知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法：HTML5時代の「新しいセキュリティ・エチケット」（3）（1/2 ページ） 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestによるXSSを解説します。 XHR Level 2によるリモートからのコード挿入によるXSS 従来、XMLHttpRequest（以下、XHR）は、表示しているドキュメントと同じオリジン（オリジンについては第1回を参照）としか通信できませんでしたが、現在の主要なブラウザーではXHR Level 2と呼ばれる実装により、オリジンを超えて通信することが可能になっています。 これは、Jav

2014年2月25日、東京・品川にて＠IT編集部が主催するセミナー「＠IT Security Live UP! 絶対に守らなければならないシステムがそこにはある」が開催された。 巧妙化する攻撃、管理対象の多様化、そして人材不足――企業が直面するセキュリティ上の課題は多い。この現状を踏まえてセミナーでは、企業が今取り組むべき対策、そして新たな脅威に備えこれから取り組むべき対策について、示唆に富む講演が行われた。このリポートではその一部を紹介する。 入口対策、出口対策に続く「データ」の保護を 「オラクルというとデータベースの会社、というイメージが強いが、実はそもそもの成り立ちからセキュリティを重視してきた」――オラクルはそう説明する。標的型攻撃など企業を狙う不正アクセスや内部犯行者の最終的な目的は、機密情報を盗み取ること。その目的を達成させないために、データそのものが保存されている「データベー

Windows XPの期限が切れるっていうけど、まあ2～3年くらいなら大丈夫よね。大事に使ってたし……

2013年、さまざまなセキュリティインシデントが発生しました。事件に対して、皆さんはどう行動しましたか？ 連載目次 皆さんこんにちは、川口です。前回のコラムからもあっという間に時間が過ぎ去り、2013年のセキュリティインシデントのまとめをしようと思っていて気が付いたら、年が明けてしまいました。今年も皆様に忘れられないようにコラムを書いていきたいと思っています。 2013年のセキュリティインシデントを振り返るために、2013年11月29日に行われた、Internet Week 2013のセッションでお話しした内容を紹介したいと思います。話した内容は参加者のお楽しみということもあるんですが、Twitterで実況中継されていたようですし、面白そうなところをかいつまんで紹介しながら振り返りたいと思います。 リアルタイムにアンケートを行ってみました 今回のInternet Week 2013では、「

詳報：正規のアップデートを装いマルウェア配布する手口、ラックが注意喚起：不正サイトに誘導し、「GOM Player」アップデートを装いマルウェア送信 ラックは2014年1月23日、動画再生ソフトウェア「GOM Player」のアップデートプログラムを装ってウイルスに感染させ、標的型攻撃に悪用する手口が確認されたとして、注意を呼び掛けた。 ラックは2014年1月23日、動画再生ソフトウェア「GOM Player」のアップデートプログラムを装ってウイルスに感染させ、標的型攻撃に悪用する手口が確認されたとして、注意を呼び掛けた。この注意喚起を受け、GOM Playerの開発元であるGRETECHは、GOM Playerを含む全てのGOM製品のアップデートサービスを一時中止させたと説明している。 直接の関係は明らかにされていないが、これに先立つ2014年1月6日には日本原子力研究開発機構（JAEA

12月のセキュリティクラスターは、IPAの「安全なSQLの呼び出し方」に対する意見が書かれたブログをきっかけとし、エスケープに関する議論と意見表明が、これまでにない盛り上がりを見せました。 その後は総務省がパスワードの定期変更を公式に推奨したことから、またまたパスワードの定期変更に関するツイートがタイムラインを賑わせます。そして、Androidの危険な脆弱性とIMEが入力した情報を勝手に送信していたことも話題となりました。 安全なSQLの呼び出し方とエスケープに対する意見が飛び交う 情報処理推進機構（IPA）から「安全なSQLの呼び出し方」という文書が公開されているのですが、“改訂前のこの文書は危険だった”という@yohgaki氏の「IPAの『安全なSQLの呼び出し方』が安全になっていた」というブログエントリが公開されました（注：IPA発行の「安全なSQLの呼び出し方」は改訂されたことはあ

SPREAD（セキュリティ対策推進協議会）が2013年10月19日に開催した勉強会「もう覚えられない！どうする、パスワード管理？」では、1つの解として「パスワード管理ソフト」を挙げ、その利点と注意点に踏み込んで議論が交わされた。SPREADでは、家族や友人など、周囲の人がITで困った時にサポートできる人材を育成することを目的に、身近な情報セキュリティの問題を参加者全員で考える勉強会を開催している。 パスワードという仕組みは本当に崩壊したのか？ 最初に辻伸弘氏（NTTデータ先端技術株式会社セキュリティ事業部）が、「パスワードという仕組みの崩壊？」というテーマで講演を行った。 辻氏はまず、2013年に入って頻繁に発生しているリスト型攻撃についてあらためて説明した。同氏は元々、社内システムのセキュリティを検査する侵入テスト（ペネトレーションテスト）の一環で、業務システムに対するパスワードリスト攻

オープンソースの仮想ネットワークソフト、「OpenVNet」公開：最新のOpenFlow 1.3に対応 あくしゅが運営するWakame Software Foundation（WSF）は、OpenFlow 1.3を採用した仮想ネットワーク構築ソフトウェア「OpenVNet」をオープンソースとして公開した。 あくしゅが運営するWakame Software Foundation（WSF）は2013年10月28日、OpenFlow 1.3を採用した仮想ネットワーク構築ソフトウェア「OpenVNet」を公開した。LGPLv3に基いて公開されており、誰でも無償で利用できる。 OpenVNetは、オーバーレイ型の仮想ネットワークを構築するためのオープンソースソフトウェア。仮想スイッチ／仮想ルータの役割を果たすほか、外部の物理ネットワークと接続するゲートウェイ（VNetEdge）としても動作する。 特

NICTが脆弱なSSLサーバの検出システム「XPIA」を開発、分布を特定：「共通の秘密鍵」を生み出さない、適切な乱数生成モジュールの利用を 情報通信研究機構（NICT）は2013年10月22日、Secure Socket Layer（SSL）の脆弱性を検証するシステム「XPIA」を開発したことを明らかにした。 情報通信研究機構（NICT）は2013年10月22日、Secure Socket Layer（SSL）の脆弱性を検証するシステム「X.509 certificate Public-key Investigation and Analysis system（XPIA）」を開発したことを明らかにした。 XPIAは、SSLサーバが暗号化通信に利用しているX.509電子証明書からRSA公開鍵の情報を抽出し、脆弱性が存在しないかどうかを検証するシステムだ。XPIAでは、共通の秘密鍵を有しており

いわゆる「水飲み場攻撃」に管理者はどう対応すべきか：氷山の一角？ 1つ1つの手口は既知でも、周到に組み合わせて準備 マイクロソフトは10月9日、Internet Explorer（IE）に存在したゼロデイ脆弱性の修正（MS13-080）を公開した。ラックは、この脆弱性を狙った攻撃は、より巧妙化した標的型攻撃だったとし、注意を呼び掛けている。 日本マイクロソフトは10月9日、月例セキュリティアップデートを公開した。この中には、Internet Explorer（IE）に存在したゼロデイ脆弱性の修正（MS13-080）も含まれている。パッチがリリースされる前に、この脆弱性を突いたゼロデイ攻撃が確認されていたこともあり、「ただちにアップデートすることを推奨する」（日本マイクロソフト）としている。 同日ラックは、「MS13-080を狙って発生した攻撃は、より巧妙化した標的型攻撃だった」とし、注意を

「さあさあ、今日の3時休みは、お中元にもらったカルピスをみんなで作って飲みましょうよ！」「そりゃいいねっ！」

LPI-Japan、「Linuxセキュリティ標準教科書」を無償公開：iptablesやACL、OpenSSHなどを解説 LPI-Japanは2013年10月1日、Linuxサーバのセキュリティを強化し、安全に運用していくために必要な知識をまとめた「Linuxセキュリティ標準教科書」を公開した。 エルピーアイジャパン（LPI-Japan）は2013年10月1日、Linuxサーバのセキュリティを強化し、安全に運用していくために必要な知識をまとめた「Linuxセキュリティ標準教科書」を公開した。PDF版とEPUB版が無償でダウンロードできる。 LPI-Japanは、オープンソースソフトウェア（OSS）／Linuxの技術者育成と認定試験の普及に取り組んでいる特定非営利活動法人だ。過去には、Linuxについて基礎から学ぶことのできる学習教材「Linux標準教科書」や「Linuxサーバー構築標準教科書

OpenStackプロジェクトの歴史、いまさら聞けないOpenStackコンポーネント：たまおきのOpenStackウォッチ（2013年9月版）（1/3 ページ） 本連載では、今後の実務利用が期待されるOpenStack界隈の技術動向を中心に紹介していきます。1回目は、Red Hat Enterprise Linux OpenStack Platformに関する情報源や、OpenStackプロジェクト全体の振り返り、各コンポーネントの整理をしていきます。 連載バックナンバー 日本仮想化技術のたまおきです。 日本仮想化技術は仮想化技術に特化した技術者集団で、最近ではOpenStackなどのオープンソースのクラウド基盤に力を入れております。今回運良く執筆の機会をいただきましたので、OpenStackの最新情報やクラウド全般についての情報をお伝えしていきます。 Red Hat Enterpris

膨大なログの中から不審な通信を見つけ出したり、マルウェアの挙動を解析するならば専門家の長年の経験やカンに勝るものはない、という印象が強い。しかし、次々と亜種のマルウェアを生み出してくる攻撃者の「物量作戦」の前には、いくら優秀な専門家でも後手に回りがちだ。ならば「機械学習」を活用して異常を速やかに検出し、次の亜種を予想して、先回りして攻撃を防げないだろうか――そんなアプローチが始まろうとしている。 機械学習は、コンピュータの黎明（れいめい）期から研究が進んできた分野だ。コンピュータプログラムにデータを与え、その中に潜んでいる規則性を機械学習のアルゴリズムを使って抽出し、モデル化することで、あたかも人間と同じように判断を下せるようにする。かつては、膨大な計算量が必要なことがネックとなっていたが、近年のコンピューティング能力の向上に伴い、画像処理やユーザーの行動分析、それに基づくレコメンデーショ

WebページをRetina対応させるテクニック～基礎知識編：jQuery×HTML5×CSS3を真面目に勉強（4）（1/2 ページ） iPhoneのRetinaディスプレイは、Webページの制作フローにも大きな変化をもたらした。WebページをRetina対応させるにはどうすればいいのだろうか。 はじめに 2010年6月に登場したアップルのiPhone 4には「Retinaディスプレイ」と呼ばれる、それまでの常識を覆した高精細なディスプレイが搭載されました。それ以降、スマートフォンやタブレットといったモバイル端末のディスプレイはより解像度の高いものへと進化していき、2013年の初めにはサムスン電子のGALAXY S4やソニーモバイルのXperia Zなど、フルHD画質対応（1920×1080ピクセル）のディスプレイを搭載したスマートフォンが登場するまでになりました。 高精細ディスプレイの登場

富士通は2013年8月20日、視覚障がい者や色覚障がい者のアクセシビリティを高めるための診断ソフトウェアツール群「富士通アクセシビリティ・アシスタンス」の無償提供を終了した（参照記事）。このニュースはSNSでの反響も大きく、ユーザーから「なぜこのような素晴らしいサービスが終了してしまうのか」との声が多く聞かれた。 同様のツールは他にもあったが、富士通アクセシビリティ・アシスタンスが愛用されるのにはわけがあった。富士通アクセシビリティ・アシスタンスは、3つのツール群「WebInspector（ウェブインスペクター）」「ColorSelector（カラーセレクター）」「ColorDoctor（カラードクター）」から構成されており、それぞれ以下の特徴が挙げられる。 WebInspector ローカルフォルダを指定した場合、サブフォルダのHTMLまで一括でチェックでき、結果をCSVで保存できる C

第1回　モバイル全盛時代のメール環境にGmailが適しているワケ：マルチ・デバイス時代のGmail活用術（1/2 ページ） スマートフォンやタブレット、そしてPCという「マルチ・デバイス」を利用していると、メール環境が複雑化して使い勝手が悪くなったり管理の手間も増えがちだ。そこでGmailを活用してメール環境をシンプル化する方法を解説していく。 連載目次 ここ数年、スマートフォンやタブレットなどのモバイル・デバイスの隆盛には目を見張るものがある。そういった比較的廉価なモバイル・デバイスを複数台持ち歩き、公衆無線LANやLTE、WiMAXといった高速な無線通信網を利用して無償のクラウド・サービスに接続し、いつでもどこでも仕事をこなす。社内でもBYOD（Bring Your Own Device）よろしく個人所有のモバイル・デバイスを持ち込んで仕事に活用する。そういった新しい仕事のスタイルが次

「リスト型攻撃」などのセキュリティ事故が起こったとき、その責任を問われるべきなのはサービス提供側だけなのか。利用者側に求められることはないのか？ 前回「大切なパスワードをつなぐ ひみつマネージャ」では、4月から断続的に発生している「リスト型攻撃」の被害増大を受けて、「リスト型攻撃」とはどういったものかを実際の手法を交えて紹介し、複数のサービスで同一のパスワードを使い回すことの危険性とその対策について解説させていただいた。あれから3カ月ほど経過したわけだが、まだ被害は後を絶たない。 実は筆者には、前回の記事を書きながら漠然と考えていたこと（その片りんは記事中にもあったのだが）があった。それから3カ月たったいま、それが現実のものとなりつつある気がしている。 今回は、皆さんにも一緒に考えていただくために、そのぼんやりとした考えを整理した結果を書き記したい。 不正ログインによる被害の責任はどこにあ

これら3つの項目は、攻撃が回を重ねていく過程の中で複雑に変化していきます。今回は、過去と現在に国内で猛威を振るったDBD攻撃の事例を取り上げ、その変化について解説します。 「Gumblar攻撃」とは何だったのか 2013年現在も、日本国内では、正規サイトが改ざんされ、リダイレクトするよう書き換えられる被害について、「『Gumblar（ガンブラー）』攻撃の被害を受けた」と称する方がいらっしゃいます。その由来は、今から4年前の2009年の事件にさかのぼります。 2009年3月初旬を境に、類似性の高い、正規Webサイトに対する改ざん攻撃と改ざんサイトの閲覧者による不正プログラム感染被害報告が相次ぎました。これが後にGumblar攻撃と呼ばれる、犯罪者が仕掛けた一連の作戦行動「攻撃キャンペーン（Attack Campaign）」でした。 犯罪者たちは国内外の脆弱なサイトに対して無差別に改ざんを行い

NTT Comのサーバに不正アクセス、Webアプリサーバの脆弱性を突かれた可能性：メールアドレスとハッシュ化されたパスワード、約400万件が流出の恐れ NTTコミュニケーションズ（NTT Com）は2013年7月24日、外部からの不正アクセスを受けたことを明らかにした。最大で約400万件のメールアドレスとハッシュ化されたパスワードが外部に流出した可能性がある。 NTTコミュニケーションズ（NTT Com）は2013年7月24日、同社のWebアプリケーションサーバが外部からの不正アクセスを受けたことを明らかにした。最大で約400万件のメールアドレスとハッシュ化されたパスワードが外部に流出した可能性があるという。 NTT Comが不正アクセスに気付いたのは7月23日。OCNメールやOCNマイページなどへのログインに利用される「OCN ID」を管理するサーバに、5つの不審なプログラムファイルが設