インターネットで大規模障害、DDoS攻撃か?:セキュリティクラスタ まとめのまとめ 2017年8月版(1/3 ページ) 8月のセキュリティクラスタは毎年恒例となっている「セキュリティ・キャンプ」の話題が大盛り上がりでした。この他、大きな動きが2つ。1つ目はいろいろなWebサイトでSQLのダンプファイルが公開されており、企業サイトで情報漏えいが発生したこと。2つ目は大規模な接続障害が発生したことです。一時はDDoS攻撃かもしれないと疑われました。
自分の中でイノベーションを起こせ──セキュリティ・キャンプ全国大会2017が抱かせた「好奇心」の真の意図:セキュリティが得意な「次世代」が集った5日間(1/2 ページ) 2017年8月、情報セキュリティをけん引する人材の発掘と育成を目指す「セキュリティ・キャンプ全国大会2017」が開催された。今回は2016年大会のほぼ倍となる82人の学生と生徒が参加し、先端知識と技術を学んだ。 2017年8月14日から4泊5日の日程で、セキュリティ・キャンプ実施協議会と情報処理推進機構(IPA)が主催した「セキュリティ・キャンプ全国大会2017」が開催された。 セキュリティ・キャンプ全国大会(以下、セキュリティ・キャンプ)は、情報セキュリティに関心を抱く若年層を対象に、4泊5日の合宿を通じて普段の授業や独学では得られにくい“濃い”内容の講義を行い、次世代を担う人材を発掘、育成することを目的とした取り組みだ
書籍の中から有用な技術情報をピックアップして紹介する本シリーズ。今回は、秀和システム発行の書籍『ハロー“Hello, World” OSと標準ライブラリのシゴトとしくみ(2015年9月11日発行)』からの抜粋です。 ご注意:本稿は、著者及び出版社の許可を得て、そのまま転載したものです。このため用字用語の統一ルールなどは@ITのそれとは一致しません。あらかじめご了承ください。 そんなハロー・ワールドですが、しかしその実、謎は多いのではないでしょうか。 printf()の先では、何が行われているのか? main()の前には、いったい何があるのか? stdio.hとは何で、どこにあるものなのか? 入門書では、もちろんこれらの疑問点は後回しにされています。入門書なので、これは当然のことでしょう。しかしそれらの疑問が後回しにされたまま、謎が謎のまま残ってしまってはいないでしょうか。 こうしたことは筆
完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る:大規模HTTPS導入Night 2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った。 2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合うイベントとなった。 本稿では、各講演の要点をダイジェストで紹介する。 pixivを常時HTTPS化するまでの道
セキュリティ・キャンプの刺激を成果に、修了後も優れた取り組みあり:「第2回 セキュリティ・キャンプアワード」レポート 合宿形式でセキュリティ技術を学ぶ「セキュリティ・キャンプ全国大会」。修了生がキャンプ後に取り組んだ成果を表彰するイベント「セキュリティ・キャンプアワード」が開かれた。最終選考に残った5人の発表内容を紹介する。 最終選考に残った5人の修了生が成果を発表 2017年3月17日、都内で「セキュリティ・キャンプフォーラム2017」が開催、5人の修了生が成果を発表した。セキュリティ・キャンプ実施協議会/IPA(情報処理推進機構)は毎年8月、情報セキュリティ分野に関心のある若年層を対象に、実践的な講義を提供する4泊5日の集中合宿「セキュリティ・キャンプ全国大会」を主催。2016年度で13回目を数え、581人の修了生を輩出している。 今回のフォーラムは全国大会や、全国各地で開催される「セ
サイバーセキュリティなくして東京2020大会なし 秋葉原で「サイバーコロッセオ×SECCON 2016」開催:追われる社会人、追う小中学生という構図も(1/2 ページ) 総務省、SECCON実行委員会、日本ネットワークセキュリティ協会(JNSA)が主催する「サイバーコロッセオ×SECCON 2016」が開催。学生チーム、若手社会人チームの全24チームが昨今のセキュリティ動向を織り込んだ難題に挑んだ。 内閣サイバーセキュリティセンター(NISC)は2017年3月4日、5日の2日間に渡って、サイバーセキュリティの普及啓発を目的としたイベント「サイバー攻撃を目撃せよ! 2017」を開催した。 同イベントは、にぎわう週末の東京・秋葉原で、アニメ映画『劇場版ソード・アート・オンライン』の声優や原作者などを招いたトークイベントやAR(Augmented Reality:拡張現実)/VR(Virtual
最初の講義は、参加者同士が自己紹介し、場をあたためることも兼ねた「セキュリティ基礎」だ。セキュリティ・キャンプ実施協議会 講師WG主査の上野宣氏がモデレーションする形で、「インターネットには接続していないクローズ系システムからの情報漏えいはあり得るか。あるとすればどんな経路が考えられ、対策はどうすべきか」「もしランサムウェアに感染してしまった場合、金銭は支払うべきか否か。またどんな対策があるか」という、実際に発生したインシデントを例に取ったテーマについて、4人1組のグループごとに議論を行った。 参加者からは、標的型攻撃メールやUSBメモリ接続のリスクを指摘したり、アカウント管理を適切に行い、対策ソフトの導入や定期的なバックアップを実施するといった王道の回答だけでなく、「お酒に酔わせてアカウント情報をぽろっと言わせるといったリスクも考えられるのではないか」とソーシャルエンジニアリングのリスク
「SECCON 2016決勝大会」開催、CTFを軸に広がる技術と人材の幅:セキュリティ・アディッショナルタイム(14)(1/2 ページ) 2017年1月28日、29日にかけて、国内最大規模の情報セキュリティ競技会「SECCON 2016」の決勝大会が行われ、世界各国から集った強豪チームが熱戦を繰り広げた。会場では同時に、競技の幅や裾野を感じさせるさまざまな企画も催され、多くの参加者を集めた。 2017年1月28日、29日にかけて、情報セキュリティに関するスキルを競うセキュリティコンテスト「SECCON 2016」の決勝大会が東京電機大学の千住キャンパスで開催された。 SECCONは、セキュリティ技術を駆使してシステムにある脆弱(ぜいじゃく)性を探し出したり、敵チームからの妨害を防いだりしてポイントを競うCTF(Capture The Flag)形式の競技会の1つで、日本最大規模の大会だ。競
「無料充電サービス」にセキュリティ上の落とし穴?:セキュリティ・ミニキャンプ in 沖縄 2016レポート インターネットが普及し、検索すれば専門的な知識にリーチできるようになった現在でも、専門家から直に講義を受け、同じ興味や関心を持つ仲間を作れる経験に勝るものはない。セキュリティ・キャンプ実施協議会では、情報セキュリティに関する知識や技術を磨きたいと考える学生にそうした機会を提供する「セキュリティ・ミニキャンプ」を国内複数箇所で開催している。 その1つ、「セキュリティ・ミニキャンプ in 沖縄 2016」が、2016年12月16日から18日にかけて開催された。今回から2回にわたり、セキュリティ・キャンプ地方大会シリーズ“沖縄編”をお届けしよう。 サイバーセキュリティ、沖縄での取り組み 沖縄県はICTを成長戦略の1つとして捉え、「アジア情報通信ハブ形成促進事業」をはじめ、積極的にIT企業の
ポートスキャン、してますか? セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第39回のテーマは「ポートスキャン」です。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。 宮田 セキュリティのアレ、第39回は用語解説シリーズとして「ポートスキャン」を取り上げます。そもそもポートスキャンとは何か、何のために必要なのか、どうやって使うのかといった点を解説していただきます。 辻氏 第37回で「脆弱(ぜいじゃく)性診断」について解説しましたが、そうした診断や、攻撃者が攻撃を行う前の調査段階でサーバなどに対して行うのがポートスキャンです。 「ポート」というのは“通信をするための口”ですね。サーバなどのIPアドレスがビルの住所だとしたら、ポート番号はビル内の部屋番号のようなものです。W
Miraiボットネットとは Miraiは、2016年9月13日夜、米国のセキュリティジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」に対して行われた大規模なDDoS攻撃に使用されたとして話題になったボットネットです(関連記事)。Miraiは主にWebカメラやルーター、デジタルビデオレコーダーなどのIoTデバイスを踏み台としてDDoS攻撃を仕掛けます。 参考:セキュリティ用語事典:DDoS攻撃 攻撃を受けた後に投稿されたKrebs氏のブログ記事によれば、同サイトを保護していたAkamaiが、ピーク時にはそれまでに経験した最大規模の攻撃の2倍近いトラフィックを観測したそうです。 また、2016年10月21日にTwitterやNetflixなどが利用するDNSサービスへ行われたDDoS攻撃でも、Miraiボットネットが利用されていたのではないかと推定され
さくらインターネットとゲヒルン、似たもの同士の創業者2人が語る会社の在り方、人の働き方:セキュリティ・アディッショナルタイム(14)(1/2 ページ) 2016年4月、さくらインターネットはセキュリティ企業ゲヒルンの全株式を取得し、完全子会社化することを明らかにした。技術畑の社長として起業し、事業を広げてきた“似た者同士”のトップ2人に、その背景を聞いた。 若手エンジニアが立ち上げた日本のスタートアップ企業は多々あるが、その多くはWebサービスの開発・提供に注力しており、インフラ寄りの企業として成長を遂げている例はまれだ。その数少ない例が、ホスティングサービスを展開するさくらインターネットと、セキュリティ専業企業のゲヒルンだろう。 2016年4月、この2社はセキュリティ分野のサービスや人材強化を目的に協力し、さくらインターネットがゲヒルンの全株式を取得。完全子会社化することを明らかにした。
コンピュータ同士が競うCTFがついに実現、その後人間との“共闘”も:脆弱性の発見・修正を自動化し、レスポンスの迅速化を目指す 米国時間の2016年8月5日、「参加者が全てコンピュータ」というこれまでにないセキュリティ競技会が開催された。コンピュータたちが脆弱性の発見、検証、修正に関する能力を競い合った。 米国防高等研究計画局(DARPA)は2016年8月5日(米国時間)、米国ラスベガスで行われたイベント「DEF CON 24」で、セキュリティ上の脆弱(ぜいじゃく)性を見つけ、修正する技術を競うコンテスト「Cyber Grand Challenge(CGC)」を開催した。セキュリティ技術を競う一般的なCapture The Flag(CTF)イベントとの最大の違いは、参加したのが人間ではなくコンピュータ、それも自律的に動作する一種の人工知能だということだ。 CGCは、脆弱性の発見と修正という
プロジェクトホスティングサービスで高い成長率で注目を集める「GitHub」(ギットハブ)。2008年4月の一般公開から5年足らずで利用者数が300万人を突破(2013年1月中旬)した。これはソフトウェア開発者向けサービスというニッチ市場では破竹の勢いといっていい。2012年7月には有力ベンチャーキャピタリスト、アンドリーセン・ホロウィッツを中心に1億ドル(約91億円)という大きな投資を受けて注目を集めた。 GitHubがローンチした時点で、すでに同類のサービスは多くあったが、過去5年を見れば、一人勝ちといっていい勢いだ。この強さの秘密は何なのか? 来日中のGitHub共同創業者らに話を聞いた。 Googleトレンドを使って、「github」「gitorious」「bitbucket」「sourceforge」「codeplex」を検索ボリュームの推移を比較した。青線のGitHubが類似サー
川口、官房長官就任 皆さんこんにちは、川口です。先月からセキュリティ監視センターJSOC(Japan Security Operation Center)のセキュリティアナリストのリーダーの座を後進に譲り、JSOCの官房長官として、JSOCセンター長を補佐するお仕事に就くことになりました。 今回は、そんな私が対応することになった標的型メール攻撃の顛末(てんまつ)を取り上げます。厳密にいうと今回届いたメールは、JSOCにとっては、脅威となり得る「標的型」ではありません。しかし受け取る組織によっては十分標的型メール攻撃となり得る内容ですので、紹介したいと思います。 ある日JSOCに届いた1通の標的型メール 5月のある日、JSOCで仕事をしていたところ、1人のセキュリティアナリストが話しかけてきました。 「サポート窓口に変なメールが来ているぞ。ヤバイと思うので見てほしい」 すぐに確認したところ、
TIPS「UNIX互換環境を実現するSUAを利用する」では、Windows OS上にUNIX/Linux互換実行環境である「SUA(Subsystem for UNIX-based Applications)」をインストールする手順を解説した。SUAを利用すれば、UNIX/LinuxベースのツールやアプリケーションをWindowsシステムの管理業務に利用できるようになる。 ただし、上記の操作でインストールできるSUAのパッケージは基本的なものだけであり、例えばbashコマンドなどは含まれていない。これらを利用したければ、ソースコードやインストール用のパッケージを入手して、自分で追加インストールする必要がある。 とはいえ、これらをすべて自分で行うのは簡単ではないし、そもそも無駄な作業である。幸いなことに、SUA向けのインストール・パッケージがいくつか開発され、SUAのコミュニティ・サイトで公
なぜ、うっかりTwitterやmixiに自分の秘密を書いてしまうのか 「Twitterはバカ発見器と言われている――なぜ人はTwitterやmixiなどで秘密を話すのか?」 8月10日、情報セキュリティ基礎の講義を担当する、サイバー大学IT総合学部准教授の園田道夫氏は、こう問い掛けた。 「例えば、未成年者が飲酒・喫煙を暴露するケースなどがある。情報はすぐに全世界に公開されるにもかかわらず、なぜ自分にとって都合の悪いことを書くのか」 「なぜ、ソーシャルメディアを見ているのが身内・友達だけだと思ってしまうのか」 園田氏の問い掛けに対して、参加者はグループになってさまざまな意見を出した。 「ツイートはフォロワーからしか見られていないという認識があること、そして気軽につぶやけるということが原因ではないか」 「友人などの紹介で始めることが多いので、プライベートなエリアだと勘違いしているのではないか」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く