今回は、立命館大学の上原哲太郎先生による、マイナンバーのお話でした。マイナンバーの話となると、 マイナンバーを管理するはめになった企業向けの話。 プライバシーに関するマイナンバー制度の問題。 といった２つのパターンのが多いと思いますが、もちろ…

AWS で、マネージメントコンソールや API 等で AWS 上のリソースの操作を特定の IP アドレスからしか実行できないようにするために、IAM ポリシーの aws:SourceIp を使って制限する、というのは常套手段として知られていると思います。AWS管理コンソールへの…

久しぶりに参加したせきゅぽろの勉強会は、Google に名前を入れると、広島出身のテクノポップアイドルの名前がサジェスチョンされる、辻 伸弘さんでした。辻さんは何度かせきゅぽろにいらっしゃっているはずですが、私個人は初めてでした。テーマはまず最初…

Chrome のパスワード管理で、平文のパスワードが見えると大騒ぎになっているようです。Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ | ギズモード・ジャパンこれ、２つの論点が混ざっていて、 平文のパスワードが表示できる。 平文の…

標的型攻撃に関して 一つ目のテーマは、トレンドマイクロの平原 伸昭さんによる、標的型攻撃に関するお話でした。２、３年前までは遠い海の向こうの話、というイメージだった標的型攻撃も、最近は日本でも標的型攻撃だと思われる事例が報道されたり、すっか…

まずは、昨年、シマンテック社主催で開催された高校生向けの CTF、「シマンテック サイバーセキュリティチャレンジ」に参加した札幌国際情報高校の「もやしーず」と、ネットエージェントの松田和樹さんのパネルディスカッション、だったんですが、全編オフレ…

このサイトで過去 90 日間に Google がテストした 3532 ページのうち 266 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2013-03-05 で、この…

大手サイトが Google Safe Browsing でブロックされたニュースがありました。「毎日jp」など「不正なソフトウェアが存在する可能性」でGoogleからブロック - ITmedia NEWS文中に Googleがブロックしている理由は不明だが、 と書かれていますが、診断画面をよ…

OpenLDAP で userPassword アトリビュートにパスワード情報を保存する場合、推奨はソルト付き SHA（SSHA）とされていると思います。実際、CentOS Ver 6.3 上の OpenLDAP に付いてくる slappasswd コマンドは、オプションを指定しないデフォルトは、SSHA の形…

LDD13is（LOCAL DEVELOPER DAY'13/Infra & Security）に行ってきました。 IT エンジニアの将来 - 吉田 パクえ 基調講演として、co-meeting の吉田パクえさん（本名で紹介されなかった）から、インフラ・エンジニアのクラウドとのつきあい方に関してお話があ…

グラフィックコントローラの中枢である GPU を、通常の計算処理用に使わせる GPGPU というのがあります。これを使うと、並列計算が通常の CPU に比べて飛躍的に速くなります。これを、パスワードクラッキングに使う動きが、幾つか出ていました。パスワードク…

前回に引き続き、今回も豪華２本立てでした。 マルウェア解析 LAC の新井 悠さんによる、マルウェア解析のお話ですが、まずは時事ネタとして、誤認逮捕で大騒ぎになった iesys.exe に関する話から始まりました。iesys.exe 自体は、素人の自分から見ても、技…

DEFCON で、PPTP の認証方式として一番ポピュラーな MS-CHAPv2 をクラックするツールが登場した事が、大きな話題になりました。DEFCON参加の専門家、「MS-CHAP v2」をクラックするツールを発表 - CNET JapanDEFCON というと、一介のエンジニアには遠い存在で…

Google Public DNS の登場辺りから、DNS サーバを ISP や回線業者のお仕着せの DNS サーバではなく、別の DNS サーバを使うとレスポンスがよくなる、といった具合の話を、ちょくちょく見かけるようになっていますが、その極めつけとして、「お使いの回線で、…

今回のせきゅぽろは、Yahoo JAPAN の戸田さん。テーマがフィッシング対策ということで、Web 周りのテクニカルな話題が中心かな、と思っていたのですが、もっと総合的な話でした。フィッシング詐欺が「かたる」ときの対象とされやすい、Yahoo 側での対策に限…

試しに、各 ISP でのメールに対するパスワードに関して、ちょっと調べてみました。以下はすべて、2011-8-27 現在のものです。 @nifty ログインパスワードとメールパスワードは、どんな文字で何桁まで設定できますか。 | 会員サポート ＞ Q&A（よくあるご質問…

以前、とある記事に関して書いた時、「全てのパスワード」って何？ - JULYの日記 今時、パスワード長８文字までは、かなり少数派でしょう。 と、書きましたが、見つけてしまいました。パスワード長８文字までのものを。先日、友人がメールアドレスを変更した…

IT Media のビジネス寄りの「誠 Biz ID」に、Ophcrack の紹介記事がありました。忘れてしまったWindowsマシンのパスワードを解析する - ITmedia エンタープライズこの記事だけ読むと、まるで Ophcrack が魔法のツールみたいに読めますが、決してそんなことは…

今回のせきゅぽろは、Microsoft の小野寺さん。テーマは「セキュリティ対策の王道(理想)と現実を考える」ということで、個人的にはこのタイトルだけで、期待感 MAX でした。「理想と現実の間」というのは、自分がセキュリティに関して考える時の最大のテーマ…

昔から、Proxy を通して自分の IP アドレスを隠すことが、「オレ、ちょっとカッコイイ」みたいな雰囲気があって、Proxy のことを「串」などと、隠語めいた呼び方をして悦に入る人を見かけましたが、今でも、そんな風に考える人が結構いるのに、ちょっと驚き…

第２回に参加してから、タイミングを逃し続けてきた「せきゅぽろ」。ほぼ２年ぶりに、第７回せきゅぽろに参加しました。第２回の時は JSOC の川口さんで、今回が LAC の CTO の西本さんと、LAC 続きでしたが、実際のセキュリティ・インシデントの現場を知っ…

徳丸さんが、パスワードの定期変更に関して書いた記事がありました。続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記徳丸さんは、定期的にパスワードを変えた時の効果を計算していますが、文中にある、 「全てのパスワードを試行できる」とい…

question:1299688445 を切っ掛けに、/etc/shadow ファイルのパスワードフィールドを調べてみたら、思いの外、複雑な処理をしているのが分かったので、実際にこの処理を追いかけてみました。近頃の UNIX 系 OS の /etc/shadow のパスワードフィールドは、実際…

以前、Rainbow Table の説明で、ソルトに関してid:JULY:20100515 Windows のパスワードの場合、「ソルト」と呼ばれる、パスワードに付加する乱数が無いので、同じパスワードから必ず同じハッシュ値が得られる、という側面もあります。UNIX 系 OS では「ソル…

エフセキュアブログの記事： エフセキュアブログ : 「SHA-1+salt」はパスワードに十分だと思いますか？SHA の計算が、GPU で効率よく計算できるので、思いの外、ブルートフォースの効率が良い、という話なんだけど、この文中に出てくる「2^52.5ハッシュ」と…

SASL CRAM-MD5 のジレンマ SMTP-AUTH や POP3、IMAP で使われる、認証フレームワークの SASL。SASL という名前よりも「CRAM-MD5」といった、具体的な認証方式の方が有名かもしれません。CRAM-MD5 や、POP3 専用の APOP といった認証方式は、平文のパスワード…

Windows 用のパスワード解析ソフトというと、Ophcrack が有名です。CD ブートさえ出来れば、ほぼ自動的に解析してくれます。ただ、Ophcrack の解析は、Rainbow Table に大きく依存しているところがあります。前回(id:JULY:20100515)、脚注で Rainbow Table …

question:1270750577 の回答で、Ophcrack で 4 分で解析できた結果をもって、LM ハッシュが保存されていなくても同じ、と誤解されそうな雰囲気があったので、ちょっと解説してみます。 LM ハッシュの計算方法 詳細な計算方法は下記のページにある、11 ステッ…

高木浩光さんの docomo-ID に関するブログ記事のはてブで、ID コールされてないけど、ご本人から名指しで怒られてしまいました。はてなブックマーク - 高木浩光＠自宅の日記 - docomo IDを作ると生でパスワードを保管されてしまう元記事：高木浩光＠自宅の日…