連載目次 ヒープ破壊を行う「User After Free」とは 前回は、ヒープオーバーフローを中心とした、ヒープ破壊の脆弱性と、その対策について紹介しました。今回は、ヒープオーバーフローと別の手法でヒープ破壊を行う「User After Free」と呼ばれる攻撃と、Use After Freeと一緒に使われることが多い「ヒープスプレー」について紹介します。 図1に見るように、Use After Freeは、2011年から悪用される割合が増えており、2013年のデータでは、最も悪用された割合が多い脆弱性タイプになっています。 Use After Freeは、前回も紹介をしたヒープオーバーフローと同じくヒープ領域に対する攻撃で、ヒープ管理とヒープ領域のアドレスを記録する変数（ポインター）の不整合を使います。通常はこのような不整合が生じることはないのですが、例えばエラー処理やリトライ処理、マル

公衆無線LANを安全に使う際や、社外から社内ネットワークに接続する際には、VPN（Virtual Private Network）による接続を利用する。Windows 10では、［Windowsの設定］アプリの［ネットワークとインターネット］画面で簡単にVPN接続（VPNクライアント）の設定が行える。 だが、VPNサーバ（VPNの接続先）によってはこの設定だけではつながらないことがある。 またVPN接続のユーザー名のみを保存することができず、ユーザー名を設定してしまうと、パスワードが「空の状態」でもVPN接続を開始してしまうという使いにくい設定となっている。セキュリティのためにパスワードを毎回入力するようにしたい場合や、ワンタイムパスワードで毎回異なるパスワードの入力が必要な場合、いちいちユーザー名も同時に入力する必要がある（ユーザー名だけを入力したままにはできない）。 そこで、こうしたV

0分 - ソフトウェアでネットワークをプログラミング！ 今までコンピュータのネットワークは、どちらかといえば“静的な”存在でした。組織変更や新しいサービスの投入に合わせてネットワーク構成の変更が必要な場合には、ネットワーク管理者が関連する機器それぞれの設定変更をマニュアル操作で行っていました。 しかし、サーバ仮想化やクラウドの登場により、現在はこうした静的なネットワークの在り方が根本から見直されてきています。 例えば、サーバ仮想化のおかげで、何台ものサーバが突如としてネットワーク上に現れたり、「ライブマイグレーション」によって、突然サーバがネットワークのある部分から別の部分へ移動したりといったことが起きるようになりました。ネットワークも、これらに適応した柔軟かつ迅速な構成変更が求められるようになっています。 あるいは、クラウドの登場によって、1つのデータセンター内で複数の顧客の通信をそれぞ

ご存じですか？ ISMS規格改訂の背景と意図：みならい君のISMS改訂対応物語（1）（1/2 ページ） 情報セキュリティマネジメントシステム（ISMS）評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この新規格に対応する際のポイントとは何でしょう？ とある会社のISMS推進チームメンバー、「みならい君」と一緒に学んでみましょう。 情報セキュリティマネジメントシステム（ISMS）の評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この物語は、ISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みをその新規格（ISO/IEC27001:2013）へ対応させる作業を行っていく過程を描くものです。 読者の皆さまには、この連載を通じて、改訂版規格であるIS