あるAnonymous Coward 曰く、

新しく銀行印が必要となったため、印鑑を買うのだが、どこまでお金をかけるべきか悩んでいる。
銀行の従業員による不正が話題となっており（銀行の7割が「従業員が不正を行っている」と語る）、また印影のコピー方法がネットに出回っており（会社の実印を転写したい:激裏クリニック:激裏情報）、データ入稿で印鑑が作れる現状（デザイン印鑑.com あなたのデザインで印鑑が作れます）、できるだけセキュリティには気をつけたいと思っている。

量産品の機械彫り手仕上げよりも、一点物の手彫りの方が良さそうではある (実印は後者が必須)。しかし、手彫りでも似た書体で作っているところは無いのだろうか？ また、銀行における類似印のチェックの信頼性も気になるが、目視でしかチェックしてないところはあるのだろうか? 筆跡の確認等は行っていないのだろうか?

印鑑の素材は欠けにくく乾燥でも割れにくく燃えにくい(酸化)チタンが良さそうだと睨んでいるが、印鑑の大きさには意味はあるのだろうか? また、書体は、古くから複製しにくいと言われている古風印篆よりも、作成の難易度が高いと言われ細い部分も多い草書体の方が良さそうに思えるのだが、どうなのだろうか? また、印影を複製しにくい朱肉は無いのだろうか?

皆さんはどんな印鑑を使っていますか? そして、印鑑のセキュリティをどう保っていますか?

coara 曰く、

ベクターは、3月19日から21日にかけて一部のサーバーが不正アクセスを受け、個人情報が流出した可能性があることを発表した(お知らせ、 プレスリリース)。

不正アクセスを受けたサーバーに保存されていた個人情報は最大26万1,161件。2008年2月以降にソフトウェアを購入したユーザーおよびPC向けオンラインゲームで課金サービスを利用したユーザーの一部が該当する。一部にはクレジットカード情報も含まれており、最悪の場合は全情報が流出した可能性もあるとのこと。ベクターでは3月22日までに侵入経路を遮断し、不正アクセスを受けたサーバーから個人情報を削除するとともに、個人情報が保存されないようにシステム改修を行った。また、3月23日からは一時的にクレジットカード決済を停止している。

タレコミ子もこの期間にBecky!を購入していたため、追加情報次第でカード番号の変更を行う予定である。

ちなみに、Vectorソフトライブラリ関連サーバーへの不正アクセスの形跡はないが、3月21日に作者あてのメールを送信するサーバーでハードウェア障害が発生しているとのこと。

taraiok 曰く、

普段から複数のインターネットサービスを巡回し利用していると、そのサービス利用のためにはたくさんのパスワードが必要となる。このパスワードの生成には一般的には「とにかく長くてわけが分からない」ものか、ランダムに選ばれた複数のキーワードを並べた「マルチワードパスフレーズ」が有効だと言われている。マルチワードパスフレーズは覚えやすいというメリットもあり、わりとよく知られているパスワードの生成方法だ（gizmag、本家/.、強力なパスワードおよびパスフレーズの作成に関するヒント）。

しかし、ケンブリッジ大学の研究によればは、この「マルチワードパスフレーズ」の安全性には確固とした根拠がないという（Light Blue Touchpaper）。彼らの実験によれば、マルチワードパスフレーズは辞書を使用した検索攻撃に屈してしまう可能性が高いとしている。とくに現在はオンラインで適切な辞書が入手できることも解析が容易な一因として挙げている。

なお、この記事によれば多くのユーザーは完全にランダムなキーワードを組み合わせてパスワードを作るのではなく、自然な文章や意味になる二つのキーワードをつなげている例が多く見られたとある。

ちなみに本家/.タレコミ人は、結局はパスワードジェネレーターなどでランダムに生成されたパスワードに戻るハメになるのではないか、としている。

masakun 曰く、

韓国政府が導入した「シンデレラ法」に反発した小学生らのグループが、韓国政府サイトを DoS 攻撃し摘発された (中央日報の記事、ITmedia ニュースの記事より) 。

韓国政府の政策を非難するオンラインコミュニティで「ホームページをテロ攻撃しよう」という呼びかけに応じた小学生 3 人を含む 7 人は入念な準備の上で 1 月下旬、大韓民国女性家族部サイトに対し、DDoS 攻撃プログラムや IP アドレスを偽装するツールを用い 4 日間 DDoS 攻撃を実行。しかし韓国政府当局が事前に計画を察知し、該当する IP アドレスを遮断したので失敗に終わり、今月 6 日に警察に摘発されたとのこと。

警察の取調べに対し少年らは「10 代の気持ちを分かってくれない悔しさからした」と動機を話したが、攻撃された政府広報担当者は「小学生が犯行に及んだということが残念で、やり切れない。一体ゲームが何だというのか。ゲーム中毒が本当に恐ろしいということを改めて感じた」と述べ、まったく心中が理解されなかった模様。犯罪がエスカレートしないことを望みたい。

あるAnonymous Coward 曰く、

時事通信やBBCの報道によると、米アダルトサイトのDigital Playgroundに「The Consortium」と名乗るクラッカーが侵入、7万3千人以上の個人情報が流出したという。

流出した情報にはメールアドレス、ユーザー名、パスワード、並びに4万件以上のクレジットカード番号とその有効期限、並びにセキュリティコードが含まれているとのこと。かつ、カード番号などは暗号化されていなかったという。

The Consortiumは盗み出したデータの一部とコメントを公表しており、それによればこのAVサイトのセキュリティは穴だらけで、この会社が実在することを知らなければ何かのジョークだと思った、というレベルだったそうだ。

eggy 曰く、

TSAは、米国内9空港の保安検査場で透視型ボディースキャナーを使用しない「プリチェック」と呼ばれるセキュリティーチェックを試験的に導入しているという(WSJ.comの記事、本家/.)。

現在のところプリチェックを利用できるのは、アメリカン航空とデルタ航空の国内線フライトのみ。それぞれの航空会社から招待されたマイレージプログラムのエリートメンバーで、TSAの基準を満たす乗客が対象となる。また、「Global Entry」などの出入国手続きを簡略化するプログラムの参加者もプリチェックを利用できる。Global Entryは米国税関・国境警備局(CBP)の審査により低リスクとして認められた旅行者が利用できるサービスで、キヨスク端末を使用した出入国手続きが可能。審査費用は100ドルだ。

プリチェックでは上着や靴を脱いだりベルトを外したりする必要はなく、ノートパソコンや液体をバッグから取り出す必要もない。ボディースキャナーの代わりに金属探知機ゲートが使用され、同時多発テロ以前のセキュリティーチェックと同様だという。また、利用者によればプリチェックではTSAの係員が笑顔で迎えるとのことだ。

あるAnonymous Coward 曰く、

nProtectを開発するインカインターネットのブログ記事によると、2012年3月2日にFlash Playerの脆弱性（CVE-2012-0754）を利用したターゲット型攻撃が国土地理院に対して行われたとのことで、同ブログで攻撃に使われたメールが公開されている。攻撃が成功したかどうかについては書かれていない。なお、国土地理院は昨年10月にサーバーが不正侵入されている（/.Jの記事）。

該当のメールの送信者は「東海大学政治経済部経済学科所属」となっており、Yahoo! JAPANのメールアドレス（～@yahoo.co.jp）が使われている。本文は地域デザイン学会の名簿を送るという内容で、もっともらしい添付ファイルの「地域デザイン学会の名簿.xls」を開くとMS OfficeからFlashファイルが読み込まれてCVE-2012-0754の脆弱性によって任意のコードが実行されるという仕組み。

なお、CVE-2012-0754は既にexploitコードが広く公開されている。当たり前のことだが、会社のFlash Playerなどは常に最新版に更新すべし。

あるAnonymous Coward 曰く、

Microsoftが先週公開した3月の月例セキュリティー情報と更新プログラムには、深刻度が最も高い緊急レベルの脆弱性修正が含まれており、Microsoftは早期の更新プログラム適用を呼びかけている(マイクロソフト セキュリティ情報 MS12-020 - 緊急、 Microsoft Security Response Centerのブログ記事、 ITmediaの記事、 本家/.)。

該当する脆弱性はリモートデスクトッププロトコル(RDP)に関連するもの。「リモートデスクトッププロトコルの脆弱性」では、細工されたRDPパケットを受信することで、リモートからコードが実行される危険性がある。影響を受けるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2。Windows 7およびServer 2008 R2では「ターミナルサーバーのサービス拒否の脆弱性」も存在し、細工されたRDPパケットの受信によりBSODが引き起こされる可能性があるとのこと。ただし、Windows OSのデフォルトではRDPが有効になっていないため、これらの脆弱性による危険にさらされることはないとしている。また、Windows Vista以降ではネットワークレベル認証(NLA)を有効にすることで脆弱性の影響を受けにくくなるとのことで、MicrosoftがFix Itを公開している(Security Research & Defenseのブログ記事)。

ちなみに、これらの脆弱性を利用した実証コードが既に公開されている。実証コードではWindows XP/Server 2003にブルースクリーンエラー(BSOD)を引き起こすことができるとのこと(本家/.)。

ある Anonymous Coward 曰く、

米軍が米軍将兵に対し「ジオタグ利用にセキュリティーリスク」という文書を公開していたそうだ (Internet Watch の記事、米軍 Web サイトの該当記事より) 。

近年ではスマートフォンの GPS を利用して位置情報を取得し、サーバーにアップロードしたり一般にその情報を公開するようなサービスが増えているが、これらによって米軍の情報が漏れ将兵を危険にさらす可能性がある、という趣旨とのこと。実際。イラク内の基地で兵士が撮影して公開した写真に含まれていた位置情報から基地内のヘリコプターの位置を特定され砲撃を受ける、といったことも発生していたそうだ。

対策としては「実際に会ったことのない人を“友人”として加えないこと」や、位置情報の公開設定/共有設定を見直すことも勧めているという。