「OSのバグを毎日1件公開する」プロジェクトが始動,第1弾はMac関連のバグ
OS関連の新しいバグを11月中に毎日1件ずつ公表するプロジェクト「Month of Kernel Bugs(MoKB:カーネル・バグ月間)」が米国時間11月1日から開始された。同日付けでこのプロジェクト最初のバグとなる,AirPort(AirMac)カードのデバイス・ドライバに関するバグが公表された。 MoKBの目的は,テスト・ツールおよびテスト手順の有効性と,OS(Mac OS X,FreeBSD,Solaris,GNU/Linuxなど)のカーネル・コード(例えば,ネットワークやファイル・システムに関連するコード)の品質を検証すること。ツールとしては,ファイル・システムに関するバグは「fsfuzzer」,そのほかのバグについては「isic」および「sysfuzz」,「mangle」を利用するという。 このプロジェクトにおいて最初に報告されたバグは,1999年から2003年に出荷されたPo
McAfeeをかたるトロイの木馬が出現,DOCファイルを開くと被害に
米McAfeeは現地時間11月2日,同社をかたって悪質なプログラム(トロイの木馬)を送りつけるメールが確認されたとして注意を呼びかけた。悪質なプログラムの実体は,Microsoft Wordの文書ファイル(DOCファイル)に仕込まれたマクロ。ファイルを開くと,パスワードなどを盗む別のトロイの木馬がインストールされる恐れがある。 今回確認されたメールは,差出人を「mcafee@europe.com」などに偽装している。「europe」の部分が別の文字列の偽メールも出回っているという。メールには,「McAfee Inc. Reports.doc」というDOCファイルが添付されている。ファイル・サイズは205824バイト。 このファイルには,同社が「W97M/Kukudro.t」と名付けたトロイの木馬マクロが仕込まれている。このトロイの木馬には,Microsoft Wordの古いセキュリティ・ホ
狙われる「10月公開のセキュリティ・ホール」,攻撃ツールの対象に
イスラエルBeyond SecurityのSecuriTeam部門は現地時間11月4日,広く使われている攻撃ツールに,10月に公表されたWindowsのセキュリティ・ホールを突く“機能”が追加されている可能性が高いとして注意を呼びかけた。 対象となっているのは,マイクロソフトが10月11日に公表した「Windows Explorerの脆弱性により,リモートでコードが実行される (923191) (MS06-057)」。これは,Windowsに含まれるActiveXコントロール「WebViewFolderIcon(webvw.dll)」に関するセキュリティ・ホール(関連記事)。修正パッチを適用していない場合には,このセキュリティ・ホールを突くWebページ/HTMLメールを開くだけで,悪質なプログラムを勝手に実行される恐れがある。 SecuriTeamによれば,この「MS06-057」を突く機
安全なウェブサイトはどうやって作るのか
独立行政法人情報処理推進機構(IPA)は11月1日、ウェブサイト開発者や運営者向けにセキュリティ対策資料「安全なウェブサイトの作り方 改訂第2版」を発行した。 この資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするために発行しているもの。 今回の改訂第2版では、各脆弱性の理解をより深められるよう、攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報が追記されている。ウェブアプリケーションの脆弱性については、新たにCSRF(Cross-Site Request Forgeries/クロスサイト・リクエスト・フォージェリ)とHTTPヘッダ・インジェクションの解説を追加した。 本資料で取り上げている内容は、ウェブサイトに関する届出
マカフィー、スパムメールの新傾向を警告--小さな島々からなる国のドメインを悪用
McAfeeでスパムメール対策を担当する研究者らが、スパムメールの新しい傾向について調査を進めている。同社では、この傾向を「spam island-hopping」と呼んでいる。 セキュリティ対策企業McAfeeによると、小さな島々からなる国のドメイン名を取得し、そのドメインへのリンクをはった迷惑メールを送信する業者が多くなっているという。McAfeeでは、アイルランド海に位置するマン島や南国のトケラウ諸島などのドメイン名を利用したスパム活動を調査している。 スパム送信者は従来、その送信メールに.com、.biz、.infoなどのよく知られたトップレベルドメインを使用していた。小さな島国のトップレベルドメインはスパムフィルタに登録されていない確率が高いため、それらのドメイン名を使用することで検出を回避しようというわけだ。 McAfeeによると、あまり知られていないトップレベルドメインを使用
Firefoxに不正終了させられるセキュリティ・ホール,最新版2.0でも確認
米国立標準技術研究所(NIST:National Institute of Standards and Technology)は現地時間10月31日,Firefox 1.5.0.7やFirefox 2.0に新しいセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにアクセスすると,Firefoxが不正終了させられる。現時点では,任意のプログラムが実行される恐れはないとされている。 今回のセキュリティ・ホールは,このセキュリティ・ホールを突くプログラム(スクリプト)がネット上で公開されたために明らかになった。公開されているプログラムはFirefoxを不正終了させるだけのものだが,任意のプログラムを実行される可能性もあるとされていた。しかしNISTによれば,10月31日時点で入手可能な情報に基づくと,任意のプログラムを実行される恐れはないという。 とはいえ,今回のセキ
非接触ICクレジットカード、情報盗難は容易
米国を含む全世界で普及しつつある、非接触ICクレジットカード。しかしマサチューセッツ大学の研究者らが同カードの第1世代の安全性を実験したところ、認可されていないリーダーを使っても、カード所有者の氏名、カード番号、期限を簡単に読み取れることが分かった。 SANS Internet Storm Centerからリンクが張られた同大学の論文(10月22日付)によると、研究者らは150ドル程度で製作した機器を使い、偽非接触ICカードを作ることにも成功した。また実験から、非接触ICカードの決済時に送受信される情報が偽情報の場合、ほかの支払いシステムにまで影響を及ぼすこと、非接触ICカードはスキミングなどの攻撃に脆弱であることも判明した。 研究者らは今回の実験に当たり、2社2種類のカードリーダー、2005年に米国内の銀行および金融機関から発行された非接触ICクレジットカード約20枚を使用した。 Vis
提案依頼書に盛り込むべきWebセキュリティ項目,JNSAがサンプル提供
日本ネットワークセキュリティ協会(JNSA)は12月5日,Webシステムの構築をSIベンダーに委託するユーザー企業が「提案依頼書(RFP)」に盛り込むべき最低限のセキュリティ項目をまとめたドキュメント「Webシステム セキュリティ要求仕様(RFP)編 β版」を公開した。「対策手法」や「現象(被害内容)」など複数の観点から,重要度を「必須」「推奨」「任意」の3レベルに分け,具体的な記述サンプルを示している点が特徴だ。 Webシステムの脆弱性を突かれてセキュリティ侵害が発生した場合,開発したSIベンダーには瑕疵担保責任が生じる場合がある。だが現実には,瑕疵担保責任を追求することができず,リスクの大半をユーザー企業が負う結果となったケースが少なくない。これは,セキュリティ対策の“妥当なレベル”が日々変化することもあるが,根本的にはユーザー企業とSIベンダーがセキュリティ要件を軽視したままでシステ
さっそく「Firefox 2.0」の脆弱性を指摘する声も--モジラは反論
「Firefox 2.0」にセキュリティ脆弱性が存在するとの報告が2件明らかになっている。米国時間10月25日、Firefox 2.0の公開から一夜明けたMozillaではこれらの2件の情報に反論している。 ソフトウェアのバグを見つけ出すセキュリティ研究者たち、通称「バグハンター」たちは現在、Firefox 2とMicrosoftが米国時間10月18日に公開したばかりの「Internet Explorer 7(IE 7)」に存在するセキュリティ脆弱性を明らかにしようと、躍起になっているように見える。IE 7の正式版に関して初めて見つかったとされる脆弱性は、18日には公表されていた。 現在、Firefox 2.0のバグに関する少なくとも2件の情報が人気の高いセキュリティメーリングリスト上を流れている。しかし、Mozillaは25日、これらの情報に反論している。 Mozillaのセキュリティ責
「Vistaのカーネルアクセスには数年かかる」:ガートナーアナリスト
独占禁止関連の問題を避けるためにMicrosoftが64ビット版「Windows Vista」のセキュリティに変更を加える作業は、完了するまでに数年かかり、それまでの間は、互換性の問題が引き起こされるだろう、とGartnerが明らかにした。 GartnerのアナリストNeil MacDonald氏は米国時間10月18日、ホスト侵入防止システム(HIPS)などのセキュリティ技術を使用しているユーザーは、64ビット版Vistaの購入を当面見合わせるべきだとリサーチメモに記している。MacDonald氏はさらに、現在、多くの統合セキュリティ製品にはHIPSの機能が搭載されていることも指摘した。 MacDonald氏は、「これらの製品の多くが64ビット版Vistaでは完全な機能を提供できない点を認識してほしい。適切な代替製品がなく、互換性のない製品を使っている場合は、初期の64ビット版Vistaを
MS、「Black Hat」で指摘されたVistaの脆弱性に対応
Microsoftは「Windows Vista」を修正し、2006年夏に開かれた知名度の高いセキュリティ関連イベントで示されたハッキング手法を防止できるようにした。ただ、この修正が別の問題を生じる可能性がある。 シンガポールに拠点を置くCoseincのポーランド人研究者Joanna Rutkowska氏は、2006年8月に開催された「Black Hat」で、このハッキング手法を示した。同氏が示したのは、64ビット版のVistaで署名のないドライバコードの実行を防ぐセキュリティ保護機能を迂回する手法。この迂回手法によって、悪意のあるドライバをインストールすることが可能になる。ドライバはOSの低いレベルで動作するため、これは深刻な脅威となる。 Rutkowska氏は、自ら示したハッキング手法を、Windows Vistaの最終テストバージョンであるRelease Candidate 2に対し
[CRYPTO-GRAM日本語版]ヒズボラはイスラエルの暗号無線を解読したのか?
米Newsdayに以下の記事が掲載された。 「イスラム教シーア派武装組織ヒズボラとレバノン当局の情報によると,ヒズボラのゲリラは,2006年8月にレバノン南部でイスラエルと交わした戦闘の際,イスラエル側の無線通信の傍受に成功して機密情報を入手し,イスラエル軍戦車による攻撃の妨害に役立てたという」 「ヒズボラの特殊部隊は,おそらくイランから得た技術を使い,定期的に周波数を変更するイスラエル軍の通信を戦場において傍受したのだ。ゲリラは,傍受した情報からイスラエル側の動きや死傷者に関する報告,補給ルートなどを把握した。さらにヒズボラ/レバノン当局は,『通信傍受のおかげで,ヒズボラの対戦車部隊がイスラエル軍の機甲部隊を効率よく狙うことができた』としている」 記事を読んでみよう。基本的に,問題は運用時の間違いにある。 「無線通信に使う周波数を変えつつ暗号化すると,ほとんどの場合,傍受は極めて困難とな
会社におけるログの重要性を考える―捜査技術の第5条「情報収集がターゲットを絞り込ませる」―
会社におけるログの重要性を考える―捜査技術の第5条「情報収集がターゲットを絞り込ませる」―:ビジネス刑事の捜査技術(10)(1/3 ページ) 警察活動において、最重要とされる「警ら活動」が民間ではあまり重視されていない。これはなぜだろうか。今回は、捜査の技術第5条「足元を固める情報収集活動がターゲット像を絞り込ませる」について、警ら活動とログの話を中心に考える。 筆者が警察組織を辞めてコンサルタント会社に勤め始めたとき、自社内の仕事を警察の仕事に置き換えて理解しようとしていた。例えば、営業は捜査に、製造はサービスを企画・設計するという意味で企画、購買は調達、総務は総務、人事労務は警務・教養、経理は会計といった感じで置き換えてみた。 特に「顧客を捜し出す営業」のような仕事には捜査の技術が役に立つ、ということに筆者は早くから気が付いていた。そんな中で、不思議だったのが警察活動の基礎ともいうべき
「ノートPCを持ち出し禁止にしても逆効果」、竹中工務店グループのIT部長
「ノート・パソコンを持ち出し禁止にするなど、極端に効率性を犠牲にするセキュリティ強化には意味がない」。竹中工務店グループで建物の総合管理を手がける、アサヒ ファシリティズの河野雅英IT管理室長はこう語る。「セキュリティ対策にルールの作成や順守は欠かせないが、業務効率が大きく下がるルールを作ってしまうと、必ず隠れて違反する社員が出てくる。守られないルールなら、作らなくても同じ」(同)。 こうした考えのもと、アサヒ ファシリティズは現在、営業担当者などが持ち歩くノート・パソコンと社内のデスクトップ・パソコンのセキュリティ対策を進めている。「業務の効率性を保ちつつ、想定できるあらゆる事態に対処できるよう心がけた。表玄関にカギをかけても、裏口が開いていたらダメ。セキュリティは、全方位で考える必要がある」(河野室長)。 同社はまず、社内にウイルスを持ち込めないようにする仕組みを作った。最新パッチを適
Multi Level Securityでより厳密なポリシーを実現する - @IT
第7回 Multi Level Securityでより厳密なポリシーを実現する 古田 真己 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ 2006/10/21 前回のMulti Category Security(MCS)の続きとして、今回はSELinux Referenceポリシーの新機能であるMulti Level Security(MLS)の取り扱い方を解説したいと思います。 MLSはMCSと同じく、標準のポリシー(Strict/Targeted)に対するオプションとして導入されます。MCSにおいてはカテゴリ別のアクセスを実現していましたが、今回紹介するMLSはこのカテゴリに加えてさらに上下関係がプラスされます。(第5回の図1と図2を参照してください) MLS~国防/軍隊向けのセキュリティ~ SELinux
危ないのは“怪しいサイト”だけではない,一見“無害な”サイトにも罠
セキュリティ組織の米SANS Instituteは現地時間10月14日,ニュース・サイトに見せかけた悪質なWebサイトが確認されたとして注意を呼びかけた。Webサイトにアクセスすると,悪質なプログラム(マルウエア)をダウンロードされる恐れがある。 この悪質なサイトは10月12日に登録されたとされる。ニュース・サイトに間違えそうなドメイン名(URL)が付けられ,サイトの内容も,真っ当なニュース・サイトに見える。それもそのはず,そのサイトでは,実在するオーストラリアのニュース・サイトの内容をフレームでそのまま表示している。同時に,悪質なプログラムをダウンロードさせようとする攻撃者のWebページもフレームで読み込んでいる。 このためそのサイトにアクセスすると,悪質なプログラムをダウンロードされる恐れがある。プログラムの実体は,別の悪質なプログラム(スパイウエア)などを勝手にダウンロードおよびイン
[CRYPTO-GRAM日本語版]土地所有権の詐欺
カナダのオンタリオ州では,土地の所有権にまつわる詐欺が一部で広まっているらしい。 この詐欺は,「何者かがある家の持ち主になりすまし,家主に黙って家を売ってしまう」というものだ。元の持ち主は抵当に対する責任を負ったまま,家に入ることができなくなってしまう。問題を解決するには多くの時間と手間がかかる。 この問題の原因は“経済的な動機”にある。仮に銀行が不正な抵当に対して責任を持つなら,問題はたちまち解決するはずだ。銀行は,責任を問われない限り,この詐欺を未然に防ぐ動機を抱かない(詐欺によって金銭的コストが発生するので,銀行にもいくらかの動機はある。しかし多少の詐欺では,損害が全抵当を一つずつ検査するのに必要なコストを上回らないため,銀行は単に問題を無視し,詐欺の損害をそのまま受け入れるだろう)。 <http://www.thestar.com/NASApp/cs/ContentServer?.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
United States
United States
http://www.nikkeibp.co.jp/news/flash/515558.html