素晴らしいまとめ記事…

LogMeIn Account Notification - Account locked

(3/15 追記あり) こんなタイトルのメールが先月届きました。LogMeInは自分の PCにどこからでもリモートアクセスできる便利なサービスですが*1、私自身は使っていません。スパムだろうと思ってスルーしていたのですが、その後 1ヶ月の間に 3通ほど届きました…

Twitterアカウントの乗っ取り多いですね

以前から度々起きてはいますが、組織の公式 Twitterアカウントや著名人のアカウントが乗っ取られるという事件を最近よく見かけますね。ユーザー数が増えているということなのかもしれませんけど。ここ1ヶ月に起きた主なものだけでもこんなにあります。 日付 …

Operation Ababil Phase 3 開始

このブログでも度々紹介している米金融機関への DDoS攻撃作戦 "Operation Ababil" ですが、事前の予告通り今週から Phase 3がスタートしてしまいました。 Phase 3, Operation Ababil - Pastebin.com Now at the end of one month time it is seen that other…