キーワードは「Webセキュリティ」「クラウド」「中間者攻撃」--CSI 2008にて
米国時間11月15日から,メリーランド州のゲイロード・ナショナル・リゾート・コンベンション・センターでセキュリティ会議が開催された。筆者が同カンファレンスに参加したのは今年で2回目だ。従来のカンファレンスとは少し趣が異なり,出席者やトピックからみて,RSAとBlackHatの中間といった感じの内容となる。筆者は18日火曜日に,二つのセッションで講演した。 セッション1 最初のセッションは,「Web 2.0 Security Summit」だ。公開討論会の形式をとり,議題に関するプレゼンテーションがいくつか行われた。壇上に登場したのは,Jeremiah Grossman氏(米ホワイトハット・セキュリティCTO(最高技術責任者)),Tara Kissoon氏(米ビザ,Global Information Security Office,Information Security Services
突如多発したWebページ改ざん狙いは明らかに日本
Webページに不正なコードを埋め込んで,閲覧したユーザーのパソコンにウイルスを感染させる攻撃が年々増加している。手法は一つのブラウザ画面を分割して複数のコンテンツを表示させるためのiframeタグを悪用する「iframeインジェクション」である。Webページへの不正コードの挿入には,SQLインジェクションやFTPが悪用されることが多い。SQLインジェクションは,閲覧者からの入力文字をSQL文として受け付けてしまうWebアプリケーションのぜい弱性を突く攻撃である。 iframeインジェクション攻撃が関心を集めるようになったのは,2007年に欧州を中心に起こったMPack(攻撃ツール)騒動からだ。しかし日本国内での被害報告が少なかったためか,国内ではそれほど話題にはならなかった。 実は筆者は,SQLインジェクションによるWebページ改ざんを,日本でも2005年の初頭から確認している。ただ,いず
アクセス元の位置情報を確認できるWebビーコン型アクセス解析、サイバーエリアリサーチ
サイバーエリアリサーチは12月8日、Webビーコン方式のWebアクセス解析サービス「らくらくログ解析ビーコン版」の提供を開始した。Webアクセスログを分析する必要がないため、解析したいWebサイトにビーコン用タグを張り付けるだけで導入できる。 このサービスは、既存サービスの「らくらくログ解析」をWebビーコンに対応させたもの。アクセスログを提出することなく、リアルタイムにアクセス状況を確認できる。Cookieによるユーザーの把握も可能。IPアドレスからアクセス元の位置情報/接続環境情報を判別できる同社のデータベース「SURFPOINT」を利用し、リアルタイムでアクセス者の地域(都道府県単位)や企業/組織名を調べられる。 価格は、初期費用が8万9250円から、月額費用が9975円(最大3万アクセス)から。 ■関連情報 ・サイバーエリアリサーチのWebサイト http://www.areare
11月公開のPDFのぜい弱性は攻撃コード作成が容易,速やかに更新を
Adobe Readerのバージョンアップはしただろうか。11月に公開されたぜい弱性に対するアップデート(Adobe Reader 8.13)のことだ。 11月に報告されたぜい弱性について簡単に解説しよう。PDFファイルにJavaScriptを埋め込めることはご存知だろう。そのJavaScript関数のutil.printf()のフォーマット・ストリング(%d,%s,%xなど)の処理の不備が問題となっている。具体的には,該当の関数の引数に不正な浮動小数点を含む値が引数として指定されるとバッファ・オーバーフローが発生し,任意のコマンドを実行されてしまう可能性がある。 PDF形式のファイルは多くのプラットフォーム上で閲覧可能であるため,ビジネス・ドキュメントとしてだけでなく,Web経由での資料配布などにもよく利用されている。Microsoft Officeも世界中で利用されているが,万人への配
[続報]JR北海道のHP改ざんは3カ所,閲覧者にウイルス感染の危険性
北海道旅客鉄道(JR北海道)は2008年12月5日,11月28日に本社運営のホームページを全面停止した不正アクセス事件(関連記事)について,調査結果の一部を公表した。 JR北海道によると,何者かによる不正アクセス行為は同社が異変に気付いた2008年11月27日の15日前にあたる11月12日に発生したという。改ざんされたページは「イベントチケット情報」「列車運行情報」「特急列車空席案内」の三つ。個人情報の流出は確認されなかった。 これらのページにアクセスすると,「中国語の文字を表示する他サイトに誘導され,ウイルスに感染している危険性がある」ことを明らかにした。トレンドマイクロの「ウイルスバスター」では「JS_AGENT.IMK」のウイルスを検出するとしており,期間中(11月12日~28日の間)に上記ページにアクセスしたユーザーに対して感染の有無の確認を呼びかけている(写真)。 トレンドマイク
沖,バンダイナムコ,エプソン,東京海上らOpenPNEによる社内SNSの団体設立
オープンソースSNS(ソーシャル・ネットワーキング・サービス)エンジン「OpenPNE」を社内で利用している企業がユーザー会を設立する。名称は「OpenPNE エンタープライズユーザー会」。沖電気工業,バンダイナムコゲームス,セイコーエプソン,東京海上日動あんしん生命保険の4社が幹事企業を務め,2008年12月10日に設立総会を開催する。 OpenPNEは株式会社 手嶋屋が中心となって開発し,オープンソース・ソフトウエアとして公開しているSNSエンジン。約3万のSNSがOpenPNEにより構築されているという。Yahoo! JAPANのビジネスSNS「CU」や,佐賀新聞社のコミュニティサイト「ひびの」,鹿児島テレビが運営する地域SNS「NikiNiki」などが利用している。このほか,ソネットエンタテインメントが提供している,誰でもSNSを開設できるサービス「So-net SNS」にも採用さ
第1講:「諜報謀略」が個人、企業、国家の運命を左右する:ITpro
諜報や謀略の素養は必須である。国において。企業において。個人において。 そう言うと、すぐに反論が聞こえてくる。スパイまがいの諜報や謀略はハードボイルド小説や映画の世界のものであって、真面目なビジネスパースンには関係ない。スパイ小説でもあるまいし、多忙なビジネスパースンには下世話なフィクションにつきあう暇などない。スパイ防止法案は廃案になったのではないか。過剰な情報統制は危険だ...。 どうも諜報や謀略という言葉はタブーとされ、アレルギー反応を引き起こすような語感があるらしい。連載を始めるに当たって、そのような表層的な疑問や誤解をまず払拭しておきたい。 インテリジェンスは必須である。国において。企業において。個人において。 こう書いたら、今度は反発はないだろう。逆に「当たり前」と言われそうだ。しかしインテリジェンスは日本において、「当たり前」のことではない。 インテリジェンスの定義 定義しよ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
iモードID とは:ITpro ケイタイ個別識別
パソコンと比べ、ケータイにおけるネットマーケティング環境の整備は遅れている。パソコンでは普通に実現できることがケータイではできないことはざらにある。 アクセス解析もその一つ。パソコンではCookie(クッキー)というブラウザーが搭載する標準機能を使って個体を識別し、アクセスしてきたユーザーの行動を解析できるが、ケータイにはそもそも個体識別のための標準的な仕様は存在しない。携帯電話事業者によっても対応がさまざまだった。こうしたなか、NTTドコモが2008年3月31日に提供を開始した個体識別ID「iモードID」は、ケータイマーケティングを一気に普及させる可能性を秘めている。 NTTドコモはこれまで、UID(UserID)、UTN(携帯電話製造番号)という二つの識別IDをケータイサイト運営企業に提供してきた。UIDは公式サイトに加盟しているケータイサイトでのみ利用できる12文字の英数字からなるI
Webブラウザを狙う中間者攻撃の対抗手段「ZTIC」
Webブラウザを狙う中間者攻撃についてご存知ない方のためにまず説明しておこう。昔からあるMan-in-the-Middle(中間者)攻撃を,ずる賢くもWebブラウザ向けに特化させ,攻撃用コード(一般的にスクリプト対応プロキシ技術が使われる)をWebブラウザに仕掛ける攻撃手法が存在する。この攻撃を受けたWebブラウザは,最終的に中核機能を掌握され,送受信するデータが攻撃者に筒抜けとなり,好きなようにデータを操作されてしまう。 この種の手口は「Man-in-the-Browser(Webブラウザを狙う中間者)攻撃」と呼ばれ,2年前に初めて登場して以来,銀行を狙ったトロイの木馬で使われる例が増えてきている。 銀行の顧客に対する攻撃手段としてMan-in-the-Browser機能を実装している最近のマルウエアは,非常に高度化している。そのため,オンライン・バンキング時にWebブラウザ経由で顧客と
第1回■ぜい弱性がなくならない本当の理由(わけ)
2008年に入り,SQLインジェクション攻撃が猛威を奮い続けている。8月6日には,アウトドア商品などを扱う通販サイト「ナチュラム・イーコマース」が外部からSQLインジェクション攻撃を受けたことを明らかにした(関連記事)。約65万件の個人情報が流出した可能性があるという。その少し前の7月23日には,ECサイト事業を手がけるアイリスプラザが攻撃を受けたと発表した。使っていない古いプログラムのぜい弱性を突かれ,カード情報2万8000件が漏えいした可能性があった。 SQLインジェクション攻撃では,情報を盗み出すものだけでなく,サイト改ざん事件も多発している。例えば(米国のビジネスウィーク誌のサイトが乗っ取られた事件(関連記事)。Webページではないが,ゴルフダイジェストオンラインもSQLインジェクション攻撃によって,メルマガ配信用のコンテンツを書き換えられた。 SQLインジェクション以外のぜい弱性
Androidにぜい弱性,Webブラウザの悪用でデータ不正取得が可能に
米Independent Security Evaluators(ISE)は,米Googleが開発した携帯電話機向けプラットフォーム「Android」に存在するセキュリティ・ホールを発見し,その検証コードを作成したと発表した。米T-Mobile USAが10月22日に出荷を開始した世界初のAndroid搭載携帯電話機「T-Mobile G1」は,このセキュリティ・ホールの影響を受ける可能性があるという。 今回見つかったセキュリティ・ホールにより,Android携帯で悪意のあるWebページにアクセスすると,任意のコードが実行される可能性がある。Androidのセキュリティ構造上,この攻撃の影響はある程度制限されるが,攻撃者はCookieに保存された情報,Webアプリケーションのフォームに入力した情報,保存されたパスワードなどにアクセス可能となる。 ISEは同年7月,米Appleのスマートフォ
「Yahoo! HotJobs」サイト,XSS攻撃でユーザー認証用クッキーが盗まれる状態に
英Netcraftは英国時間2008年10月26日,米Yahoo!のWebサイトがクロスサイト・スクリプティング(XSS)攻撃を受け,ユーザー認証用クッキーを盗むJavaScriptコードが仕込まれたと警告した。Netcraftから報告を受けたYahoo!は対策を施し,同日遅くに問題を解決している。 攻撃を受けたのは,求人情報検索サービス「Yahoo! HotJobs」のWebサイト。XSSのセキュリティ・ホールが存在しており,攻撃用のJavaScriptコードを挿入される隙があったという。同コードはユーザー・ログイン時に「yahoo.com」ドメインの認証用クッキーを盗み,米国内のWebサーバーに送る。 認証用クッキーを入手した攻撃者は,Yahoo!の各種サービス用のユーザー名とパスワードを知らなくても被害者のアカウントを使用できてしまう。例えば「Yahoo! Mail」にアクセスされる
確認されているだけでも攻撃が毎分1.5件,PHPアプリ狙う攻撃が大量無差別型に
前回,SQLインジェクション攻撃の増加傾向を紹介した。そのほかにも日本IBMの東京セキュリティオペレーションセンター(以下,東京SOC)では,PHPで作成されたWebアプリケーションを狙った攻撃を大量に確認している。特に,リモート・ファイル・インクルード(RFI)攻撃は非常に多く,東京SOCでは1分当たり1.5件の頻度でRFI攻撃を検知している。これらは自動化された攻撃ツールによる大量無差別型の攻撃だと考えられる。今回は,現在のRFI攻撃の動向を紹介する。 RFI攻撃は,Webアプリケーションのぜい弱性を利用して標的とするサーバーに,外部のサーバーから悪意あるファイルを読み込ませる攻撃である。攻撃者は標的サーバー上で当該ファイルに記述された任意のコードを実行させる。
[ITpro EXPO]サイバー犯罪者は世界で1万人以上、カスペルスキー氏が語るセキュリティの今
「サイバー犯罪に関与している犯罪者の数は、ワールドワイドで1万人以上。被害総額は1000億ドル以上だと推定している」--。ロシアKaspersky LabのCEO(最高経営責任者)であるユージン・カスペルスキー氏(Eugene Kaspersky、写真)は2008年10月17日、「ITpro EXPO 2008 Autumn」の同社ブースで講演を行い、オンライン・セキュリティの現状を解説した。 カスペルスキー氏はまず、マルウエア(悪意のあるソフトウエア)を開発したり使ったりしているのは、個人ではなく「オンライン犯罪組織」であると語る。「かつてのマルウエアは、人を驚かせたり、騙したりするだけのものだった。しかし現在、サイバー犯罪は変化しており、より組織的に行われるようになった」(カスペルスキー氏)。 サイバー犯罪の組織化と行っても、「マフィアやヤクザのような、ボスがいてその下にファミリー(実
知財本部の調査会,日本版フェアユースなどに関して5団体からヒアリング
政府の知的財産戦略本部の「デジタル・ネット時代における知財制度専門調査会」は2008年10月14日に第8回会合を開催した。今回の会合では,権利者団体や家電メーカーの業界団体など5団体を対象に,日本版フェアユースやインターネット上に流通する違法コンテンツ対策についてのヒアリングを実施した。 日本版フェアユースについては,実演家著作隣接権センター(CPRA)の椎名和夫運営委員が意見を述べた。椎名運営委員は,「調査会が早急に対応するべき課題として挙げられたものについて,個別に権利制限規定を設ける検討はまだ十分に行われていない」と指摘した。調査会は,研究開発に関する著作物利用の適法化やコンピューター・プログラムのリバース・エンジニアリングの適法化などを,早急に対応するべき課題としている。椎名運営委員は,フェアユースの導入は権利者への影響や権利者とのバランスの観点からも議論されるべきであるとして,「
花王やサントリーなど大手企業参画の「オープンモバイルコンソーシアム」が発足
中間法人の融合研究所(東京都港区)は2008年10月14日、ケータイビジネス市場拡大を目的とした協議会「オープンモバイルコンソーシアム(OMC)」を設立すると発表した。「ケータイインターネットにおける認証・課金システムの開放」、「ケータイコンテンツ視聴率の検討と推進」を最初の取り組みとして挙げている。 OMCは総務省が現在進めている通信プラットフォーム協議会が2008年9月30日にまとめた報告書「通信プラットフォームの在り方(案)」を受けて設立された。同提案書では、現在、携帯電話事業者が運営しているアクセス時のポータルサイト(NTTドコモの「iMenu」など)、およびあらかじめ契約しているユーザーを認証し、課金する機能の二つを開放すべきと提案している。 OMCはこうした総務省の施策案に対し、民間企業の声を一つにまとめて提言や制度をまとめていく。認証・課金機能の開放はダイレクトマーケティング
お気に入りの話題はどれ? Black Hat Japanブリーフィングをプレビュー
10月5日から開催しているセキュリティ関連のイベント「Black Hat Japan 2008」。9日,10日は世界のセキュリティ専門家によるブリーフィングがある。Black Hat Japanは毎年世界4カ所で開催されるBlack Hatの締めくくり的な位置付け。これまでの海外でのBlack Hatで講演した第一線の技術者の中から,選りすぐりの技術者がブリーフィングに招致されている。以下では,今回のBlack Hat Japanブリーフィングの見所を紹介しよう。ちなみに,Black Hat Japanのブリーフィングはすべて同時通訳付き。質疑応答も,運がよければスピーチ後の技術者との廊下での会話も通訳してもらえる。なお,このプレビューをまとめるに当たっては,Black HatのJapanコーディネータである本川 祐治氏にご協力いただいた。 ブリーフィングで何よりも注目できるのは,「今まで
契約者固有ID
契約者固有IDは,iモードやEZweb,Yahoo!ケータイといった携帯Webアクセスを利用するユーザーに割り振られるID番号のことである。このID番号は,ユーザーが携帯Webアクセスを利用しているときに,ユーザーの知らない間にアクセス先のWebサイトに送られる(図1)。 契約者固有IDの目的は,ユーザーがIDを入力しなくてもWebサイトにログインできるようにしたり,ユーザーの一連のアクセスを識別したりすることにある。このような契約者固有IDの形式と送られ方は,通信事業者ごとに異なる。NTTドコモが2008年3月31日に契約者固有IDを送信するしくみを組み込んだことで,携帯Webアクセスを提供しているNTTドコモ,KDDI,ソフトバンクモバイル,イー・モバイルの4社が対応することになった。 Webサイト側には,同じユーザーからのアクセスであれば,同じ契約者固有IDが送られてくる。ただし,携
攻撃の背後にはRMT市場の拡大あり
近年,Webサイトを狙うSQLインジェクション攻撃では,オンライン・ゲームのアカウントを盗むマルウエアを仕込むことが多い。これは,日本にオンライン・ゲーム市場を取り巻く一大経済圏ができているためと推測される。 オークション・サイトにアクセスして,有名オンライン・ゲームのタイトルと「アカウント」という文字列で検索すると,オンライン・ゲームのアカウントが高額で出品されている状況を一覧できる(図1)。安いものは数千円から,高いものは数十万円の値段が付くこともある。オンライン・ゲームのアカウントにはかなりの市場価値があるのだ。 このように,オンライン・ゲーム内のアカウントやキャラクタ,アイテム,仮想通貨など,ゲーム上の財産を現実の通貨で売買する行為をRMT(real money trade)と呼ぶ。ゲーム好きだがプレイ時間が取れないプレーヤが,レベルの高いキャラクタや珍しいアイテムといった,“獲得
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
