2008年7月，米グーグルは同社が開発したWebアプリケーションのぜい弱性検出ツール「ratproxy」をオープンソースとして公開した。検索サイト最大手の同社は，攻撃を受けることも多い。Google Appsをはじめ，代表的なWeb 2.0系アプリケーション開発の先駆者でもある同社が開発したツールの威力はどれほどのものか。ぜい弱性検査の専門家が探った。 “受動的”な検出ツール，Web 2.0系のぜい弱性に強み 検出できるぜい弱性は42種類，SQLインジェクションは苦手 Content-TypeなどでXSSの危険度をチェック JavaScriptスクリプトに潜むXSSのぜい弱性も検出 JavaScript Hijack/JSON Hijackのぜい弱性

米Googleは米国時間2008年7月1日，Webアプリケーションの安全性を確認できるツール「ratproxy」をオープンソースとして公開した。同社のWebサイトから無償ダウンロード提供している。 同ツールは，これまで同社が社内でWebアプリケーションを試験する際に使っていた。プロキシ・サーバーとして作動し，クロスサイト・スクリプティングに悪用される恐れのあるコードや，情報漏えいにつながる問題などを調べられる。従来のセキュリティ・ツールと違い，意識することなく利用でき，オーバヘッドも小さいという。 ソフトウエア・ライセンスはApache License 2.0。現在のバージョンは「1.51ベータ」。Linux/FreeBSD/Mac OS Xと，Windows向け疑似UNIX環境Cygwin用に開発した。 [GoogleのMichal Zalewski氏によるブログ投稿記事]

情報処理推進機構（IPA）は2008年4月18日、Webサーバーのアクセスログから、Webサイトへの攻撃を検出するツールを公開した。IPAのWebサイトからダウンロードできる。現在のところ、検出できる攻撃は「SQLインジェクション」のみだが、今後は他の攻撃にも対応する予定。 最近、Webサイトを狙った攻撃（特に、SQLインジェクション攻撃）が相次いでいる。攻撃の結果、ウイルスを感染させるようなコードをWebページに仕込まれたり、Webサイトのデータベースから顧客情報を盗まれたりしている。 そこでIPAでは、Webサーバーのアクセスログを解析して、「SQLインジェクション攻撃をどの程度受けているのか」や「攻撃によって被害が発生していないか（攻撃が“成功”していないかどうか）」を調べるためのツール「iLogScanner」を公開した。 このツールは、Webブラウザー上で実行するJavaアプレッ

不正プログラム撲滅プロジェクトのStopBadware.orgは米国時間2008年1月31日，米RealNetworks製メディア・プレーヤ・ソフトウエアの現行版「RealPlayer 11」と旧版「RealPlayer 10.5」がバッドウエア（悪質なソフトウエア）であると警告した。 RealPlayer 11については，インストール時にユーザーから許可を得ずプレーヤ・エンジン「Rhapsody Player Engine」を導入するにもかかわらず，アンインストールしてもRhapsodyを削除しない点を問題視した。RealPlayer 10.5については，システム・トレイから広告をポップアップ表示する未登録ユーザー向け機能「Message Center」の説明不備を指摘した。 StopBadware.orgによると，RealNetworksは両ソフトウエアのこうした動作を認めている。「R

PostgresForestは，複数台のPostgreSQLサーバーを仮想的に1つに統合し，並列分散動作させるソフトウエアである。同ソフトを導入することで，PostgreSQLで構築したデータベース・サーバーの可用性や拡張性を向上できる。 この数年間でLinuxを中心としたオープンソース・ソフトウエア（OSS）は，目覚しい発展を遂げている。特に，Webサーバーに「Apache HTTP Server」，アプリケーション・サーバーに「Tomcat」，データベース・サーバーに「PostgreSQL」を用いた3層システムは，Webシステムの定番と呼べる存在になった。 ただし，Webシステムの可用性や拡張性を考慮した場合には，これらのソフトウエアだけでは不十分だ。Webサーバーとアプリケーション・サーバーはともに，複数台を並列に動作させれば可用性や拡張性を確保できる。しかし，データベース・サーバー

情報処理推進機構（IPA）は、圧縮・解凍用フリーソフト「Lhaplus（ラプラス）」におけるセキュリティ上の弱点（脆弱性）に関する注意喚起を公表した。この脆弱性は、フォティーンフォティ技術研究所の鵜飼裕司氏が指摘したものだという。 IPAによると、Lhaplusにはファイルの展開処理に問題があり、バッファ・オーバーフローを引き起こす脆弱性が存在する。具体的には、Lhaplus Version 1.54 以前の場合、ARJ 形式のアーカイブを展開するときにバッファ・オーバーフローが発生する可能性があるという。悪意のあるユーザーがARJ アーカイブに意図的に埋め込んだプログラム・コードが実行される恐れがある。これにより、コンピュータ上でユーザーが意図しないプログラムが実行されたり、ファイルの削除、ウイルスやボットなどがインストールされたりする。 IPAでは、対処済みのLhaplus Versi

TrueCryptは，暗号化ドライブを作成，運用するためのソフトです。ハードディスクのパーティションをまるごとTrueCryptボリュームとして暗号化ドライブにできるほか，ディスク上に作ったファイル型のTrueCryptボリューム（「コンテナ」と呼びます）を暗号化された仮想ドライブとして利用することもできます。 暗号化/復号化はファイル読み書きの際にメモリー上で自動処理されるため，ユーザーは暗号化を意識せずに使えます。実装されている暗号方式は，AES（Advanced Encryption Standard），Blowfishなど6種類。それらを複数組み合わせる方法も5通り用意されています。 公式サイトでは全ソースコードのほか，Windows 2000/XP/Server 2003版といくつかのLinuxディストリビューション版のバイナリを配布しています。Windows版のバイナリ・パッケ