ワンタイムパスワードって本当に安全ですか?
□ 三井住友銀:ネットバンク用、使い捨て暗証番号 国内初 (MSN-Mainichi)
使い捨て暗証番号は6ケタで、「パスワード生成機」で1分ごとに更新される。利用希望者に生成機を配り、取引をする際に、顧客番号と通常の暗証番号に加えて、生成機に表示された暗証番号を入力してもらう。この番号は取引ごとに変わるため、仮にスパイウエアなどで番号を盗まれても、悪用される可能性が低いという。
…ワンタイムパスワードが安全といわれることが多いが、なぜに?認証の三要素である、「知っているもの」「持っているもの」「特徴」のどれにも当てはまらない中途半端なものなのに。しいて言うならば、「知っているもの」「持っているもの」の中間かな?カードとトークンを必ず一緒に保管してしまうでしょ?泥棒に入られたらアウトだよ?また、ATMで引き出すにもトークン持って行くでしょ。カードと一緒に落としたらアウトだよ?本人を認証するものでなくなる点に注意! ヽ(´Д`ヽ)(/´Д`)/イヤーン
□ 「IDカードよりiPod」:英政府幹部、オンライン犯罪対策で妙案 (CNET Japan)
英国政府機関の上級幹部が、同国が進めるIDカード計画で新しいアイデアを考えついたと語った。デジタル証明書を搭載した「iPod」を無料で国民に配るという案だ。
…若者にだけ受けそうな妙案だなぁ。 (ヽ゚д)クレ
□ USBメモリーへの書き込みは禁止,クレディ・スイス生命保険 (IT Pro)
…「****を禁止する」セキュリティ対策は好きではない。「****をどうやったら安全に行えるか?」を考えるのがセキュリティエンジニアの仕事ではないだろうか?せっかく、家でも仕事をしてくれるって言ってくれている社員に対して、どうしてそれを禁止できようものか?この場合、自宅に専用線やVPN、ノートPCのHDD暗号化、USBメモリの暗号化を実施すべきではないだろうか? (・ω・`#)
□ 富士通の顧客情報がWinnyに流出、私用PCのウイルス感染が原因 (ITmedia)
流出した業務ファイルの中には、2003年4月から2004年8月までの間に富士通コールセンターに問い合わせを行った顧客のうち、1950人分のカナ氏名や電話番号などが含まれていた。ただしこのファイルは、顧客情報を格納したデータベースファイルそのものではなく、担当者が独自に作成したものだという。
□ ANAチケットセンターを騙り、社員名を聞き出そうとする悪質電話が発生 (NetSecurity)
「ANAチケットセンター」などANAの組織を名乗って企業に電話を掛け、所属する社員の名前を聞き出そうとする事例が発生しており、注意するよう発表。「予約をいただいていたが名前の控えを無くしたので社員名を順に挙げて欲しい」などと電話してくるという。
…ソーシャルエンジニアリングの典型例である。これを回避するよい例は、相手から電話番号を聞き出し、コールバックすること。攻撃者は、(1)電話番号を言わないか、(2)うその電話番号を言うか、(3)追跡しにくい電話番号を言うか
のいずれかであろう。(3)の場合もありえるということを認識しておく必要がある。 (,,゚Д゚)ダマサレルナ
□ 「3000人のSEに内部統制を学ばせる」日立システムがSOX法対策ソリューションに本腰 (IT Pro)
内部統制とは、法律や会社のルールに沿って不正やミスなく経営や業務を遂行するよう会社全体をコントロール(統制)する活動や仕組みのこと。ソリューションプロバイダ各社は、財務報告にかかわる内部統制の整備を規定する日本版SOX法がクローズアップされている現在を、大きなビジネスチャンスととらえている。
Javaをアップデートしてますか?Windows Updateだけでは不十分!
□ 長崎県がオープンソースで公開する「電子県庁システム」に脆弱性 (ITmedia)
長崎県がGPLライセンスの下でオープンソースとして公開している「電子県庁システム」に脆弱性が存在。同県では修正版を公開。
□ Javaのセキュリティ・ホールを突くWebサイトが出現,悪質なプログラムを実行される (IT Pro)
…Javaのバージョンチェックをしよう。以下はバージョンチェックサイト。
→ Test Your Installation of Java Software
→ Java Tester – What Version of Java Are You Running?
□ マカフィーのASP型セキュリティ対策サービス、一部でCPU使用率100%に (impress)
中小規模ネットワーク向けASP型セキュリティ対策サービス「Managed VirusScan plus AntiSpyware 3.5」の一部環境で、CPU使用率が100%になる不具合が発生する恐れがある。
□ 年末年始を騒がせた,Windowsのパッチ未公開セキュリティ・ホール (IT Pro)
…Windows WMFの脆弱性のまとめ。 (*^ー゚)b グッジョブ!!
□ 米政府、iPodやXboxを利用したサイバー犯罪に警鐘 (ITmedia)
米政府ならびに警察のサイバーセキュリティ/コンピュータ専門家たちは、LinuxとApple ComputerのMac OS X上で走る悪質なコード、そしてiPodやXboxなどで発生している脅威に危機感を募らせている。
□ セキュリティソフトベンダーの業界団体、スパイウェア対策のガイドラインを発表 (CNET Japan)
Microsoft、Symantec、Computer Associates、McAfee、AOL、Yahooなどが名を連ねるスパイウェア対策の業界団体Anti-Spyware Coalitionは米国時間1月12日、スパイウェア検知に関するガイドラインの正式版が完成したことを発表。
□ IPAが新情報セキュリティ試験、「知識だけじゃ受かりません」 (ITmedia)
セキュリティアドミニストレータ試験に加え、情報処理技術者試験の新試験区分として「テクニカルエンジニア(情報セキュリティ)試験」が創設される。
□ JPRS、不適切なDNS情報の削除措置を開始 (goo)
JPRSが管理する.jpドメイン名について、登録されているDNSサーバーが存在しないものになっている場合に、その情報を削除するというもの。登録されているDNSサーバーが既に存在しないドメイン名となっている場合、第三者がそのドメイン名を取得し、本来のWebサーバーとは別のWebサーバーに誘導するといった悪用をされる危険がある。
リリース
□ PHP 5.1.2 / 4.4.2 Released
□ BASE 1.2.2 (cindy) released!
□ FreeRadius 1.1.0