全パケットを記録・分析、INSIがSQLインジェクション対策システム開発
セキュリティ専業のインターナショナル・ネットワーク・セキュリティ(INSI)はSQLインジェクションなどWebアプリケーションを狙う攻撃に備える対策システム「IIBS」を開発し、2009年4月から販売を開始する。監視対象ネットワーク上の全パケットを記録・分析することでWebアプリケーションへの攻撃を検出できるのが特徴だ。 IIBSは専用のネットワークキャプチャカードとRAIDカードを搭載したPCI Express接続対応カードと、パケット解析プログラムで構成される。監視対象のネットワーク上を流れるすべてのパケットを収集してRAIDストレージに保存し、後から通信を再現して送受信されたデータの内容を確認できる。保存したパケットは「PCAP」と呼ぶ形式でダウンロードしてPCAP対応のプロトコルアナライザで解析できる。 通信関連の情報を統計分析する機能を搭載。IPアドレスやポート番号などのログを一
「Google Docs」に関するセキュリティの懸念にGoogleが回答
米Googleは,同社のWebベースの統合オフィス・アプリケーション「Google Docs」に関してセキュリティの問題を指摘されたことを受け,調査した結果を公式ブログで米国時間2009年3月27日に報告した。「重大なセキュリティのリスクを招くものではない」と結論づけている。 Googleによると,ある研究者が,Google Docsのドキュメントを削除してもドキュメントに挿入された画像は削除されずに残ることを懸念。また,ドキュメントの共有者は,ドキュメントに含まれる図形の編集段階を閲覧できること,ドキュメントへのアクセス権が解除されたユーザーがドキュメントにアクセスできる可能性があることを問題点として挙げた。 同社Google Docs担当製品マネージャのJonathan Rochelle氏は,画像が消滅するとその画像を参照していた他のドキュメントや外部のブログにも影響を与えるため,画像
世界規模のスパイ・ネットワーク「GhostNet」,トロント大学らが報告
トロント大学の調査研究グループ「Citizen Lab」と,カナダのコンサルティング会社SecDev Groupが共同運営するサイバー・セキュリティ監視プロジェクト「Information Warfare Monitor」は,現地時間の2009年3月28日,世界規模で諜報(ちょうほう)活動に関与しているスパイ・ネットワーク「GhostNet」の存在を報告する文書「Tracking GhostNet:Investigating a Cyber Espionage Network」を公開した。 同文書によれば,世界103カ国のパソコン計1295台以上がすでにGhostNetに取り込まれている。さらにその3割が外交機関や国際組織,報道メディア,非政府組織(NGO)といった,機密性の高い情報を扱うことの多い組織で使われているという。 GhostNetはさまざまな機能を持っており,取り込んだパソコン
ライフログ・サミット2009
ユーザー別にパーソナライズした情報を提供するライフログ活用サービス! キーパーソンが集結し、ビジネス、法律、技術の面から 事業化のカギを徹底分析する1日! Webの閲覧履歴やデパートでの購買履歴,位置情報,メールの送信履歴――。パソコンや携帯電話が一人1台になった今,人の動きに応じて様々なデータがコンピュータやネットワークに残っていきます。こうした情報が「ライフログ」です。 今,このライフログの活用が注目を集めています。ライフログからはユーザーの趣味や嗜好,行動パターンが解析できるため,効果的な広告やこれまでになかったようなサービスの提供が期待されるからです。 しかし,ビジネスとして成り立たせるためには,収益モデルの構築が必要です。ユーザーから不信感を持たれたり,ユーザーのプライバシを侵害しないために,サービスに信頼感を与え,違法にならない運用や情報提供の仕方を研究する必要もあります。 本
GIFを隠れ蓑に悪性Javaを勝手に実行
クライアント・パソコンを狙った攻撃が巧妙さを増し,対策はますます難しくなってきている。中でもJavaScriptやFlashのぜい弱性を悪用した,スクリプトを使う攻撃は極めて厄介である。スクリプトは静的なWebページだけでなく,動的コンテンツ,画像,ファイルに含まれていることがあり,攻撃を受けた時期の特定が難しいからだ。 そんな中で,今後大きな脅威になると見られている攻撃手法の一つに,「GIFAR」がある。2008年8月に報告された攻撃手法で,2009年2月にホワイトハット・セキュリティのCTOであるジェレミア・グロスマンをはじめとするWebセキュリティの専門家が選ぶ「Top Ten Web Hacking Techniques of 2008」の1位に選ばれた。日本ではあまり話題になっていないが,いつやって来るか分からない。今後の影響範囲を考えると,特にWebアプリケーション開発者は知っ
その1:標的型攻撃が危ない!
ある日の午後,生活雑貨メーカー「いろは物産」のCIOである小林はメールをチェックしていた。そこに,情報システム部課長の山下がやって来た。 山下:部長,取引先のABCホーローが標的型攻撃の被害にあったそうです。購買部に電話で連絡がありました。社内にウイルスが侵入して,取引情報を盗み出されてしまったということです。 小林:わが社への影響はあるのか。 山下:わが社が発注した製品の情報も流出してしまったようです。ただ,発注や請求処理はSaaS経由だったため,わが社のネットワークに直接の影響はありません。 小林:メールのやりとりはしていたんじゃないかね。メールを介してウイルスが伝染してきている可能性はないだろうか。 山下:メール・サーバーとファイアウォールのログ,それから受信したメールそのものを念のため確認しました。伝染はありませんでした。 小林:そうか…。よかった。しかし,標的型攻撃とはいったいど
英プライバシ擁護団体,GoogleのStreet Viewについて苦情申し立て
英国のプライバシ擁護団体Privacy International(PI)は英国時間2009年3月23日,米Googleが同月20日に英国でサービスを開始したオンライン地図サービス「Street View」について,英情報長官局(Office of the Information Commissioner)の情報長官であるRichard Thomas氏にあてた書簡を公開した。 PIは,書簡を通じて同サービスにおけるプライバシ保護策に対して苦情を申し立てるほか,同サービスがデータ保護法(Data Protection)に違反するとして,早急に措置を講じるように求めている。 Street Viewは,プライバシ保護策として人物の顔にぼかしを入れる技術を採用しているが,この保護策はGoogleが事前に示していた水準に達していないとPIは指摘。また,データ保護策として,「Googleへの依頼により
ミクシィやAll About、ヤフーのターゲティング広告「インタレストマッチ」導入
ヤフーと子会社のオーバーチュアは3月25日、Webサイトの利用者が興味を持つ分野の広告を選んで表示するターゲティング広告サービス「インタレストマッチ」を、提携企業が運営するパソコン向けサイトに4月より順次導入すると発表した。これまでポータルサイト「Yahoo! Japan」を中心にインタレストマッチの広告を掲載してきたが、今後はソーシャルネットワーキングサービス「mixi」や総合情報サイト「All About」にも掲載する。 インタレストマッチは、サイト利用者が閲覧しているWebページの内容や過去の閲覧履歴、最近の検索キーワードを分析し、利用者の興味、関心により近い広告を表示する。 閲覧中のWebページ内容だけを分析して広告を表示する従来のサービス「コンテンツマッチ」を採用する企業が、4月から5月にかけてインタレストマッチへと切り替えていく予定。mixiやAll Aboutのほか、ポータル
ASP.NET 1.1に新たなSQLインジェクションの可能性,IDS/IPS/WAFを素通り
ASP.NET 1.1を使っているWebサイトに,新たなSQLインジェクション攻撃の可能性が潜んでいることが分かった。セキュリティ・コンサルティング会社であるHASHコンサルティングの徳丸 浩氏が見付けた(HASHコンサルティングが公開した情報)。 同氏が発見したのは,不正なパーセント・エンコードを利用して,IDS/IPS(侵入検知/防御システム)やWebアプリケーション・ファイアウォール(WAF)による検知を回避する手法である。不正なパーセント・エンコードを利用した検知回避については,ラックが2008年10月に公開した「【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~」と題するホワイトペーパーで紹介されている。徳丸氏が発見したのは,その手口の応用版である。 ASP(Active Server Pages)では,「DEC%LARE」のようにパーセン
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
甲府市が定額給付金管理システムでセールスフォースのSaaS採用
甲府市は定額給付金管理システムに、セールスフォース・ドットコムのSaaS(ソフトウエア・アズ・ア・サービス)を採用した。セールスフォースのCRMアプリケーションをNTTコミュニケーションズのVPNで利用する「Salesforce over VPN」の定額給付金管理バージョンで、同市が採用第1号となる。NTTコムとセールスフォースが2009年3月17日に発表した。 国民1人当たり1万2000円(18歳以下と65歳以上は2万円)を支給する国の定額給付金事業では、一部の地方自治体が3月から支給を開始。甲府市は4月上旬から申請書を支給対象となる世帯に発送し、同月下旬から口座振り込みを開始する予定。 セールスフォースのSaaS型定額給付金管理システムは、世帯ごとに給付状況や給付に関する問い合わせなどの情報を一元的に管理できる。住民基本台帳の情報に基づいて定額給付金と子育て特別手当の金額を自動的に計算
長すぎるFlash Playerの自動更新間隔,“隠し設定”でカスタマイズを
長すぎるFlash Playerの自動更新間隔,“隠し設定”でカスタマイズを デフォルトの30日間ごとの間隔を短くしセキュリティ・リスクを低減 ある企業のシステム管理者から『Flash Playerに,またセキュリティ・ホールが発見されたようだ。しかし,社内にようやく定着したMicrosoft Updateとは異なり,Flash Playerのアップデートはなかなか社内に徹底できない。対処方法をアドバイスしてほしい』と相談を受けました。 「Adobe Flash Player」には繰り返しセキュリティ・ホールが発見されてきましたが,2009年2月24日にも米アドビ システムズは「APSB09-01 Adobe Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開」というセキュリティ情報を公開しました。その中では,各プラットフォームで最新版Adobe Flash Pl
BBCがボットネットを購入--ボットネットの脅威を示す目的で
英国放送協会(BBC)は,ボットネットの脅威を示す目的で,感染したコンピュータ2万2000台で構築されるボットネットを購入した。BBCはこのボットネットを利用して,自らの用意した電子メールアカウントにスパムを送付したり,分散サービス拒否(DDoS)攻撃のテストを行った後,これら乗っ取られたコンピュータに感染していることを知らせるメッセージを残した。 BBCの技術系番組「Click」によると,BBCはインターネットチャットルームで「安価な」ボットネットを入手し,ボットネットのネットワークを利用して,スパム実験用に作成したGmailとHotmailアカウントにスパムメールを送ったという。BBCは,現地時間3月12日に公開されたコンピュータ犯罪に関する記事に伴う動画の中でこの実験を披露した。 動画では,電子メールアカウントが数時間で数千通ものスパムメッセージを受信する様子を映している。 BBCは
事業化を阻む「ライフログ」のプライバシ問題
ユーザーの実生活やネットでの行動履歴である「ライフログ」を活用した行動支援サービスを携帯電話事業者が試行し始めた。ユーザーには便利な半面,プライバシを侵害する危険性もはらんでいる。省庁や事業者が中心となり,2009年半ばをメドに運用ルールの策定が進んでいる。
「相手の顔が見える」ネット攻撃の怖さ
先日,携帯電話で利用するBluetooth対応のヘッドセットを購入した。ご存じの方も多いだろうが,利用を開始する前には,ヘッドセットが出している電波を携帯電話で受信して,その機器を登録する「ペアリング」と呼ぶ作業が必要である。 このペアリング作業を自宅で開始すると,携帯電話の画面には2台のBluetooth機器を検出したと表示された。2台の機種名を表示させてみると,1台は買い求めたばかりのヘッドセット。もう1台はS社の携帯電話端末だった。我が家にはS社の携帯電話はない。つまり,近所の住人が利用中の機器を検出したということだ。 最近の携帯電話は,ほとんどがBluetooth機能をサポートしている。当然,ご近所さんがBluetooth対応携帯電話を利用している確率も高くなっているわけで,検出したこと自体には何の不思議もない。マウスくらいしか用途がなかった時代からBluetooth機器を利用して
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
実は多発しているインターネット・インフラを狙う攻撃
「インターネットはインフラか」と問われたら,多くの人は「イエス」と答えるだろう。総務省の呼びかけを受けて2009年2月下旬に設立される予定のインターネット・リテラシ普及団体「安心ネットづくり」促進協議会の概要には次のように書かれている。「インターネットは,国民の社会活動,文化活動,経済活動等あらゆる活動の基盤(社会的インフラ)として利用されるようになり,国民生活に必要不可欠な存在となってきている」──。 だが,実体を知る人は全く異なる見方をする。日本レジストリサービス(JPRS)技術戦略室の民田雅人氏は,「昔のインターネットの信頼性は“たまに落ちるのは当たり前”というレベルだった」という。元々インターネットはシンプルさと柔軟性を身上に設計されている。ネットワーク側の機能は絞り,高度な処理は端末側に任せる。つまり,最低限の仕様さえ踏まえていれば,どんな端末でもつなげるオープン性がある。また,
国家レベルで情報インフラの安全性強化目指す団体、産官で発足
政府と重要インフラ事業社各社は2009年2月26日、情報システムの障害を防ぐためにセキュリティ情報を分野横断で共有する任意団体「セプターカウンシル」を創設した。年1回の総会などで各分野ごとに蓄積した情報や対策事例を共有していくことで、サービスの停止や低下を防ぐ。日本で初めての試みであり、各分野で培ったノウハウや対策を共有する狙い。 「セプター」とは重要インフラ10分野(情報通信、金融、航空、鉄道、電力、ガス、政府・行政、医療、水道、物流)の分野ごとに事業者が集まって情報セキュリティの情報共有や分析を行う集まりだ。事業範囲の広さを勘案して、情報通信分野は二つ、金融分野は四つのセプターに分かれており、合計で14のセプターがある。06年から2年をかけて整備が進んだ。 今回、カウンシルは11のセプターで構成する。07年に整備された鉄道、医療、物流のセプターはオブザーバーとして参加する。オブザーバー
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トヨタ自動車、携帯電話で検索した目的地情報をカーナビにBluetooth送信可能に