「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-12 07:30 すべての始まりは、Microsoftの主任ソフトウェアエンジニアであるAndres Freund氏が、「Debian Linux」ベータ版のSSHリモートセキュリティコードの実行速度が遅い理由に関心を持ったことだった。Freund氏が詳しく調べたところ、問題が明らかになり、xzデータ圧縮ライブラリーのチーフプログラマー兼メンテナーだったJia Tanと名乗る人物がコードにバックドアを仕掛けていたことが分かった。その目的は、攻撃者が「Linux」システムを乗っ取れるようにすることだ。 近年は、悪意あるハッカーがソフトウェアに不正なコードを挿入する事例が非常に多くみられる。一部のオープンソースコードリポジトリー、たとえば人気の「
LTS版「Linux」カーネルのサポートが短縮へ--背景にメンテナーの苦悩
現地時間9月19日からスペインのビルバオで開催されていた「Open Source Summit Europe」で、Linuxカーネル開発者であり、LWN.netの編集責任者を務めているJonathan Corbet氏が、Linuxカーネル関連の新しい点や今後の動きについて発表した。 ここではその中から、今後の大きな変更点の1つを紹介したい。それは、Linuxカーネルの長期サポート(LTS)が6年から2年に短縮されるということだ。 LinuxカーネルのLTS版には現在のところ、6.1と5.15、5.10、5.4、4.19、4.14の6つがある。これまでであれば、4.14は2024年1月にサポートが終了し、別のカーネルが追加されていた。しかし今後は、4.14とその次の2つのバージョンのサポートが終了しても、別のカーネルがそれに取って代わることはない。 なぜだろうか。Corbet氏は単純なことだ
職業としてのセキュリティ--「失われた30年」の日本の平均収入
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 前回までサイバーセキュリティが職業として成り立つまでの状況や経緯などについて述べた。今回からセキュリティ人材の収入(給与)について、この数十年の経済状況や失われた30年間における推移などについて述べていく。これらはセキュリティの技術や手法とは直接関係しないが、給与はその職業の業務対価であり、職業の価値を示す明確な指標となる。そのため、日本全体とセキュリティ分野の給与や待遇の比較やビジネスモデルの構造を詳らかにすることが、職業としてセキュリティは何であるかを追求するために
IIJ、社内開発した文書共有アプリをOSSとして無償公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます インターネットイニシアティブ(IIJ)は5月25日、社内開発した文書共有のウェブアプリケーション「cats_dogs」(キャッツ・ドッグス)をオープンソースソフトウェア(OSS)として、GitHubで無償公開した。文章ごとに異なるアクセス権限を設定できるという。 cats_dogsは、同社のエンジニアが業務改善のために開発したもの。Markdownを採用しており、グループやプロジェクトチームでの利用を想定して、複数人が参照する文書を効率的に共有、管理することを目的にしているという。1つの文書内において文章ごとに異なるアクセス権限を設定できる。参照者の権限に応じて特定の文章を特定の人にだけ表示、閲覧させることができるとしている。 また、ロ
Linuxカーネルの「ksmbd」に深刻なセキュリティ脆弱性
Linuxのシステム管理者であれば誰しもが、ホリデーシーズン目前に、Linuxカーネルに深刻なセキュリティ脆弱性が発見されたというニュースは目にしたくはないはずだ。とは言うものの、トレンドマイクロが運営する脆弱性発見コミュニティーであるZero Day Initiative(ZDI)は米国時間12月22日、Linuxカーネルに潜むセキュリティ脆弱性を発見したと報告した。この脆弱性を悪用することで、認証されていないリモートユーザーであっても機密情報を窃取したり、脆弱性を抱えたシステム上でコードを実行できるようになる。 では、その深刻度はどの程度なのだろうか。ZDIは、0から10までの「共通脆弱性評価システム」(CVSS)で最高スコアの10と評価しており、あらゆるLinuxサーバーに対して「パッチを適用せよ!今すぐに適用せよ!」というレベルの脆弱性となっている。 この脆弱性は、Linuxカーネ
「Microsoft Teams」の障害、原因はストレージサービスへの接続不良
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは、多数のユーザーが数時間にわたり、「Microsoft 365」の各種アプリケーションにアクセスまたは利用できなかった障害について、最近のデプロイメントに「内部ストレージサービスへの接続不良」が含まれていたことが原因だったと発表した。 このサービス障害は米国時間7月20日の夕方に始まり、21日の朝まで続いた。「Microsoft Teams」「Exchange Server」「Microsoft 365管理センター」「Yammer」、そして「Microsoft Word」などの「Office」アプリケーションが、速度低下やアクセスの不具合といった影響を受けた。また、「Microsoft マネージド デスクトップ」など
「Linux」マルウェア「OrBit」発見--検出、削除が難しい新種
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 感染したマシンやサーバーへのバックドアを作成する新種の「Linux」マルウェアが発見された。このマルウェアは、サイバー犯罪者が機密情報をこっそり盗むことを可能にするだけでなく、ネットワーク上で永続性を維持する。 今回初めて検出されたこのマルウェアは、「OrBit」と呼ばれている。Intezerによると、OrBitが実行コマンドの出力を一時的に保存するために使用するファイル名が、その名称の由来であるという。 Linuxは、サーバーやクラウドインフラストラクチャーで人気の高いOSであり、サイバー犯罪者にとって魅力的な標的となっている。 OrBitマルウェアによって、サイバー犯罪者は、Linuxシステムへリモートアクセスしてユーザー名とパスワ
マイクロソフト、「Teams」に対する一連の機能強化を発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間5月31日、「Microsoft Teams」に対する一連の機能強化を発表した。これには、動画品質の向上や、チャット時における返信候補表示機能の多言語化、チームのタスク管理を支援する新たな「Updates」アプリが含まれている。 また、Teamsアプリがついに「Microsoft Store」に登場した。このため、個人向けや職場向け、学校向けのアカウントを有する「Windows 10」ユーザーは同ストアからのインストールが可能になる。 MicrosoftはTeamsに関する今回のアップデートで、動画の品質を向上させるために、画像をスムーズにする効果を有した「ソフトフォーカス」フィルターと、光量が不足している場
トーバルズ氏、Linuxカーネルを「C89」から「C11」コードに移行する準備
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子 2022-03-04 11:33 LinuxカーネルがCで記述されているというのは誰もが知るところだ。ただ、そのCがかなり昔のC、すなわち1989年の規格である「C89」だという事実については知らない人もいるかもしれない。C89は「ANSI X3.159-1989」、あるいは「ANSI C」としても知られている。Linus Torvalds氏は、そろそろC89に別れを告げる時だと判断し、Linuxカーネルの公式な開発言語を2011年規格の「C11」に移行しようとしている。 これは見かけほど大きな変更ではない。C89は現在でもほぼ普遍的にサポートされている。どのようなCコンパイラーでも以前の規格との後方互換性を備えているため、C89で記述されたプログラムのコンパイ
12年前から存在する「Polkit」の脆弱性、主要な「Linux」ディストリビューションに影響
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2022-01-27 12:26 Linux関連のセキュリティ脆弱性がまたしても発見された。Linuxカーネルのfs/fs_context.cプログラムに潜んでいたヒープオーバーフローのバグという問題が発見、修正された後、一息つく間もなく新たなセキュリティの問題が見つかった。Qualysが、Polkit(旧称「PolicyKit」)のpkexecに存在する危険なメモリー破壊の脆弱性(CVE-2021-4034)「PwnKit」を発見したと報告している。 この脆弱性の悪用は簡単だという。そして、デフォルト設定の状態で利用できるこの脆弱性を悪用することで、一般ユーザーであっても脆弱なコンピューターで完全なルート権限が得られるようになる。Qualysは概略説明の中で、「この脆弱性
Linuxカーネル開発の第2言語にRustを採用する試み、議論の意義とこれから
Liam Tung (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2021-07-29 06:30 この30年間、Linuxの開発にはずっとC言語が使われてきたが、その状況が変わる可能性があるだろうか。 プログラミング言語の「Rust」をLinuxカーネル開発の第2言語にしようとする取り組みが一部で見られるようになっている。Googleは、開発者のMiguel Ojeda氏が中心となって進めている、Linuxカーネルのさまざまな要素の開発にRustを使用することを目指すプロジェクトを支援している。 Googleは、Rustを使えばセキュリティ上の脆弱性を引き起こすメモリーエラーを減らせるはずだと主張している(多くのIT企業やオープンソースプロジェクトがアップデートで修正しているセキュリティホールの多くは、メモリーエラーが原因になっている)。このプロジェクトの目標は、
「Windows Server」の脆弱性「Zerologon」--その深刻性が明らかに
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは8月の月例パッチで、今までに同社に報告されたもののなかで最も深刻度の高い部類に入る脆弱性に対処した。この脆弱性が悪用された場合、企業ネットワーク上でドメインコントローラーとして機能している「Windows Server」を簡単に乗っ取られてしまう可能性がある。 共通脆弱性識別子「CVE-2020-1472」が割り当てられたこの脆弱性は、8月の月例セキュリティパッチで対処された。同脆弱性は、ドメインコントローラーに対するユーザー認証プロトコル「Netlogon」に存在している、権限昇格を引き起こす脆弱性と説明されている。 この脆弱性は10段階の深刻度スコアで10と評価されているものの、詳細は公開されていなかったため、ユ
マイクロソフト、危険なドメイン「corp.com」を購入--悪用を防ぐ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ研究者のBrian Krebs氏が米国時間4月7日に伝えたところによると、Microsoftはcorp.comという危険なドメイン名が悪人の手に落ちることを防ぐために、当該ドメイン名を購入したという。同社は購入した事実を認めているが、価格については明らかにしていない。 Krebs氏は2月、26年前にcorp.comドメインを購入したMike O'Connor氏が、170万ドル(約1億8500万円)の開始価格で同ドメイン名をオークションにかけたと伝えていた。このドメイン名が問題となるのは、企業の管理者が「Active Directory」を設定する際に任意のドメイン名として一般的なドメイン名(corp.com)を使用した場合、
「Androidのカーネルをいじるな」グーグルがスマホメーカーに苦言
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleのセキュリティチーム「Project Zero」の研究者であるJann Horn氏は、サムスンがカーネルコードを修正して自社スマートフォンへの攻撃を防ごうとしたことは、脆弱性を増やすことになったと指摘した。 同氏は、サムスンをはじめとするスマートフォンメーカーが、ハードウェアからAndroidのLinuxカーネルに直接アクセスするためカスタムドライバーをダウンストリームで追加していることについて、メーカーはLinuxカーネルがすでに持っているセキュリティ機能を使うべきだと主張している。 Horn氏がサムスンの「Galaxy A50」のAndroidカーネルに発見した問題は、この種のものだった。ただし、アップストリームのLin
NGINX強制捜査めぐる非難受け、Ramblerが刑事告訴を撤回へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Ramblerは、オープンソースコミュニティやロシア国内の技術コミュニティからの激しい反発を受けて、世界的に利用されているウェブサーバーの開発元であるNGINX, Incに対する刑事告訴を撤回することになったという。 同社は今後、民事訴訟でNGINXのソースコードの所有権を追求する考えだとRamblerの広報担当者は米ZDNetに述べた。 この決定は、現地時間12月16日午前に開催されたRamblerの取締役会で下された。この取締役会は、ロシア最大の銀行の1つであり、Ramblerの筆頭株主(持ち株比率46.5%)でもあるSberbankの求めで開かれたものだ。 Sberbankが招集した取締役会に先立つ週末には、ロシアの技術コミュニテ
トーバルズ氏が見るマイクロソフトとLinux
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子 2019-10-18 06:30 筆者は、MicrosoftとLinuxについての記事を執筆するたびに、コメント欄が「MicrosoftがLinuxの統制権を金で買おうとしている!」とか、「MicrosoftはLinuxを取り込み、拡張し、抹殺するという昔ながらの3E戦略を実行しているにすぎない」とか、「Microsoftは羊の皮をかぶったオオカミであり、Linuxをつぶすに違いない」といった意見で埋め尽くされると断言できる。 しかし本当のところは次の通りだ。確かにMicrosoftはLinuxから利益を得たいと考えている。またLinuxを拡張し、統制したいとも考えている。だがちょっと待ってほしい。誰もがそう考えているものの、誰もそれを成し遂げることはできない。
パスワードの漏えいなどをチェックする機能、「Googleアカウント」で利用可能に
Googleは米国時間10月2日、Googleアカウントの新機能「Password Checkup(パスワードチェックアップ)」の提供を開始した。同サービスは、ユーザーが保存しているパスワードについて、他のサービスが侵入を受けたことによる流出や不正アクセスがなかったかどうかをチェックしてくれる。 Password Checkupは、今のところGoogleのウェブダッシュボードおよび「Android」デバイスで利用できるが、2019年内に「Chrome」ブラウザーにも直接組み込まれる。 ウェブでは、「passwords.google.com」にアクセスすればPassword Checkupが利用できる。ChromeユーザーがGoogleアカウントにサインインした状態でChromeブラウザーを使用し、そのうえでChromeにパスワードを保存した場合は、それらのパスワードがこのウェブサイトと同期
Linuxにカーネル「ロックダウン」セキュリティ機能追加へ
Linuxカーネルに「ロックダウン」という新たなセキュリティ機構が追加されるようだ。何年にも及ぶ無数のレビューや議論、コードの書き直しの末に、Linus Torvalds氏によって米国時間9月28日にようやく承認された。 この新たな機構は間もなくリリースされる「Linuxカーネル5.4ブランチ」における「Linux Security Module」(LSM)として投入され、デフォルトでは無効化される予定となっている。利用がオプショナルとなる理由は、既存システムが動作しなくなるリスクがあるためだ。 同機構が担う主な機能は、ユーザーランドのプロセスとカーネルコードの分離を強化するために、今までであれば設計上可能であったrootアカウントによるカーネルコードとのやり取りにすら制限を加えるというものだ。 新たな「ロックダウン」機構を有効化した場合、rootユーザーであったとしても一部のカーネル機能
トーバルズ氏:Linuxでフロッピーディスクドライバーは「面倒を見る人がいなくなった」
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2019-07-30 13:43 1991年に最初にLinuxを開発したとき、Linus Torvalds氏はフロッピードライブを備えた「386」搭載PCで同OSを構築した。物事は変わるものだ。2012年に、Torvalds氏は「i386」プロセッサーに別れを告げ、その際に「私は感傷的な人間ではない。せいせいする」と述べた。今回は、フロッピードライブがLinuxに別れを告げる番かもしれない。 Torvalds氏は、フロッピードライブプロジェクトについて、「面倒を見る人がいなくなった」と書いている。 それはなぜなのか。フロッピードライブが歴史的遺物のようになったからだ。もう誰もフロッピードライブを使っていない。Torvalds氏によると、フロッピードライブドライバーの開発を担
教育IT“本格始動”--情報化時代、なぜか日本中から叩かれる教育現場
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 筆者は、「企業セキュリティの歩き方」という連載を執筆しているが、実は「教育IT」の分野にも長年関わってきた。最近になってこの分野への注目が再び高まりつつある。そこで今回からいつもの連載から少し離れ、この分野について取り上げてみたい。 その理由は、教育ITが日本の将来において非常に重要なことだからだ。学校教育を受けた子供たちが成長すれば、当然社会に出てくることとなる。その場合、多くは企業に属することになるだろう。また、一定レベルの教育を受けている人材でないと採用しないという企業も少なくない。当然、それらの企業のほとんどにITが導入されている。現代の企業にセキュリティ対策を無視することなども社会的責任において到底できるものではなく、それを守
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
