セキュリティを「必要悪」にした犯人は業界自身ではないか? (1/2)
セキュリティ対策と業務効率や生産性はトレードオフの関係にある。これはまぎれもない事実だ。「だからこそ、双方のバランスが取れるアプローチを模索しよう」――本来ならば、そう受け取られるべき提案だったが、そうはならなかった。 2016年10月20~21日、都内で開催されたセキュリティカンファレンス「CODE BLUE 2016」を締めくくる基調講演「How much security is too much?(セキュリティ対策はどこからが過剰なのか?)」で、カルステン・ノール氏は、セキュリティ業界の人間としてのジレンマを吐露した。 イノベーションを阻害しているのはセキュリティ業界かもしれない、と自問 業務効率や生産性とのバランスが取れたセキュリティ対策を実施すべきだ――。セキュリティ業界の人間はよく、そのように訴える。 だが、現実はそうはなっていない。高度なサイバー攻撃や内部犯行による大型のセキ
「Mirai」ソースコード徹底解剖-その仕組みと対策を探る
Miraiボットネットとは Miraiは、2016年9月13日夜、米国のセキュリティジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」に対して行われた大規模なDDoS攻撃に使用されたとして話題になったボットネットです(関連記事)。Miraiは主にWebカメラやルーター、デジタルビデオレコーダーなどのIoTデバイスを踏み台としてDDoS攻撃を仕掛けます。 参考:セキュリティ用語事典:DDoS攻撃 攻撃を受けた後に投稿されたKrebs氏のブログ記事によれば、同サイトを保護していたAkamaiが、ピーク時にはそれまでに経験した最大規模の攻撃の2倍近いトラフィックを観測したそうです。 また、2016年10月21日にTwitterやNetflixなどが利用するDNSサービスへ行われたDDoS攻撃でも、Miraiボットネットが利用されていたのではないかと推定され
SWEET32: 64ビットブロック暗号への誕生日攻撃
トリプルDESのような64ビットブロック暗号に対する誕生日攻撃が実用になることが分かったとのこと(SWEET32、CVE-2016-2183)。 TLS、SSH、IPsec、OpenVPNのような暗号プロトコルは、クライアントとサーバ間でデータを暗号するために、一般的にAES、トリプルDES、Blowfishのようなブロック暗号アルゴリズムを利用している。そのようなアルゴリズムを使用するには、データはブロックと呼ばれる固定長の塊に分割し、各ブロックは暗号利用モードに従って別々に暗号化される。トリプルDESやBlowfishのような古いブロック暗号は、ブロックサイズが64ビットであるのに対し、AESは128ビットのブロックサイズを使用している。 たとえブロック暗号に対する暗号攻撃自身でなくとも、短いブロックサイズは誕生日攻撃に弱いブロック暗号になるということが暗号の世界ではよく知られている。
Killing Mirai: Active defense against an IoT botnet (Part 1) - Invincea Labs
Killing Mirai: Active defense against an IoT botnet (Part 1) BY Scott Tenaglia / ON Oct 22 2016 2:23pm / KEYWORDS IoT Malware Vulnerability Exploitation In recent weeks the world has witnessed the concept of an IoT botnet turn from theory to reality, with devastating consequences. While the ISPs, DDoS mitigation services, and others scramble to figure out how to augment traditional defenses to han
セキュリティの現場が報われないのは半分自分たちの責任
「私のおかげでこの部署は成り立ってるんだ!」。普通、こんな“仕事頑張ってるアピール”をすると職場で嫌われる。多くのエンジニアは「人事評価の時ならともかく、普段から手柄を自慢するなんて恥ずかしい」と感じているだろう。 しかし、こうした“普通の感覚”で仕事をしてはいけない職場もある。セキュリティ担当チームだ。セキュリティ担当チームは「対策をうまくやるほど、評価が下がる」という全く報われない職場環境にある。 「セキュリティは企業にとってのインフラだが、生活インフラの水道や電気と違って手触り感が伴うものではない。何も起こらない状況が続くと、『何もしていない』と周囲から見られてしまい、チームの人数や予算を減らされたりする」。日本マイクロソフトの蔵本雄一マイクロソフトテクノロジーセンターセキュリティアーキテクトは、コンサルティングを通じて見てきた多くのセキュリティの現場の実態をこう話す。 もちろん、セ
[PDF] 平成28年上半期におけるサイバー空間をめぐる脅威の情勢等について - 警察庁 (平成28年9月15日)
- 1 - 広 報 資 料 平成28年9月15日 警 察 庁 平成28年上半期におけるサイバー空間をめぐる脅威の情勢等について 1 サイバー攻撃の情勢等 ○ 警察が報告を受けた標的型メール攻撃は1,951件(前期比-405件 。) このうち、これまでほとんど報告のなかった 圧縮ファイルで送付された「.js」形式ファイル が472ファイルに急増。 ○ 攻撃ツールを用いて地方公共団体のサーバに 対してDoS攻撃を行った少年を電子計算機損壊等 業務妨害罪により検挙(5月、大阪 。) ○ 伊勢志摩サミット等の開催に際し、関係省庁、 重要インフラ事業者、会議場等関係施設の管理者 等と協力してサイバー攻撃対策を実施。 2 サイバー犯罪の情勢等 ○ サイバー犯罪の検挙件数、相談件数は増加。 ○ 金融機関等と連携した取組により、インターネットバンキングに係る不正送金事 犯による被害額は約9億円に減少(前
CYBER GRID JOURNAL Vol.1 "伊勢志摩サミットとサイバーセキュリティ" | セキュリティ対策のラック
CYBER GRID JOURNAL(サイバー・グリッド・ジャーナル)は、ラックの研究開発部門であるサイバー・グリッド・ジャパンが発行する情報誌です。経営層、マネジメント層の方をはじめ、これまでサイバーセキュリティなどの情報にあまり触れる機会のなかった方向けに、その時々のセキュリティやIT関連の話題をお届けするほか、最先端の課題に取り組む研究者の技術的知見や情報モラルに関する啓発活動の取り組みなど、幅広い情報をできるだけわかりやすく発信していきます。 創刊号となるCYBER GRID JOURNAL Vol.1の特集は「伊勢志摩サミットとサイバーセキュリティ」です。2016年5月下旬、三重県で主要国首脳会議(伊勢志摩サミット)が開催され、「サイバー」についても議論がなされました。このビッグイベントの開催を契機として、サイバー空間を取り巻く状況の変化を振り返り、概説します。その上で、公開され
ld -z relro で GOT overwrite attack から身を守る - memologue
GOT overwrite? "GOT overwrite" という、(ここでは特にLinuxの)プログラムに対する攻撃方法があります。攻撃が成功すると、そのプロセスの権限での任意コード実行等、深刻な被害を受けます。最近のGNU ld(リンカ)のオプションを用いると、この攻撃から身を守ることができるそうですので、紹介します。 最初にまとめ (こまかいことはあとで) GOT overwrite から身を守るには、gccでプログラムをリンクするときに、 -Wl,-z,now,-z,relro をつけるだけです。起動時間が遅くなるというトレードオフがありますが、GOTがreadonlyになります。GOTがreadonlyなら、GOT overwrite attack を受けたときに、プロセスがSEGVしてくれますので、安全性が高まります。プロセスのメモリマップを確認すると、きちんと w が落ちて
WiFiセキュリティユニット『SAKOKU』|MZK-1200DHP-SK|PLANEX
ご自宅や職場で、お使いのルーターと連携して鎖国ゾーンを形成し、 本製品に接続されたPCやスマートフォン、タブレット等からのデータ流出を防ぎます。 アプリ不要、スマートフォンやタブレットを接続するだけ、 という簡便さでデータ流出を防げるシステムは世界初(2016年4月当社調べ)。 ルーター機能も持っていますので、メインルーターとしてお使いいただくことで全ての機器を鎖国ゾーンに入れることもできます。 最近、個人情報流出されたケースでは、悪質なアプリからデータ漏えいしましたが、 本製品に接続すれば遮断できます。 遮断ログでは本製品がブロックした送信元情報と送信先情報を見ることができるので、 ネットワークのセキュリティ状況を把握することが可能です。 また、お客様の遮断ログの詳しい解析を行い、統計レポートを提供する有料サービスもございます。 レポート結果に基づいたセキュリティ対策を講じることが可能で
組込機器の診断を紹介 2/2
こんにちは。技術部 手島と申します。 前回に引き続き、組込機器診断の例を紹介します。 前回の記事はこちら: 組込機器の診断を紹介 1/2 http://io.cyberdefense.jp/entries/2016/05/09 今回はこの組込機器へ搭載されたフラッシュメモリの内容を解析し、ファームウェアを改ざんできないか挑戦します。 前回の復習 前回は、基板上の探索から以下の内容ができることを確認しました。 ・デバッグログが出力される ・シリアルコンソールがある ・フラッシュメモリの内容が暗号化されていない そこで、まずはファームウェアを取得できないか確認します。 デバッグ機能を利用してファームウェアを取得 前回の診断ではログインコンソールが見えていましたが、これを突破できた状態とみなしてください。シリアルコンソールが利用でき、好きなコマンドを入力できるようになりました。何か使えそうなコマ
B2B卸の「NETSEA」、約13万件の個人情報を流出
B2Bの卸プラットフォームを展開するNETSEAが2016年4月27日、第三者による不正アクセスで個人情報を流出させたことが分かった。流出した情報は13万1464件で、うちクレジットカード情報は7386件に上る。オープンソースの暗号化ライブラリ「OpenSSL」の脆弱性「Heartbleed(ハートブリード)」を攻撃されたもようだ。 流出した可能性のある個人情報は氏名、住所、電話番号、メールアドレス、ログイン会員IDおよびパスワード、クレジットカード情報。2015年1月1日~2016年4月15日までの間にNETSEAで会員情報を登録したユーザー、および2016年1月1日~2016年4月15日までの間にクレジットカードを登録したユーザーが対象だ。 情報流出が発覚したのは2016年4月4日。決済代行会社からNETSEAで決済されたクレジットカードの情報を用いた不正利用された疑いがあると第一報が
IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況に関する調査を行いました。その結果、ほとんどのウェブサイトで対策が行われていなかったため、「クリックジャッキング」の仕組みやその対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第17回)を作成、公開しました。 「クリックジャッキング」は2008年にその脅威が周知された攻撃で、ユーザを視覚的にだまして正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃のことです。操作した自覚がないにもかかわらず、SNSサイトなどウェブサイト上で非公開としていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の一つとなっています。既に主要なブラウザ
セキュリティエンジニアを将来の夢にしているのですが現在高2なのですが現在大学選びに悩んでいて、セキュリティエンジニアは自分が... - Yahoo!知恵袋
徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。 セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ
OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」
2016年2月から3月にかけて話題になった「iPhone」のアンロックを巡るFBIと米Appleの対立の中で、脆弱性発見者へ報奨金を支払う「Bug Bounty Program(バグ発見報奨金制度)」が改めて注目を集めた。 これは、自社のソフトウエアに存在するセキュリティ脆弱性の発見をハッカーに呼びかけるプログラムで、脆弱性を報告してくれたハッカーに報奨金を支払うというもの。「Bounty(報奨金)」は西部劇でよく出てくる言葉で、ならず者を捕まえたカウボーイが褒美の金をガッポリもらうといったイメージがある。西部劇の時代と同じように、ハッカーの世界でも賞金稼ぎができるというわけだ。日本語では、「バグ発見報奨金制度」とか「脆弱性発見報奨金制度」などと呼ばれている。 FBI対Appleの問題でバグ発見報奨金制度が話題になったのはなぜか。FBIは死亡した銃乱射事件の容疑者が持っていたiPhoneに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL/TLS Decryption - uncovering secrets
米国における暗号技術をめぐる動向
[PDF] 政府のサイバーセキュリティに関する予算(平成29年度予算概算要求及び平成28年度予算第2次補正)
スマートフォンのセキュリティ技術
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ
セキュリティ認証とコンプライアンスセンター