ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴:セキュリティクラスター まとめのまとめ 2014年7月版(1/2 ページ) 連載目次 2014年7月のセキュリティクラスターは、ベネッセコーポレーションが2000万人分以上もの個人情報を名簿業者に販売され、それがたくさんの会社に出回って販促などに使われてしまったことが大きな話題となりました。サーバーの脆弱性を突かれたりするなどの派手な攻撃ではなかったのですが、非正規社員が社内業務の深い部分までアクセスする権限を持っており、機密データを不正に持ち出せる環境にあったことで、サーバーへの攻撃以上に人ごととは思えなかったセキュリティ関係者も多かったようです。 技術的な話では、アプリケーションによる証明書のPinningや、ブラウザーのオートコンプリートについて活発に議論が行われていました。また日本最大のセキュリティコンテスト「SEC
脆弱性と攻撃をめぐる事件と話題
話題となったHeartbleedをきちんと理解できていますか? 本連載では、ゼロデイ攻撃を議論するための基盤となる「基本的な技術情報」をまとめます。 連載目次 セキュリティ、“ちょっとだけ技術寄り”の基礎固め 「セキュリティ」という言葉が普及したことで、より「分かりやすいセキュリティ」が求められるようになりました。そして、その反動なのか、セキュリティに関する具体的な技術詳細について取り上げられる機会が少なくなったように思います。私自身、広く理解される内容を求められることが多く、少々フラストレーションが溜まっているような気がしています。 そこで、機会が少ないのであれば自分で取り上げてみようと、「誰もが理解できる」ことは忘れて、「Beyond Zero-day Attacks ~ゼロデイ攻撃をめぐる攻防~」と題したセミナーを、INTEROP Tokyo 2014においてトレンドマイクロの新井さ
仮想化を利用したWindows XP運用も安全ではない
サポートが終了し、新たなセキュリティパッチの提供が停止したWindows XP。「仮想化すれば安全」という説があるが、それは本当か? 解説 Windows XPは2014年4月でサポートが終了したため、原則として新たな脆弱性が発見されてもセキュリティパッチが提供されず、新たな攻撃を防御できない状態に陥っている。しかし予算不足や互換性問題といった事情から、いまだに相当数のWindows XP搭載マシンが現役として稼働しているという。こうした中、Windows XPを「延命」するのに仮想化技術を利用した方法が提案されることがある。では、仮想化でWindows XPは安全に運用できるのだろうか? ●単に仮想化しただけでは危険性は変わらない 仮想化を利用すると安全性が高まるという仮説は、「Windows XPを仮想化すれば、マルウェアの感染経路から隔離できる」ことを想定している。Windows X
CSIRTをめぐる5つの誤解
サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT(Computer Security Incident Response Team)への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。 昨今のサイバー攻撃は複雑かつ巧妙であり、どんなに堅牢に防御しても、インシデントの発生を100%防ぐことは不可能です。そのため、企業や組織は「インシデントは起きるものである」という事故前提の考えに基づいた対応体制を用意する必要に迫られています。そのような情報セキュリティ対応体制の中核を担うのがCSIRT(シーサート:Computer Security Incident Response Team)です。 CSIRTへの関心は
なぜ、DNSはキャッシュポイズニング攻撃の危険に(まだ)さらされるのか
なぜ、DNSはキャッシュポイズニング攻撃の危険に(まだ)さらされるのか:管理者、そしてユーザーにできる対策は?(1/2 ページ) 日本レジストリサービス(JPRS)は2014年4月15日に、「キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」という緊急注意喚起を公開した。この文書の背景とDNSサーバーに求められるセキュリティ対策について、JPRSに聞いた。 2014年4月15日、日本レジストリサービス(JPRS)が「キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」という緊急の注意喚起を公開した(関連記事)。この注意喚起の意味するところは幾つか考えられるが、最も重要なのは、今もなお10%程度残っていると発表された危険なキャッシュDNSサーバーの存在であろう。 今も残っている危険なキャッシュDNSサーバー 今回公開された注意喚起は、
Webサイト常時SSL化のススメ - @IT
2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、Pay
5分で絶対に分かるバッファオーバーフロー ― @IT
バッファオーバーフロー攻撃の仕組みを知ろう 皆さんがよく利用しているアプリケーションにセキュリティホールが見つかり、「悪意のあるコードが実行される可能性がある」というような内容のニュースをよく耳にします。 しかし、自分でインストールしたわけでもなければ、実行させたつもりもない「悪意のあるコード」がなぜ実行できるのでしょうか? 今回は、バッファオーバーフローを利用して、ほかのアプリケーション上で悪意のあるコードが実行される仕組みについて説明していきます。
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
重要! まずは「オリジン」を理解しよう
連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回から、HTML5やJavaScriptに関連したセキュリティの話題について連載することになりました。よろしくお願いします。 もう読みましたか? HTML5のWebアプリセキュリティに関する報告書 皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター(以下、JPCERT/CC)から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。 この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
