「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿
犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。 問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。 クロスサイトスクリプティング(XSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性が
無線LAN,WEPでは危ないってご存知ですか?
「企業の無線LANセキュリティ対策は大丈夫なのだろうか?」――。日経NETWORKは,Web調査「企業ネットワークの構成に関するアンケート」を毎年実施している。(分析結果の詳細は「今どきの企業ネット2008」を参照)。担当として分析した記者が,2008年の調査結果で最も驚いたのが,「無線LAN導入企業のうち57%は暗号化にWEPを使用している」という結果だった。 WEPによる暗号化は無いも同然 実はWEPは,暗号化としてはほとんど無意味だ。記者は,WEPが盗聴や不正アクセス対策にはならないことはユーザーにも知れ渡っていると思っていた。もちろんアンケートでは,個別の企業の事情まではわからない。WEPではセキュリティ対策にならないことを承知の上で,限定的に使用している企業もあるだろう。しかし,それだけでは57%という割合は説明できなさそうだ。 そこで記者は,改めてWEPの危険性について解説して
Windows必携の無償セキュリティツール10選 - builder by ZDNet Japan
Windowsコンピュータの保護やウイルス除去、管理に用いることができる、Windowsユーザーにとって必携の無償セキュリティツールを10個紹介しよう。 #1:Secunia Personal Software Inspector トップを飾るのはSecunia Personal Software Inspectorだ。このツールはおそらく、Windowsマシン上で実行できる無償アプリケーションの中で最も役に立ち、かつ最も重要なものである。 このツールを用いることで、PC上にインストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ/アップデートが必要なアプリケーションを特定することができる。 このツールはまず、あなたのコンピュータに格納されているファイルを検査し(検査するファイルは主に、拡張子が.exeと.dll、.ocxのいずれかのものである)、特定のソフトウェアビ
廃棄するハードディスクのデータを完全に消去する
ディスクを破棄したり、譲渡したりする場合には、あらかじめディスクの内容を消去しておかないと情報が漏えいする危険性がある。単純にファイルを削除しただけでは、ファイルを復活させることもできる。データを完全に消去するためには、ディスク全体に渡ってデータを完全に上書きする必要がある。 連載目次 解説 コンピュータやハードディスクを破棄したり、他人に譲渡したりする場合、内部のデータを完全に消去しておかないと、そこから社内の機密情報や顧客情報、メール・アドレスなどが漏えいしてしまう危険性がある。実際、中古で購入したコンピュータのハードディスクに対してデータ復元ソフトウェアを実行したところ、ある医療機関が健康保険組合などに医療費を請求するために作成した診療報酬明細書の画像データが取り出せた、という事例が総務省の「国民のための情報セキュリティサイト」で報告されている。 国民のための情報セキュリティサイト(
第41回「新人研修用のマニュアルために、1年間を振り返る」
「実は、今度ウチの課に配属される新人の教育係に任命されちゃったんです……」「せっかくだから、この1年間を振り返ってみようじゃないか。研修マニュアルにも役に立つぞ」 大手総合商社のメデア商事の1年目・小林ケンタは、今日もPCを前に頭を抱えていた。そこに先輩・高柳ワタルがやってきた。 高柳 今日は何を悩んでるんだ? 小林 実は、さっき課長から、来年度にウチの課に配属される新人の教育係に任命されちゃったんです……。 高柳 そうか、ついに小林にも後輩ができるわけだ。 小林 そんな気楽な……。 高柳 それで何を悩んでるんだ? 2年目ともなれば新人を教育しなくちゃならないのは仕方ないだろう。 小林 それはそうなんですけど、課長からは新人教育用のマニュアルを作れって言われていて。 高柳 ああ、なるほど。確かにここ数年は毎年新人が配属されるってわけじゃなかったから、特にマニュアルなんて必要なかったんだなあ
いまなら聞ける! セキュリティ用語で覚える新社会人の「鉄則」 - @IT
宮田 健 @IT編集部 2008/4/1 4月、それはフレッシュな新社会人が活動を始める季節です。不安と期待でいっぱいの新社会人がまず覚えなくてはならないこと、それはセキュリティに関する用語の正しい使い方なのではないでしょうか。そこで今回はセキュリティに関するキーワードを基に、新社会人なら知っておきたい鉄則を紹介します。 安全・強固なパスワードを使おう 社会人になって会社で自分の机が与えられると、すぐにPCやメールシステムに自分のIDとパスワードが配られるのではないかと思います。初期パスワードは分かりにくいからすぐに覚えられる自分の誕生日やイニシャル、好きなものの英単語を新しいパスワードにして……ちょっと待ってください。そのパスワードは本当に安全でしょうか? パスワードはどのようにして保存されているのでしょうか。通常、パスワードはハッシュ関数を用いて、一意の暗号文字列を作成します。例えばM
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
オンラインでパスワードを一括管理してワンクリックでログイン「Clipperz」 - ネタフル
オンラインでパスワードを一括管理し、ワンクリックでそれぞれのサービスにログインすることができる「Clipperz」というサービスが日本語に対応したそうです。 パスワードを一括管理するサービスがあったら便利だろうなぁ、なんて漠然と思っていたのですが、デジャヴュだったのでしょうか。 さて、この「Clipperz」というサービスは「online password manager」というサービスです。 オンラインの保管庫にID/PWをセットでメモしておくようなサービスを想像したのですが、違いました。「Clipperz」にサービスの一覧が表示され、ワンクリックでログインできてしまうという優れものなのです。 とりあえず興味を持った人は、デモビデオをご覧ください。ひっじょーに良くできていますので、一発でサービスの概要が理解できるはずです。 早速、試してみました。 ユーザ登録にメールアドレスが必要ありませ
ハードディスクのパスワードロックはなぜ破られた?
ハードディスクのパスワードロックはなぜ破られた?:データを守るためにできること(1)(1/3 ページ) 情報漏えい対策が注目される中、企業はどのようにデータを保護していくかの手法を模索し続けている状況ではないだろうか。本連載ではデータを保存するメディアの1つである「ハードディスク」がどのようにデータを守れるのかという点に着目する(編集部) ATAパスワード保護についての事実 コンピュータのハードディスクに保存したデータを保護する際、ATAパスワードを利用することが多いと思います。しかし多くの場合、悪意を持った攻撃者は簡単にパスワードロックを外すことができ、ドライブ上のすべてのデータにアクセスすることが可能になります。 個人、あるいは企業のコンピュータからの機密情報の盗難は、アメリカでも最も急増している犯罪の1つで、数え切れないほどの組織がノートPCから数百万件もの機密情報を盗まれ、データ盗
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
Tomcatのセキュリティとリスクの基本分かってる? (1/4) - @IT
Tomcatのセキュリティとリスクの基本分かってる?:Tomcatはどこまで“安全”にできるのか?(4)(1/4 ページ) 前回までで、Tomcat 6系に関する機能や設定、運用といったところに触れてきました。今回と次回は2回に分けて、いよいよTomcatを運用していくに当たってのセキュリティ面に着目していきたいと思います。 「セキュリティ」対策をしないと、人生が変わる? 「セキュリティ」という言葉が注目され始めた2000年からすでに8年が経過し、時代は2008年となりました。いまのご時世、パソコンを使う人はみな耳にする、この「セキュリティ」とは一体何のことなのでしょうか? 一般的な解釈に従えば「セキュリティ」=「パソコンの安全性」になります。「ウイルス」や「不正アクセス」に対する安全性のことを指し、さまざまな対策を行うことで「セキュリティ」を保ち脅威から身を守ります。 それでは実際に「セ
第12回 パスワードの決め方を考える
セキュリティ上重要なので、長く、複雑で、フレーズになっていないパスワードを作ってください。そして定期的に変更してください──。理屈では分かっても、実際に運用するのはたいへんなことだ。実際に使えるパスワードの作り方を考える。 PCでもWebサービスでも、使う際に必ずついて回るのがIDとパスワードだ。「あ、どんなパスワード入れたか忘れちゃった……」「これは! と思うパスワードを全部入力したけどダメだった」「えーと、どんなパスワードにしよう。前と同じでいいかな?」 ほとんどの人はこんな経験をしたことがあるはずだ。その理由の1つは、守るべき要素と、運用上の使い勝手がほとんどの場合矛盾しているからである。 一般に、パスワードについては下記のようなことが“セキュリティ上重要”だと言われる。 同じパスワードを使わないこと → だからどのパスワードを使ったか分からなくなる パスワードは定期的に変更すること
人の造りしもの――“パスワード”の破られ方と守り方
パスワードを破るのも人ならば、それを守るのも人。今回はあなたのパスワードを守るために、「今すぐできること」を解説します。 ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 第8回「魂、奪われた後――弱いパスワードの罪と罰」では、攻撃者がシステムへ侵入した後、どのようなことを行うのかをペネ
「Firefoxを使い続けるための“お勧め”設定」 , NoScriptを組み込んでいないFirefoxは使用停止に
「Firefoxを使い続けるための“お勧め”設定」 , NoScriptを組み込んでいないFirefoxは使用停止に 最近,ある企業のシステム管理者から「Webページを不正に改ざんされる事件が最近特に増加し,その改ざんされたサイトをWebブラウザで閲覧した場合,ウイルスを送り込まれることが多いと聞く。Webブラウザを使用する時に,利用者側で行うべき対策をアドバイスしてほしい」との相談を受けました。 確かに,3月に入ってから国内の数多くのWebサイトが改ざんの被害にあっています(関連記事)。痛ましいのは,被害者であるはずのWebサイトが不正な改ざんにより,一般の閲覧者への加害者に仕立てられることです。Webサイトの管理者は,当然ながら今回の攻撃で主な手口として使用されたSQLインジェクション対策などの不正アクセスに耐えうる対策を施すべきです。しかし,このように多数のWebサイトが改ざんされる
3分LifeHacking:他人にPCを貸すときの設定法 - ITmedia Biz.ID
「ちょっとPCを貸してください──」。こんなとき一瞬躊躇した経験はおありだろうか? セキュリティを保ったまま、他人にPCを使わせるときの設定方法。 「ちょっとPCを貸してください──」。来社したお客さまがインターネットに接続してデモンストレーションをしたいと言っているときや、同僚に少しだけPCを使わせてほしいと言われたとき、自分が普段使っているノートPCをそのまま渡していないだろうか。 こうしたノートPCには、業務で使っている各種ファイルが入っているのはもちろん、他人に知られてはならない情報がたくさん詰まっているもの。Webブラウザ1つ取ってみても、ついさっきまで業務でアクセスしていたサイトのURL履歴も残っているし、サイトパスワードも保存されているかもしれない。日本語IMEには(ATOKにもIME-2007にも)推測変換が搭載されつつあり、残された変換履歴から、入力していた文章も読み取れ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
@IT:Security&Trust 5分で絶対に分かるシリーズ
「Webからの脅威」を攻略せよ――セッション管理編