相次ぐWeb改ざん、原因はまたもや“Gumblar”か
「4月ころから相次いでいるWeb改ざんは、2009年に猛威をふるった『Gumblar』と同種の攻撃と見られる」。トレンドマイクロでWebセキュリティやマルウエア解析の情報発信を担当する岡本勝之コアテク・スレットマーケティング課担当課長代理は2013年7月1日、本誌の取材に対して最近のWeb改ざんに関する見解を示した。 GumblarはWeb管理者のFTPアカウントを盗み出し、それを使ってコンテンツを改ざんして不正なスクリプトや不正なリンクを追加する攻撃だった。改ざんされたWebサイトを閲覧すると、不正なWebサイトに誘導されてマルウエアに感染する(関連特集:実践、Gumblar対策)。最近のWeb改ざんについて岡本氏は「FTPアカウントを乗っ取る、Webサイト上の多くのページを改ざんして不正スクリプトを埋め込む、スクリプトが難読化されている、といった特徴がGumblarとほぼ同じ」と指摘す
フェイスブック公式アプリが電話番号を無断で送信する、とシマンテックが指摘
米シマンテックは2013年6月27日(現地時間)、Andoroid向けのFacebookアプリを解析したところ、ユーザーの承諾を得ずに外部へ端末の電話番号を送信する仕様であることを明らかにした。Facebookアプリは、米フェイスブックのSNSサービス「フェイスブック」を利用するための公式アプリで、Andoroid向けアプリ配信サービス「Google Play」からのダウンロード数は740万を超えている。 解析結果によると、ユーザーがFacebookアプリをインストールして初めて起動する際に、電話番号を米フェイスブック社のサーバーにインターネット経由で送信するという。ユーザーは、電話番号を入力したりログインしたりしなくても、端末から取得した電話番号を自動で送信されてしまうため、このことに気付かない。 シマンテックは、フェイスブックにこの仕様を指摘したところ、Facebookアプリの次期リリ
Chrome 15がIE8を抜いて首位に、世界Webブラウザー市場
Webアクセス解析などを手がけるアイルランドStatCounterは現地時間2011年12月15日、世界のWebブラウザー市場に関する調査結果を発表した。それによると、11月第4週に米Googleの「Chrome 15」が初めて米Microsoftの「Internet Explorer(IE)8」を抜き、バージョン別首位に立った。 11月21~27日における世界のWebブラウザー使用状況は、Chrome 15がシェア23.6%で、IE8の23.5%をわずかに上回った。11月28日~12月4日はChrome 15が23.7%、IE8が23.1%。12月5~11日はChrome 15が24.6%、IE8が22.2%と推移している。 StatCounter最高経営責任者(CEO)のAodhan Cullen氏によると、10月に入ってから週末にChrome 14とChrome 15がIE8を上回る
ベリサインなど3社、1日100円のSSLサーバー証明書をWindows Azureユーザー向けに販売
SBIベリトランス、日本ベリサイン、日本ジオトラストは2011年5月19日、1日単位で購入・利用できるSSLサーバー証明書発行サービス「ワンコインSSL」を、米Microsoftのクラウドプラットフォーム「Windows Azure Platform」のユーザー向けに販売を開始した。これまで同サービスは、米Amazon Web Services LLCのクラウドサービス「Amazon Elastic Compute Cloud(Amazon EC2)」の利用企業と、SBIベリトランスが提供する電子決済サービスの利用企業にのみ提供していた。 ワンコインSSLは、日本ベリサインの子会社である日本ジオトラストのSSLサーバー証明書発行サービス「ジオトラスト クイックSSLプレミアム」を、年単位ではなく1日単位で利用できるようにしたもの。認証を自動で行うことで、発行手続きが最短2分で完了することを
日本マイクロソフトがIE9を公開
日本マイクロソフトは4月26日、Webブラウザー新版「Internet Explorer(IE)9」の提供を開始した。最大の特徴は、GPU(グラフィックス処理専用プロセッサ)を使ってすべての画面描画処理を実行するなど、ハードウエアを活用した高速化の仕組みを大きく取り入れたことだ。 GPUを搭載したPC上でIE9を動かすと、CPUのみのPCに比べて高速にWeb画面を描画できる。CPUよりも消費電力効率に優れるGPUを使うことで、PCの省エネ化にもつながるという。他の主要WebブラウザーもGPU活用を推進中。高速化競争は新たな段階に入った。 IE9では、GPU活用による高速化のほか、HTML5仕様への準拠を進めた(図)。動作OSはWindows Vista SP2以降で、Windows XPでは利用できない。 GPU活用による効果が特に大きいのは、HTML5仕様に沿った動的なWebコンテンツの
Macユーザーを狙う「偽ソフト」出現、勝手にインストールされる恐れ
セキュリティ企業各社は2011年5月2日から5月4日にかけて、Mac OS Xで動作する「偽ソフト」を相次いで警告した。インストールされると偽のセキュリティ警告を表示し、有料版を購入させようとする。Webブラウザーの設定によっては、意図せずにインストールされることがあるという。 今回確認されたのは、「MACDefender」あるいは「Best Mac Antivirus」という名称の偽ソフト。ここでの偽ソフトとは、大した機能を持たないにもかかわらず、ウイルス対策やユーティリティなどの機能を備えているとして配布されるソフトのこと。 パソコンに問題がなくても、「ウイルスが見つかった」や「重大な問題が検出された」といった虚偽の警告を表示。問題を解消したければ、有料版やライセンスキーを購入する必要があるとして、販売サイトにユーザーを誘導する。 Windowsで動作する偽ソフトは多数出現し、大きな被
サンプルで理解するHTML5におけるJavaScript
一般に「HTML5」と呼ばれている仕様は、HTML要素の仕様だけでなく、Webアプリケーション用APIの仕様も含んでいます。これらのAPIを使うことによってHTML5では、2D/3Dグラフィックスの描画やローカルパソコンへのデータの保存といったことが可能になります。 HTML5ではJavaScriptを使うことで、できることが従来より大幅に増えます。しかし、これは逆に言えば、HTML5の機能を活用するには、JavaScriptのスキルが不可欠だということです。 このパートでは、筆者がHTML5(+JavaScript+CSS3)で作成したお絵描きアプリケーション「My Animals Note!」をサンプルにして、HTML5におけるJavaScriptプログラミング、具体的にはcanvas要素を使ったグラフィックス描画や、Web Storage APIを使ったローカルパソコンへの画像データ
ターゲットブラウザー再考
>>前回 2011年3月8日、ITベンダーのインフォテリアはスマートフォン/タブレット向けコンテンツ配信サービスの新版「Handbook 3」のリリースを発表した。Handbook Studioというオーサリングツールでコンテンツを作成・配信し、スマートフォン/タブレットにインストールしたHandbookアプリ上でそれを閲覧できるというSaaSである。このHandbook Studioを利用するには、PC上でFirefox、Google Chrome、Safariのいずれかのブラウザーを使う必要がある。Internet Explorer(IE)が対応ブラウザーから外されているからである。 同社がIEを外した理由は、Handbook Studioの高度な操作性にある。Handbook Studioでは、ドラッグ&ドロップによるファイルの一括アップロードなどの機能をHTML5を駆使して実現して
動画をめぐる標準化争い
>>前回 ブラウザーごとの挙動の違いを無くすのも、HTML5の本来の目的の一つ。だが、新たな標準を策定している今、皮肉にもブラウザー間の違いは拡大している。その最たる例が、動画の形式をめぐる標準化争いだ。Flashなどのプラグインを使わずに、動画を再生できるvideo要素は、HTML5のウリの一つである。ところが、そのコーデックを何にするかが決まっていない。 3月末時点で、H.264というコーデックを使えば、Internet Explorer(IE)9やGoogle Chrome、Safari上で動画を再生できる。ところが、FirefoxとOperaがH.264に対応しておらず、その代わりにogg/theoraまたはWebMというコーデックを採用している。つまり、シェア1位であるIEと同2位であるFirefoxの両方で動画を利用できるようにするためには、2種類のファイルを用意しなければなら
Webページの見栄えにどこまでこだわるのか
その昔、「美しい人は美しく、そうでない人はそれなりに」という某フィルムメーカーのテレビコマーシャル(CM)が話題になった。このCMになぞらえて言うと、「高機能なWebブラウザでは見栄えよく、そうでないWebブラウザではそれなりに」というコンセプトが、Web制作者の間で注目されている。それが、Progressive Enhancementである。 非クロスブラウザを許容する Progressive Enhancement(PE)の基本的なコンセプトは、「情報やサービスへのアクセシビリティを確保しつつ、ブラウザやデバイスの特徴を活かしたデザインや技術を実装する」(アドビシステムズのthe Edge newsletter2009年2月より)ことである。後半の「ブラウザやデバイスの特徴を活かしたデザインや技術を実装する」は、例えば、HTML5やCSS3といった最新技術を実装しているWebブラウザ(
今、知っておきたいJavaScript
Webブラウザとテキストエディタさえあれば、プログラミングして実行できるシンプルで手軽な言語――。それがJavaScriptが初めて登場してからしばらくの間、多くの人が抱いた印象でした。しかし、Ajaxの登場に伴う第2のブーム以降、ハードルが高くなったように感じられます。 その大きな理由の一つが、DOM(Document Object Model)に基づくJavaScriptプログラミングでしょう。DOMは、HTMLやXMLを構成する各要素に対して、プログラムからアクセスして内部の情報を取得・変更したり、機能を利用したりするためのAPI(Application Programming Interface)です。DOMを使うことによって、WebページをリロードせずにWebページを部分的に書き換えたり、HTMLドキュメントの構造を動的に変えたりといったことが可能になります。 DOMは便利な仕組
Web管理者は要チェック、IPAが「Web Application Firewall読本」の改訂版を無償配布
写真●IPAが無償配布するWebサイト管理者向けのWebセキュリティ対策手引書「Web Application Firewall(WAF)読本 改訂第2版」(表紙) 情報処理推進機構(IPA)は2011年2月28日、Webサイト管理者向けのWebセキュリティ対策手引書「Web Application Firewall(WAF)読本 改訂第2版」(写真)の配布を始めた。IPAの配布用WebページからPDFファイルを無償でダウンロードできる。 Web Application Firewall(WAF)読本は、Webアプリケーションを攻撃から防御するためのソフトであるWAFについて、基本的な仕組みから導入方法、運用における要点などを実例込みで体系的に学べる手引書。表紙を含め、全96ページで構成する。 今回の改訂第2版では、オープンソースソフトウエアのWAF「ModSecurity」をIPAが自ら
「ビジネスSNSとして使ってほしい」---無償グループウエア「サイボウズLive」が本格スタート
サイボウズは2010年10月25日、無償のWebサービス「サイボウズLive」を本格的にスタートした。これまで招待制で提供していたサービスを同日から自由登録制に切り替え、誰でも使えるようにする。同社の青野慶久代表取締役社長(写真1)は、「サイボウズLiveは、ビジネスのためのSNS(ソーシャル・ネットワーキング・サービス)。実名で、上司や取引先とのコラボレーションに使ってもらいたい」と述べた。 サイボウズLiveは、カレンダー、タスク管理、ファイル共有といったグループウエア機能をWeb上で無償提供するサービス。情報を共有する「グループ」を無制限に作成できるのが特徴だ。2009年11月26日から招待制でスタートした。青野氏によると、これまでに4万1077人が利用し、1万2191個のグループが作成されたという。「私自身も、ビジネスだけでなく、親類と子供の写真を共有する、マンション管理組合でスケ
中国企業はシステム開発費を支払わない?
「中国企業からシステム開発を受注するのは怖い。納品しても開発費を支払ってくれないことが多いからだ」。ある国産ベンダーの幹部から、こうした話を聞いたことがある。本当にそんなことがあるのか。疑問に感じた記者が、他のベンダーの幹部に真偽を尋ねてみると、返ってきた答えは「その話は本当だよ。当社も困っている」というものだった。 上海-茨城間を片道4000円で結ぶ格安航空会社が登場するなど、中国はますます身近な存在になりつつある。GDP(国内総生産)で日本を抜いて世界第2位になったり、中国の民主活動家である劉暁波氏がノーベル平和賞を受賞したりと、中国にまつわる話題には事欠かない。前向きな話だけではなく、最近では尖閣諸島問題のようなことも起こっている。 日本にとって、様々な意味で関係が深い中国であるが、その実態はいまいちはっきりしない。IT分野でも、冒頭で紹介したような、日本の常識からすれば考えられない
電子書籍を作って分かったこと
出版業界は電子書籍を巡って大騒ぎとなっている。さまざまなプラットフォームが乱立し、これまで静観していた出版社が電子書籍に乗り出してきた。電子書籍を取り上げた雑誌や書籍も目立つ。こうした動きのきっかけとなったのは、米アップルの新型端末iPadであることは明らかだろう。出版業界としては、恐れと同時に期待も大きく、何かせずにはいられないという気持ちも正直なところだ。 今回、我々もiPad上で読める電子書籍を出すことにした。タイトルは「ネットワーク開発物語」(画面)。「IP」「イーサネット」「Web」の3大ネットワーク技術がいかにして開発されたのかをつぶさに追ったネットワーク開発史だ。ビント・サーフ、ボブ・メトカフ、ティム・バーナーズ=リーなど、直接開発にかかわった技術者を取材し、本人にしか語れない内容を盛り込んだ。これ自体は有料で販売するが、コンテンツの一部は無料版の「インターネット開発物語」と
「モバゲー監視の状況はいかに」、総務省 青少年WGでDeNAが説明
総務省 利用者視点を踏まえたICTサービスに係る諸問題に関する研究会は2010年9月21日、「青少年インターネットワーキンググループ(WG)」の第1回会合を開催した。青少年のインターネット利用環境の整備に向けて、2009年4月1日に18歳未満の携帯電話利用者に対してサイトのフィルタリングサービス適用を義務づける「青少年インターネット環境整備法」が施行されている。しかしCGMサービスの利用拡大、出会い系サイト以外で青少年が被害者となる事件の発生など状況が変化していることから、このWGではインターネット利用環境の整備に向けたさらなる取り組みを検討している。 隠語もチェック 最初となる21日の会合では、現状の把握のために学校関係者や携帯電話向けサイトの事業者などが青少年の携帯電話の利用実態や各自の活動内容を説明した。そのうちの1社であるディー・エヌ・エー(DeNA)は、2000万人を超える会員を
IE9は何が変わるのか
マイクロソフトは9月15日、Webブラウザの次期版「Internet Explorer 9(IE9)」のベータ版を公開した。IE9では、新しいJavaScriptエンジンを搭載すると同時に、GPUを活用したハードウエアアクセラレーション手法などを採用し大幅な高速化が図られている。それ以外に、HTML5やCSS3(Cascading Style Sheets)といったWeb標準規格を積極的にサポートするほか、Windows 7との連携機能も強化するなど、かなり“本気”モードなバージョンに仕上がっている。 IE9は、果たしてIE8と何が変わるのだろう。今回は、急きょ予定を変更し、番外編として新しくなったInternet Explorerを検証してみよう。 シンプルになったデザイン IE9を起動してみた最初の印象は「シンプル」の一言に尽きる(図1)。 アドレスバーとタブを同じ高さに並べて表示する
優れたアプリは一人のプログラマにより作られる
先日、ITproを眺めていたら「NTTドコモがiアプリDX開発ツールを個人開発者などに向け公開、GPSや課金が利用可能に」という記事が目に入ってきた。 「いったい、いつのニュースなのか?」と思って日付を確認したところ、2010年8月26日である。筆者は近年、iアプリ関連の動向をまったくウォッチしていなかったので、「まだ公開していなかったのか」というのが最初に抱いた正直な感想である。そしてドコモには申し訳ないが、“今さら”という印象をつい抱いてしまった。 筆者がこうした印象を持つのは、グーグルやアップルが開発者をどのように支援してきたかを見ているからだ。 グーグルは(厳密にはグーグルが主導するOpen Handset Allianceは)初代Android端末「T-Moblie G1」の発売前から開発者向けキット「Android SDK」を提供している。それどころか実機がない段階で「Andr
国内98サイトのバナー広告に「わな」、「偽ソフト」に感染する恐れ
Webサイトにバナー広告を配信しているマイクロアドは2010年9月25日、同社が9月24日夜に配信した広告の一部に、悪質サイトに誘導するタグ(プログラム)が含まれていたことを明らかにした。同社配信の広告を掲載するWebサイトにアクセスすると、「偽ソフト」に感染する恐れがあった。国内の98サイトが影響を受けたとされる。現在では問題は解消済み。 マイクロアドによれば、同社のサーバーが攻撃を受けて、一部のデータを改ざんされたという。これにより、同社が配信する広告(実際には、広告を表示させるためのタグ)に、悪質サイトに誘導するタグが挿入された。 改ざんされた広告が配信されていたのは、9月24日21時30分ごろから9月24日23時30分ごろとされる。この期間に、同社が配信した広告を掲載するWebサイトにアクセスすると、悪質サイトに誘導される恐れがあった。 悪質サイトには、偽ソフトの一種である「Sec
府省のWebページの9割、アクセシビリティ配慮が不十分
ウェブアクセシビリティ推進協会は2010年9月22日、「JIS X 8341-3:2010を活用したウェブアクセシビリティの普及を目指して」と題したセミナーを開催した。障害者や高齢者、Webサイトの運用者など多様な立場の講師が、アクセシビリティの現状と今後について講演した。 同協会は、2010年4月に認証されたNPO法人。Webに関するアクセシビリティ向上を目指す団体や企業が集まっており、東洋大学の山田肇教授が理事長を務める。Web上のコンテンツに関するアクセシビリティの規格JIS X 8341-3:2010が2010年8月に公示されたことから、今回のセミナーを開催した。 セミナーの中では、国の行政機関のWebサイトに対して、アクセシビリティの達成度を調べた調査結果が報告された。総務省行政評価局が、全府省34機関(1府11省と、21の外局など)が公開する1514ページに対して、JIS X
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
