OSSと脆弱性の“現実”--認識を変えた2014年の事件
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 最も利用されているシステムとなったOSS 今回からセキュリティ分野のニュースなどで取り沙汰されることの多いオープンソースソフトウェア(OSS)の脆弱性について述べたい。ここ数年、Apache StrutsやBINDなどの脆弱性が原因となるさまざまなサイバー攻撃の被害がニュースなどで散見される。「OSSのような脆弱なソフトウェアはセキュリティの観点から利用しない方がよい」という意見を持っている人も少なからずいる。OSSが本当に脆弱なシステムなのかという観点で考察する。 私
「どうすればいいか分からない」--L・トーバルズ氏、散らかった自宅オフィスを公開
Linuxカーネルの開発者であるLinus Torvalds氏が、ハードウェアが乱雑に置かれた自宅オフィスとトレッドミルデスク(ルームランナーと机が一体化したもの)を披露した。トレッドミルデスクは電子メールを読むときに使用し、コーディングには使わないという。 Torvalds氏はかなり長い時間を椅子に座って過ごしてきた。そんな同氏がトレッドミルデスクを購入したのは1月のこと。世間には早足で歩きながら電子メールの閲覧からニュース速報記事の執筆を済ませられる強者がいるようだが、Torvalds氏は歩きながらの作業はあまり生産的でないと感じている。 「私はこれを『ゾンビシャッフリングデスク』(ゾンビのように足を引きずって歩くデスク)と呼んでいる。時速1マイル(約1.6km)以上に設定したら、マウスを正確に操作できなくなり、ウィンドウを閉じられなくなるからだ」。同氏は自宅オフィスを紹介する動画の中
NISTが警告、SMSでの二段階認証が危険な理由
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「SMSでシークレットコードを送信するのはやめてください。安全ではありません」――。これは、米国立標準技術研究所(NIST)が2016年の夏前に発信したメッセージの内容ですが、この件についてさまざまな意見や疑問、戸惑いの声があがりました。この件に関する問題を整理してみたいと思います。 まず、事の経緯についてですが、NISTは「Digital Authentication Guideline」(デジタル認証ガイドライン)の草案を公開し、一般からの意見を募集しました。このガイドラインの最終版は2017年9月に発行の予定です。 ガイドラインの「Section 5.1.3.2」では「Out-of-Band verifiers」(帯域外検証者)に
IAB、IPv4アドレス枯渇対応の必要性呼びかけ - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 遅れているIPv6への移行プロセスは新たな節目を迎えている。IAB(Internet Architecture Board)は米国時間11月7日、IPv4アドレスプールが枯渇しており、「この結果、(IPv4とIPv6の両方をサポートする)デュアルスタック環境とIPv6のみの環境の増加傾向は、今後ますます強まっていくだろう。このため、今後通信プロトコル標準は、IPv6を全面的にサポートする必要がある」と声明の中で述べている。 IABは、今後通信プロトコルのIPv6への依存が高まることから、IPv6の使用を前提に既存の標準を見直し、標準の説明でIPv6を使用した例を提供すべきだとしている。 また、「IABは、IETF(Internet En
WindowsにMicrosoftアカウントが盗まれる既知の脆弱性--概念実証サイトが公開に
Zack Whittaker (Special to ZDNET.com) 翻訳校正: 編集部 2016-08-03 10:59 Windowsには、悪意を持って作成されたウェブサイトにユーザーを誘導することで、サインインしているユーザーのユーザー名とパスワードが盗まれる可能性がある既知の脆弱性が存在する。 しかし今回、新たに概念実証サイトが公開され、実際に簡単に認証情報を盗めることが示された。 このセキュリティホールの存在は20年近くも前から知られている。この問題は1997年にAaron Spangler氏によって発見されたものとされており、2015年にラスベガスで開催された年次イベント「Black Hat」でも、再び話題になった。 このセキュリティホールは、Windows 8がユーザーのログインにMicrosoftアカウントを使い始めるまでは、大きな問題ではないと考えられていた。Mic
グーグルが耐量子計算機暗号の実験を開始
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間7月7日、HTTPSに使用されているセキュリティプロトコルを破ることができる大規模な量子計算機の開発を見越して、「Chrome」に量子暗号時代に備えた技術の実験を始めたと発表した。 同社のソフトウェアエンジニアMatt Braithwaite氏は、デスクトップ用ChromeとGoogleサーバの接続の一部に、耐量子計算機鍵交換アルゴリズムを追加したと説明している。通常使われる既存の楕円曲線鍵共有アルゴリズム上に耐量子計算機暗号アルゴリズムが追加されるため、ユーザーのセキュリティレベルはこれまでと同水準に保たれるという。 現時点では、この実験は開発者向けChromeである「Chrome Canary」に導入されており
脆弱な「QuickTime for Windows」を削除すると「Creative Cloud」利用に一部不具合
Adrian Kingsley-Hughes (Special to ZDNET.com) 翻訳校正: 編集部 2016-04-20 10:10 セキュリティコミュニティーは「Windows」ユーザーに対して、多くの重大な脆弱性が存在するとして「QuickTime for Windows」の削除を勧告しているが、Adobeはこれを削除すると「Creative Cloud」ユーザーにとって不具合が生じる可能性があると警告している(訳注:日本のユーザー向けの公式発表も公開されている)。 「残念ながら、Windows環境にインストールされたQuickTimeに依存しているコーデックが存在しており、その代表例がApple ProResだ。このフォーマットが多くのワークフローで頻繁に使用されていることは認識しており、状況改善ために対応を進めていくが、現時点ではネイティブデコードが可能になるまでの期間
「Windows 10」で動作するUbuntuのBashシェル--その実現方法
「Windows 10」の次期大型アップデート「Redstone」では「Ubuntu」が動作することになりそうだ。 Microsoftと、Ubuntuの開発元であるCanonicalは、コンテナ内や仮想マシン(VM)上のLinuxではなく、「Windows Subsystem for Linux」(WSL)という、Windowsネイティブなライブラリとプログラムを使ってUbuntuを稼働させようとしている。 WSLは、1月にリリースされたWindows 10のプレビュービルド「Build 14251」でひっそりと追加された。そのリリースから数日後、lxcore.sysとlxss.sysという2つの新しいサブシステムが、WindowsプログラマーによるLinuxアプリケーション開発のためのブリッジなのではないかという指摘が、ある開発者によってなされた。その指摘は半分当たっていた。 WSLはそ
仮想化時代の終わりを告げる5つの兆候
Janakiram MSV (Special to TechRepublic) 翻訳校正: 石橋啓一郎 2015-08-26 06:45 仮想化の時代は終わろうとしているのだろうか?最近起きた出来事やトレンドを見る限りでは、答えはイエスだ。この記事では、IT業界が仮想化の次の時代に移ろうとしていることを示す5つの兆候を紹介する。 1.コンテナの台頭 サンフランシスコのPaaS(サービスとしてのプラットフォーム)会社だったdotCloudがLinuxのコンテナをベースとした新たな技術のデモを行ったとき、その技術はDevOpsの課題を解決する興味深い手法に見えた。しかし、それが時代を変えるような技術に成長するとは誰も予想しなかった。そのdotCloudは、今やシリコンバレーの寵児であり、10億ドル規模のスタートアップ企業であるDockerとなった。同社の技術は、ソフトウェアの開発と導入の形を再
中国人プログラマーの実情--使用OS、ブラウザ、言語、そして気になる年収は?
山谷剛史の「中国ビジネス四方山話」 中国人プログラマーの実情--使用OS、ブラウザ、言語、そして気になる年収は? 中国でのプログラマー(中国語で程序員)の実情を知るべく、最近出た中国プログラマーレポートをまとめてみた。 7月にCodeforgeが発表した「中国程序員調査報告」によると、年代構成は20代が4割、30代が4割、40代が1割となっている。精神力と体力の面から30代で多くのプログラマーが限界を感じるようだ。男女比は8:2、つまり女性1人に対して男性が4人いることになる。学歴別では大卒以上(40.5%)が最も多く、以下高卒(28.6%)、短大(16.7%)と続く。地域別には広東省(17.6%)と北京市(15.0%)が突出して多く、以下江蘇省(10.7%)、上海市(9.2%)、山東省(8.8%)、浙江省(8.2%)、陝西省(8.1%)、四川省(7.9%)、湖北省(7.85%)となってい
コンピュータの修理をタダで引き受けてはならない10の理由
ITプロフェッショナルであれば経験があると思うが、筆者も友人や家族からPCの修理を頼まれたことが何度もある。筆者は常に、可能な限り人々の期待に応えようとしていたが、他人のPCを無償で修理するというのはいくつかの例外を除き、良い考えではないということに気付いた。 誤解しないでもらいたい。筆者にも、頼まれた際に何のためらいもなく手を差し伸べたくなる人々がいる。筆者は、コンピュータの障害に直面した妻に手を差し伸べないことなどあり得ないし、母親を見捨てることもあり得ない。しかし残念ながら、筆者が手助けしたほとんどの人は、その恩を仇で返すかのような行動に出たのである。このため本記事では、他人のPCを無償で修理するのはお勧めできない理由を10個挙げている。 #1:手助け以降に発生した問題はすべてあなたのミスになる 友人や家族がコンピュータの修理を頼んでくるのは、自らで問題を解決するだけの十分な知識を持
再稼働迫るCERNの大型ハドロン衝突型加速器--陰で支えるIT技術
Andrada Fiscutean (Special to ZDNET.com) 翻訳校正: 編集部 2015-03-19 06:00 あるボタンを押すだけで、人類がこれまでに作った中で最も大きな装置が稼働する。スイスのジュネーブ近郊の地下約100mに設置された大型ハドロン衝突型加速器(Large Hadron Collider:LHC)は数週間以内に再稼働し、再び歴史的な偉業を成し遂げようとしている。欧州原子核研究機構(CERN)では、世界がどのようにして誕生したのか、そして、ビッグバンの直後に何が起きたのかを解明するため、膨大な数の研究者たちが実験に従事している。ほとんどの場合、研究の大躍進の功績を独占するのは、物理学者である。しかし、彼らもIT要員の協力がなければ、偉業を成し遂げることはできなかったはずだ。 ITデータ&ストレージサービスグループのリーダーを務めるAlberto Pa
グーグル、Windows脆弱性をまた公開--ここ1週間で2度目
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleが、メモリ上のデータを暗号化するCryptProtectMemory関数の脆弱性が「Windows 7」と「Windows 8.1」にあることを発見し、ゼロデイ攻撃の撲滅を目指すプロジェクト「Project Zero」が設ける90日間の期日が過ぎたとして、情報を公開した。 脆弱性を見つけたのは、特権昇格のバグを米国時間1月11日にも公開しているJames Forshaw氏。特権昇格のバグが公開された際には、Microsoftは苦言を呈している。 Forshaw氏によると、今回の脆弱性は、なりすましチェックの回避につながるもので「CryptProtectMemory関数はプロセス、ログオンセッション、コンピュータの3つのシナリ
SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘
Googleに所属するSSL専門家のAdam Langley氏は米国時間12月8日、自身のブログで多くのTLS実装に対して警告を出した。以前明らかになった、SSLバージョン3(SSLv3)に影響する「POODLE(Padding Oracle On Downgraded Legacy Encryption)」攻撃と同じような攻撃につながる脆弱性を含んでいるという。 SSLv3は、CBCモードの暗号でデータのパディングを効果的に特定しない。そのため、ブロック暗号の整合性をきちんと確認できず、「パディングオラクル攻撃」を可能にしてしまう。SSLv3の後、仕様はTLSと改名され、バージョン1になった。TLSv1の変更点の1つとして、パディングオラクル攻撃を防ぐためのパディング処理を改善した。 だが、TLS実装でもパディングバイトのチェックは完全ではないという。多くのTLS実装がSSLv3ソフトウ
Google App Engineに複数の脆弱性--問題は「30を上回る」と研究者ら
Larry Seltzer (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2014-12-09 06:13 Security Explorationsの研究者は、「Google Cloud Platform」の一部である「Google App Engine」のJava環境に深刻な脆弱性が複数存在することを発見したと報告している。 Google App Engineは、人気の高いさまざまな言語やフレームワークを使用するカスタムプログラムを実行するためのGoogleのPaaS(Platform as a Service)製品だ。こうしたカスタムプログラムの多くは、Java環境で構築される。 Security Explorationsによると、これらの脆弱性を悪用すると、Java仮想マシンのセキュリティサンドボックスを完全に回避できるほか、任意のコードを実行す
Windowsの「Kerberos認証」に発見された脆弱性の詳細が明らかに
Microsoftが米国時間の11月18日に配信した定例外のセキュリティ更新プログラム「MS14-068」は、極めて深刻な問題を修正するものだった。ユーザーはこの脆弱性を悪用すれば、ログイン中のドメイン内で、自身の特権をドメイン管理者などに自由に昇格できてしまう。 セキュリティ情報の事前通知では、修正される脆弱性が「特権の昇格」であり、深刻度が緊急であると発表されていたが、詳細については公表されていなかった。その後、Microsoftはこの脆弱性に関するさらに詳しい情報を「Security Research and Defense Blog」で公開した。 今回の問題の深刻性を理解するには、「Kerberos認証」の仕組みを知る必要がある。Microsoftは以下の図表を公開している。 今回、脆弱性が発見されたのはドメインコントローラ内のコンポーネント「キー配布センター(KDC)」である。図
SSL 3.0の脆弱性「POODLE」について知っておくべきこと - ZDNet Japan
2014年はサーバでサポートされる技術のセキュリティ問題がいくつも発覚しているが、その最新のものが、SSL 3.0の深刻な脆弱性「POODLE」だ。POODLE(または「CVE-2014-3556」として表される)は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を公表したGoogleの研究者のBodo Möller氏とThai Duong氏、およびKrzysztof Kotowicz氏によって命名された。「POODLE」が発見されたことを受けて、システムオペレーターはサーバ側でSSL 3.0のサポートを停止しており、古くなった同プロトコルだけをサポートするシステムは切り捨てられようとしている。 POODLEはブラウザが暗号化を処理する仕組みに存在する脆弱性だ。攻撃者はSSL 3.0による通信を行うように仕向けることで、
IT分野でキャリアアップする10の方法
Mary Shacklett (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子 2014-10-14 06:00 若手のIT技術者と話をすると、彼らがある種の運命的なものの見方をしているように感じられる場合もある。まるで彼らは、定められたレールの上を走らされており、永久に脱出できない仕事の迷宮に閉じ込められていると感じているかのようだ。しかし、その見方は誤っている。どのような状況であっても、キャリアを進展させるとともに、ITに関する理解を向上させるための手段は数多くあるのだ。 以下は、IT分野におけるあなたのキャリアを飛躍させるための10のティップスである。 #1:自身の置かれている状況に合った才覚を見つけ出す 筆者は昔からコミュニケーションスキルに秀でていたため、仕事を始めた頃(ITの技術的な側面に注力しようとしていた頃)は、何度も講師役やドキュメント作
緊急地震速報は鳴ったか--気象庁に聞く
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 気象庁は9月16日の12時33分、震度5の地震が発生したと発表した。東京23区では震度4を観測したが、NTTドコモ、au、ソフトバンクの一部の携帯電話にはメールなどによる緊急地震速報の通知が来なかったようだ。 気象庁の岩村公太氏に話を聞いたところ、次のような回答があった。 「今回の地震は北関東が中心だったため、当該地域の各事業者に通知した。通常、緊急地震速報は震度5以上を中心に震度4の揺れが発生する可能性がある地域に通知する設定になっている。だが、システムの精度の問題で、震度4以上の揺れが東京に来ると予測できず、通知できなかった」
レッドハットの最高技術責任者が辞任
Red Hatの一般従業員は誰もこの事態を予想していなかったようだ。同社で長らく最高技術責任者(CTO)を務めてきたBrian Stevens氏が辞任することになり、従業員らは「ショッキングだ」とか「ボディーに一発食らった気分」との反応を示している。 同社は簡潔なプレスリリースで「Brian Stevens氏がCTOの座を降りる」と発表した。 Red Hatのプレジデント兼最高経営責任者(CEO)のJim Whitehurst氏はその発表のなかで「Brianの長年にわたる尽力と、Red Hatのビジネスにおける数多くの貢献にわれわれは感謝している。同氏の今後の活躍を祈りたい」と述べた。 Red Hatが新CTOを選出するまで、同氏の職務はRed Hatの製品及びテクノロジ担当プレジデントであるPaul Cormier氏が代行する。 Stevens氏は2001年からRed Hatに在籍してい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
