数年前に情報漏えい事件を起こし、再発防止の取り組みを徹底しているはずの企業から、「社員の意識が低下している」と相談があった。その原因は思いも寄らないところにあった。 東北にある中堅の製造業からの相談である。主に海外向けのベアリングを製造しているという同社。7年ほど前に、社員が従業員名簿や特殊なベアリング製造の設計図（旧モデルだが）などを、Winnyによってインターネットに漏えいさせてしまった事件を起こした。 その事件以降、同業他社が真似できないほど情報セキュリティの強化を行ってきたが、従業員の意識がどんどん希薄になっているようだという。「喉元過ぎれば熱さを忘れる」ではないが、経営層が必死になって教育や注意喚起をしても、なかなか効果が出ない。「根本的に何かが抜けているような感じがしているので、一度調査してほしい」ということであった。 事例 事案 この企業では年3回（一般的な企業は年1回）もの

近年、自動車に様々なソフトウエアが導入されるなど、情報技術の活用が進んでいる。自動車1台に搭載する電子制御ユニット（ECU：Electronic Control Unit）の数が、100個以上にのぼる車両もある。ソースコードの行数は約1000万行と言われ、クルマは大規模なソフトウエアを実装するシステムになっている。 ソフトウエアの塊と言えるクルマに対して今、新しい脅威が見えている（図1）。2010年、米国の研究者らが自動車内外からの通信によって車載ソフトの脆弱性を攻撃し、車両の制御システムに影響を与えられることを明らかにした。リアルタイム性が重要である車載システムと情報システムの違いがあるとは言え、認証や通信の秘匿などの面で車載ソフトには情報セキュリティの面で脆弱な部分が存在することが分かった。 しかも今後、車載ソフトのシステムが攻撃される可能性は高まる。攻撃する経路が増えているからだ。車

「サポート技術情報 2847140」のWebページ。左側（Enable）の「Fix it」ボタン（Microsoft Fix it 50992）を押すと、パソコンの設定が変更されて、攻撃を回避できるようになる。右側（Disable）の「Fix it」ボタンを押すと、変更した設定を戻すためのツールが実行される 米マイクロソフトは2013年5月8日（米国時間）、Webブラウザー「Internet Explorer 8（IE8）」に見つかった脆弱性の影響を低減するツール「Fix itソリューション」を公開した。同ツールを実行すれば、脆弱性は修正されないものの、脆弱性を悪用した攻撃を回避できる。 同社は5月3日、IE8に新たな脆弱性が見つかったことを明らかにした。細工が施されたWebサイトにアクセスするだけで、ウイルス（悪質なプログラム）を実行させられる恐れなどがある。IE6/7/9/10は影響を

クラウドサービスへの攻撃が続いている。米エバーノートは2013年3月、Evernoteサービスに対する組織的な攻撃があり、メールアドレスや保護されたパスワードといったユーザーアカウント情報へ不正にアクセスされたと発表した。事業者は今やアカウント情報が漏洩することを前提にきめ細かな管理を求められる時代になった。 エバーノートの事件では情報管理サービス「Evernote」の保護された領域に対する組織的な攻撃が試みられ、ユーザーID/メールアドレス/保護されたパスワードといったユーザーアカウント情報が不正にアクセスされたという。対策として同社は、Evernoteサービスにおける全ユーザーのパスワードをリセットした。 前回説明したようにクラウドサービスのユーザーアカウントは頻繁に狙われるようになっている。クラウドサービスや電子商取引サイトなどの事業者は、これまでより強固にユーザーアカウント情報を保

昨日、こんなニュースが飛び込んできました。 パスワード盗む新手口＝ネット銀の不正送金－被害、最悪ペース・警察庁 インターネットバンキング利用者の口座から無断で現金を送金する事件で、パスワードを盗む新しい手口による被害が多発していることが２４日、警察庁への取材で分かった。不正送金を防ぐため内容を毎回変えている「ワンタイムパスワード」を、犯人がコンピューターウイルスで入手したとみられる。 今年確認された不正送金の被害は９０００万円を超えた。昨年の約４８００万円を上回り、過去最悪だった２０１１年の約３億８００万円と同じペースとなっている。（2013/04/24-21:38） 時事ドットコム：パスワード盗む新手口＝ネット銀の不正送金－被害、最悪ペース・警察庁より引用 『「ワンタイムパスワード」を、犯人がコンピューターウイルスで入手』だと? 最初は、いよいよ本格的なMITB(Man in the B

サーバー仮想化環境は物理環境と異なる特性を持つため、セキュリティ対策を行う場合は、新たに考慮すべき点が多い。この物理環境とは異なる特性は、仮想化環境を利用して得られるメリットそのものである。この特性が現れない状態は、逆に仮想化環境である必然性がないか、仮想化環境のメリットを享受していないといえる。その特性を筆者は表1、図1aのように考えている。

スマートデバイスをユーザーの企業ネットワーク（LAN）につなぐ。企業ネットワークが契約しているWANサービスに、VPNトンネルでスマートデバイスをつないで実現する。 LAN内の端末でしか使えないようにしている社内のWebシステムにも、リモートアクセスであれば、外出先から直接アクセスできる。また、スマートデバイスのメーラーで社内のメールサーバーから直接メールを受け取るといったことも可能になる。 ほとんどのリモートアクセスサービスでは、事業者がインターネット上に認証用のゲートウエイを設置している（図2-1の中央）。アクセス元のスマートデバイスにアプリをインストールしておき（同（1））、アプリを起動したスマートデバイスはゲートウエイにアクセスする（同（2））。ゲートウエイではユーザー認証を行い（同（3））、認証が通れば事業者の閉域網などを通じて企業ネットワークにつながる。ゲートウエイとスマートデ

「休日に会社のパソコンにアクセスして仕事の続きをしたい」「出張先から経理処理のサーバーにアクセスして精算を済ませたい」---。こんなとき、社外から企業ネットワークにアクセスできると便利だ。さらにいえば、アクセス元の機器としてノートパソコンではなく、スマートフォンやタブレット端末といったスマートデバイスが使えると、なおうれしい。ノートパソコンは持ち歩かないが、スマートデバイスなら持ち歩いているというビジネスパーソンは多いからだ。 実現の方法は、大きく分けて3つある。（1）リモートデスクトップ、（2）リモートアクセス、（3）仮想デスクトップだ（図）。（1）は、会社の自席にあるパソコンの画面情報を転送し、社外から操作するというもの。（2）は、社外のスマートデバイスを、あたかも企業ネットワークに直接つながったようにする方法だ。ともに、社内では従来通り、自席のパソコンをそのまま利用する。これらに対し

メガネブランド「JINS」を展開しているジェイアイエヌは3月15日、同社が運営するオンラインショッピングサイト、「JINS ONLINE SHOP」のWebサーバに不正アクセスがあったことを明らかにした。顧客のクレジットカード情報、1万2000件あまりが流出した可能性があるとし、サイトの運営を停止し調査を進めている。 同社によると、異常に気付いたのは3月14日19時58分。クレジットカード情報を入力するためにWebサイトに用意されている入力フォームが改ざんされ、ユーザーが入力した情報が外部のデータベースに送信されてしまう状態となっていた。これを踏まえ同日23時6分、Webサイトを停止し、調査を開始したという。実際に何件の情報が外部に送信されたか（あるいはされていないか）、送信先サーバはどこかといった情報については、ログなどを基に引き続き調査中。 ジェイアイエヌは2月6日にサーバ移転作業を行

怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 標的型攻撃に新しい手法が発見された。SaaSでメールセキュリティを提供するProofpointは、100億通以上のメールを解析、その結果から「Longlining Attack（はえ縄型攻撃）」と命名した。日本法人が3月5日に発表した。 これまでの標的型攻撃は、標的とする企業や個人に向けて、カスタマイズされたコンテンツを使うために、一度に複数の対象を狙うことができなかった。今回確認された手法は、少しずつカスタマイズされた大量の標的型フィッシングメールを複数の対象に大量に送りつけるというものだ。 新しく発見された手法は、標的型が持つ、従来のセキュリティシステムに検知されにくいという特長と、従来のスパムやフィッシング攻撃が持つ一度に大量に攻

水飲み場型攻撃とは、攻撃対象のユーザーがよく利用するWebサイトを不正に改ざんすることで、ウイルスに感染させようとする攻撃である。シマンテックやトレンドマイクロなどのセキュリティ企業が2012年末、無差別ではなく目標を絞って攻撃する標的型攻撃の新たなタイプとして発表したことで話題になった。水飲み場型攻撃は、英語では「Watering Hole Attack」という。「たまり場型攻撃」と訳される場合もある。 水飲み場型攻撃では、攻撃者がまずターゲットになったユーザーがよく訪れるWebサイトを調べる。そして、そのサイトに訪れたユーザーがウイルスに感染するように、わなを仕掛ける。名前に含まれる「水飲み場」は、草原や砂漠にあるオアシスを指し、オアシスに寄ってくる動物を待ち伏せて仕留めようとする攻撃になぞらえている。 これまでの標的型攻撃は、ターゲットになったユーザーに知人を装ってメールを送ったり、

サイバー犯罪サイトを運営していたとして禁錮5年を言い渡された男が、刑務所内で開かれたIT講座を受講できてしまったことから騒ぎが起きた。 サイバー犯罪で摘発されて英国の刑務所に服役中の男が、受刑者向けのIT講座を受講して刑務所のコンピュータに不正侵入する騒ぎがあった。セキュリティ企業の英Sophosが3月4日、現地メディアの報道を引用して伝えた。 それによると、ニコラス・ウェバー受刑者（21）は、盗まれたクレジットカード情報などを転売するサイバー犯罪サイトの「GhostMarket.Net」を運営していたとされる。2009年10月に逮捕され、2011年5月に禁錮5年の実刑判決を言い渡されて、ロンドン南東部の刑務所で服役していた。 ところがウェバー受刑者は同年、刑務所内で開かれたIT講座の受講を申し込み、そこから刑務所のメインフレームコンピュータに不正侵入したという。 同刑務所はDaily M

HTTPヘッダーインジェクション攻撃は、Cookie出力やリダイレクト処理など、HTTPレスポンスヘッダーを出力している箇所に対する攻撃である。外部から、これらレスポンスヘッダーの値に改行文字を含ませることにより、本来のヘッダーとは別のヘッダーを送信したり、本文（HTTPメッセージボディー）を改変したりできる。これらを許すことはヘッダー出力処理のバグである。 以下、簡単なCGIプログラムを題材として、HTTPヘッダーインジェクションによる「なりすまし投稿」の原理を説明する。 なりすまし投稿の仕組み

［サンフランシスコ　２４日　ロイター］　米政府が「サイバー真珠湾」と警告を発したハッカーによる攻撃。たった１回の奇襲攻撃で、国中の発電所や金融システム、あるいは政府までも機能不全になる事態が現実の脅威として懸念されている。 しかし、こうした「サイバー戦争」の前線に立つ関係者らによると、米国の政府や企業のネットワークを１度きりの急襲から守れば済む訳ではない。多くの資金を持つサイバーゲリラや高度なスキルを持つ犯罪者らが、数十の国から１度に仕掛ける多重攻撃をかわさなければいけないという。 セキュリティー当局者やそのコンサルタントは、こうした状況に困惑を隠さない。攻撃は、米企業へのスパイ疑惑が持たれる中国からだけではなく、ロシア、東欧、中東や西側諸国からの攻撃も多い。ハッカーも軍のエリート部隊や組織化された犯罪集団、１０代の活動家まで多種多用だ。

シマンテックは2013年2月22日、中国人民解放軍がサイバー攻撃に関与しているとした米Mandiant社の報告書（関連記事）をかたった“偽報告書”を添付した日本語の標的型メール攻撃が見つかったとして、注意を喚起する文書を出した。 この電子メール（画面）の本文は日本語で書かれているが、敬語表現などが不自然である。PDFファイルが添付されているものの、このPDFファイル自体に中身はない。PDFファイルを開いた時に、Adobe Readerなどのセキュリティ脆弱性（コード番号CVE-2013-0641）を悪用した不正プログラムが実行される。これを通じて別の不正なプログラムがインストールされてしまう危険性があり、最悪の場合はパソコンを遠隔操作されるリスクがある。 米Adobe SystemsはこのPDFの脆弱性に対応するためのアップデート（修正プログラム）を2月20日にリリースしている（関連記事）

1月18日、「エンジニアサポートCROSS 2013」が開催された。その中から、NHN Japanのmala氏による「体系的に学ぶ安全な利用規約の作り方」をレポートする。 1月18日、Web技術について横断的に語り合うイベント「エンジニアサポートCROSS 2013」が開催された。その中からNHN Japanのmala氏による「体系的に学ぶ安全な利用規約の作り方」をレポートする。 mala氏は、サービスを作る側と使う側の両方の立場から、「安全な利用規約の作り方」を語った。昨今、アプリケーションの実行環境の多様化や、ビジネスモデルの複雑化、大規模なログデータや個人情報の利活用など、サービス自体の複雑化が原因となった利用規約に関する炎上が多々見受けられる。このような炎上の原因はどこにあるのか。エンジニアとして何ができ、どのような解決策があるのか。 Webに関わるエンジニアが知っておくべき5つの