Apache 2.0の必須設定と基本セキュリティ対策：実用 Apache 2.0運用・管理術（1）（1/3 ページ） 本連載では、Apache 2.0の運用や管理方法を解説する。第1回では、その下準備として必須の設定と基本的なセキュリティ対策を行い、今後の運用に備える。（編集部） WebサーバのデファクトスタンダードApache Webサーバと聞いて、Apache Webサーバ（以下Apache）を思い浮かべないLinuxユーザーはいないでしょう。いまや、ApacheはWebサーバのデファクトスタンダードという地位を確立しています。Netcraft社の2005年7月の調査（http://news.netcraft.com/archives/2005/07/）によると、WebサーバにおけるApacheのシェアは7割に及んでいます。 HTTP／HTTPSがeビジネスの基盤として使用されるように

このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。

ニワンゴは2月23日、YouTubeなどの動画にコメントを付けて楽しめる「ニコニコ動画」のサーバに対し、アクセスを殺到させてサーバを停止させようとするサービス拒否（DDoS）攻撃があったとして、一時サービスを停止したと発表した。 同社によると、ニコニコ動画のWebサーバとメッセージサーバに対するSYN flood攻撃が20日から始まった。21日深夜の時点では同時に30台程度の端末からの攻撃だったため、手動でブロックしていたが、22日夜には1000台以上になったため、サービスを停止した。攻撃している端末はその後も増え、23日朝5時ごろには3000台以上まで増えたという。 ニコニコ動画と同一ネットワーク上にあるドワンゴの携帯電話向けサイトにも影響が出ているため、サービスを停止してネットワークの分離作業を行う。 ニコニコ動画は、ドワンゴの子会社ニワンゴが1月に開始。YouTubeなどの動画にコメ

Norton AntiVirusなどに搭載されているActiveXコントロールに脆弱性が存在し、不正コードを仕掛けたサイトを使って悪用される恐れがある。 Symantecのコンシューマー製品にスタックオーバーフローの脆弱性が存在することが分かり、同社はLiveUpdateを通じてこの問題を修正するアップデートを配布している。 Symantecのアドバイザリーによると、脆弱性は、同社コンシューマー製品に搭載されているSupportSoft製のトラブルシューティング用ActiveXコントロールに存在する。 攻撃者は、不正コードを仕掛けたサイトをユーザーに閲覧させることでこの脆弱性を悪用することが可能。その結果、ユーザーのシステムを乗っ取られ、任意のコードを実行されたりシステムリソースに不正アクセスされる恐れがある。 脆弱性があるのはNorton AntiVirus 2006、Norton In

Firefox 2と1.5、およびSeaMonkeyの深刻な脆弱性を修正したアップデートが公開された。 オープンソースブラウザFirefoxの脆弱性を修正したアップデートが2月23日、公開された。日本語版もリリースされている。 Firefox 2.0.0.2では7件の脆弱性が修正され、メモリ破損関連のクラッシュで任意のコードを実行される恐れがある深刻な脆弱性や、「location.hostname」に関するクロスドメインの脆弱性で他者サイトのcookieを操作できてしまう問題などに対処した。 Windows Vistaへの対応も強化されたが、デフォルトの場所にインストールしないとアップデートがうまくいかない、Windows Media Player (WMP）のプラグインが提供されていないなどの問題がいくつか残っている。 Firefox旧バージョンとインターネット統合アプリケーションのSe

ISMAP政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 通称、ISMAP（イスマップ））は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。 パスワード もっと強く君を守りたい原宿にて「パスワード」の大切さを啓発するマンガポスターを掲示しています。このポスターを学校や会社でも掲示したいとの声を受けて販売もしています。 サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサ

専用ソフトの画面例（Websenseの情報から引用）。感染パソコンの情報の一部が表示されている。中には、「japan tokyo」という表示もある。この画面中の「map」をクリックすると、感染パソコンの場所がGoogleマップ上に表示されると考えられる セキュリティベンダーの米Websenseは2007年2月19日（現地時間）、パソコンに保存されたファイルを勝手に公開する新ウイルスを警告した（発表資料）。感染パソコンをWebサーバーにして、攻撃者（ウイルス作者）がアクセスできるようにする。攻撃者の持つ専用ソフトには、感染パソコンの場所がGoogleマップで表示されるという。 今回のウイルスはメールに添付されて送られてくる。メールには、「オーストラリアの首相が心臓発作を起こした」といった虚偽の情報が記述され、詳細は添付ファイルに書かれているとする。添付ファイルの実体はウイルスなので、ユーザー

みずほ銀行は2月22日，オンライン・バンキング・サービス「みずほダイレクト」の認証機能を強化すると発表した。ユーザーのアクセス履歴を管理して，普段とは異なるPCやネットワークから利用している場合に認証の強度を上げる「リスクベース認証」や，認証の度にパスワードが変わる「ワンタイム・パスワード」などを導入する。サービス開始は2008年春を予定している。 リスクベース認証は，ユーザーのIDやパスワードが盗まれた場合に「なりすまし」のアクセスが発生することを防ぐためのサービス。ユーザーが使っているPCやソフトウエアの種類，アクセス元の国情報やプロバイダ情報などのアクセス履歴を記録し，前回までのアクセス情報と違うアクセスがあった場合に，「リスクの高いアクセス」と判断する。リスクの高いアクセスの場合は，IDとパスワードだけなく，あらかじめ登録した「合い言葉」などを入力しなければ，オンライン・バンキング

特定の状況下でリモートから悪用できてしまう脆弱性もあり、PHPチームは全ユーザーに対しできるだけ早期のアップグレードを促している。 PHP開発チームは2月9日、複数の脆弱性に対処した新バージョンのPHP 5.2.1をリリースした。全ユーザーに対し、できるだけ早期のアップグレードを促している。 PHPサイトに掲載された情報によれば、今回発見・修正された脆弱性の中には、特定の状況下でリモートから悪用できてしまうものや、共有ホスティング環境でPHPをApacheモジュールとして利用している場合にローカルユーザーに悪用される恐れがあるものなどが含まれる。 セキュリティ企業Secuniaのアドバイザリーでは、これらの脆弱性を突かれると、重要な情報が漏洩したり、特定のセキュリティ制限が回避されてしまう可能性があると指摘。危険度は5段階で真ん中の「Moderately critical」と評価している。

米Watchfireは米国時間2月21日，米Googleのデスクトップ検索ソフト「Google Desktop」のぜい弱性を発表した。攻撃者による個人情報へのアクセスのほか，パソコンを乗っ取られる危険があったという。同社はこのセキュリティ・ホールをGoogleに報告しており，Googleはすでにパッチを配布している。 このぜい弱性は，Google Desktopと同社の検索サイト「Google.com」が緊密に連携していることに加え，同ソフトが特定の文字列を含むアウトプットを適切にエンコードできていなかったことに起因する。攻撃者はJavaScriptを用いて，Office文書や電子メール，メディア・ファイルなどにアクセスできたという。 Watchfire設立者兼CTO（最高技術責任者）のMichael Weider氏は，「Webインタフェースを持つデスクトップ向けアプリケーションに，クロス

FirefoxなどMozillaベースのブラウザに脆弱性が存在し、悪用されると攻撃者がよそのサイトのcookieなどのデータを操作できてしまうという。 FirefoxなどMozillaベースのブラウザにクロスドメインの脆弱性が存在し、攻撃者がよそのサイトのデータを操作できてしまう問題が報告された。 US-CERTが2月15日に公開したアドバイザリーによると、Mozillaではブラウザのフレーム処理に関して「Same Origin」ポリシーを採用し、1つのドメインから別のドメインのデータにアクセスされるのを防いでいる。しかしnull文字を含んだURIの処理が適切でなく、「location.hostname」に関するクロスドメインの脆弱性が発生する。 この問題を突かれると、攻撃者が被害者にWebページを閲覧させることで、別のドメインのデータを改ざんすることが可能になり、例えばあるドメインのWe