高木浩光@自宅の日記 - 官庁はJavaの脆弱性にどう対処すればいいのか
■ 官庁はJavaの脆弱性にどう対処すればいいのか 現状、Webを閲覧利用するにあたって、JRE(Javaの実行環境)のインストール を求められるのは、民間商用サイトにおいてはめったにないことだと言ってよ い。それに対し、政府系の電子申請システムを利用しようとすると、大半のケー スでJREのインストールを求められる。これは、ファイルに対する電子署名の 処理をクライアント側で行うようにしたこと、採用したXML形式による署名の ためにJavaライブラリが充実していることなどが原因だろうか。Javaの普及を 願う者としては願ったり叶ったりだが、JREの脆弱性発覚時の体制がWindowsの それほどには確立していないことが、仇となってしまっている。 インストールさせる者による脆弱性告知 先日の宮城県のケースはともかくとして、 JREをインストールさせている官庁(中央省庁および地方自治体)にとって、
USBメモリを用いたソーシャル・エンジニアリング
ソーシャルエンジニアリングの第一歩は、「組織内の人に化けること」にある。イーサン・ハントみたく化けの皮を被る必要もない。もっと重要なのは、機密ではないが、組織内の人しか知りえないような情報を知っていること。例えば座席表やビルドサーバの名前だとか。 ひとたび組織内の人に化ける情報を得たならば、攻略はぐっと楽になる。「欺術」を参考に潜入を進めることができる(ホントにやっちゃダメよ)。ここでは、USBフラッシュメモリを使って最初のハードルを効率的に超える方法を考えてみよう。 オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなんてありふれているし、最近じゃオサレな奴やカワイイ系まで出回っているぐらいだ。誰かが落としたんだろうな… で、何が入っているのだろうか? で、自分のPCに挿してみる…が、すぐに覗けない。それぐらい知ってるって、し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
超mixi足あとちょう
http://www.asahi.com/national/update/0513/TKY200605120420.html