WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか：「セキュリティリサーチャー」って何をする人？（1/2 ページ） サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。 「人材不足」「育成の必要性」などの課題と関連してひとまとめに語られがちな「セキュリティ人材」。しかし、セキュリティ対策の実装や運用だけでなく、内外との調整役、脆弱（ぜいじゃく）性検査とその結果に基づく設計、いざ問題が生じた際のレスポンス対応など、さまざまな役割が必要だ。業務内容は多岐にわたるため、1人で全てを担うのは難しい。セキュリティ担当

アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね：「訴えてやる！」の前に読む IT訴訟 徹底解説（39）（1/3 ページ） IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「システム開発におけるドキュメントは、何のために必要か？」を解説する。 連載目次 アジャイル開発だからドキュメントはいらない？ 最近はアジャイル開発が一般的になり、ユーザーと一緒になって話し合いながらモノづくりをしていく現場では、「ドキュメントは必要ない」と考える技術者も増えていると思う。実際、最近の開発では、「要件定義書」や「設計書」、あるいは「テスト仕様書」や、その「結果報告書」も作成せず、簡単なメモを残すだけで、後はプログラム本体を納品すれば完了してしまうようなものもある。 この考え方は、ある意味合理的だ。システムを細かい機能に分けて、ユーザーヒアリングやワークシ

無謬（むびゅう）性から脱却してサイバーレジリエンス構成学に取り組む門林教授：「ソフトウェアにはバグがある」「人はミスをする」前提での被害軽減を（1/2 ページ） 奈良先端科学技術大学院大学の門林雄基教授は、2017年4月1日に「サイバーレジリエンス構成学研究室」を立ち上げる。同教授はその狙いを、ユーザーが自由にシステムを組み合わせて使う中で、「無謬（むびゅう）性を前提にせず、被害軽減技術や安全運転支援技術に取り組んでいく」と述べた。 セキュリティインシデントが起きるたびに、侵入を許した原因が調査され、対策が講じられ、意識の向上が呼び掛けられてきた。それにもかかわらず、サイバー攻撃による被害は後を絶たない。こうした現状を前に、被害の予防だけに力を注ぐのではなく、「被害は発生するものである」という前提に立ち、侵入の早期検知と被害軽減を図るアプローチに注目が集まりつつある。 奈良先端科学技術大学

連載目次 システムログに何だかヤバそうなイベントを発見！ 先日、Windows 10 Anniversary Update（バージョン1607）のWindows PowerShellのシェル環境でイベントログを調査していたところ、背筋が冷たくなるようなイベントをシステムログの中に発見しました。 それは、次のようなイベントです。そのとき使用していたのは、Windows PowerShellのバージョン1.0からある「Get-EventLog」コマンドレットです。フィルターをかけて検索してみると、膨大な数が見つかりました（画面1）。

Shift＋F10キーの仕様が危ない理由――Windows 10の機能更新で表面化した脆弱性問題とは？：その知識、ホントに正しい？ Windowsにまつわる都市伝説（73）（1/2 ページ） Windowsセットアップの実行中に使える［Shift］＋［F10］キーは、コマンドプロンプトを開いて作業できるという、古くからある裏技的な仕様です。Windows 10の機能更新では、この古くからの仕様が重大な脆弱性になることが専門家から指摘されました。 離席厳禁！ アップグレード中のWindowsが無防備になる？ Windows 10を「Current Branch（既定）」で利用している場合、年に複数回、機能更新プログラムが提供され、Windows Updateを通じて自動更新されます。この機能更新プログラムのインストール中に［Shift］＋［F10］キーを押すことで「コマンドプロンプト」を開き

Web広告からのマルウエア感染「Malvertising」にどう対処すべきか：川口洋のセキュリティ・プライベート・アイズ（57）（1/2 ページ） セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。 連載目次 Web広告からのマルウエア感染 皆さんこんにちは、川口です。つい先日「Hardening 10 ValueChain」のリポート記事を出したばかりですが、どうしても2015年のうちに記事化しておきたいテーマがあったので、必死に原稿を書き上げました。 そのテーマは、「Web広告からのマルウエア感染」です。「不正広告」や「Malv

lame（“レイム”と発音）とは「不十分な」や「不完全な」という意味の単語であるが、DNSの世界では一般に「権威DNSサーバーが適切に設定（運用）されていない状態」を指す。RFC 1912の第2.8節からの引用を以下に示す。 “A lame delegations exists when a nameserver is delegated responsibility for providing nameservice for a zone (via NS records) but is not performing nameservice for that zone (usually because it is not set up as a primary or secondary for the one). ” （対訳） 不十分な委任は、あるネームサーバーが（NSレコードによって）あ

解説 現在、HTTPS接続時に作られる暗号化通信路の仕組みには、Transport Layer Security（TLS）という標準規格が用いられている（古くからあるSSLの方は、すでにその座をTLSに譲り、使わないことが推奨されている）。 TLSにはバージョン1.0／1.1／1.2があり、どれが実際に使われるかは、WebブラウザーとWebサーバーそれぞれがサポートしている規格の中から、ネゴシエーションによって決定される。 IEの場合、原因は不明だが、特定のWebページ（Webサイト）とTLS 1.2で接続したとき、ページ表示が完了するのにひどく時間がかかることがたまにある（全てのHTTPSのサイトで生じるわけではない）。 本TIPSでは、TLS 1.2に起因してWebページの表示が遅くなっているかどうか確認する方法と、どのように対処すべきか、何をすべきでないか、説明する。 設定方法 ●T

「好きな文字列を公開鍵として使いたい」「情報を暗号化したまま復号できる人を変更したい」――第5回では、暗号に対して求められるこのような利便性を達成するための技術である「IDベース暗号」「代理人再暗号化」と、その基礎となる「ペアリング」という関数について解説します。 連載目次 IDベース暗号とは？ まずは「IDベース暗号」の紹介から始めます。IDベース暗号とは、公開鍵に自分の好きな文字列（ID、Identifier）を選べる暗号のことです。従来の公開鍵暗号では、公開鍵はランダムに決められていました。例えば第3回で紹介した「楕円ElGamal暗号」では、乱数aと楕円曲線上の点Pに対して公開鍵はKA=aPです。KAを自分の好きな文字列にすることはできません。一方、IDベース暗号ではそれが可能です。より正確にいうと、以下のような仕組みをとります。 セットアップと鍵生成 鍵生成局Sが各ユーザーXのI

容量100PBを無償提供も、米グーグル、Google Cloud Storage Nearlineを一般提供開始：AWSからの移行を意識 米グーグルは2015年7月23日（米国時間）、クラウドアーカイブ／バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに伴い、最大100PBのデータ保存を無償とするキャンペーンを開始した。 米グーグルは2015年7月23日（米国時間）、クラウドアーカイブ／バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに合わせ、6カ月にわたり、同アーカイブサービスにおける最大100PBのデータ保存を無償とする販売促進策を発表した。 Google Cloud Storage Nearlineは、データのバックアップ／アーカイブを提供するサービス。

何、メール見てなかった？ あのね、今は大事な連絡がメールで来るんだからさ、届いたらちゃんと見といてよ！

日本年金機構の情報漏えい事件は、個人情報のずさんな管理や危機意識の低さなど、さまざまな問題を浮き彫りにしましたが、筆者が注目したのは“内規に違反してパスワードを設定していなかった”ということ。内規違反よりも“パスワードを設定すればよいという運用が問題でしょ”ってことに突っ込まないと。 連載目次 Officeのパスワード保護で安心していいの？ 2015年5月に発生した日本年金機構の情報漏えい事件が公になってすぐ、その詳細がまだ明らかになっていない時点でも、＠IT読者のようにITに詳しい方なら事件の全貌について、だいたいの想像が付いたと思います。 【参考記事】日本年金機構の情報漏えい、本当に必要な再発防止策とは？（＠IT） 年金業務の基幹システムはクローズドなもののはずですし、外部からの攻撃で情報が直接抜き取られるなんてあり得ません。 漏えいしたという項目が異なる3種のデータのうち、その一部は

解説 Windows Updateでは、しばしばエラーが発生して更新プログラム（パッチ）の検出や適用に失敗することがある。 例えば、パッチの自動適用（自動更新）に失敗したので手動で適用しようとするも、エラーが表示されるだけで、何回繰り返しても適用が完了しない。このとき「0x」から始まるエラーコードが表示されるので、それを手掛かりにして（インターネット検索などで）原因を追及してもハッキリとは分からないことが少なくない。 こうしたトラブルに対し、マイクロソフトはWindows Updateのトラブルを解消するためのソフトウェアツールを複数、用意している。そのうち、本TIPSでは「Fix it」あるいは「トラブルシューティングツール」と呼ばれる、マイクロソフトのサイトからダウンロードできる無償ツールに焦点を当てて説明する。

日本年金機構の情報漏えい、本当に必要な再発防止策とは？：「事故前提」で早期発見、早期対処の仕組み作りと文化を 日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。 直

おーっキミたち、例の件、考えてみたぞ。スマホでよくある、ほれほれ、こんな感じで、ボタンを押すとな……

.NET Frameworkのソースコードをコンパイルしてプログラムを作るには、Visual Studioが必須だと思い込んでいないだろうか？ 実は、C#とVisual Basic（.NET Framework用のもの。「VB.NET」と呼ばれることもある。以降「VB」）のコンパイラーはWindowsに標準で含まれているのだ。つまり、セットアップしたばかりのWindowsでも、「メモ帳」でソースコードを書き、コマンドプロンプトでコンパイルして、プログラムを作成できるのである。本稿では、Visual Studioをインストールしていない環境でコンパイルする方法を紹介する。 コンパイラーの場所 Windowsがインストールされているフォルダーの下の「Microsoft.NET\Framework」フォルダーまたは「Microsoft.NET\Framework64」フォルダーの下に、バージョン

ねぇねぇ、Excelってさー、表計算ソフトだよね。文字ばっかの企画書にどーしてExcel使うのかなぁ、この会社は……

そのままでは実行できないPowerShellの.ps1スクリプトファイル PowerShellのスクリプトは「.ps1」という拡張子のファイルに保存することになっている。だが、セキュリティのためデフォルトでは、「.ps1」のスクリプトファイルの実行が禁止されている。エクスプローラ上で.ps1ファイルをダブルクリックしても、単にテキストエディタで開かれるだけだ。これは、ユーザーや管理者が知らないうちにPowerShellを悪用したウイルスなどがインストールされ、実行されないようにするためだ。

これまでのWindows OSには、Webブラウザとして「Internet Explorer（IE）」が標準でインストールされてきた。そして、ユーザーが直接使うWebブラウザに限らず、さまざまなアプリケーションがHTMLファイルなどを表示する際のコンポーネントとしても、IEはよく利用されてきた。 そのIEの「寿命」が（一部を除いて）もうすぐ尽きようとしていることはご存じだろうか？　過去にWindows XPやWindows 7でよく話題に上った「サポート終了時期」が、IEにもやって来るのだ。 本Tech TIPSでは、Windows OSごとに、サポートされているIEのバージョンおよびその終了時期が一目で分かるように図で表してみた。さらにネットサービスによるIEサポート終了の動きや、IEから他のWebブラウザへの移行に関する記事などもまとめている。IEからの「脱出」計画に役立てば幸いだ。

人間、一番大事なものってのはなぁ、時代とともに変わるんだ。これからはオレたちだって知恵を絞んなくちゃいけねぇ。