2人の研究者が無線システムで利用されている暗号化技術を解読する手法を発見した。この手法では、辞書攻撃のように膨大な数の単語を試す必要がないという。詳細については、来週東京で開催の「PacSec 2008」で発表される予定だ。 PCWorldの報道によると、Erik Tews氏とMartin Beck氏の2人の研究者が「Wi-Fi Protected Access(WPA)」で利用されている暗号化プロトコル「Temporal Key Integrity Protocol(TKIP)」を解読する手法を発見したという。さらには、解読にかかる時間は15分程度とのことだ。この手法はWiFiアダプターのデータに対してのみ有効で、PCからルータに移動するデータ保護に使われる暗号化キーが解読されたわけではない。 以前から、TKIPは、辞書に載っている言葉を片っ端から試す攻撃手法である辞書攻撃(dictio
無線LANのセキュリティでは、これまでWEPの危険性が指摘されてきたが、WPAの方が安全ともいえない状況になってきた。 セキュリティ研究者が無線LANの暗号化規格WPAを部分的に破ることに成功したと、SANS Internet Storm Centerがニュースサイトの報道を引用して伝えている。 それによると、研究者はWPAに使われているTKIP暗号鍵を破る方法を発見した。辞書攻撃でTKIP鍵を破る方法は以前から報告されていたが、今回は辞書攻撃ではなく、報道によればクラッキングにかかる時間も12~15分と大幅に短縮されたという。 ただし、現段階ではまだTKIP鍵を破っただけで、実際に転送されたデータを傍受できるところまでは至っていないという。 無線LANのセキュリティをめぐっては、従来規格のWEPにさまざまな危険性が指摘されてきたが、今回の研究によってWPAの方がいいともいえない状況になっ
「60m離れて撮影した写真」から合鍵を作るソフトウェア 2008年11月 4日 ハッキング コメント: トラックバック (0) Brian X. Chen Photo: UCSD 鍵の写真さえあれば、他人のアパートのドアを開けることができる新技術を、カリフォルニア大学サンディエゴ校(UCSD)のコンピューター科学者たちが開発した。 Stefan Savage教授(コンピューター科学)が指導する学生グループが開発したのは、鍵の写真を解析するだけで、そこから合鍵を作れるというコンピューター・プログラムだ。UCSDのJacobs School of Engineeringの発表によると、鍵の山谷の1つ1つが数値コードと関連づけられ、その鍵が対応する錠前の開け方を完全に記述しているのだという。 学生グループは、米計算機学会(ACM)のコンピューター・セキュリティ会議『Conference on C
ロンドンに「耐爆型ゴミ箱」が登場 2008年11月 4日 環境 コメント: トラックバック (0) Brian X. Chen Image: Media Medtrica ロンドンの各所に設置されることになった新しい耐爆型のゴミ箱は、街の治安問題だけでなく、環境問題も解決してくれるだろう。 『Times』紙オンライン版の記事によると、爆発の熱を緩和するよう設計されたこの頑丈なゴミ箱は、普通ゴミと資源ゴミを分別収集する。また、全天候型の液晶スクリーンに、最新ニュースや交通情報を表示できるという。 ロンドン市では2009年にこの耐爆ゴミ箱を、市内各所に数百個単位で設置する計画だ。『Renew』という名前のこのゴミ箱は、新興企業の英Media Metrica社の製品で、1個の価格は約500万円という。 1991年にロンドンでアイルランド共和軍(IRA)による爆破事件が相次いで以来、爆発物を仕掛け
圧倒的な安さとボリュームで中高生から高齢者まで幅広い客層の人気を集めるイタリア料理のファミリーレストラン「サイゼリヤ」。10月20日、同社のピザ生地から有毒化学物質のメラミンが検出されたことが分かった。1年半前から中国の金城速凍食品に製造を委託していたものだ。 ピザは1日1店当たり50枚前後の注文が入る売れ筋。該当商品は10月2日までに東日本の店舗で提供されたという。他社製品でメラミン混入が相次ぎ、9月22日に原材料から乳成分を除外。しかし、それ以前に製造したものが消費された。混入は、25日に厚生労働省から指示された自主検査を実施後、10月16日に判明した。 危機管理は“万全”のはず 本来、サイゼリヤの製品管理体制は機動的に働くはずだった。 8月20日頃、サイゼリヤの人気商品の1つ「エスカルゴのオーブン焼き」がメニューから忽然と消えた。同社が毎日実施する自主検査で、微量な菌の発生が確認され
これまでの攻撃では、悪質なファイルをユーザーにダウンロードさせても直ちに実行させるのが難しかったが、攻撃側はその問題を解消した。 攻撃者がMicrosoftの正規アプリ「Help and Support Center Viewer」を利用し、被害者のシステムで直ちに悪質なコードを実行させる方法を編み出したと、セキュリティ企業の米Symantecが伝えた。 Symantecによると、これまでは攻撃側が悪質ファイルをダウンロードさせることに成功しても、直ちにそれを実行させるのは難しかった。 ところが今回見つかった手口で攻撃側は、Help and Support Center Viewerを利用してこの問題を解消。ActiveXコントロールのファイル上書き/ファイルダウンロードの脆弱性を併用して、直ちに悪質なファイルを実行させるやり方を編み出したという。 具体的な手口としては、まずファイル上書き
※ src: 画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う(閲覧者に行わせる)お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。 まとめ このように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合(つまりCSRF)、Webプログラム側ではどのように防げばよいのでしょう。 きっとまっさきに思いつくのは、「POSTリクエストを使うようにする」、あるいは「リファラヘッダ(リンク元が記載されているヘッダ行)のチェックを行う」などでしょうか。しかしそれだけでは不
暗号化セキュリティは、そのアルゴリズムを理解する人々にとってはありがたいものだが、理解しない人々にとっては無意味である場合がかなり多い。セキュリティの高いHTTPSプロトコルは、ウェブ閲覧向けに広く使用されているが、致命的な欠陥が1つ存在する。つまり、ユーザーが証明書エラーに関する警告を無視するという問題だ。PerspectivesというFirefoxエクステンションは、このセキュリティホールを封じることを目的とする。 FirefoxはSSL証明書が、それが検出されたサイトのドメイン名と一致しない場合や自己署名である場合には、セキュリティ警告をポップアップ表示する。どちらもよくあるケースである。たとえばgmail.comは、mail.google.com用に発行された証明書を使用するし、非商用ウェブサイトの多くは、VeriSignなどの認証機関に年間使用料を支払わなくてもよいように自己署名
NoScriptに追加された「ClearClick」機能 クリックジャッキングは、悪意のあるウェブページがユーザのクリック動作を乗っ取り、意図しないリンクやボタンなどあらゆるオブジェクトをクリックさせることができるという脅威である。JavaScriptおよび各種プラグインの実行を制御する「NoScript」は、このクリックジャッキングに対して(完全ではないものの)有効なデフォルト設定を提供しているとのことだった。 この度そのNoScriptにおいて、隠された要素へのクリックをブロックする「ClearClick」と呼ばれる機能が追加された。この機能によってクリックジャッキングによる脅威に対抗できるとのことだ。 同機能が追加されたのはバージョン1.8.2だが、その後いくつかのマイナーチェンジが加えられ、現在の最新版は1.8.2.8となっている。addons.mozilla.orgはまだこの最新
無線LANで使われている暗号方式・WEPを「一瞬で解読する」という方法を考案・実証したと神戸大学と広島大学の研究者グループが発表した。国内で2000万台以上普及している「ニンテンドーDS」の無線LAN通信機能はWEPにしか対応しておらず、セキュリティが不安視されている。 DSの通信機能を利用する場合、無線LANアクセスポイント(AP)のセキュリティ設定をWEPにする必要がある。同じAPをPCと共用してれば、PCとの無線通信も自動的にWEPになることが多く、WEPが解読されるとPCとの通信も解読されてしまう。また、ネットワークに“ただ乗り”され、サイバー攻撃の踏み台に使われる恐れもある。 任天堂はこういったリスクについてどう考えているのだろうか。同社広報室は「WEPのぜい弱性は以前から指摘されていた」とし、新機種「ニンテンドーDSi」ではより強固な暗号方式・WPAを採用したと説明する。ただ「
公式サイトすら危険なことも? シマンテックに聞くゲームセキュリティの現在 ライター:小林哲雄 以前お伝えしたとおり,シマンテックは2008年秋の新製品「ノートン・アンチウイルス 2009」「ノートン・インターネットセキュリティ 2009」などで,ゲーマーに向けたパフォーマンスへの配慮を強く打ち出した。また,PCユーザーへの啓発活動を兼ねたPRを強化しており,例えば東京ゲームショウ2008にブース出展し,「ノートンファイターが東京ゲームショウの安全を守った」ことは,別の記事でも触れたとおりだ。 そこで,シマンテックがいまとくにゲーマーをターゲットとする理由と,ゲーマーが直面しがちなPCセキュリティ上の脅威,そして,それに対する心得などについてインタビューしてみた。 回答してくれたのは,コンシューマ事業部門 リージョナルプロダクトマーケティング シニアマネージャの風間 彩氏と,シニア セキュリ
クレジットカード業界「PCI」の新規定では、クレジットカード情報の処理過程でWEPを使うことを一切禁止した。 小売り大手TJ Maxxからのクレジットカード情報の漏えいなど、相次ぐ情報流出事件を受けて、クレジットカード業界がデータセキュリティ基準(PCI DSS)の変更を発表した。英セキュリティ企業Sophosの研究者がブログで伝えている。 Sophosのグラハム・クルーリー氏のブログによると、クレジットカード業界PCIの新規定では2010年以降、カード情報を店頭の端末からサーバに送るといった情報処理の過程で、無線通信の暗号化技術WEPを使うことを一切禁止した。2009年3月31日以降、WEPを使った新システムを導入することも禁止した。さらに、Windowsへのウイルス対策ソフト導入だけでなく、全OSにマルウェア対策を義務付けた。 今回の基準変更は、WEPの利用をやめてWi-Fi Prot
情報処理推進機構(IPA)とJPCERTコーディネーションセンターは10月14日、7月~9月期の脆弱性関連情報の届出状況を発表した。8月にはWebに関連した脆弱性の届出件数が急増した。 期間中の届出件数は、ソフトウェア関連55件とWeb関連509件の合計564件で、Web関連の届出件数は4~6月期の208件に比べて2倍以上に急増した。2004年7月以降の累計では、ソフトウェア関連が802件、Web関連が2084件となり、Web関連の脆弱性届出が全体の約4分の3を占めた。 Web関連の脆弱性の内訳は、「DNS情報の設定不備」が56%、「クロスサイトスクリプティング」が18%、「SQLインジェクション」が14%、「ディレクトリトラバーサル」が7%、「セッション管理の不備」が1%などとなった。届出者別の内訳では、企業53%、政府機関が6%、地方公共団体が34%、協会や社団法人が3%、個人が3%な
大手のインターネットセキュリティソフトを使っていても、脆弱性を悪用するコードを検出できる率は極めて低い――。デンマークのセキュリティ企業Secuniaは10月13日、このような検証結果を発表した。 Secuniaは、セキュリティソフト主要12製品について検証を実施した。PCにインストールされている各種プログラムの脆弱性を突いた悪用コードを、セキュリティソフトでどの程度検出できるか比較している。 その結果、悪用コードを最も多く検出できたのは米Symantecの製品で、検出率は2位の製品に比べて約10倍の高さだった。ただし、Symantec製品を使っていても、「安全とはほど遠い状況だ」とSecuniaは解説する。Symantec製品で検出できた脆弱性の悪用コードは300件中、わずか64件だった。 Secuniaがデンマーク国内で実施したユーザー調査では、PCにインストールされた全プログラムのう
7~8月かけてインターネットの世界に巻き起こった「DNSキャッシュ汚染」の問題。この問題を担当したセキュリティ研究者のダン・カミンスキー氏が、脆弱性公開と対処に関するプロセスを語った。 インターネットのドメイン名とIPアドレスを照会するためのDNSプロトコルに脆弱性が見つかり、7月に「DNSキャッシュ汚染」と呼ばれる問題がインターネットの世界に巻き起こった。 技術やシステムには常に脆弱性の問題がつきまとうが、ユーザーへの脆弱性情報の公開や対処をどのように進めるかは、研究者やシステム、サービス提供者らが最も頭を悩ませるところだ。脆弱性の詳細を公表すれば悪用を試みる人間が出現するものの、ユーザーの注意を強く促す。しかし、情報公開を遅らせれば、ユーザー対応の遅れも招いてしまう。 10月9日に都内で開かれたセキュリティカンファレンス「Black Hat Japan」には、DNSキャッシュ汚染の問題
CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克 教授から発表されたそうです。何よりすさまじいのが、既に知られているような特殊な環境が必要な方法ではなく、通常の環境で簡単に突破可能であるという点。しかも、諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 携帯ゲーム機であるニンテンドーDSは暗号化においてWEPしか現状ではサポートしていないため、今後、さまざまな問題が出る可能性があります。 一体どういう方法なのか、概要は以下から。 CSS2008において,WEPを一瞬にして解読する方法を提案しました. - 森井昌克 神戸大学教授のプロフィール WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の
JSONPの動作原理 前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。 そこで考え出されたのがJSONP(JavaScript Object Notation with Padding)という方法です。 それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く