ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
SEO対策を逆手に,ボットがターゲットを自動検出
Web 2.0という言葉とともに一層注目度が高まったWebアプリケーションへの攻撃。実は,これらの攻撃のかなりの部分がボットによることが,最近分かってきた。 先日,筆者はあるボットを確認した。このボットの動きを数日間観察してみたところ,ボットはインターネットの複数の検索サイトを使って,ぜい弱性があると考えられるサーバーを検出し,自動的に攻撃を仕掛けていた。検索サイトを偵察ツールとして使っているのである(表1)。近年多くの企業が取り組むようになった検索エンジン最適化(SEO)によるマーケティング手法を逆手にとった攻撃の手口と言える。 米フォーティファイ・ソフトウエアの報告書によると,Webアプリケーションへの攻撃のうち,ボットによるものが50%,Googleハッキングが20%を占める。Googleハッキングとは,本来公開されるべきでない機密情報や社内システムのさまざまな情報を,検索サービスを
パスワード、記憶に頼っていて大丈夫? ― @IT
パスワード、記憶に頼っていて大丈夫? ~パスワード作成と管理~:ツールを使ってネットワーク管理(13)(1/5 ページ) サーバやルータなどの管理するマシン、アプリケーション……多数のパスワードを管理しなくてはならない管理者の律子さんは、パスワード記憶許容量をオーバーしそうです。 パスワード、どうやって覚えてる? 律子さんは管理者という仕事柄、サーバやルータなど管理するマシンの分だけ(実際にはアプリケーションのパスワードなどを考えるとそれ以上になるのですが)パスワードを管理しています。 いまのところ記憶に頼っているのですが、管理するパスワードが増えてきたり、まめに変更したりしていることもあって、最近どうにも覚えが悪くなっています。そして、一度覚えたはずのパスワードを忘れていて、慌てて台帳を見に行くことも多くなっています(律子さんの会社ではパスワードは台帳に記入されて鍵の掛かるロッカーに保管
窓の杜 - 【NEWS】クリップボードを定期的に自動消去して情報漏洩を防止「ClipBoardGuard」
クリップボード内のデータを定期的に自動消去できる「ClipBoardGuard」v1.00が公開された。Windows 2000/XPに対応するフリーソフトで、現在ベクターのライブラリページからダウンロードできる。 「ClipBoardGuard」は、クリップボード内のデータを定期的に自動消去してくれる常駐型ソフト。オンラインショッピング時などに、住所やクレジットカードの番号をクリップボード経由で貼り付けることも多いだろう。しかし、クリップボード内に大事なデータがコピーされている状態で悪意のあるWebサイトを開いてしまうと、重要なデータを盗み取られてしまう可能性がある。 そこで本ソフトはタスクトレイに常駐し、クリップボードにデータがコピーされた時点から、あらかじめ指定しておいた時間が経過するとクリップボード内のデータを自動消去してくれるため、個人情報などの漏洩を防ぎやすくなる。自動消去させ
Webサイトの安全性を診断する分析ツール [フリーソフト・シェアウェア] All About
Webサイトの安全性を診断する分析ツールうっかりアクセスすると悪意のあるプログラムが作動したり、広告画面が無制限に開いてPCがクラッシュしたりする悪辣なWebサイト。そうした弊害から身を守るためのサイトの安全性診断ソフトの紹介です。 悪意あるWebサイトへのリンクをうっかりクリックして痛い目を見たことがある人は少なくないのでは。 今回は、そうしたWebサイトの安全性をチェックしてくれるフリーソフト「McAfee SiteAdvisor」の紹介です。 =CONTENTS= ■「McAfee SiteAdvisor」とは ■「McAfee SiteAdvisor」機能紹介 「McAfee SiteAdvisor」とは「McAfee SiteAdvisor」はマカフィーが提供する、Webサイトの安全性をチェックする無料のツールです。 ⇒ダウンロードはこちらから
![Webサイトの安全性を診断する分析ツール [フリーソフト・シェアウェア] All About](https://cdn-ak-scissors.b.st-hatena.com/image/square/8f530daf3cb408d6b6a0ba6f38ed7ccece36cffc/height=288;version=1;width=512/https%3A%2F%2Fimg.aacdn.jp%2Faa%2Fcommon%2Fogp300_300.png)
Googleはマルウェアが分かっていない
最近、Webベースのマルウェアに関するGoogleの研究論文を読んで胸が高鳴った。この論文を見ると、Googleがこの問題に関して興味深いスタンスを取っていることが分かる。だがわたしには、同社の研究がそれほど役に立つ情報を付加しているようには見えない。 もちろん、同社は好むと好まざるとにかかわらず、この問題に巻き込まれる可能性が高いため、対応を急ぐ必要がある。最近ある研究者が実証したように、Google Adwordsを悪用してマルウェアを広めるのは簡単だ。専門的な手法ではない。最近の別のAdwordsを悪用した攻撃は、米商事改善協会(BBB)の名声を利用しようとした。この攻撃のデモビデオはここで公開されている。 Googleは既にインターネット上のあらゆるものをスキャンしている。マルウェアを探さない理由はない。マルウェア対策コミュニティーでは以前から、マルウェアの直接配信がSMTPストリ
グーグル、悪質な「Google AdWords」広告を削除
Googleが、悪質なサイトにユーザーを誘導しようとするスポンサードリンクを削除した。これは、合法的なサイトの広告に見せかけ、ユーザーのPCに悪質なプログラムをインストールしようと試みるものだった。 削除されたリンクは、ユーザーが特定の検索をした後に表示される検索結果ページの「スポンサードリンク」として表示されていた。このリンクは、パスワード盗難ソフトウェアのインストールを試みるサイトを経由させてから、ユーザーを合法サイトにアクセスさせる仕組みになっていた。悪質なリンクの設置に悪用されたのは、広告サービスの「Google AdWords」。 Googleは米国時間4月26日付けのブログで「ユーザーを悪質なサイトにリダイレクトしていたAdWordsのアカウントを特定し、無効にした」と述べている。 セキュリティソフトウェア企業Exploit Prevention Labsによると、悪質なリンク
Open Tech Press | SSHのセキュリティを高めるためのハウツー
SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHが接続を待ち受けるポートの変更 SSHはデフォルトでは22番ポートで接続を待っている。攻撃者はポートスキャナを使ってホストがSSHサービスを実行しているかどうかを把握するが、(nmapを含め)大抵のポートスキャナではデフォルトでは1024以上のポート番号のスキャンは行なわれないため、SSH用のポートを1024以上の番号に変更しておくのが賢明だ。 具体的には、/etc/ssh/sshd_configファイルを開き、以下のような行を見つけて変更する。 Port 22 この行でポート番号を変更したら、以下のようにしてSSHサービスを起動し直そう。 /etc/init.d/ssh restart SSHプロトコル2
軽快なscpか高機能なsftp、sshサーバに向いているのは? ―@IT
軽快なscpか高機能なsftp、sshサーバに向いているのは?:セキュリティプロトコルマスター(8)(1/2 ページ) 前回はsshを使って安全にサーバを管理する方法を取り上げました。実はこのsshにはちょっとした仕掛けが隠されています。そんな仕掛けを上手に使う「安全なファイル転送」を今回取り上げましょう。安全なファイル転送は、サーバ管理だけでなく、さまざまな場面で活躍するはずです。 安全なファイル転送とは 安全なファイル転送って何ですか? ファイル転送とは、ネットワークでつながったコンピュータにファイルを送ったり、受け取ったりすることです。つまり、ファイル転送をするには、ネットワークの中をファイル本体が流れていく、ことになります。 ここで問題になるのが、盗聴、改ざん、なりすましの問題です。第三者に知られることなく、ファイルの内容そのままで、正しい相手に送り届けるためには、単に相手へファイ
グーグルを利用した罠ドメイン「Goggle.com」はどれぐらい危険なのか?
グーグルにアクセスする際、アドレスバーに「google.com」と入れれば無事にグーグルにつながるわけですが、間違えて「goggle.com」とか「goggle.net」と入力すると、ポップアップウインドウが次々と開き、その間にスパイウェアだのマルウェアだのといった悪質なソフトウェアが次々とインストールされ、ウインドウズの挙動が怪しくなり、見たくもないサイトに自動的に誘導されたり、妙なメッセージがびよ~んと出てきたり、ありとあらゆる災難に見舞われてしまい、しかも駆除しようと思っても駆除に対抗するために次々と新種のスパイウェアが自動的にインストールされ続け、恐ろしい目に遭う……ということで以前から「あのサイトは危険だ!」という認識で一致していました。 ということで、どれぐらいひどい目に遭うのかというサンプルムービーがYouTubeにあります。見てみましょう。そして、さらに追試験を行ったがそこ
Expired
Expired:掲載期限切れです この記事は,Associated Press との契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
意外と知られていない? DNSが抱えるセキュリティ問題
12月6日、Internet Week 2006のセッションの1つとして行われた「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 12月5日から8日にかけて「Internet Week 2006」が横浜で開催された。このうち12月6日に日本ネットワークインフォメーションセンター(JPNIC)が主催した「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 なりすましと反射を悪用したDoS攻撃 取り上げられた課題の1つは、偽装した発信元IPアドレスから不特定多数のDNSサーバにクエリを投げかけ、被害者に多数のパケットを反射させてDoS状態に陥れる「DNS amplification attack」だ。2006年3月には実際にその被害が発生し、警察庁からも関連するレポートが公表され
検索エンジンに潜む危険! アダルト用語でサーチ / 無料の文句に甘い罠も | ネット | マイコミジャーナル
米McAfeeは、検索エンジンの表示結果に潜むセキュリティ上の危険度などを調査した、最新レポートの発表を行った。半年前の調査時よりも安全性は向上しているものの、依然として利用ユーザーの注意を喚起するデータが明らかにされた。 同調査は、同社が提供するプラグインソフト「McAfee SiteAdvisor」を用いて実施。McAfee SiteAdvisorをブラウザにインストールして、検索エンジンでサーチを実行すると、検索結果の表示ページには、リンク先ページのレーティングが赤黄青の3段階で示されるという。移動先のサイトに、スパイウェアや迷惑メール(スパム)の配信、PCの設定を勝手に変更するなどの危険がある場合には赤色の警告メッセージが、やや危険度は弱まるものの、複数ポップアップ広告の表示や、PCの設定変更をユーザーに促すなどの危険がある場合には黄色の警告メッセージが表示されるようだ。 同社は先
インターネットは罠だらけ
インターネットには悪質なWebサイトが多数存在する。個人情報を盗もうとするフィッシング詐欺サイトや,架空の料金を請求するワンクリック詐欺サイト,OSやアプリケーションのセキュリティ・ホールを突いてスパイウエアなどをインストールさせる攻撃サイト――などなど,枚挙にいとまがない。 ただ,いくら“罠”を仕掛けても,待っているだけではユーザーにアクセスしてもらえる可能性は低い。そこで,「魅惑的な動画がタダで見られます」「懸賞に当選しました」「アクセスしないとアカウントが無効になります」――といった誘い文句や脅し文句を並べたメールを不特定多数に送信して,悪質サイトへ誘導するのが常套手段。 しかし最近では,新たな手口も増えてきた。多数のユーザー・アクセスが見込めるサイトの広告スペースを悪用する手口である。もちろん,真正直に広告を打つわけではない。「フィッシング詐欺サイトはこちら」「ワンクリック詐欺に遭
「ユーザーがHTMLを埋め込めるWebサイトには注意」---McAfeeが警告
米McAfeeは現地時間11月28日,ユーザーがある程度自由にHTMLコンテンツを記述できるWebサイト(サービス)にアクセスする際には十分注意するよう改めて呼びかけた。悪質プログラムが置かれたサイトやアダルト・サイトに勝手にリダイレクトされる危険性などがあるからだ。 同社では,ソーシャル・ネットワーキング・サービス「MySpace」を悪用した手口を6月に2件報告している。そして今回は,「BuddyProfile.com」を悪用した手口が確認されたという。BuddyProfileは,AOLインスタント・メッセンジャ(AIM)のユーザーなどに向けたサービス。BuddyProfileに登録したユーザーは,HTMLで記述した自分のプロファイルを同サイトに保存できる。そして,送信するメッセージにそのプロファイルへのリンクを記述しておけば,メッセージの受信者に自分のプロファイルを見てもらうことができ
「Firefox」と「IE」にパスワード漏えいにつながる脆弱性--マイスペースも攻撃に
Mozillaの「Firefox 2」およびMicrosoftの「Internet Explorer(IE) 7」に、攻撃者がパスワードを盗むのに悪用できる脆弱性が存在していることがわかった。 発見者のRobert Chapin氏は、これを「Reverse Cross-Site Request(RCSR)」の脆弱性と呼んでいる。これはハッカーが偽のログインフォームを使って、ユーザーのパスワードおよびユーザーネームを盗むことを可能にする脆弱性だという。Firefoxの「Password Manager」が、保存したパスワードおよびユーザーネームをこのフォームに自動入力してしまうことが、問題になっている。 入力されたデータは、ユーザーの知らないうちに攻撃者のコンピュータに送信されると、Chapin Information Services(CIS)のウェブサイトは説明している。 Chapin氏
無償のスパイウェア対策だけで本当に安心なのか
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「スパイウェア」と呼ばれる悪質なソフトウェアによる犯罪や詐欺被害の増加に伴い、インターネットを利用する一般消費者だけでなく、企業としても、より確実な対策をとる必要性が高まっている。 特定非営利活動法人である日本ネットワークセキュリティ協会(JNSA)によれば、スパイウェアとは「利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等」とされている。 こうしたプログラムは、従来の多くのコンピュータウイルスのように、電子メールを使って送りつけられることもあれば、ウェブサイトで配布されているフリーウェア、シェアウェアなどの一部となっていることもある。侵入の方法も、技術的に高度なものから、ソー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
McAfeeが検索エンジンの安全度調査、GoogleやAOLなどが比較的安全
Japan.internet.com Webビジネス - IE 7 は本当に安全なのか
マイクロソフト、スパイウェア対策ソフト「Windows Defender」日本語正式版