安全なパスワードと覚えやすいパスワードのバランスに悩むことはありませんか? 自分でも覚えられないパスワードほど安全ですが、パスワードマネジャーを使用できない場面では、記憶に頼らざるをえません。 セキュリティ侵害が発覚するたびに、私は頭を悩ませます。今年の春、ハートブリードの脆弱性が見つかり、全員がパスワード変更を余儀なくされました。その作業は、今でも続いています。ハックされる恐怖におびえると同時に、自分のお気に入りのパスワードを完全に変えてしまうことに時間と精神的エネルギーを費やすのが無念でなりません。 これは、あなたも同じでしょうか? もしあなたが、ユニークかつランダムな、突破できないパスワードを管理するシステムを導入しているなら、敬意を表します。ある推定によれば、パスワードを再利用せず、セキュリティが充分といえるユーザーは全体の8%だそうです。 残りの92%は、対策が必要です。安全なパ
Adobeから流出したユーザーのパスワードをセキュリティ企業が調べた結果、「123456」「qwerty」などの安易なパスワードを使っているユーザーが大量に存在することが分かった。 米Adobe Systemsのネットワークが不正アクセスされて大量のユーザー情報などが流出した事件で、流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。 Adobeの情報流出は10月3日に発覚し、影響を受けるユーザーは少なくとも3800万人に上ることが分かっている。同社によると、流出したパスワードは暗号化されていたが、パスワードセキュリティを手掛ける米Stricture Consulting Group(SCG)はこの情報を分析し、使用者数の多かった上位100のパスワードを割り出した。 集計できた理由としてSCGのジ
2. 本日お話ししたいこと • パスワードの器の要件 • パスワードの中身の要件 • パスワード入力画面の要件 • 認証エラーメッセージの要件 • パスワードの保存方法 2Copyright © 2013 HASH Consulting Corp. 4. SMBCダイレクトはアカウント回復に手間をかけることで対応? 4Copyright © 2013 HASH Consulting Corp. http://www.smbc.co.jp/kojin/otetsuduki/anshou/saihakko/index.html • SMBCはアカウントロック後のアカウント回復を書面あるいは電話とする ことで、オンラインのパスワード攻撃に対策していると考えられる。 • 自動的にアカウント回復するサービスの場合は、パスワードの要件を厳し くすることで、オンラインパスワード試行に対抗した方がよい •
東京・中野区に本社がある通信販売会社「ディノス」のホームページに対して、会員のパスワードを探ろうという不正なアクセスが、8日までに100万回以上繰り返され、ディノスは1万5000人分のパスワードが何者かに突き止められたことを明らかにしました。 不正なアクセスがあったのは、インターネットを通じて買い物ができるディノスのホームページで、IDとパスワードの入力を試す行為が8日までの5日間におよそ111万回繰り返されたということです。 ホームページを管理するサーバーには、アクセスは中国と韓国の9か所から行われたという記録が残っていて、このうち1万5000人分は実際にログインされてしまったため、パスワードを突き止められてしまったということです。 8日、出勤したシステムの担当者が大型連休中に同じコンピューターから大量のアクセスがあったことに気付き、問題が明らかになったということで、ディノスは今のところ
By Ron Bennetts ウェブメールサービスやSNS、ネットバンキングなどの増加により、パスワードを設定する機会が多くなっていますが、同じパスワードを複数のサイトに登録する人は多いようで、マカフィーの発表によると、全ネットーユーザーのうち74%が同じパスワードを複数のウェブサイトで使用しており、また、よく使われているパスワードは「password」「123456」「12345678」でハッカーにとってかなりクラックしやすくなっているとのこと。マカフィーはインターネットユーザーに対し注意喚起の意味をこめて、クラックされにくいパスワードの設定方法を公開しました。 Are you Hackable or Uncrackable? “Password Day” is Today! | Blog Central http://blogs.mcafee.com/consumer/passwor
eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。 つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。 そのように判断した根拠
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Twitterは、膨大な数のアカウントパスワードおよび電子メールアドレスと思われるデータが流出した件について調査を行っている。 Twitterの広報担当者であるRobert Weeks氏は米CNETへの電子メールの中で、「われわれは現在、この状況を調査しているところだ。さしあたって、影響を受けた可能性のあるアカウントにパスワードのリセットを要請した。自分のアカウントが被害に遭ったかもしれないと心配している人々に対して、われわれはHelp Centerでパスワードのリセットなどの対策を推奨している」と述べた。 問題となっているユーザーデータ(容量が非常に大きいので公開にはPastebinで5ページを要した)は米国時間5月7日に公開され、Airdemon.netのブログで取り上げられた。同ブログは、影響を受けたアカウント数を5万5000件以上と試算している。盗まれたTwitterユーザー情報を
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
「Trinity Rescue Kit」を使うと何らかの都合でパスワードの分からなくなったWindowsのパスワードをリセットできるブートCDの作成が可能なのですが、CDドライブがない場合には作成できません。そこでできるだけ簡単にWindows上からブータブルUSBメモリを作成し、Windowsのパスワードをリセットする手順をまとめてみました。 ◆手順1:「Trinity Rescue Kit」のISOイメージをダウンロード まずは下記公式サイトにアクセスします。 Trinity Rescue Kit: Download - Trinityhome https://trinityhome.org/trinity_rescue_kit_download/ アクセスしたら3つあるリンクの内どれでもいいのでクリックしてISOイメージをダウンロードします。約150MBほどあります。 この「Trin
攻撃者は盗んだ情報を使って被害者のFacebookアカウントにログインし、友達へ悪質なリンクを送り付ける手口で、ワームの感染を広げている可能性があるという。 セキュリティ企業のSeculertは、Facebookユーザーのパスワードなどを盗み出すワームの亜種が出現し、4万5000件以上のログイン情報が盗まれているのを発見したとブログで伝えた。 同社によると、Facebookのログイン情報を狙うワーム「Ramnit.C」は、2010年に見つかったマルウェア「Ramnit」の新たな亜種だという。Ramnitは2011年にかけて各国で感染を広げ、別のマルウェアと組み合わさって、オンラインバンキングなどの情報を盗み出す機能を実装していた。 SeculertがRamnit.Cを制御しているサーバを見つけ出して調べたところ、Facebookのログイン情報4万5000件以上が盗まれているのを発見。攻撃者
無線LANのWEP(64ビットと128ビット)のパスフレーズを2分から5分で解読し、TLS/SSLで暗号化された有線/無線LANの通信を監視してユーザー名とパスワードをゲット、GmailやYahooメールといったウェブメールのアカウントを突破するためのセットがこの「FinIntrusion Kit」です。 これは政府・警察・軍隊・情報機関向けに、いろいろな人々を監視・盗聴するシステムを販売している企業を検索できるWikileaksの新プロジェクト「The Spy Files」にて列挙されている企業の一つである「Gamma」社の製品で、実際のプレゼンテーション用のPDFファイルとムービーが公開されています。 The Spy Files - Tactical IT Intrusion Portfolio: FININTRUSION KIT http://wikileaks.org/spyfil
「iTunes」不正利用が多発 11月18日 4時0分 アメリカのアップルが運営する世界最大のインターネットの配信サービス「iTunes(アイチューンズ)」で、利用者がソフトを勝手に購入されるトラブルが国内で増えて、ことし7月以降で4000件近くに上ることが分かりました。 「iTunes」は、アメリカの大手コンピューターメーカーのアップルが運営する配信サービスで、利用者はIDとパスワードを登録したうえで、クレジットカードなどを使って音楽やゲームなどのソフトを購入します。複数のカード会社によりますと、国内の利用者のIDが何者かに不正に利用され、ソフトを勝手に購入されるトラブルがこのところ増えて、ことし7月以降で少なくとも4千件近くに上るということです。カード会社によると、ほとんどのケースでは不正に利用されたことが認められ、利用者は代金を払わずに済んでいるということです。アップルの日本法人では
印刷 衆院のネットサーバーや衆院議員らの公務用パソコンがサイバー攻撃を受けた問題で、議員と秘書の計約960人全員分のIDとパスワードが盗まれた疑いがあることが朝日新聞の調べでわかった。侵入者は、すべてのサーバーやパソコンのデータなどを操作できる「管理者パスワード」の盗み出しにも成功。これを入手したことで、衆院のネットワーク内を自在に動き回れるようになったという。 関係者によると、侵入者は今年7月末以降、ウイルスを感染させた議員のパソコンを足場にして、衆院のサーバーや別のパソコンに感染を拡大させていった。議員約480人と秘書約480人の全員分にあたるIDやパスワードを盗み、本人になりすまして各自のパソコンを外部から操作することが可能だった。 足場となった議員のパソコンに、すべての議員と秘書のパスワードなどが抜き取られた跡が残されていたという。 続きは朝日新聞デジタルでご覧いただけます関
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
最初に断っておきますが、FFFTP自体は良いアプリケーションソフトウェアだったと思います。UIがWindowsのエクスプローラに倣っていると同時にエクスプローラとはひと目で見分けがつくデザインだったので、使いやすかったはずです。 ぼくもインターネットをはじめたごく最初の頃に使っていました。ほどなくしてWindows自体を使わなくなったので、それ以来触ることはなくなったわけなのですが。 FFFTPは何故開発終了したのか開発者は「開発を継続するためのモチベーションが維持できなくなった」と述べているそうですが、まあ当たり前だと思います。 FFFTPが動作するWindowsとFFFTPが扱うプロトコルであるFTP自体がオワコンだからです。前者については幾ばくかの反論の余地もあるでしょうが、後者については異論は認めません。 「終わった」プロトコルのためのソフトウェアを作り続けるというのは、プログラマ
生体認証には実にさまざまな種類がある。まだまだ発展途上のものが多いが、パスワードの限界が見えた今、未来はどうなっていくのだろうか。 最近は金融機関をはじめ、パスワード認証の補強策として「生体認証」を追加したシステムが増えてきた。今回はこの生体認証に関わるエピソードを紹介したい。 ベンツ窃盗団の怖い事件 この事件は講演やセミナーでも時折紹介しているので、ご存じの方がいるかもしれない。筆者が知ったのはBBC NEWSであった。 この事件は数年前にマレーシアで発生した。当時、マレーシアでの「メルセデス・ベンツSクラス」の鍵は指紋認証が標準で備えられていたという。ベンツの窃盗団は、深夜に富裕層の屋敷に侵入してベンツを盗んでいた。だが指紋認証になってからは難しくなったようだ。ある日、窃盗団は強硬策に出た。車を盗む前にまず母屋の寝室に向かい、「ナタ屋(切り屋ともいう)」がきれいに主人の指を切断して、そ
安易な文字列を使ったパスワードや、パスワードの使い回しは危険が伴います。パスワードの安全性を高める方法を再チェックしましょう。 (このコンテンツはマカフィー「McAfee Blog」からの転載です。一部を変更しています。) 多くの人たちは、パスワードを解析する方法があることにも、また単純なパスワードを使い回すことで自らのアカウントを危険に晒しているということにも、気付いていないのが現状です。他人に破られにくく、自分には使いやすい安全なパスワードを作成して、情報を守りましょう。 パスワードを定期的に変更し、同じパスワードを使い回さないことの重要性については、既に多く語られていますが、パスワードのハッキングがいかに簡単であるかについて、まだ多くの人は明確に認識しておりません。サイバー犯罪者が5文字の英数字のパスワードをハッキングするのには、現在のテクノロジーを使用すれば、1秒もかかりません。
われわれの知るコンピューティングは変わっていくものだという認識の欠如が、多くのセキュリティ問題の根底にある。情報システムは分刻みで複雑さを増し、情報の量も所在場所もかつてなく増えている。にもかかわらず、自社の情報セキュリティの現状は「万全」だと言ってはばからず、差し迫ったセキュリティリスクを無視しているデスクトップ管理者も多い。事がそれほど単純だったらいいのだが。管理者がいまだに犯し続けている誤った情報セキュリティ対策のうち、最もありがちな10項目を以下に挙げる。 関連記事 メールセキュリティで失敗しないための基礎知識 ネットワークセキュリティの基礎知識 検疫ネットワーク基礎の基礎 Web攻撃を受ける企業に共通するセキュリティ対策の誤り 1. 弱いパスワードの容認 OSのログインからファイル暗号化、Webアカウントなどに至るまで、弱いパスワードは言うまでもなく最も愚かで、しかし最も簡単に正
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
