Gumblarがあぶり出す 「空虚なセキュリティ対策」
皆さんこんにちは、川口です。先日、私はインターネット協会主催の「現在の日本のセキュリティ~ブラックハットジャパンその後~」にて、有名なセキュリティ会社社長3人に囲まれ、パネリストとしてお話をさせていただきました。議題は「セキュリティ屋の使命」「PtoP」「人材」「Gumblar」です。このコラムの読者の方が何人も参加していたり、2年前のBlack Hat Japanでお会いした方に再会したり、貴重な経験をすることができました。 ブラックハットジャパン、その後 2008年、Black Hat Japanでお話しさせていただいたころと比べて、セキュリティインシデントの傾向は大きく変化しています。ちょうどあのころはSQLインジェクションが増加し続けている中、新しい攻撃手法が次々と登場した時期でした。特に2008年12月にSQLインジェクション攻撃が急増したときは、このまま攻撃が増加し続ければ、わ
川口洋のセキュリティ・プライベート・アイズ(15) 狙われる甘〜いTomcat− @IT
皆さんこんにちは、川口です。いま、この原稿を北海道の千歳空港のロビーで書いています。実は4月11日に札幌で行われた「北海道情報セキュリティ勉強会(おもに札幌)(通称:セキュポロ)にご招待いただき、お話をさせていただきました。いままで広島、大阪の勉強会でお話させていただくことがありましたが、北海道は今回が初めてでした。 セキュポロに参加して浮かんだキーワードは「熱い勉強会」、そして「甘いお菓子」です。北海道では、あっちにもこっちにもコミュニティができて、熱い勉強会をしているようです。これは東京をしのぐような熱さでした。特に「北海道開発オフ」では、ひたすら黙々とコーディングしているとのこと。なんて硬派なんでしょう。そして、もう1つのキーワード「甘いお菓子」の方ですが、今回出されたのはチーズケーキでした。これがとてもおいしくて、参加者の交流に一役買っておりました。 そんな熱い勉強会と甘いお菓子に
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
