「モバイルプッシュ」で本人認証、シマンテックがVIPに新機能
シマンテックは同社の認証基盤、Symantec Validation and ID Protectionに、スマートフォンを併用したプッシュ認証の機能を追加した。セキュリティと利便性の両立を目指し、パスワード撲滅を狙う。 シマンテックは2014年2月19日、同社の認証サービス「Symantec Validation and ID Protection」(VIP)の新機能として、スマートフォンでプッシュ通知を受け取り、PIN番号/指紋認証で本人認証を行うための新機能「モバイルプッシュ」(VIP Access Push)を発表した。日本における高いセキュリティニーズから生まれた機能で、オンライン商取引だけでなく医療、ATM、電子データ交換(EDI)などの領域での利用を見込んでいる。 モバイルプッシュ対応サイトにてユーザーがIDとパスワードを用いてログインすると、事前登録されたスマートフォン(現
HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識
HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識:第8回OWASP Nightレポート 2013年11月14日夜、日本ヒューレット・パッカード(以下、日本HP)本社で「OWASP Night 8th」が開催された。 OWASP NightはWebアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体「OWASP(Open Web Application Security Project)」の日本支部が主宰する定期セミナーだ。第8回目となる今回は、日本HPが協賛しての開催となり、某TVドラマのロケ地にもなったという本社カフェテリアで濃厚なセッションが行われた。 当日は、こちらも日本HPが協賛する情報セキュリティカンファレンス「PacSec2013」、および「Mobile Pwn2Own」に参加した講師も登場し、大きな盛り上がりを見せていた。 本記事で
単純ではない、最新「クロスサイトスクリプティング」事情
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
重要! まずは「オリジン」を理解しよう
連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回から、HTML5やJavaScriptに関連したセキュリティの話題について連載することになりました。よろしくお願いします。 もう読みましたか? HTML5のWebアプリセキュリティに関する報告書 皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター(以下、JPCERT/CC)から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。 この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして
存在に気付かないふり? Struts
調査を行う過程で、稼働中と思われる探調TOOLを発見した。このURLを見て分かる通り、「.action」という拡張子が用いられている。これは慣習的に「Apache Struts」を用いるアプリケーションで指定される拡張子である。さらに、ソースコードを確認すると「struts」という文字列がパス指定でいくつか記載されていた。 これは断定ではないのだが……。 Apache HTTP Serverは10年ほど外部から改ざんを行えるような脆弱性、および攻撃コードがリリースされていない 原因となった探調ツールでは「.action」拡張子が使用されているページがある そのソースコードにはstrutsの文字列がパス指定で記載されている という理由から、探調TOOLでは脆弱性の影響を受けるバージョンのApache Strutsが利用されており、その脆弱性を突かれて、今回の事件に至ったのではないだろうかと考
「ONETOPIヘッドライン」アプリの脆弱性を検査してみた
「ONETOPIヘッドライン」アプリの脆弱性を検査してみた:実録、Androidアプリの脆弱性を撲滅せよ!(前編)(1/2 ページ) ソニーデジタルネットワークアプリケーションズ(SDNA)製の脆弱性検査ツール「Secure Coding Checker」を用いてITmediaが開発したAndroidアプリ「ONETOPI ヘッドライン」を実際に検査し、どんな脆弱性が見つかりどう修正したかを「実録」風にお届けします。 「張り切って開発したAndroidアプリの公開後に脆弱性が指摘されてしまった。いったいどう修正すればいいのだろうか」「概念として、『安全なアプリ』がいいことは百も承知だが、具体的にどうコードに落とし込んでいけばいいのだろうか」――こんな悩みを抱えているAndroidアプリの開発者は、少なくないのではないでしょうか。 本記事では、そうした悩みを解決する手助けとなるツールと手法を
なぜ、富士通は「色覚障がい者のための診断ソフトウェア無償提供」を終了したのか
富士通は2013年8月20日、視覚障がい者や色覚障がい者のアクセシビリティを高めるための診断ソフトウェアツール群「富士通アクセシビリティ・アシスタンス」の無償提供を終了した(参照記事)。このニュースはSNSでの反響も大きく、ユーザーから「なぜこのような素晴らしいサービスが終了してしまうのか」との声が多く聞かれた。 同様のツールは他にもあったが、富士通アクセシビリティ・アシスタンスが愛用されるのにはわけがあった。富士通アクセシビリティ・アシスタンスは、3つのツール群「WebInspector(ウェブインスペクター)」「ColorSelector(カラーセレクター)」「ColorDoctor(カラードクター)」から構成されており、それぞれ以下の特徴が挙げられる。 WebInspector ローカルフォルダを指定した場合、サブフォルダのHTMLまで一括でチェックでき、結果をCSVで保存できる C
直撃取材! 「たて」の裏側
6月9日に放映されたフジテレビのバラエティ番組「ほこ×たて」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティープログラム」は、視聴者を激しい混乱の渦に巻き込んだ。 その後、“たて”側のネットエージェントは公式ブログで、“ファイル名変更”が実際は“TrueCryptによるディスク暗号化”であることや、対決で用意されたPCはサービスパックも当たっていない脆弱性だらけのWindows OSだったことなど、番組でカットされ誤解を招いた部分について説明。本当はかなりのガチ対決だったことが明かされた。 では、“実際の”攻防戦はどのようなものだったのか。自身も凄腕のハッカーで、昨年度開催された「CTFチャレンジジャパン」の優勝者でもある、luminことネットエージェントの杉浦隆幸氏に直撃した。 編集部 今回の番組出演の経緯は? 杉浦氏 今回の内容は番組制作会社が企画したも
きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ:川口洋のセキュリティ・プライベート・アイズ(46)(1/2 ページ) セミナーなどでいろんな方にお会いする中で、しばしば「川口さんはどうしてこの業界(会社)に入ろうと思ったんですか?」という質問をいただきます。今回はずばり、その疑問にお答えします。 連載目次 「どうしてこの業界に?」という質問にお答えします 皆さんこんにちは、川口です。5月のゴールデンウィークも終わり、今年新入社員になったばかりの人は5月病になっていないでしょうか。株式会社ラックにも目をキラキラさせた新入社員が入ってきて、一生懸命研修に取り組んでいます。彼らの未来に期待したいところです。 このコラムや@ITのセミナーを通じていろんな方にお会いする機会があるのですが、しばしば、「川口さんはどうしてこの業界(会社)に入ろうと思ったんですか?」という質問をいただきま
Androidアプリのビルド/テストはCIでここまで変わる
Androidアプリのビルド/テストはCIでここまで変わる:グリーはいかにしてJenkinsを導入したのか(3)(1/2 ページ) グリーのサービス開発における継続的インテグレーションと、CIツールであるJenkinsの導入について、CI導入のモチベーション、進め方のポイントを中心に説明します。今回は、apkの作成までの自動化を手始めに、徐々に自動化の資産を積み上げていくことで開発ワークフローを改善していく過程を紹介します。 前回の「JenkinsでCIすればiOSアプリのビルドは、もう面倒くさくない」に続き、今回はAndroidアプリ開発とJenkinsについて紹介します。 Androidアプリのビルド Android開発の継続的インテグレーションの第一歩として、まずはAndroidアプリをJenkinsでビルドしてapkファイルを作成してみましょう。あらかじめJenkins、Andro
JenkinsでCIすればiOSアプリのビルドは、もう面倒くさくない
続いて、開発するアプリの登録を行います。アプリの登録では【1】アプリ名や識別名などの登録、【2】プロビジョニングプロファイルを作成しダウンロード、インストールします。 これらの準備が終わったら、App Storeへ公開するためのアプリ開発、パッケージング、アップロードといった流れになります。 「Jenkins Xcode Integration Plugin」でビルドを自動化 このアプリ公開までの作業のうち、いくつかをJenkinsによって自動化することで継続的にアプリを公開できるようになります。通常、アプリのビルドやパッケージングはXcodeから行うことになりますが、Jenkinsから実行する場合にはXcodeのコマンドラインツールである「xcodebuild」などを使って処理を行います。 Jenkinsジョブからシェルを起動してxcodebuildなどのコマンドを直接実行するか、「Je
エンジニアも避けては通れない「安全な利用規約」の作り方
1月18日、「エンジニアサポートCROSS 2013」が開催された。その中から、NHN Japanのmala氏による「体系的に学ぶ安全な利用規約の作り方」をレポートする。 1月18日、Web技術について横断的に語り合うイベント「エンジニアサポートCROSS 2013」が開催された。その中からNHN Japanのmala氏による「体系的に学ぶ安全な利用規約の作り方」をレポートする。 mala氏は、サービスを作る側と使う側の両方の立場から、「安全な利用規約の作り方」を語った。昨今、アプリケーションの実行環境の多様化や、ビジネスモデルの複雑化、大規模なログデータや個人情報の利活用など、サービス自体の複雑化が原因となった利用規約に関する炎上が多々見受けられる。このような炎上の原因はどこにあるのか。エンジニアとして何ができ、どのような解決策があるのか。 Webに関わるエンジニアが知っておくべき5つの
Microsoftの「Messenger」、3月15日でサービス終了
米Microsoftはメッセージングクライアント「Windows Live Messenger」のサービスを3月15日で打ち切る。 米Microsoftはメッセージングクライアント「Windows Live Messenger」のサービスを3月15日で打ち切ると発表した。IT情報サイトのThe Next Webが、Microsoftからユーザーに送信された告知メールを引用して伝えた。 それによると、Microsoftのメールは1億人強のMessengerユーザーに宛てて1月8日に送信され、「2013年3月15日に、中国本土を除く世界でMessengerサービスを引退させ、MessengerとSkypeの機能を一体化させます」と表明。SkypeをインストールしてMicrosoftアカウント(Messenger IDと同じ)でサインインすると、Messengerで使っていた連絡先がすべて表示さ
そのときStarBEDが動いた――「Hardening One」の夜明け前
こんにちは、川口です。ずいぶんとコラムの間が空いてしまいました。前回のコラム以降、セキュリティ・キャンプとHardening Oneにほぼ全ての時間を費やしており、全く筆が進みませんでした。期待されていた方には申し訳ないです。 さて、2012年4月のHardening Zeroからはや半年(もう半年!!)、10月27日と11月2日にHardening Oneが行われ、無事に終了しました。 前回のイベントが終わった直後には、「次回のイベント(Hardening One)は、今回のやつをちょっといじって開催すればいいかな」と安易に考えていました。しかし、Hardening Zeroのゲストとして参加していただいた篠田陽一教授から、「同じものを流用なんて、ナメたことを妄想してんじゃねーよ!!」(過大表現アリ)と激励されてしまい、今回もまた大掛かりに取り組んでHardening Oneを開催しまし
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
パケット系男子たちが燃えた! セキュリティ・キャンプ開催 - @IT
2012/08/20 8月14日から18日にかけて、4泊5日の日程で「セキュリティ・キャンプ中央大会 2012」が開催された。 9回目を迎えるセキュリティ・キャンプだが、今年から運営形式が変わり、多くのセキュリティ/IT関連企業も後押しする「官民連携」を打ち出した。閉講式において、経済産業省 商務情報政策局 地域情報化人材育成推進室長 小林信彦氏は「この数年、情報セキュリティを取り巻く環境は大きく変化している。今回のキャンプは、官民共同で若手人材育成を加速化する取り組みの第1回目だ」と述べ、参加者に向けて「それぞれキャンプから戻っても、ここで学んだ知識やノウハウを生かし、願わくは今後の情報セキュリティを担う人材になってほしい」と呼び掛けた。 キャンプには294名の応募者の中から、事前課題の選考を経て選ばれた40名が参加。下は13歳から上は22歳までの参加者が、「ソフトウェアセキュリティ」「
ファーストサーバ、データ消失事故の再発防止策を公表 - @IT
2012/08/10 ファーストサーバは8月10日、6月20日から21日にかけて発生したデータ消失事故と、その復旧作業過程で生じた情報流出事故を踏まえた再発防止策をまとめ、公表した。8月25日までに一連の対策を実施する予定だ。同時に、関係者の処分も行った。 データ消失事件については、基準やルールに関する「運用」と、2次バックアップの取得という「システム」の両面で対策を講じる。 運用に関しては、システム変更のための社内マニュアルを、開発プロセス、運用プロセス両方の視点から検証し、安全性を確認した上で、部内ルールとして「再徹底」する。同時に、開発部門と運用部門を分離し、業務分担や責任範囲を明確にする。 具体的には、本番システムに対する変更権限を持つのは運用部門に限定。配布試験やシステム検証試験などの、社内マニュアルに沿った受け入れ基準を満たさない限り、開発部門からのシステム変更要請は受け入れな
実録、「Hardening Zero」の舞台裏
Hardening Zero、開催しました!! 皆さんこんにちは、川口です。最近、このコラムの更新頻度を落として何をやっているんだと気になっている方もいるかもしれませんが、記念すべき第40回目のコラムのために、実はこんなイベントに関わっていました。 4月はこのイベントにかかりっきりで、終わった後はしばらく燃え尽き症候群になっていました。ようやくこのイベントの開催報告のコラムを書くことができました。今回はHardening Zeroの企画から開催までの経緯について、裏話も交えながら解説します。 「運用」に光を――Hardening Zeroにかける思い 「Hardening Zero」とは、WASForumが主催する、最高の「守る(Hardening)」技術を持つトップエンジニアを発掘、顕彰するための競技大会(イベント)です。今回は今後継続して実施していく意図を持ったこのイベントにおける「第
知らないほうがいいのかもね? 人の脆弱性にハラハラ
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 改正不正アクセス禁止法、成立 特定の国や企業をターゲットにした攻撃や、正義を掲げ活動するハクティビストの動きが盛んだ。 これらの攻撃は既存の手法を組み合わせたものであって、根本的に新しい部分はない。だが、筆者が情報セキュリティにかかわるようになってから10年以上が経つが、これほどまでにつかみどころがなく、多岐に渡る大規模な動きはなかったように思う。サイバー情勢が世界中で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第3回 w32tmコマンドとレジストリによるWindows Timeサービスの制御