米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見：“履歴スニッフィング”攻撃の最新版 カリフォルニア大学サンディエゴ校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見した。ユーザーがあるWebサイトを訪問したかどうかを高速に判定することで、結果的に履歴が漏れてしまう。 米国カリフォルニア大学サンディエゴ校は2018年10月30日（米国時間）、同校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見したと発表した。発見した手法は、2000年代初頭に見つかった「履歴スニッフィング」という攻撃手法と同じカテゴリーに属する。 今回の発表に先立ち、2018年8月に情報セキュリティ関連のワークショップ「2018 USENIX Workshop on Offensive Technologies（

対象OS：Windows 7／Windows 8.1／Windows 10／Windows Server 2008 R2／Windows Server 2012／Windows Server 2012 R2／Windows Server 2016 Windows OSのコマンドプロンプト上でテキストデータの処理を行う場合、テキストの行数を数えると、簡単に解決することがある。例えばデータを1行ずつまとめたCSVファイルなどでは、行数を数えるとデータの総数が分かる。 またdirなどの結果の行数を数えると（TIPS「Windowsのdirコマンドでファイル名の一覧を取得する」参照）、該当するファイルやフォルダの総数を調べることができる。 テキストファイルの行数を数えたい場合、UNIXやLinuxでは「wc（word count）」というコマンドを使う。wcに-lオプションを付けて「wc -l」と

フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱（ぜいじゃく）性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。 2つのプロセスはデータを交換するために、「プロセス間通信（IPC）」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。

マルウェア「Satori」による攻撃を国内初観測、従来のファイアウォール機能では対応が難しい？：状況に応じて誘導先ホスト変更 サイバーセキュリティクラウドは、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃を日本国内で観測した。攻撃元は世界中に分散し、誘導先ホストを変えることが特徴。 サイバーセキュリティクラウドは2018年6月25日、同社が独自にサイバー攻撃データを分析した「サイバー攻撃速報」を発表した。それによると、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃が日本国内で観測された。 Satoriの攻撃目的は、マルウェアの新たな亜種を拡散させることで、リモートコマンド実行の脆弱（ぜいじゃく）性を悪用して、Satoriのダウンローダーに誘導し、マルウェアをダウンロードさせる。 サイバーセキュリティクラウドでは、2

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を定期的に取り上げ、解説していく。2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性が報告された。連載初回は、こちらの詳しい説明と情報をまとめる。 「OSSセキュリティ技術の会」の面和毅です。本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア（OSS）の脆弱（ぜいじゃく）性に関する情報を定期的に取り上げ、解説していきます。 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性（CVE-2017-1000367/CVE-2017-1000368）が報告されました。連載初回は、こちらの詳しい説明と情報をまとめます。 脆弱性発見の経緯 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性（CVE-2017-1000367）が報告さ

進まないWindows Update、やっぱり止まっていなかった：山市良のうぃんどうず日記（97）（1/2 ページ） Windows 10で大きく変わったWindows Update。Windows Updateがなかなか進まないという状況もしばしば。そのとき、裏側では何が行われているのか、Windows Updateの状況を別の視点から追跡してみました。 新規インストール直後の3つの更新プログラムに2時間半の怪 Windows 10で「Windows Update」は大きく変更され、同じ機能はWindows Server 2016にも搭載されました。新しいWindows Updateに関しては、本連載でも何度か取り上げたように、さまざまな意見があると思います。筆者は「累積的な更新プログラム」への変更は、改善点と評価してきました。新規インストール後、最小限の更新プログラムのインストールで最

WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか：「セキュリティリサーチャー」って何をする人？（1/2 ページ） サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。 「人材不足」「育成の必要性」などの課題と関連してひとまとめに語られがちな「セキュリティ人材」。しかし、セキュリティ対策の実装や運用だけでなく、内外との調整役、脆弱（ぜいじゃく）性検査とその結果に基づく設計、いざ問題が生じた際のレスポンス対応など、さまざまな役割が必要だ。業務内容は多岐にわたるため、1人で全てを担うのは難しい。セキュリティ担当

アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね：「訴えてやる！」の前に読む IT訴訟 徹底解説（39）（1/3 ページ） IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「システム開発におけるドキュメントは、何のために必要か？」を解説する。 連載目次 アジャイル開発だからドキュメントはいらない？ 最近はアジャイル開発が一般的になり、ユーザーと一緒になって話し合いながらモノづくりをしていく現場では、「ドキュメントは必要ない」と考える技術者も増えていると思う。実際、最近の開発では、「要件定義書」や「設計書」、あるいは「テスト仕様書」や、その「結果報告書」も作成せず、簡単なメモを残すだけで、後はプログラム本体を納品すれば完了してしまうようなものもある。 この考え方は、ある意味合理的だ。システムを細かい機能に分けて、ユーザーヒアリングやワークシ

無謬（むびゅう）性から脱却してサイバーレジリエンス構成学に取り組む門林教授：「ソフトウェアにはバグがある」「人はミスをする」前提での被害軽減を（1/2 ページ） 奈良先端科学技術大学院大学の門林雄基教授は、2017年4月1日に「サイバーレジリエンス構成学研究室」を立ち上げる。同教授はその狙いを、ユーザーが自由にシステムを組み合わせて使う中で、「無謬（むびゅう）性を前提にせず、被害軽減技術や安全運転支援技術に取り組んでいく」と述べた。 セキュリティインシデントが起きるたびに、侵入を許した原因が調査され、対策が講じられ、意識の向上が呼び掛けられてきた。それにもかかわらず、サイバー攻撃による被害は後を絶たない。こうした現状を前に、被害の予防だけに力を注ぐのではなく、「被害は発生するものである」という前提に立ち、侵入の早期検知と被害軽減を図るアプローチに注目が集まりつつある。 奈良先端科学技術大学

連載目次 システムログに何だかヤバそうなイベントを発見！ 先日、Windows 10 Anniversary Update（バージョン1607）のWindows PowerShellのシェル環境でイベントログを調査していたところ、背筋が冷たくなるようなイベントをシステムログの中に発見しました。 それは、次のようなイベントです。そのとき使用していたのは、Windows PowerShellのバージョン1.0からある「Get-EventLog」コマンドレットです。フィルターをかけて検索してみると、膨大な数が見つかりました（画面1）。

Shift＋F10キーの仕様が危ない理由――Windows 10の機能更新で表面化した脆弱性問題とは？：その知識、ホントに正しい？ Windowsにまつわる都市伝説（73）（1/2 ページ） Windowsセットアップの実行中に使える［Shift］＋［F10］キーは、コマンドプロンプトを開いて作業できるという、古くからある裏技的な仕様です。Windows 10の機能更新では、この古くからの仕様が重大な脆弱性になることが専門家から指摘されました。 離席厳禁！ アップグレード中のWindowsが無防備になる？ Windows 10を「Current Branch（既定）」で利用している場合、年に複数回、機能更新プログラムが提供され、Windows Updateを通じて自動更新されます。この機能更新プログラムのインストール中に［Shift］＋［F10］キーを押すことで「コマンドプロンプト」を開き

Web広告からのマルウエア感染「Malvertising」にどう対処すべきか：川口洋のセキュリティ・プライベート・アイズ（57）（1/2 ページ） セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。 連載目次 Web広告からのマルウエア感染 皆さんこんにちは、川口です。つい先日「Hardening 10 ValueChain」のリポート記事を出したばかりですが、どうしても2015年のうちに記事化しておきたいテーマがあったので、必死に原稿を書き上げました。 そのテーマは、「Web広告からのマルウエア感染」です。「不正広告」や「Malv

lame（“レイム”と発音）とは「不十分な」や「不完全な」という意味の単語であるが、DNSの世界では一般に「権威DNSサーバーが適切に設定（運用）されていない状態」を指す。RFC 1912の第2.8節からの引用を以下に示す。 “A lame delegations exists when a nameserver is delegated responsibility for providing nameservice for a zone (via NS records) but is not performing nameservice for that zone (usually because it is not set up as a primary or secondary for the one). ” （対訳） 不十分な委任は、あるネームサーバーが（NSレコードによって）あ

解説 現在、HTTPS接続時に作られる暗号化通信路の仕組みには、Transport Layer Security（TLS）という標準規格が用いられている（古くからあるSSLの方は、すでにその座をTLSに譲り、使わないことが推奨されている）。 TLSにはバージョン1.0／1.1／1.2があり、どれが実際に使われるかは、WebブラウザーとWebサーバーそれぞれがサポートしている規格の中から、ネゴシエーションによって決定される。 IEの場合、原因は不明だが、特定のWebページ（Webサイト）とTLS 1.2で接続したとき、ページ表示が完了するのにひどく時間がかかることがたまにある（全てのHTTPSのサイトで生じるわけではない）。 本TIPSでは、TLS 1.2に起因してWebページの表示が遅くなっているかどうか確認する方法と、どのように対処すべきか、何をすべきでないか、説明する。 設定方法 ●T

「好きな文字列を公開鍵として使いたい」「情報を暗号化したまま復号できる人を変更したい」――第5回では、暗号に対して求められるこのような利便性を達成するための技術である「IDベース暗号」「代理人再暗号化」と、その基礎となる「ペアリング」という関数について解説します。 連載目次 IDベース暗号とは？ まずは「IDベース暗号」の紹介から始めます。IDベース暗号とは、公開鍵に自分の好きな文字列（ID、Identifier）を選べる暗号のことです。従来の公開鍵暗号では、公開鍵はランダムに決められていました。例えば第3回で紹介した「楕円ElGamal暗号」では、乱数aと楕円曲線上の点Pに対して公開鍵はKA=aPです。KAを自分の好きな文字列にすることはできません。一方、IDベース暗号ではそれが可能です。より正確にいうと、以下のような仕組みをとります。 セットアップと鍵生成 鍵生成局Sが各ユーザーXのI

容量100PBを無償提供も、米グーグル、Google Cloud Storage Nearlineを一般提供開始：AWSからの移行を意識 米グーグルは2015年7月23日（米国時間）、クラウドアーカイブ／バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに伴い、最大100PBのデータ保存を無償とするキャンペーンを開始した。 米グーグルは2015年7月23日（米国時間）、クラウドアーカイブ／バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに合わせ、6カ月にわたり、同アーカイブサービスにおける最大100PBのデータ保存を無償とする販売促進策を発表した。 Google Cloud Storage Nearlineは、データのバックアップ／アーカイブを提供するサービス。

何、メール見てなかった？ あのね、今は大事な連絡がメールで来るんだからさ、届いたらちゃんと見といてよ！

日本年金機構の情報漏えい事件は、個人情報のずさんな管理や危機意識の低さなど、さまざまな問題を浮き彫りにしましたが、筆者が注目したのは“内規に違反してパスワードを設定していなかった”ということ。内規違反よりも“パスワードを設定すればよいという運用が問題でしょ”ってことに突っ込まないと。 連載目次 Officeのパスワード保護で安心していいの？ 2015年5月に発生した日本年金機構の情報漏えい事件が公になってすぐ、その詳細がまだ明らかになっていない時点でも、＠IT読者のようにITに詳しい方なら事件の全貌について、だいたいの想像が付いたと思います。 【参考記事】日本年金機構の情報漏えい、本当に必要な再発防止策とは？（＠IT） 年金業務の基幹システムはクローズドなもののはずですし、外部からの攻撃で情報が直接抜き取られるなんてあり得ません。 漏えいしたという項目が異なる3種のデータのうち、その一部は

解説 Windows Updateでは、しばしばエラーが発生して更新プログラム（パッチ）の検出や適用に失敗することがある。 例えば、パッチの自動適用（自動更新）に失敗したので手動で適用しようとするも、エラーが表示されるだけで、何回繰り返しても適用が完了しない。このとき「0x」から始まるエラーコードが表示されるので、それを手掛かりにして（インターネット検索などで）原因を追及してもハッキリとは分からないことが少なくない。 こうしたトラブルに対し、マイクロソフトはWindows Updateのトラブルを解消するためのソフトウェアツールを複数、用意している。そのうち、本TIPSでは「Fix it」あるいは「トラブルシューティングツール」と呼ばれる、マイクロソフトのサイトからダウンロードできる無償ツールに焦点を当てて説明する。

日本年金機構の情報漏えい、本当に必要な再発防止策とは？：「事故前提」で早期発見、早期対処の仕組み作りと文化を 日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。 直