8月21~23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。 竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る 未来予測その1:通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術 竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術(?)について写真を出すところから講演を始めた。 実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます IPA(独立行政法人情報処理推進機構)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は4月15日、「複数のサイボウズ製品におけるクロスサイト・リクエスト・フォージェリの脆弱性」をJVN(Japan Vulnerability Notes)で公表したと発表した。 これによると、サイボウズが提供する複数の製品に、クロスサイト・リクエスト・フォージェリの脆弱性が存在する。該当製品にログインした状態で細工されたURLにアクセスした場合、管理画面にアクセスするためのパスワードや、ユーザー認証のためのパスワードを変更される可能性がある。 IPAは、開発者が提供する情報をもとに最新版にアップデートするよ
遠隔操作ウイルス事件の報道は減ってきたが、犯人は捕まっておらず安心はできない。なりすましで犯罪予告や脅迫を行うには、必ずしもウイルスを使う必要はない。電子掲示板などのサービスを提供するサイトでは、クロス・サイト・リクエスト・フォージェリー(CSRF)という不正サイトを使ったなりすましへの対策も必要になる。 遠隔操作ウイルス事件の犯人は、なりすます相手の端末を悪用して、電子掲示板や問い合わせフォームに犯罪予告や脅迫メッセージを書き込ませる際、主にウイルスを利用していた。そのため、ウイルスに感染しなければ、なりすましの攻撃には無縁だと考えている人がいるかもしれない。 しかし、他人になりすまして犯罪予告や脅迫を行う場合、必ずしもウイルスを利用する必要はない。特に警戒したいのは、CSRFである。遠隔操作ウイルス事件でも横浜市のサイトへの書き込みには、ウイルスではなくCSRFが利用されたといわれる。
http://www.videonews.com/ ニュース・コメンタリー (2012年10月20日) 遠隔操作ウィルス事件: 犯行声明に見る犯人像と冤罪を生む刑事捜査の問題点 ゲスト:高木浩光氏(情報セキュリティ専門家) 他人のパソコンを遠隔操作してインターネット上で殺害予告などが繰り返し行われた事件で、これまでに警察が逮捕した4人がいずれも誤認逮捕だったことがわかり、改めて警察の刑事捜査のあり方が問われる結果となっている。 今回の捜査はサイバー犯罪の捜査という意味でも、また一般の刑事事件の捜査という意味でも、捜査そのものが杜撰だった。しかし、捜査の杜撰さをとりあえず脇に置いたとしても、逮捕された4人のうち2人が、やってもいない犯行を自供している。そればかりか、犯行の動機まで詳細に供述していた。なぜやってもいない犯罪を自白したり、動機まで詳細に供述するなどということが
インターネット上のホームページ(HP)などに犯罪予告が書き込まれた事件で、横浜、大阪両市のHPにセキュリティー上の弱点があったことが分かった。このうち横浜の事件では、不正な書き込みで以前から広く使われている攻撃手法が用いられており、犯行声明を出した「真犯人」が、横浜市のHPの弱点を見抜いた上で、簡単な手法で別人を犯人に仕立てあげたとみられる。両市は不正書き込み発覚後、セキュリティー対策を強化した。 両市のHPでは意見投稿欄に犯罪予告が書き込まれ、横浜のHPには今年6月、市内の小学校を襲撃するとの内容が書き込まれた。 書き込みは通常、HPのトップページから意見投稿欄に進み、書き込む。しかし、犯行声明の中で、真犯人が横浜の事件で使ったと明かす攻撃手法「クロスサイト・リクエスト・フォージェリ(CSRF)」を使えば、投稿欄からでなくても他人になりすまして外部から書き込みを掲載することが可能になる。
不正操作されたパソコンから横浜市のホームページ(HP)に小学校への襲撃予告が書き込まれた事件で、神奈川県警が少年(19)(保護観察処分)を逮捕した直後、パソコンの通信履歴に第三者の不正操作をうかがわせる不自然な記録があることに気づきながら、裏付け捜査を怠っていたことがわかった。 県警幹部が20日、明らかにした。県警では捜査が不適切だった可能性があるとして取り調べに当たった捜査員らから当時の状況を聞いている。 県警幹部によると、少年のパソコンは6月29日午後3時17分、インターネット掲示板に貼り付けられていたURL(ネット上の住所)をクリック。その後、第三者が設けたとみられるサイトに自動的に移動し、数秒の間に複数のサイトに連続してアクセス。横浜市のHPにアクセスしてからは2秒間で小学校襲撃予告の書き込みを終えていた。 幹部らによると、保土ヶ谷署生活安全課と捜査協力をした県警サイバー犯罪対策セ
遠隔操作ウイルスに感染したパソコン(PC)から犯行予告・脅迫のメールや書き込みが繰り返されていた事件は、警察当局に逮捕された4人が冤罪だったことが明らかとなり、TBSなどに犯行声明メールを送った「真犯人」の追跡に捜査の重点は移った。犯行声明で言及のあった13件の犯行予告・脅迫は警察当局によってすべてが裏付けられたが、謎は多い。文面からは、年配者の印象を受ける一方で、ウイルス作成の手口には若者特有の傾向が垣間見えるなど、相反する犯人像も浮かぶ。 犯行声明によると、「真犯人」が仕掛けた最初の犯行予告は6月29日。ネット掲示板に、横浜市のホームページに小学校への無差別殺人予告のメールを送りつけるように細工したアドレスを貼り付け、男子大学生(19)に閲覧させた。 大学生は7月1日に神奈川県警に威力業務妨害容疑で逮捕され、2日にテレビなどで報道された。声明では犯行の手口と予告文を具体的に記した後、「
※メールを受け取ったご本人である落合弁護士によって全文が公開されました (2012/10/21追記) 報道された犯行声明の映像を読み取って原文のまま文字起こしてみた。 また、新聞社各社から公開されている要旨もまとめています。 各社報道機関によって公表されたメール文面の映像をもとに文字起こし 読み取れる限り一字一句原文のまま再現 報道で未公表、解読ができていない部分、被害者などの実名部分は『######』で表現 Fromのメアド部分は報道&Yahoo!アカウントに設定されているニックネーム等から再現>検証過程 誤字脱字、情報提供はコメ欄に投稿していただければすぐに修正します ※あくまで荒い映像からの再現なので見落としや誤読がある可能性あり ※追記:産経新聞による要旨まとめを追加 2012/10/18 1:00 犯行声明全文 日付:2012年10月9日 23:22 (Wed, 10 Oct 2
インターネットを通じて犯行予告を行ったとして、吹田市、津市でそれぞれ男性が逮捕(吹田市男性はその後起訴)されました。しかし、その後の調査によって犯行予告を行ったとされるPCがウイルスに感染していたことが明らかとなり、逮捕された男性のPCを踏み台とした(なりすましによる)第三者の犯行による疑いが出たため、男性二人は釈放されていた事実が明らかとなりました。また、その後福岡市男性も同じウイルスが確認されたことにより釈放されています。さらに10月15日、真犯人と自称する人間から犯行声明とされるメールがTBSラジオに送られていたことが明らかとなり、6月の横浜市の犯行予告も自分が行ったことを認める内容が記載されていました。ここでは報道された情報を元に、それぞれの事件、及びウイルスについてまとめてみます。 なお、下記内容を鵜呑みにせず、ソースは各自にてご確認ください。 2013年2月10日に、この件の被
なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています(ただしmixiの例と思われます)。 また、3つ目として、利用者からの投稿を受け付ける掲示板側にセキュリティー上の欠陥があった場合、利用者がウイルスに感染しなくても、書き込みをされるおそれがあります。 このうち、CSRF=クロスサイトリクエストフォージェリと呼ばれる攻撃手法では、利用者に攻撃者が用意したホームページのリンクをクリックさせただけで、別の掲示板に文章を投稿させることが可能だということです。 この場合、利用者はクリックしただけなので、文章を投稿したことにはほとんど気付かないとい
遠隔操作できるウイルスに感染したパソコンが悪用され、犯罪を予告する書き込みをした疑いで男性2人が逮捕されたあと釈放された事件で、都内の民放に自分が真犯人だとして6件の脅迫事件への関与を認めるメールが届いていたことが分かりました。 警視庁は犯人しか知り得ないような内容が書き込まれていることから犯行声明の疑いがあるとみて調べています。 この事件は、ことし7月、大阪・中央区のホームページに無差別殺人を予告する内容の書き込みがされたほか、9月には、三重県の伊勢神宮を「爆破する」などと書き込まれたもので、いずれも遠隔操作できるウイルスに感染したパソコンが悪用され、逮捕された男性2人が無関係の可能性が高いとして釈放されました。 この事件を巡って今月10日、民放のTBSに対して「私が真犯人です」というタイトルで、「現在報道されている大阪・三重の遠隔操作ウイルス事件について私が犯人です」と書かれたメールが
ブログ(iiyu.asablo.jpの検索) ホットコーナー内の検索 でもASAHIネット(asahi-net.or.jp)全体の検索です。 検索したい言葉のあとに、空白で区切ってki4s-nkmrを入れるといいかも。 例 中村(show) ki4s-nkmr ウェブ全体の検索 ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。 --- 橋下徹市長の大阪市のウェブで「大量殺人をする」と投稿したという容疑で、 アニメ演出家が逮捕された件。 たとえば、 http://mainichi.jp/select/news/20120827k0000m040038000c.html 殺人予告:大阪市HPに書き込んだ疑いで42歳演出家逮捕 http://
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 橋口誠さんから今話題の書籍パーフェクトPHP (PERFECT SERIES 3)を献本いただきました。ありがとうございます。このエントリでは同書のCSRF対策の問題点について報告したいと思います*1。 本書では、CSRFの対策について以下のように説明されています(同書P338)。 CSRFへの対応方法は、「ワンタイムトークンによるチェックを用いる」「投稿・編集・削除などの操作の際にはパスワード認証をさせる」などがあります。一番確実な方法は両者を併用することですが、ユーザ利便性などの理由から簡略化する場合で
昨年、「iモードID」の送出が開始されたことにより、「iモードID」のみでユーザ認証を行う携帯サイトが増えてきました。 そして、それら携帯サイトの中に、iモードIDハイジャック(悪意もった第三者による乗っ取り操作)の被害を受けると思われるサイトが、多数散見されます。 被害を受けるサイトの条件 ユーザ認証を「iモードID」のみで行っている。 FORMの入力内容をPOSTメソッドで送信しているものの、受け取り側でリクエストメソッドのチェックを行っていない。もしくは、GETメソッドで送信している。 iモードIDハイジャックの方法 以下のような形で登録処理を行っている攻撃対象サイト(targetdomain.com)を探す。 [http://targetdomain.com/form.php] <html> 会員登録開始<br> IDとパスワードとメアドを入力してください<br> <form me
2010年02月15日お知らせ pixiv事務局です。 このたび、一部ユーザー様の作品へのコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「作品のコメント欄」の脆弱性を利用した不正が行われていた事実が判明いたしました。 本件の詳しい状況につきまして、下記の通りです。 ・経緯 2010年2月5日より2月14日までの間、一部ユーザー様の作品において、ユーザー様の意図によらないコメントが書き込まれた旨のお問い合わせを頂きました。 お問い合わせをいただいた後、該当する全てのサーバのログ・関連データベースを調査しましたところ、問題となったコメントの書き込みの前に、あるURLへアクセスし、外部サイトを経由をした後にコメントを投稿した形跡を発見しました。 また、本不具合を利用したアクセスを調査しましたところ、影響があったのは作品へのコメントの書き込みのみで、他の機能へ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://cache.gyazo.com/b72c0672cc2ee2a3c498aa4c6ced4c4f.png
