第三回・NTTコムウェア-バイオメトリクスは現場で使えるのか?
NTTコムウェアでは、システムインテグレータとして指紋認証ソリューション「e-UBF」を提供している。周波解析法というアルゴリズムを利用したことで、指紋認証における弱点といわれる部分がカバーできると判断したためだ。 NTTグループがかなり早い段階からバイオメトリクスソリューションの導入を開始していたため、システムインテグレータとしてバイオメトリクスの提供を開始した実績はあった。しかし、本格的に指紋認証ソリューションの提供を開始したのは、e-UBFから。現在は評価版の提供を開始、およそ500システムの評価版が利用されているという。今回は、インテグレータとしての立場から見たバイオメトリクス製品について、同社に話を聞いた。 ■ 周波解析法を利用したシステムを提供 NTTコムウェアでは、NTTグループ内での個人認証導入の必要性から、バイオメトリクスを使ったITソリューションに早い段階から取り組んで
検索サイトの“怪現象”---MSの情報を検索すると,無関係なサイトが上位に
マイクロソフトの情報をGoogleなどで検索すると,同社とは無関係なサイトが「microsoft.com」のサイトよりも上位に表示される場合があることが,4月末以降,一部のコミュニティなどで話題になっている。そういったサイトは,DNSに登録するIPアドレスをmicrosoft.comのアドレスにしているだけなので,表示されるコンテンツはマイクロソフトのコンテンツそのもの。しかし今後,悪質なコンテンツを表示するように変更される可能性があるので,microsoft.comドメインのコンテンツを参照するようにしたい。 自分が管理するドメイン名をDNSに登録する際,そのドメイン名に対応するIPアドレスに,自分の管理下にないIPアドレスを指定するサイト管理者は以前から存在する。最近は,検索サイトで検索すると,microsoft.comのIPアドレスを指定している無関係なサイトが,マイクロソフトのサイ
「Word」にゼロデイ脆弱性--すでに日本政府機関が被害に
Symantecは米国時間5月19日、新たに存在が発見され、いまだ修復が施されていない「Microsoft Word」のセキュリティホールが、コンピュータユーザーをサイバー攻撃の脅威にさらすおそれがあると警鐘を鳴らした。 Symantec Security ResponseのシニアディレクターVincent Weafer氏は、この脆弱性を悪用して、日本の政府組織が利用するPCに攻撃を仕掛け、侵入を試みた事例がすでに発生していると、インタビューの中で語った。こうした状況を受け、Symantecは同社の「ThreatCon」を、攻撃の蔓延を示唆するレベル2へ引き上げた。 Weafer氏によれば、「ゼロデイ脆弱性(パッチがリリースされていない脆弱性)を悪用し、特定の標的を狙う今回の攻撃は、勢いを増している。日本国内のある大手顧客から報告を受けたが、現時点ではそのほかの攻撃は把握していない」という
「Wordのパッチは,遅くても“6月の定例公開日”にリリースする」,米MS
米MicrosoftのMicrosoft Security Response Center(MSRC)は米国時間5月19日ならびに5月20日,Microsoft Wordに見つかった新しい脆弱性(セキュリティ・ホール)に関するコメントを発表した。それによれば,今回の脆弱性を修正するパッチは,次回のセキュリティ情報公開日である6月13日(日本時間6月14日)にはリリースするという。 Microsoft Word XP/2003にはパッチ未公開の脆弱性が見つかっており,その脆弱性を突くプログラム(ファイル)が出回っていることが確認されている(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。脆弱性を悪用するWordファイルがメールに添付されて,特定の組織に向けて送られているという。Word XP/2003がインストールされた環境でそのファイルを開くと,あるWebサイトに置かれた悪
Wordの未知の脆弱性を突くゼロデイ攻撃 | スラド
Sassy曰く、"ITmediaによると、未知のMicrosoft Wordの脆弱性を利用した特定組織向けの電子メール攻撃が確認された模様。現在Microsoftがこの脆弱性をふさぐセキュリティパッチを作成中とのことだ。 SANS - Internet Storm Center - Targeted attack: Word exploit - Updateによれば、この攻撃メールにはExploit-OleData.genというトロイの木馬が添付されているようだ。これが実行されると、コマンドを受け取るために特定の(BackDoor-CKB!cfaae1e6によれば、***.3322.orgという中国系)サイトにアクセスする仕組みになっているらしい。 特定組織向け(どこなのでしょうね?)ということで、今のところ部外者には影響はなさそうだ。とはいえ最近なんとなくゼロデイアタック(過去のストーリ
Microsoft Wordにパッチ未公開の脆弱性,攻撃プログラムが出回っている
国内外のセキュリティ組織ならびベンダーは5月20日,Microsoft Wordに見つかった新しい脆弱性(セキュリティ・ホール)を悪用するプログラムが出回っているとして注意を呼びかけた。細工が施されたWordファイルを開くと,ボットのような悪質なプログラムをインストールされる恐れがある。現時点では修正パッチは未公開。回避策は,信頼できないファイルを開かないことなど。 セキュリティ組織などの情報によると,Word 2003およびWord XPにはバッファ・オーバーフローのセキュリティ・ホールが見つかったという(JPCERT/CCなどでは,これら以外のWordにも同様のセキュリティ・ホールが存在する可能性があるとしている)。このため細工が施されたファイルをWord 2003/XPで開くと,ファイルに仕込まれた任意のプログラムを実行させられる可能性がある。 実際,今回のセキュリティ・ホールを突い
Windowsのパス名処理に問題,ウイルス対策ソフトなどを回避される恐れ
セキュリティ組織の米SANS Instituteなどは現地時間5月15日,Windowsのパス名処理に不具合が見つかったことを明らかにした。パス名に細工が施されると,Windowsはそのファイルの場所(パス)を適切に示せなくなる。このため,例えばWindows上で稼働するウイルス対策ソフトのおいては,「ウイルスを検出しても,その実体にアクセスできずに駆除できない」といった問題が発生する恐れがある。 今回の不具合は,DOS形式のパス名を,NT形式のパス名に適切に変換できない場合があることが原因。Windowsには,パス名を変換するための関数が複数存在する。特定の細工が施されたDOS形式のパス名をNT形式に変換しようとすると,適切な関数が選択されずに誤った変換をおこなってしまう。この結果,ファイルが存在するパスと,関数が返すパスが異なることになる。 Windowsだけではなく,Windowsの
「どんな環境でもつながります」,技術系ベンチャが新型VPNシステムを開発
インターネットにつながっていれば,USBキーを装着するだけでどこからでも社内LANにつながる--。そんなサービスが2006年9月ごろに始まる。サービスを提供するのは,アクセンス・テクノロジーという社員11人の技術系ベンチャ企業だ(写真)。 同社のサービスは,いわゆるインターネットVPN(仮想閉域網)を構築できるもので,「ミエルリンク」と呼ぶ。企業ユーザーは,本社などセンター側に専用のサーバーを設置し,クライアント・パソコンに専用USBキーを装着するだけ。インターネットに流れるIPパケットの中に,イーサネット・フレームを包んで流し,遠隔地にあるパソコンと社内LANを結ぶ。ソフトイーサの「PacketiX VPN Server」によく似た仕組みを,サービスとして提供する。 ミエルリンクが優れている点は,ブロードバンド・ルーターなどのNAT(network address translation
怪しい電話の正体 - mizuno_takaakiの日記
最近家に頻繁に所属を名乗らない電話がかかってきていて、何の電話だろうと思っていました。「山本ですけど貴明さんいますか?」みたいな感じでかかってくるので、「どんなご用件ですか?」と聞くと「本人にしかお伝えできない」みたいなことをいうし、所属を聞いても答えないので、何かの勧誘や怪しい電話かと思って「用件を話せないなら取り次げない」(本当は本人が出ているんだけど)とかって電話を切っていました。 でもこの前、たまにはパターンを変えてみようと思って「彼はもうここには住んでいません。連絡させるから電話番号を教えてくれ」と聞いてみたら意外にすんなり電話番号を教えてくれたので、あれ?とおもってその番号をGoogle先生に聞いてみたら、クレジットカード会社の番号でした。引き落とし先に指定していた銀行口座の残金が足りなくて引き落としができなくて、その連絡だった模様。しまった。引っ越したって言っちゃったよ...
検索エンジンは危険なリンクでいっぱい――McAfeeが調査報告
検索エンジンで表示されたWebサイトをクリックすると、ユーザーの安全が脅かされる恐れがある――。セキュリティ企業のMcAfeeは5月12日、検索エンジンの安全性に関する調査報告書を公表した。 McAfeeでは4月に買収したSiteAdvisorのサイト安全評価レーティングを使い、1月から4月にかけて、Google、Yahoo!、MSN、AOL、Askの米5大検索エンジンで検索結果に表示されるサイトを調べた。 その結果、全検索エンジンで、アドウェアやスパムを配布したりコンピュータやブラウザの設定を変えてしまう危険サイトがキーワード検索結果に表示されることが判明。検索結果に占める危険サイトの割合が最も高かったのはAskの6.1%で、次いでGoogleとAOLが5.3%、Yahoo!が4.3%、最も少ないMSNが3.9%だった。 特に、「free screensavers」「digital mu
検索エンジンの使用にはリスクが伴うという調査結果 | スラド
maia曰く、"米McAfee及びSiteAdvisor(McAfeeが買収)が行った、検索エンジンの安全性に関する初といえる包括的な調査によれば、主要な検索エンジンの全てが、検索結果としてアドウェアやスパムを配布したり設定を変えてしまうような敵対的サイトを表示した(Press Release、SiteAdvisorによる調査結果全文、ITmediaの記事)。検索順位とは殆ど相関性がなく、平均3.1%、スポンサー付き広告リンクでは8.5%に上った。全体を平均すると、Askは6.1%、GoogleとAOLが5.3%、Yahoo!が4.3%、MSNが3.9%だった。「free screensavers」のようなダウンロード物の検索キーワードが非常にリスキーなのは分かるが(Yahoo!の結果が72%、Googleは64%)、ごく普通のワードと思われる「Birthday cards」が15.6%、
三菱とNECが「量子暗号」で共同実験,長距離対応に道筋
写真 量子暗号システムの相互接続実験の様子 三つのラックのうち,写真左が三菱の量子暗号システムとパソコン,中央が中継センター,右がNECの量子暗号システムとパソコン 三菱電機とNEC,東京大学生産技術研究所(東大生研)は5月12日,盗聴が不可能とされる暗号通信を実現する量子暗号システムの相互接続に成功したと発表した。これにより,遠く離れた拠点間で量子暗号を利用するための道筋ができた。 量子暗号は,光の実体となる粒子「光子」を使ってデータをやり取りする仕組み。盗聴すると光子が消失したり状態が変化する現象を利用して解読を防ぐ。主に,システム間で暗号鍵を交換する際に暗号鍵を盗み見られるのを防ぐために利用する。ただ,光子は20km程度で大幅に減衰するため,実用範囲は20km程度の距離を結ぶ1対1通信に限られていた。今回,量子暗号の通信を中継するシステムを三菱とNECが共同開発。実験では,40kmで
総務省が「職場外のパソコンで仕事をする際のセキュリティガイドライン」を公表 | スラド
faune曰く、"いささか旧聞に属するが、相次ぐP2Pソフトを悪用した情報漏洩の発生への対策からか、総務省が4月28日「職場外のパソコンで仕事をする際のセキュリティガイドライン」(リンク先はプレスリリース)を発表した。 セキュリティ対策の必要性を概論で判りやすく説明した上で、必要な対策を「ルール」「人」「技術」という切り口で整理している。当たり前といえば、当たり前の話ばかりとは思うが(とはいえ、 私物パソコンの業務利用について原則不可としていなかったりする点は気になる)、/.Jerの職場ではどのような対策が採られているだろうか? これは個人的な疑問なのだが、ガイドライン本文(リンク先はpdf)で記載されているルール面に関する対策の一つである「一時的に職場外で参照する場合など、原本である必要性がないものは、複製を持ち出す」というのはどのような事態を想定しているのだろう?通常は共有のファイルサ
「『ラブレタ』出現から6年,ウイルスの傾向は変わった」---ソフォス
セキュリティ・ベンダーの英Sophos(ソフォス)は現地時間5月4日,世界中に大きな被害を及ぼした「ラブレタ」ウイルス(別名「Love Bug」や「ILOVEYOU」)が出現してからちょうど6年経過したことに合わせて,ここ数年のウイルス(悪質なプログラム)の傾向を総括した。それによると,ウイルスの傾向は大きく変化しているという。 2000年5月4日に出現したラブレタは,メールで感染を広げるウイルス。ラブレタに見せかけたメールに自分自身を添付して送信し,ユーザーにウイルス・ファイルを開かせようとする。ラブレタの流行以降,ユーザーをだましてメールで感染を広げる「マスメーリング(mass-mailing)」タイプのウイルスが全盛となる。 しかし最近では,マスメーリング・タイプは減ってきており,代わって,特定のユーザーや企業/組織を狙ったトロイの木馬(targeted Trojan horse)が
「セキュリティ・ソフトの“押し売り”に注意」---IPA
“押し売り”のために表示される偽メッセージの例(<a href="http://www.ipa.go.jp/security/txt/2006/05outline.html" target=_blank>IPAの情報</a>より引用) コンピュータ・ウイルスなどの届け出先機関である情報処理推進機構(IPA)は5月2日,「ウイルスに感染している」といったメッセージを表示して,セキュリティ対策ソフトと称するソフトをダウンロードおよび購入させようとするプログラムやWebサイトに関して注意を呼びかけた。 IPAが警告している手口は,ポップアップやWebページを使って,実際には感染していないにもかかわらず,ウイルスやスパイウエアに感染していると脅かすというもの。そして,駆除したければ,リンクなどをクリックしてセキュリティ対策ソフトと称するソフトをダウンロードしてインストールするよう促す。 指示に従っ
対策ソフトの「押し売り」に関する相談が急増――IPAが警告
情報処理推進機構は5月2日、2006年4月のコンピュータウイルス/不正アクセスの届出状況をまとめ、公開した。 情報処理推進機構(IPA)は5月2日、2006年4月のコンピュータウイルス/不正アクセスの届出状況をまとめ、公開した。 4月のウイルス検出数は、3月の約256万個から約3割減少し、約179万個にとどまった。この要因としてIPAでは、全体の約4分の3を占める「Netsky」の検出数が、3月の約203万個から約136万個へと減少したことを挙げている。なお検出数のワースト2位はMytob(約27万個)、3位はBagle(約6万個)だった。 一方、不正アクセスの届出件数は15件、うち実際に被害に遭った件数は7件となった。その中には、SQLインジェクション攻撃を受けてサーバが乗っ取られ、攻撃の踏み台として悪用するためのツールが埋め込まれていたケースがあったほか、無料のメールサービスで短いパス
データの一部をオンラインストレージに分割保存し、情報流出を防ぐUSBメモリ
サスライトは4月28日、USBメモリを紛失した場合でも情報流出を防げる「Hybridストレージ」を開発、5月1日より提供を開始すると発表した。 Hybridストレージは、グローバルフレンドシップの「GFi電子割符」を用いたSASアプリだ。このサービスではデータを2つに自動分割し、それぞれのファイルはUSBメモリとオンラインストレージ領域に保存される。ユーザーが「SASTIK−LIMO」に保存されたファイルをダブルクリックすると自動的に結合・展開されるというものだ。暗号化は解読される危険性があるが、Hybridストレージではデータの一方をオンラインストレージ領域に保存するため、USBメモリを紛失した場合でも「SASTIK−LIMO」へのログインを停止することで情報漏えいを防ぐことが可能になる。 使い方はHybridストレージの領域へドラッグ&ドロップ、複合化もダブルクリックするだけの簡単設計
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/wmnews/20060515/11.html
http://japan.internet.com/developer/20060425/25.html
「ファイルの誤った公開」の届出が急増、IPAの脆弱性届出状況