世界最大級のセキュリティ会議「DEFCON 19」が米ラスベガスにて開催されています。 DEFCONでは、メインイベントとなる世界各地のセキュリティ技術者などによる講演以外にも、セキュリティの各種テクニックを教えるワークショップや、ピッキングツールの販売…

8月3日、4日（現地時間）に開催されているBlack Hat 2011 USAに参加するためにラスベガスに来ています。 会場はシーザーズパレスホテルです。豪華なホテルだなァ。 途中サンフランシスコのトランジットで乗り継ぎ便への接続が失敗して10時間待ちに。お陰でサ…

アメリカでロゲリオ・ハケットJt.(25)が偽造クレジットカードや個人情報の盗難などの罪で、バージニア州の連邦地方裁判所に懲役120ヶ月を言い渡されました。 クレジットカード番号は個人情報を購入したり、一部はハッキングにより入手したそうです。彼のコン…

Windowsをターゲットとして、Exploitを打ち込んでシェルコードを送り込むまでを自動化したツールです。Metasploitのautopwn機能でも変わらない気がしますが、専用機能に特化している分だけお手軽に実行できてしまいますね。 Exploitコードを含んでいますので…

オンラインショップの構築システムとして有名な「osCommerce」をターゲットとして、大規模なIFRAMEインジェクションが行われているようです。9万件以上のサイトが感染していて、中には日本のサイトもあるようです。今のところ飛び先は willysy.comとなってい…

サイバーセキュリティの研究機関 Ponemon研究所によると、米企業は今年情報漏えいによって1300億ドル費やすと予測しています。 過去の実績をグラフで見てみると年々増加していて、2010年は1000億ドル、2009年は900億ドル、2008年は800億ドルとなっています。…

8月にラスベガスに行く予定なので、空港のミリ波を使ったヌードスキャナーを楽しみにしていたのですが、透け透けの感度を下げて、いわゆる裸が透けて見えるような状態にはならないようになるそうです。プライバシーの問題からの配慮だそうです。 TSA Announc…

昨日から台北で開催されているHIT2011の二日目、最終日です。カンファレンスはシングルトラックで、本日の発表者は6名。そのうち3名が日本人です。最初のスピーチは「Reversing Android Malware」で、Androidのマルウェアのリバースエンジニアリングのやり方…

台北で7月22日、23日の2日間開催されているセキュリティカンファレンス「HIT2011」に参加しにきました。 台北車站から30分ほど離れた中央研究院というところで開催されています。参加者は600人ほどもいるとか。 最初一人で行こうと思っていたんですが、幾人…

LulzSecが英大衆紙 The SunのWebページを改ざんしたようです。改ざんの内容は、メディア王ルパート・マードック（Rupert Murdoch）氏が死体で発見されたというものでした。 ひさびさのLulzSecの活動。また以前のように復活するんでしょうか。 改ざんされた内…

BT5が3月に出たと思ったら、もうBT5R1！まだ5に馴染んでないのに。 BackTrack 5 Release 1 (R1)

ハッキングで一躍有名になったAnonymousは、もともと2ちゃんねる的なコミュニティからの発祥だったような気がしないでもありませんが、anonplus.comというソーシャルネットワークなサイト（まだアルファ版）を立ち上げたようです。立ち上げたきっかけはGoogl…

GROUPONのメールマガジン（デイリーメールというらしい）を知らない誰かに登録されたようで、携帯にお得なクーポンが送られてきます…。 GROUPONのメールマガジンは、メールアドレスを書いて、地域を選べば、登録完了。メールの到達確認の確認用URLとかもなし…

社団法人日本通信販売協会（JADMA）主催の「ネット通販セキュリティ対策セミナー」が今年も開催されます。 告知するのを忘れていましたが、私はIPAの中の人として登壇させて頂きます。内容としてはインターネット通販事業者のWebサイト担当者向けのものにな…

次バージョンの3.3辺りで自動アップデートに対応する予定があるそうです。 脆弱性が見つかっても即座にアップデートを世界中に適用できるので安全になるということです。イメージはChromeブラウザのサイレントアップデートみたいですけど、WPは脆弱性が多い…

ちょっと長文ですけど、Stuxnetについての経緯や陰謀説など詳しく書かれています。斜め読みしかしていませんが、読み物としてもおもしろいです。そして今のところ、Stuxnetについて公開されている中ではこれが一番詳しそう。さすがに翻訳する気力がなっしん…

数々の脆弱性が報告されるWordPressに、ついに専用脆弱性スキャナーが登場。w 以下のような機能があるみたいです。試す時間がなくて残念。 Username enumeration (from author querystring and location header) Weak password cracking (multithreaded) Ver…

乗り遅れ気味かもしれませんが、 http://us.toshiba.com/ がハッキングされたようです。ユーザーアカウントとパスワード（平文）が漏えいして一部情報が公開されていますね。 TOSHIBA HACKED BY V0iD # Database # - Pastebin.com Toshiba Database hacked a…

こんな本が出るらしい。目次を見る限り網羅的に広く浅くといった感じかな。Metasploit: The Penetration Tester's Guide発売元: No Starch Pr価格: ￥ 4,211 (1% OFF)発売日: 2011/07/22売上ランキング： 30470posted with Socialtunes at 2011/07/11日本で…

マルウェアツールキットとして有名なZeuSがAndroidに対応したんじゃないかと言われています。 それを使って作られたのが、「Trusteer Rapport」というラポール銀行の二要素認証ツールのAndroid版に見せかけたツールだと推測されています。機能としてはSMSメ…

目の前にPCがあるのに、パスワードがわからずログインできないという状況ありますよね。合法的な状況なのであれば、パスワードなしでログインする方法を試してみてはいかがでしょうか。 今日現在、最新状態のWindows7で実行可能です。当たり前ですが、自分に…

「第5回 アイティメディア チャリティイベント 最近の情報漏えい事件についてあれこれ語ろう」に参加してきました。面白かったですよー。 イベントではAnonymousが大量発生していました。 理想 現実 一人の仮面だけが高級感がありました。きっとAnonymousに…

フロリダの空港で荷物検査をするさいにTSA従業員が、iPadをズボンにいれて盗んでいるのが見つかったそうです。過去半年の間に5万ドルも盗んだそうですよ。 アメリカだとTSAロックで検査員は空け放題ですもんね。欲しかったガジェットを見ちゃうと衝動的にや…

iPhoneやiPadを脱獄して、制限されている機能以外を使ったアプリケーションを使えるようにするJailbreakの魅力を個人的には感じなくなって、ずいぶん経ちましたが、また新しいJailbreakMeのバージョンが出ているようです。PDFの脆弱性を利用して、乗っ取るパ…

これから在宅勤務に取り組んでみようかという会社が、はじめの一歩として、なるべく現在の環境のまま、あまりコストを投じることなく自宅環境などに仕事を持ち帰るという段階でのリスクの減らし方のお話です。 在宅勤務のセキュリティ対策、はじめの一歩（1/…

きっと個人の情報を守るというスイス銀行も、こういった脆弱性が元で情報が出たりする時代もくるんでしょうね。え、もう来てる？w zSecure: Web Security Consultancy Services | Dukascopy.com SQL Injection Vulnerability

先日の「最新版vsftpd（2.3.4）にバックドアが仕込まれる」の脆弱性をMetasploitでデモしている動画です。 ちょっと細かい文字は見づらいですが、Metasploitを知らない人でも手軽に再現できる様子がわかるかと思います。 VSFTPD v2.3.4 Backdoor Command Exe…

AnonymousはTwitterでAppleのデータベースをハッキングしたとして、データベースの一部データを公表しています。 window.twttr = (function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0], t = window.twttr || {}; if (d.getElementById(id)) re…

OracleのWebサイトにSQLインジェクションが見つかっています。データベース屋なのに、なぜそんな事態になってるんでしょうかね。 今現在、まだ生きている様子。 http://labs.oracle.com/dmp/patents.php?uid=mherlihy%27%20and%201=0%20union%20select%201,2…

攻撃者に人気のSQLインジェクション脆弱性があるサイトの一覧が公開されています。その数、なんと5013サイト！ .jp なサイトはないようですけど、関係するサイトがないか見ておいた方がよいでしょう。 http://www.thesudas.org/images.php?id='2 http://www.…