「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明
ゴルフダイジェスト・オンライン(GDO)への不正アクセスは,同社データベースへのSQLインジェクション攻撃であることがわかった。 GDOでは,同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして,2008年10月2日からWebサービスを全面的に停止していた(関連記事)。攻撃の具体的な手順は明らかにしていなかったが,「今までにない新しい手法のSQLインジェクションだった」(同社広報)という。なお,最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている(関連記事)が,この件との因果関係については「コメントできない」(同社広報)としている。 この攻撃の影響で,GDOの配信メールの一部に不正なURLが埋め込まれ,URLをクリックしたユーザーはマルウエアに感染する危険性が生じた。「URLを埋め込まれた可能性のあるメールは,2008年
2008年に入って攻撃急増,原因は攻撃手順の自動化
2008年3月以降,「SQLインジェクション」という手法を使ったWebサイトの改ざんが相次いでいる。ラックのセキュリティ監視センター(JSOC)によると,ここ数カ月でSQLインジェクション攻撃の検知数が爆発的に増加し,8月には過去最高の17万件に達した。 多くのWebサイトでは,ユーザーの入力値などに応じて動的に表示を変える。Webサーバーはユーザーから受け取った入力値を,Webアプリケーションを通じてデータベースに引き渡す。データベースは,入力値に応じて必要な処理を実行し,その結果,得られた値をWebアプリケーションに戻す。Webアプリケーションはデータベースの出した値を反映したHTMLデータを生成し,Webサーバー経由でユーザーのWebブラウザに表示させる仕組みだ。 一連のSQLインジェクション攻撃では,攻撃者がWebサーバーへの入力値に不正なSQLを挿入することで,データベースを操作
データ侵害の手口は業種によってかなり異なる
通信事業大手の米Verizon Communicationsの事業部門であるVerizon Businessは,企業のデータ侵害に関する調査結果を米国時間2008年10月2日に発表した。それによると,業種によってデータ侵害のリスク要因が異なる。企業はその点を念頭にセキュリティ戦略を評価すべきだという。 今回の報告は,同社が同年6月に発表した調査結果を元に,金融サービス,ハイテク,小売,食品/飲料の4業種におけるデータ侵害を分析したもの。この調査結果によれば,データ侵害のうち,外的要因によるものは73%で,内的要因によるものは18%だけだった。 この点を業種別に分析したところ,金融サービス業では内的要因によるリスクが高く,詐欺のような手口を使った攻撃が多かった。平均的に攻撃時間が長く,高度な攻撃が多い。他の業種よりもデータ侵害を早く見つける傾向にあるが,発見までに数週間かかる場合も多いという
米グーグル幹部,ストリートビュー問題を語る――「効率的な新サービス導入には事後承諾がベター」
先月初めに公開されて以来,「これはすごい」,「でもプライバシーは大丈夫?」とさまざまな反響を呼んでいる「Googleストリートビュー」。来日した米グーグルの法務担当副社長ケント・ウォーカー氏と日本法人の辻野晃一郎製品企画本部長が2008年9月29日,記者発表の席で「Googleストリートビュー」に関するさまざまな質問に答えた。「新しいテクノロジーにはクレームはつきもの」,「Webサービスは公開後,修正しながら運用できるのがよいところ」と,Webサービスに関するグーグルの考え方がよくわかる一問一答だった。 今のストリートビューのやり方は,自分の姿などが知らない間に撮影されてしまい,問題のある画像には後から削除依頼を出すオプトアウト(事後承諾)方式だ。この手法が反感を呼んでいるのではないか。ストリートビュー・カーに「撮影中」と明示する,あるいはあらかじめ被撮影者に許可を取るオプトイン(事前承諾
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
「添付ファイルはパスワード付き暗号化」でいいのか
記者という仕事がら、取材先や寄稿者と、記事の素材データやプレゼン資料をやり取りすることが多い。もちろん、メールを使ってである。ただ最近になって、受け取ったメールに添付されていたファイルが暗号化されていることがとみに増えてきた。ファイルを復号化しようとするとパスワードの入力を求められる。パスワードは後から別のメールで送られてくるという方式だ。 情報漏洩を懸念してのことだ。外部とやり取りする際はファイルをパスワード付きで暗号化してからメールするよう、情報システム部門や法務部門がルールを設けているのだろう。この7月から8月にかけて、企業十数社に外部との機密情報のやり取りをどのように行っているかを取材する機会があった。実際にこのようなルール順守を業務部門に設けている企業が多かった。標準的な手法になりつつあるように思う。 しかしこの方式を採用する企業が増えることに、筆者は懸念を感じる。セキュリティ対
[SS&ERM2008]「セキュリティ問題発生時,最大のキーは『人』」---テックスタイルの岡田氏
「セキュリティ問題が発生した時,最大のキーファクターになるのは『人』」――。テックスタイル 代表取締役でWeb Application Security Forum(WASForum)理事の岡田良太郎氏は2008年8月22日,東京ビッグサイトで開催中の「エンタープライズ・リスク・マネジメント2008」の講演でこう述べた。 岡田氏は,「WEBサイトの危機的状況におけるビジネス継続のコンセプトとマルプラクティス」と題して講演した。岡田氏が高木浩光氏らとともに理事を務めるWASForumは,Webアプリケーション・セキュリティの研究や啓蒙を目的とした団体。岡田氏は自身の会社で提供するセキュリティ関連サービスでの経験や,先日WASForumで行われたカカクコムやサウンドハウスなど不正アクセス被害を受けた企業の講演(関連記事)などに基づき,Webサイトのセキュリティ問題発生時における事業継続について
【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えい
【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えい クレジットカード情報も8万6000件漏れる アウトドア商品や釣り具を扱う通販サイトを運営する「ナチュラム・イーコマース」は2008年8月6日,外部からの不正アクセスにより65万3423件の個人情報が流出した可能性があると発表した(発表資料)。「SQLインジェクション」と呼ぶ攻撃手法を用いた不正アクセスで,顧客マスター全件を閲覧された。「迷惑をおかけしたお客様や関係者に深くお詫びしたい」とナチュラム・イーコマースの中島成浩代表取締役社長は語る。 漏えいした顧客マスター・データベースには,会員情報として8万6169件のクレジットカード情報が登録されていた。ただし,登録されていたカード番号は全16ケタのうち先頭12ケタだけ。下4ケタは登録せず,買い物をするたびにユーザーが入力し直す仕組みだった。今のところ,顧客からカードを不正利
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
iPhone 3Gのリモート・ワイプを試す
ITのプロフェッショナルにとって,先日デビューしたiPhone 3G(厳密にはその基本ソフトであるiPhone 2.0 OS,以下iPhoneとする)の目玉は米Microsoftのグループウエア「Exchange Server」との同期機能「Exchange ActiveSync」への対応だろう(写真1)。ActiveSyncを使えば,Windows Mobile端末と同様にExchange Serverのメールや予定表,連絡帳をiPhoneのメール,カレンダー,および連絡先と同期できる(残念ながらメモと仕事は同期できない)。気になるのは,盗難・紛失時にiPhoneのデータが守れるかどうか。そこで遠隔からデータを消去する「リモート・ワイプ」を試してみた。 ActiveSyncで同期したデータは,iPhoneのローカル・ストレージに書き込まれる。これらデータをネットワークを通じて遠隔から消去
ソフトのリバースエンジニアリング,限定的な許容にむけて動き出す
「一定の条件下でソフトウエアのリバースエンジニアリングは認められるべき」---2008年7月25日に開催された第5回の文化審議会著作権分科会法制問題小委員会で,情報処理推進機構(IPA)や電子情報技術産業協会(JEITA)などからは,情報セキュリティなどのためにはリバース・エンジニアリングは許容すべきとの声が相次いだ。 これは2008年6月に発表された「知的財産推進計画2008」で示された「リバース・エンジニアリングに係わる法的課題」に関して関係団体へのヒアリングに応えたもの。事実上は現在既に,脆弱性やウィルス対策,ソフトウエアの互換性確保などのためにリバース・エンジニアリングが行われているが,著作権法上は複製および翻案にあたるとして問題視する声がある。知的財産推進計画2008では,法的措置を講じてこの問題を解決することを掲げており,第5回の同小委員会では,それに向けてのヒアリングが実施さ
インターネット使わずSaaSを安全利用、NTTコムが5000人規模で
NTTコミュニケーションズ(NTTコム)は、不特定多数がアクセスできるインターネットではなく、IP-VPNを介してのみアクセスできるSaaS(ソフトウエア・アズ・ア・サービス)の利用を2008年6月中に始める。採用したのはセールスフォース・ドットコムのCRM(顧客情報管理)サービス「Salesforce」。法人事業部の5000人全員が7~8月ころまでに順次利用を始める。NTTコムはインターネットでは顧客情報をやり取りしないというセキュリティポリシーがあったが、IP-VPNを使えば問題ないと判断した。 見積書や契約書のりん議を決済する社内のワークフローソフトと連携させ、文書をやり取りする。金融や公共など担当業種ごとに異なる営業スタイルに合わせて、画面などのカスタマイズを実施。システム連携やカスタマイズかかったコストは100~200人月程度とみられる。NTTコムはVPN経由でSalesforc
「PCI DSS対策にはWAFの導入が必須だ」---Web高速化装置大手のF5がアピール
「安全なクレジット・カード決済のため,WAF(Web Application Firewall)の重要性が増している。企業にとってWAFはもはや必須だ」---。こうWAFの重要性をアピールするのは,WAF機能を持つWeb高速化装置を出荷するF5ネットワークスジャパンである。同社でエンジニアリングマネージャを務めるJoe Poehls氏は2008年5月28日,WAFが必須となる根拠を示すとともに,同社製品が備えるWAF機能をアピールした。 WAFの重要性が増す背景は,SOX法の次のセキュリティ・トレンドとして「PCI DSS」(Payment Card Industry Data Security Standard)が立ち上がっているという状況がある(関連記事:セキュリティ基準「PCI DSS」)。PCI DSSとは,大手クレジットカード会社が策定した,クレジットカード情報を取り扱う事業者に
凶悪ウイルス撃退術
ユーザーのパソコンをコンピュータ・ウイルスに感染させる攻撃が年々巧妙さを増している。最近は,正規のWebサイトに罠を仕掛けて感染を広げる攻撃が主流になりつつあり,とうとうウイルス対策ソフト・ベンダーのWebサイトまでが悪用された。攻撃に対抗するためには,いくつもの対策の壁を用意することが有効だ。着目すべきポイントと対策のヒントを紹介しよう。 第1回 壁を重ねて攻撃を跳ねのける 第2回 POINT1 侵入の阻止 第3回 POINT2 発病の予防 第4回 POINT3 被害拡大の抑止 第5回 SIerに任せっ放しでは危険
被害が続くSQLインジェクション攻撃,もう一度対策を見直そう
2008年3月11日,不特定多数のWebサイトに対する大規模なSQLインジェクション攻撃が発生した。本攻撃はターゲットとなるWebサイトのソースコードを改ざんし,攻撃者が用意した不正なWebサイトへのリンクを挿入するものである。セキュリティオペレーションセンター(SOC)でも,2008年3月11日~13日の間に,このSQLインジェクション攻撃を試行する通信を多数検知した。今回の攻撃はIIS(Internet Information Services),Microsoft SQL Server,ASP(Active Server Pages)を利用するWebサイトを対象としたものだった。 大規模なSQLインジェクション攻撃は3月後半から4月後半にかけても度々発生しており,世界的な被害の発生が報告されている 。いずれも,攻撃の方法およびその対象は3月11日に発生したものと同様であり,引き続き注
「Firefoxを使い続けるための“お勧め”設定」 , NoScriptを組み込んでいないFirefoxは使用停止に
「Firefoxを使い続けるための“お勧め”設定」 , NoScriptを組み込んでいないFirefoxは使用停止に 最近,ある企業のシステム管理者から「Webページを不正に改ざんされる事件が最近特に増加し,その改ざんされたサイトをWebブラウザで閲覧した場合,ウイルスを送り込まれることが多いと聞く。Webブラウザを使用する時に,利用者側で行うべき対策をアドバイスしてほしい」との相談を受けました。 確かに,3月に入ってから国内の数多くのWebサイトが改ざんの被害にあっています(関連記事)。痛ましいのは,被害者であるはずのWebサイトが不正な改ざんにより,一般の閲覧者への加害者に仕立てられることです。Webサイトの管理者は,当然ながら今回の攻撃で主な手口として使用されたSQLインジェクション対策などの不正アクセスに耐えうる対策を施すべきです。しかし,このように多数のWebサイトが改ざんされる
報われないセキュリティ管理者
「会社で“セキュリティ管理者”などにされている人は,今すぐ辞めたほうがよい。苦労ばかりで評価されない」--。 あるセキュリティ・ベンダーのセミナーで,講師は開口一番こう述べた。セキュリティ管理者の大変さを訴えるための“つかみ”だったが,いきなりそんなことを言われてしまい,あっけにとられていた参加者は多かった。しかしセキュリティ管理者の苦労を何度も聞かされている筆者としては,大きくうなずくほかなかった。 予算が付かないセキュリティ 相次ぐクラッキングなどで,日本の企業や組織のセキュリティ意識は確かに高まっている。コンサルタントなどに聞くと,経営層の理解は深まり,「きちんと対策をとらないといけない」ことは認識しているという。しかし,だからといって増員や予算の増額にはつながっていないようだ。しわ寄せは,兼務で任命されたセキュリティ管理者やシステム部にくることになる。要するに,「きちんと対策しろ。
「パッチから攻撃プログラムを自動生成」、米研究者が実験に成功
米研究者らによる論文「Automatic Patch-Based Exploit Generation is Possible: セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。 ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱(ぜいじゃく)性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。 現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より
仮想マシン移行時のセキュリティを考える
今回は「Xensploit」というぜい弱性について取り上げる。その謎をひも解くヒントは,最新のデータ・センター技術,セキュリティの詳細な調査,巧みなネーミングの三つだ。 読者に知っておいてほしいのは以下の内容である。 ミシガン大学の研究グループが最近,稼働している仮想マシン(VM)を移行させる「ライブ・マイグレーション」(関連記事「Xenによる仮想化システム構築術:第4回動的に仮想マシンを移動し可用性を向上」)のセキュリティに関する論文を発表した。ライブ・マイグレーションとしては仮想化ソフト「VMware」のVMotion機能,「Xen」のmigrate機能などを取りあげている。この論文は,ライブ・マイグレーションのプロセス全体について広範なセキュリティ分析を行っている。中でも重点を置いているテーマは,同グループが開発したコンセプト実証(PoC)ツール「Xensploit」である。攻撃者が
止まらないWebページ改ざん,JavaScriptに気をつけろ:ITpro
国内で,一般消費者に向けたWebサイトへの改ざん攻撃が止まらない。しかも改ざんされたページには ,悪質なサイトにユーザーを誘導してウイルスを送り込む“わな”が仕掛けられる。3月10日前後から12日までの間に,一斉にWebサイトがページを改ざんされた。最たる例が,セキュリティ対策ベンダーのトレンドマイクロである。海外のWebサイトを含め,2万サイト以上が被害に遭ったという。 この日,ラックの監視センター(JSOC:セキュリティ・オペレーション・センター)では,通常の70倍から100倍の攻撃トラフィックを確認した。その後,いったん攻撃は止まったものの,攻撃が再開され,今も続いている。3月末には,デジタル・オーディオ・プレーヤなどを開発するクリエイティブメディアがWebページを改ざんされ,一時的にWebサイトを閉鎖していたことを明らかにした。 ■参考記事:トレンドマイクロのWebサイトが改ざん,
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
