「パスワードスプレー」攻撃に警戒を--日米で注意喚起
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JPCERT コーディネーションセンター(JPCERT/CC)は4月4日、不正ログインを狙った「パスワードスプレー」攻撃への注意を呼び掛けた。多要素認証の活用や推測困難なパスワードの使用といった対策の強化を推奨している。 パスワードスプレー攻撃は、IDやパスワードなどの組み合わせを総当たりで試す「ブルートフォース」攻撃の一種で、一定の回数や期間内にログインエラーが発生するとアカウントがロックされるセキュリティ対策を回避する手法。「low-and-slow」攻撃とも呼ばれる。複数のアカウントに対して同時に1つのパスワードを試行してから次のパスワードを試すといった方法で、アカウントがロックされる事態を避けることにより、不正ログインを検知され
アジャイルをIT部門以外でも効果的に活用するためのヒント
Mark Samuels (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2017-09-11 06:30 英国の消費者金融サービス企業Wongaで最高技術責任者(CTO)を務めるTarah Lourens氏は、十分な権限を与えられた、パフォーマンスの高いチームを作ることを重視しており、アジャイル開発はそのための鍵になると述べている。 同氏は、社内で技術開発を進めているWongaのような企業では、チームに十分な権限を与えることが極めて重要であり、企業の長期的な成功には不可欠だと語る。同社のIT部門が提供しているすべての製品やサービスは、現在すべてアジャイルの手法で開発されている。 「この手法には快活さがある」と同氏は言う。「わが社では、アジャイルをビジネスの最初のフェーズから使用している。方向付けから提供まで、あらゆることを反復的に進めているため、その過程で適応し、進
Swaggerに深刻な脆弱性、NodeJS、PHP、Ruby、Javaなどのコードジェネレータに影響
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2016-06-24 10:29 「Swagger」の仕様に、NodeJS、PHP、Ruby、Javaのコードジェネレータツールに影響を及ぼす脆弱性が発見された。 Rapid7によれば、この脆弱性は、これらの言語用のSwagger Code Generatorを通じて生成された、インジェクション可能なコードペイロードに見つかった。この脆弱性が悪用されると、攻撃者は遠隔からクライアントまたはサーバ内でコードを実行して、サービスシステムの定義に干渉できる。 同様の他のプログラミング言語用のツールにも、同じ脆弱性が存在する可能性がある。 Swaggerの仕様は寄付され、現在はOpen API Initiative(OAI)の基盤となっており、REST APIの記述のベースとして使用されている。このフ
グーグルのProject Zero、トレンドマイクロのパスワード管理ツールの脆弱性を報告
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Trend Microのパスワード管理ツール「Password Manager」に、遠隔地からのコード実行を許す脆弱性が存在していたことをGoogleのセキュリティチーム「Project Zero」が明らかにした。このツールは、同社のウイルス対策ソフトウェアをインストールした際に、デフォルトでインストールされるようにもなっている。 この脆弱性を発見したのは、Project ZeroのTavis Ormandy氏だ。Password ManagerはJavaScriptとNode.jsを用いて構築されており、ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、その際にはホワイトリストや、同一オリジンポリ
Linuxランサムウェア「Linux.Encoder.1」の被害が拡大か--多くのウェブサイトに感染
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 最近新たに発見されたランサムウェア「Linux.Encoder.1」は既に、2000以上のウェブサイトに影響を及ぼしているという。ロシアのアンチウイルスベンダーDoctor Webが明らかにした。 Doctor Webは先週、Linuxマシンを標的とする初めてのランサムウェアの存在を公表した。このランサムウェアに感染すると、Linuxウェブサーバ上の特定ディレクトリ、および特定ファイルタイプのファイルが暗号化され、身代金を請求されるという。 同社はその時点で、「数十の」ウェブサイトが感染したとしていたが、数日が経過した現在、その数は数千にまで増えたと述べている。 同社は現地時間11月13日、およそ2000のウェブサイトがLinux.En
「Chrome」と「Safari」にアドレスバーの偽装が可能になるバグ
Googleは「Android」版「Chrome」ブラウザのバグへのパッチをリリースした。攻撃者がこのバグを悪用すれば、ユーザーが実際に訪問しているウェブサイトとは別のサイトにアクセスしているように見せかけることが可能だった。 このバグは、Rafay Baloch氏によって2月に発見され、修正後の米国時間5月18日に発表された。ブラウザのアドレスバーの偽装を可能にするバグで、被害者はそれだけで詐欺目的の電子メールやテキストメッセージを信用し、ユーザー名とパスワードを入力してしまうことがある。 このバグは4月前半と後半にパッチがリリースされた。影響を受けたのは「Android 4.4 KitKat」と「Android 5.0 Lollipop」だ。 この不具合について詳しく伝えたRapid7はユーザーに対し、通信事業者か携帯端末メーカーに問い合わせてパッチの適用を受けているか確認するよう呼び
「WordPress」のデフォルト環境にXSSの脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 数百万もの「WordPress」を使用したウェブサイトが、デフォルトのインストール環境に存在する問題でリスクに晒されている。 セキュリティ研究者のDavid Dede氏は米国時間5月6日、最近のWordPressのサイトにデフォルトでインストールされている「Twenty Fifteen」のテーマとプラグインに、重大なクロスサイトスクリプティング(XSS)の脆弱性が発見されたと警告を発した。Dede氏によれば、脆弱性のあるウェブサイトの数を推計するのは難しいが、このテーマをそのまま残している非常に多数のウェブサイトがリスクに晒されている可能性が高く、この脆弱性は実際に悪用されているという。 それに加え、WordPressが提供している「J
最も脆弱性の多いソフトウェアは?--意外な調査結果が明らかに
Jack Schofield (Special to ZDNET.com) 翻訳校正: 編集部 2015-03-30 13:09 セキュリティソフトウェアプロバイダーのSecuniaは先週、年次レポート「Secunia Vulnerability Review 2015」を公開した。これによると、2014年には3870種のソフトウェアに存在していた1万5435件の脆弱性が報告されたという。 同レポートによると、2013年と比較すると脆弱性の数が18%増加し、ソフトウェアの数も22%増加している。しかし、このレポートに目を通していない限り、最も脆弱性を多く抱えていたソフトウェアの名前を当てられる人はほとんどいないだろう。 1位は504件の脆弱性が報告された「Google Chrome」だ。その後に「Oracle Solaris」(483件)、「Gentoo Linux」(350件)、Micr
Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-01-28 10:04 クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである「GHOST」(CVE-2015-0235)を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでにパッチを公開している。 このセキュリティホールは、glibc-2.2(2000年11月10日にリリース)を使用してビルドされたすべてのLinuxシステムに存在する。Qualysによれば、このバグは実際には、2013年5月21日にリリースされた、gl
Windowsの「Kerberos認証」に発見された脆弱性の詳細が明らかに
Microsoftが米国時間の11月18日に配信した定例外のセキュリティ更新プログラム「MS14-068」は、極めて深刻な問題を修正するものだった。ユーザーはこの脆弱性を悪用すれば、ログイン中のドメイン内で、自身の特権をドメイン管理者などに自由に昇格できてしまう。 セキュリティ情報の事前通知では、修正される脆弱性が「特権の昇格」であり、深刻度が緊急であると発表されていたが、詳細については公表されていなかった。その後、Microsoftはこの脆弱性に関するさらに詳しい情報を「Security Research and Defense Blog」で公開した。 今回の問題の深刻性を理解するには、「Kerberos認証」の仕組みを知る必要がある。Microsoftは以下の図表を公開している。 今回、脆弱性が発見されたのはドメインコントローラ内のコンポーネント「キー配布センター(KDC)」である。図
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
