ScanNetSecurity - Googleの「Native Client Security Contest」に日本人研究者が入賞
米Googleが開催した「Native Client Security Contest」の審査結果が7月上旬発表され、株式会社サイバーディフェンス研究所の福森大喜氏が4位に入賞したことがわかった。 同コンテストは、Google社が提供するオープンソース技術 Native Client のセキュリティ上の脆弱性を見つけ出し報告することで行われ、2009年2月25日から開催され5月5日に終了しており、当誌の調査によれば、世界中の研究者や学者、総勢約600名の個人による、約400のチームがこのコンテストに参加した。 審査は、参加者によって発見された脆弱性の「重要度」及び「件数」をもとに、プリンストン大学の Edward Felten 氏他による計9名の審査員が行った。1位には8,192ドル、2位には4,096ドル、3位には2,048ドル、4位5位には1,024ドルの賞金がGoogleから
ScanNetSecurity - 情報に出会いに行こう!ラクにセキュリティの知識を身につける方法
新しいセキュリティの知識は身につけたいけれど、日々の忙しさのあまり自分で何かを調べてまとめることや、体系立てて学ぶということもなく、だらだらとニュース記事やブログを読むばかり。そんな毎日を送っていないだろうか。 ●情報には出会いに行くものだ 重要な情報というのは人が教えてくれるものだと思っている筆者は、何か新しいセキュリティの知識を身につける手段の1つとして、しばしば勉強会やセミナーを活用することにしている。忙しくても自分が興味を持ったタイトルがあるときにはなるべく参加する。 なぜ参加するのかというと、プレゼンテーションを見ることで、ある分野のある切り口を体系立てて知ることができ、その全体像を効率よくつかむことができるからだ。そして、人が話題にしない話というのは大して重要じゃないことが多い。果てしなく広いネットで情報収集にのめり込んで時間を費やしてしまうより、情報に出会いに行く
ScanNetSecurity - AV Tokyo のCTFプロジェクトに聞く DefCon CTF 2009 予選の傾向
今年の夏もラスベガスでセキュリティ会議 DefConが開催される。同会議ではハッキングコンテスト CTF(Capture the Flag)の本選も行われ、世界中から集まった参加者がハッキング技術を競う。 その予選が6月6日8時から6月8日8時までオンライン上で行われ、世界中からハッカーが参加した。今年は、問題を出題するチームが昨年までのKenhotoからddtekに替わり、更に本選出場枠が今までの予選上位7チームから上位9チームに増え、昨年まで惜しくも予選で敗退していたチームにもチャンスが広がった。 CTFの予選には、日本からもAV Tokyo の CTFプロジェクトが参加し、日本勢としては過去最高の順位(SCAN調べ)を記録した。その予選の様子をAV Tokyo CTFプロジェクトのtessy氏に聞いた。果たしてAV Tokyo のCTFプロジェクトは日本人チーム初の本選出場を
ScanNetSecurity - 「韓国のセキュリティは石焼ビビンバだ」韓国ハッカーカンファレンス「CodeGate」体験記(1)
アンニョンハセヨ。Scan特約ライターのジャック飯沼です。今回は去る4月15日にソウルで開催された、ハッカーカンファレンス「CodeGate」に参加してきましたので、その様子をお伝えします。 先ずはこのイベント、今回が第1回なのですが、もともと「HackTopia」という名前で準備されていました。しかし、ドメインが取れない、韓国政府も正式にイベントを支援しているため「Hack」というのはどうなのか、等々により、「CodeGate」として開催されることになったそうです。表向きの主催者は韓国内でPKIなどを専門とするSoft Forumというセキュリティ会社ですが、実際のカンファレンス運営の中心は「WOWHACKER」という韓国最大のハッカーグループです。WOWHACKERは完全なボランティアベースで、カンファレンスの運営に寄与してますが、やはりお金も必要。スポンサーとして、The Kor
ScanNetSecurity - Black Hat Japan 2008 セキュリティの穴ではなくビジネスロジックの穴を突く Arian Evans氏
●攻撃者の関心の変化 先に掲載されたDan Kaminsky氏のインタビューでも触れられていたが、昔の攻撃者は興味本位で不正アクセスを行っていたが、最近では明らかに金銭を求めて攻撃を行う方面にシフトしている。Love LetterやCode Redのような大規模なセキュリティインシデントが最近発生していないのはご存知の通りだが、その一因に“そんなことをしても金儲けにならない”という側面があることは見逃せない。 インターネットの悪用がどのようにお金儲けに繋がるのかについて語られたArian Evans氏の今回の講演は、日常的に語られることがあまりないネット世界の側面を浮き彫りにするという意味で、非常に興味深い内容であった。 ●チワワコンテストの必勝法 最初に紹介されたのは、Austin American Statesmanという新聞紙が主催したチワワコンテストでのことであった
ScanNetSecurity - サイバーセキュリティ賢者の選択−自分が被害者で発見者になってしまったら
つい最近、筆者は不幸にしてインシデントの被害者&発見者になってしまった。自分のメールアドレスを含む大量のアドレスが、ネットに漏えいしていたのだ。漏えいしている企業に、通報しようかとも思ったが、あまりにも低レベルな問題なので「サイバーノーガード戦法」で逆切れされる危険性もありそうだった。こういう時に、いったいどういう行動をとるのが、安全、安心なのか、今回は「サイバーセキュリティ賢者の選択」を考えてみた。繰り返すが、このケースでは筆者は自分のアドレスが流出している被害者なのである。以下、空想の会話。 サイトの人「どうやって、インシデントを発見したんですか?」 筆者「自分のメールアドレスをgoogleで検索したら、ヒットしたんです」 サイトの人「そのような閲覧は、私どもでは想定していません。想定していないアクセス方法は、不正なアクセスと判断させていただきます」 筆者「ええっ、だっ
ScanNetSecurity - Black Hat Japan 2008 GIF+JAR=GIFARファイルでドメインベースの信頼は破壊される ネイサン・マクフィーター氏
Black Hat Japan 2008 GIF+JAR=GIFARファイルでドメインベースの信頼は破壊される ネイサン・マクフィーター氏 2008年10月10日に開催されたBlack Hat Japan 2008で、「インターネットは壊れている:Document.Cookieのむこう側」というテーマでネイサン・マクフィーター氏が発表した。マクフィーター氏はGIFファイルに手を加えることで、GIF画像ファイルだがJARファイルとしても認識するGIFARファイルを紹介した。 このGIFARファイルを活用することで、イントラネットやデスクトップなどのクライアントサイドの情報が盗むことができる可能性があると発表した。 ●GIFファイルとしてアップロードし、JARとして動作するGIFARファイル GIFARファイルは、画像ファイルであるGIF形式のファイルの外見をしていながら、Java
ScanNetSecurity - サイバーセキュリティ賢者の選択−自分が被害者で発見者になってしまったら
つい最近、筆者は不幸にしてインシデントの被害者&発見者になってしまった。自分のメールアドレスを含む大量のアドレスが、ネットに漏えいしていたのだ。漏えいしている企業に、通報しようかとも思ったが、あまりにも低レベルな問題なので「サイバーノーガード戦法」で逆切れされる危険性もありそうだった。こういう時に、いったいどういう行動をとるのが、安全、安心なのか、今回は「サイバーセキュリティ賢者の選択」を考えてみた。繰り返すが、このケースでは筆者は自分のアドレスが流出している被害者なのである。以下、空想の会話。 サイトの人「どうやって、インシデントを発見したんですか?」 筆者「自分のメールアドレスをgoogleで検索したら、ヒットしたんです」 サイトの人「そのような閲覧は、私どもでは想定していません。想定していないアクセス方法は、不正なアクセスと判断させていただきます」 筆者「ええっ、だっ
ScanNetSecurity - Black Hat Japan 2008 未踏の文字コード×セキュリティを開拓 長谷川陽介氏
2008年10月9日に開催されたBlack Hat Japan 2008で、「趣味と実益の文字コード攻撃」というテーマでネットエージェント株式会社の長谷川陽介氏が発表した。長谷川氏はアプリケーション側の文字コード処理に関するバグを利用したり、文字コードや文字を巧みに操作することで、Webアプリケーションなどに対して攻撃を行うことが可能だと示した。 ●Unicodeへの移行期に起きている混乱 Unicodeは世界で使われる全ての文字を使える文字コードという発想で作られたもので、日本では従来はEUC-JPやShift_JISなどの文字コードが使われていたが、徐々にUnicodeに移行している。その移行期である現在、従来の文字コードとUnicodeとの差違がセキュリティ的な問題を生んでいる。 安全な文字列の確認や危険な文字列の検出といった、文字列を比較して処理するというセキュリティの
ScanNetSecurity - HASH コンサルティング 徳丸 浩氏に聞く Web アプリ脆弱性対策のこれから(1)
HASHコンサルティングの徳丸浩氏は、前職の京セラコミュニケーションシステム(KCCS)では80名ほどの部下を抱える事業本部の副本部長まで務めながら、技術に携わり続ける道を選んで2008年4月に独立を果たした。そんな徳丸氏に、現在のWebアプリケーションが抱えるセキュリティ問題の解決方法と、独立についての話を編集部が聞いた。 --- ■Webアプリケーションという分野への貢献が独立の目的 私が設立したHASHコンサルティングの主な業務は、安全なWebサイト構築に関わるコンサルティングや教育、Webアプリケーションの脆弱性診断などの提供です。また、Webアプリケーションという分野への貢献と、家族との時間を大切にするということも独立した目的の1つです。 独立のきっかけの1つは、たまたま参加したセキュリティの勉強会にセキュリティの分野で独立して仕事をされてる方々がいて刺激を受けた
ScanNetSecurity - 「NOD32」と「ESET Smart Security」比較使用体験記 (2) NOD32とESET、ESETとノートンを比較
「NOD32」と「ESET Smart Security」比較使用体験記 (2) NOD32とESET、ESETとノートンを比較 軽快さを売りにしていたアンチウイルスソフトが、総合セキュリティソフト化されることで、スパイウェアやスパム対策などの追加機能でがんじがらめになって、激重ソフトに変貌し、ユーザーを落胆させることは多い。 「NOD32アンチウイルス(以下、NOD32)」といえば軽快さに定評のある最右翼ともいえるアンチウイルスソフトだが、「NOD32」の総合化された後継ソフトである「ESET Smart Security」は果たしてどうなのか? 先々週までのインタビューでは「ESET Smart Security は NOD32 の軽快さを受け継いでいる」と、販売元企業が激しく主張していたが、果たしてその言葉、鵜呑みにできるのか。その真相を探るべく「NOD32」と「ESET S
ScanNetSecurity - [BHJ2007特約記事] 海外のセキュリティ専門家に聞く先端動向(5) 金床 氏
10月23日から26日に開催される、国際セキュリティカンファレンス「BlackHat Japan 2007 Training & Briefings」には、世界中から選りすぐられた、セキュリティの先端研究者や専門家が日本に結集する。SCAN編集部では、同カンファレンスの協力を得て、来日予定の講師やスピーカー達に横断インタビューを行った。第5回目は、ただ一人の日本人スピーカーであり、世界のエキスパートにもその研究が引用されている金床氏について紹介したいと思う。 ●DNS Rebindingのオンラインデモ 金床氏は、1975年生まれのプログラマー。1998年よりネットワークやセキュリティ関連の情報を提供するJUMPERZ.NETを運営。Guardian@JUMPERZ.NET(Web Application Firewall)、Doorman@JUMPERZ.NET(Client S
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
真実はパケットの中に! パケットキャプチャで実現する IT統制・情報漏えい対策・コンプライアンス〜第1回:企業にいま求められる『不正防止』と『説明責任を果たす』仕組み