「チャットから管理者IDが漏洩」、マイネットがスマホゲーム障害で公表スマートフォン向けオンラインゲームの運営・運営受託などを手掛けるマイネットは13のゲームタイトルで発生したサーバー障害の原因に関する中間報告を公表。攻撃者の侵入経路がサーバー管理者向けに設けているVPNだったと明らかにした。
脆弱性発見報奨金制度の「本音」対談、外部のバグハンターとどう付き合うか?
脆弱性発見報奨金制度の運営ノウハウや苦労話を本音で語るLINEとサイボウズの対談。第1回はプログラムの準備、第2回は審査や報奨金の決定過程を紹介したが、第3回は外部のバグハンターとのコミュニケーションにおける苦労話を紹介する。 写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の李明宰氏、LINE セキュリティ室の中村智史氏 記者 報奨金プログラムでバグハンターとやり取りする過程で、どのような点に苦労しましたか。 サイボウズ伊藤氏 まず、マンパワーという点で一番大変だったのは、報奨金プログラム本体ではなく、2014年8月上旬に実施した「バグハンター合宿」(関連記事:サイボウズが実施した「バグハンター合宿」)でした。2日で50件以上の脆弱性報告を評価しました。 通常の脆弱性プログラムでは、評価結
サイボウズとLINEが語る報奨金制度、脆弱性報告への報酬金額はどうやって決める?
脆弱性発見報奨金制度(バグバウンティ)の運営で難しい事の一つに、報告された脆弱性を「審判」としてどのように評価し、報奨額を決めるか、がある。報奨金制度において、審査の実務とはどのようなものなのか。第1回に続き、サイボウズとLINEの担当者が語る。 写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の中村智史氏、LINE セキュリティ室の李明宰氏 記者 報告された脆弱性の審査では、どのような点に苦労しましたか? 明らかな脆弱性であるものを「脆弱性ではない」と評価すればバグハンターは怒りますし、評価は報酬額に直結するので、透明性がないとバグハンターに不満がたまってしまいます。 サイボウズ伊藤氏 サイボウズでは基本的に、報告を受けた脆弱性の客観的な評価基準として、共通脆弱性評価システム「CVSS(C
先進2社が語るバグ報奨金制度、「やはり社内でも反対意見はありました」
バグを発見した人に、最高2万ドルの報酬金を出します―。 メッセンジャーアプリ開発のLINEは、2015年8月から9月にかけ、LINEアプリの脆弱性を報告したユーザーに報奨金を支払う「LINE Bug Bounty Program」を実施した。計200件の報告が集まり、LINEはこのうち7人が報告した14件の脆弱性を認定、1人については最高額の2万ドル(240万円)を支払った。 自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者(バグハンター)に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度(バグバウンティ)」と呼ばれる。 米国では、マイクロソフトやグーグルのようなIT企業に加え、ペイパルのようなITサービス企業、さらには航空会社の米ユナイテッド・エアラインズのような一般企業も導入している(関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」
低価格ロードバランサーに中位モデル、WAFを標準提供
バラクーダネットワークスジャパンは2014年5月13日、低価格をうたう負荷分散装置のラインアップを拡張し、ミッドレンジクラスの「Barracuda Load Balancer 540」(写真)を発表、同日販売を開始した。今回さらに、新モデル540以上の上位3モデルにおいて、これまでオプション扱いだったWAF(Webアプリケーションファイアウォール)機能を標準で付けた。開発会社は米Barracuda Networks。 Barracuda Load Balancerは、低価格であることを主な特徴とする負荷分散装置である(関連記事:バラクーダが低価格をうたう負荷分散装置4モデルを出荷)。価格(税別)は、セッション管理機能を持たない最安価モデル「モデル240」(スループットは100Mビット/秒)で36万5000円である。今回発表したモデル540は、フル機能を備えたミッドレンジクラスであり、価格は
第1回 漢字コードの基礎、JISコード
官庁や自治体における、いわゆる行政情報システムでは、一風変わった漢字コードが用いられている。人名や地名に必要な漢字を、それぞれの省庁が思い思いの形で、情報システムに搭載してきたためだ。本特集では、これら行政情報処理用漢字コードのうち、現在かなり大きなシェアを持つ3つの漢字コードの現状をお伝えしようと思う。 その3つとは、総務省系の「住民基本台帳ネットワーク統一文字」、法務省系の「戸籍統一文字」および「入国管理局正字」だ。さらに、これら3つの漢字コードを一体に統合すべく構築されつつある、経済産業省系の「文字情報基盤(IPAmj)」を最終回で扱う。 ただ、これら4つの漢字コードを理解するためには、JISで制定された漢字コードの理解が不可欠なことから、第1回の今回は、「JIS X 0213」と「JIS X 0212」について、行政情報処理の視点、特に異体字処理の視点から述べることにする。 マイナ
データ盗難の原因はSQLインジェクション――AppSec 2014で警鐘
写真2●OWASPがまとめた2013年版の「OWASP TOP10」。昨年と比較して、「脆弱性を持つソフトウエアライブラリの使用」が新たに9位にランクイン。 「Webアプリケーションからデータを盗まれる原因の過半数は、SQLインジェクションの脆弱性である。SQLインジェクション対策は、簡単なのに実行されていない。その理由は、啓蒙不足ではないか」――Webアプリケーション開発者へセキュリティの注意喚起などを行うOWASPが主催する会議「AppSec APAC 2014」で2014年3月19日、米アスペクト・セキュリティのCOOであるデイブ・ウィカーズ氏(写真1)はこう話した。 OWASPは、3年ごとにWebアプリケーション担当者が注意すべきトピック10個を、「OWASP TOP10」として公表している(写真2)。キーノートに登壇したウィカーズ氏は、2013年版のTOP10を執筆した担当者であ
「システム偏重のセキュリティはダメ。」――奈良先端の山口教授
Webアプリケーションのセキュリティ情報を公開するOWASPが主催する国際会議「AppSec APAC 2014」が2014年3月17~20日、東京の御茶ノ水ソラシティカンファレンスセンターで開催中だ。3月19日から始まったカンファレンスでは、冒頭のキーノートに奈良先端科学技術大学院大学の山口 英教授(写真1)が登壇。システム保護偏重になりがちな国内の情報セキュリティの考えは間違いであり、担当者はデータ保護を実践すべきだと訴えた。 山口氏は、企業のビジネスがグローバル化するなかで、コンピュータネットワークは不可欠とした。ただ多くのシステムは、一般化しており、壊れたら代替品をすぐ用意できる環境になったという。しかし、システム上で扱うデータやそれを活用するノウハウは代替が存在せず、守るべきものはデータだと強調した。 世界的にはデータ保護の重要性が広く認識されているが、日本ではそれが数段遅れてい
セキュリティをチェックする“センサー”を早期に組み込め――AppSec APAC 2014から
「アプリケーションシステムのセキュリティ対策は、ソフトウエアの進化に追いついていない」。 Webアプリケーションの安全性を確保するためのツールやガイドラインを公開しているOWASP(Open Web Application Security Project)が主催する国際会議「AppSec APAC 2014」で2014年3月20日、米アスペクト・セキュリティのCOOであるデイブ・ウィカーズ氏(写真)はこのように語った。ウィカーズ氏はOWASPで最も人気のあるプロジェクト「OWASP Top 10 2013」の筆者である(関連記事:データ盗難の原因はSQLインジェクション――AppSec 2014で警鐘)。 ソフトウエア技術の進展により、システムは複雑化の一途をたどっている。一方で、セキュリティ技術の向上も続いているが、そのスピードはソフトウエア開発に追いついていない。「システムは多数のア
開発チームのなかに「セキュリティチャンピオン」を作れ――AppSec APAC 2014から
写真1●OWASP会長のマイケル・コーツ氏。米モジラでセキュリティ・アシュアランス・ディレクターを務めた Webアプリケーションの安全性を確保するためのツールやガイドラインを公開しているOWASP(Open Web Application Security Project)が主催する国際会議「AppSec APAC 2014」で2014年3月20日、OWASP会長のマイケル・コーツ氏が基調講演に登壇した(写真1)。テーマは「The Online war―security in an interconnected and complex world of software」。コーツ氏はWebブラウザー「Firefox」を開発する米モジラで、セキュリティ・アシュアランス・ディレクターを務め、Firefoxのセキュリティ向上に貢献した。現在は米シェイプセキュリティのセキュリティディレクターである
「セキュリティ人材を育成する場に」、日本発の国際会議「CODE BLUE」が開催
写真●左から、「CODE BLUE」実行委員長の佐々木良一氏、レビューボード長の鵜飼裕司氏、基調講演のスピーカーであるジェフ・モス氏およびクリス・イーグル氏、発起人兼事務局の篠田佳奈氏 「情報セキュリティの人材を育てる場にしたい」――。情報セキュリティの国際会議「CODE BLUE」の実行委員長を務める、東京電機大学の佐々木良一教授は2014年2月17日、記者発表会の席上、同会議の開催目的などを説明した(写真)。 CODE BLUEは、国内のスタッフや専門家によって国内で開催される、日本発の情報セキュリティ国際会議。今回が1回目。日本語で論文の執筆や講演できることなどが特徴。講演時には同時通訳を用意する。 これにより、英語が原因で国際会議の参加をためらっていた国内の専門家の参加を促す。今回は、韓国語による講演もサポート。「日本語に限らず、非英語圏の専門家を発掘し、世界に紹介したい」(COD
スマホをトイレに置き忘れた結果
「さっきトイレに行ったら、見覚えのあるスマホが洗面台に置きっぱなしになっていたよ」。会社の同僚にそう指摘されハッとした。手元にあるはずのスマホが無いのだ(写真1)。 メールやSNSのチェック、Webサイトの閲覧などに大活躍のスマートフォン。肌身離さず持ち歩いている人も多いだろう。記者もその1人。トイレに行くときも必ずスマホを持っていく。どうやら、手を洗うときに洗面台にスマホを置き、そのまま置き忘れてしまったようだ(写真2)。 急いでトイレに駆けつけた。だが、スマホは無かった。頭が真っ白になる。誰かに持ち去られたようだ。
監視カメラ映像というビッグデータ、人混みから顔認証で「あなたの顔」を見つけ出す
駅の改札を通る人たちの動く映像から人の顔だけを識別し、しかも性別と年齢を自動推定している。青色が男性、赤色が女性、数字が年齢を示す。顔認証技術を持つグローリーが駅に許可を得て実験した時のもの グローリーの顔認証技術は、セキュリティ業界関係者の間で評価が高い。システムに顔写真を登録すると、人混みの映像の中からでも、簡単に本人を見つけ出せてしまう。厳重な入退館管理が求められるビルなどでは、特に重宝される。 認証精度は99.99%以上といい、顔が似ている「他人」と間違える確率が非常に低いのが特徴だ。この他人識別率が顔認証の技術力の高さを測る、1つのバロメーターになっている。 一口に顔認証といっても、デジタルカメラなどに搭載されている「人の顔かどうか」を判別する簡易的なものから、それこそ本人かどうかを識別するものまで、幅広いのが実情である。 その点、グローリーは本人照合の一本に絞って、技術開発を続
インターネット・ワームの原点「Morris Worm」の脅威
世界中に蔓延(まんえん)し,今なお攻撃を続けている「Code Red」(あるいは「Code Red II」)ワーム。しかし,インターネットに大きな影響をおよぼしたワームはこれが初めてではない。13年前,システム管理者たちを恐怖に陥れた「Morris Worm」が登場している。今回はインターネット・ワームの原点である Morris Worm を取り上げ,ワームの脅威について一から考えてみたい。13年前の例から学べることは,いまだに実に多いのである。 ワームが招いた「暗黒の木曜日」 事の始まりは,1988年11月2日。同日夕方に MIT (マサチューセッツ工科大学) のホストに仕込まれた Morris Worm は自己増殖を繰り返しながら,インターネット(当時は 「ARPANET」)に接続しているホストへ侵入して,次から次へと感染を広げていった。 そして,最終的にはインターネットに接続している
行刷会議、IPAの中核事業にメス
◆今回の注目NEWS◆ ◎行刷会議、IPAの中核事業にメス(日経コンピュータ、12月16日) 【ニュースの概要】 政府の行政刷新会議は2010年11月26日、独立行政法人 情報処理推進機構(IPA)が手掛ける中核事業について見直しの方針を決めた。「独立行政法人の事務・事業の見直しの基本方針」の一環だ。見直し対象になったのは、「オープン・クラウド環境整備」「高度IT人材の育成」「情報システムの信頼性の向上」「情報セキュリティ等対策の推進」といった中核事業である。 ◆このNEWSのツボ◆ 行政刷新会議が、独立行政法人 情報処理推進機構(IPA)の事業に大胆に切り込んだようだ。確かに、IPA事業をまったく見直す必要がないと言うつもりもないが、今回の見直し内容には疑問が残る。 見直し内容を簡単に整理すると、 ●オープンクラウド環境整備 → 廃止 ( 4.5億円) ●情
第11回 楽天の「Rakuten-CERT」――既存の体制を生かしながら構築,外部関連組織との連携を強化
第11回 楽天の「Rakuten-CERT」――既存の体制を生かしながら構築,外部関連組織との連携を強化 日本シーサート協議会/JPCERTコーディネーションセンター 江田 佳領子 フリーライター 松山 正隼 「行ってきます!」。BP商事のA君は、カバンを手にして勢いよくオフィスを後にした。 A君は、同社のIT企画室に所属する入社3年目のエンジニアだ。昨年の春に、社内のインシデント対応体制の構築を担当することになった。その作業を進める最中にCSIRT(シーサート)の存在を知り、そこからは「BP-CERT(サート)」の構築に向けた取り組みを続けている。そのめどが立ち始めたことを受け、昨年の10月からは日本シーサート協議会(NCA)の協力を得て、国内で活動中の実在するCSIRTを訪問して、ヒアリング調査をしている。 今回の訪問先は、ネットショッピングをはじめとするインターネット総合サービスを提
◆コラム◆安全でないライブラリーのロード(DLLのプリロード)問題
2010年8月24日に、マイクロソフトからセキュリティアドバイザリー(2269637)「安全でないライブラリーのロードにより、リモートでコードが実行される」が公開されました。以下で、どのような問題なのかを概観します。 この問題は、「バイナリーの植え付け(Binary Planting)問題」「DLLのプリロード(DLL Preloading)問題」「DLLの乗っ取り(DLL Hijacking)問題」と呼ばれています。アプリケーションがDLL(ダイナミックリンクライブラリー)ファイルを読み込む際に問題が発生し得るぜい弱性で、DLLファイルが格納されているディレクトリーを検索する順序に起因したものです。既に100近くのアプリケーションに対して問題の存在が指摘されています。ただし、この指摘は今回が初めてではなく、2000年にInternet Explorerのぜい弱性発見で著名なゲオルギ・グニ
「Webアプリの脆弱性対策は簡単です」
「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術本部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ
Windows 7の内部機構:カーネルAPIの作り直し
McAfee Avert Labs Blog 「Windows 7 – Kernel API Refactoring」より January 5,2010 Posted by Bing Sun 米マイクロソフトが最新版クライアントOS「Windows 7」を一般発売してから、多くの人が「MinWin」と呼ばれる新たなカーネルに興味を示すようになった。ところが、MinWinを正しく理解して説明できる人はまずいないし、「MinWin」と「Server Core」を混同している場合が多い。そこで「MinWin」という用語をきちんと説明しよう(関連記事:「Windows 7」は数え切れないブラッシュアップで見違えるほど洗練されている/Windows 7:それほど新しくないMicrosoftの新MinWinカーネル)。 マイクロソフトがサーバーOS「Windows Server 2008」で実現したも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第4回 コスプレ七変化に癒される!?