ようやく他のブラウザに追いついたSafari 4のセキュリティ
何年もの間,重要なセキュリティ機能については後れを取っていたAppleだが,同社はようやく最新のSafariにマルウェアブロッカー,フィッシングフィルタ,EV(Extended Validation)証明書のサポートを組み込んだ。 Safari 4のセキュリティ機能のリストの見出しの中にはマルウェア保護機能あり,このリストにはクッキーのブロック,プライベートブラウジング,暗号化,安全なダウンロード,ペアレンタルコントロールなども含まれている。 (参照:PayPal: If a browser doesn't have anti-phishing technology (like Safari) ditch it) Appleは過去に,Safariに基本的なセキュリティ機能を組み込んでいないことで厳しく非難されていた。Pay Palの最高情報責任者(CIO)Michael Barrett氏は
[クラウド フォーラム]「まずはHaaSから始めよう」,京セラコミュニケーションシステムのICT事業統括本部長が講演
「クラウド・コンピューティングの導入はコスト削減などのメリットをもたらす一方で,ネットワークが複雑化するなど課題も多い」---。2009年2月24日,都内で開催された「クラウド・コンピューティング フォーラム」に京セラコミュニケーションシステム 専務取締役 ICT事業統括本部長の佐々木節夫氏が登壇。「クラウドって本当にいいの?」と題して,クラウド・コンピューティングの課題について意見を述べた。同社は,2008年10月から仮想サーバーや仮想ストレージなどのHaaS(Hardware as a Service)を提供している。 講演では,同社がSaaSの一つ,Google Appsの導入を支援したユーザー事例を紹介。この企業は,社内システムのリモート機能強化や,社内メールと社外メールの統合などを目的として,グループウエアをクラウド・コンピューティングに移行した。当初の目的は達成されたものの,ク
[クラウド フォーラム]クラウドをいち早く使い,売ることで得たもの---富士ソフトの間下氏
2月24日都内で開催された「クラウド・コンピューティング フォーラム」で,2008年6月に日本企業として初めてGoogleエンタープライズ製品の販売パートナーになった富士ソフトの間下浩之営業本部副本部長(写真)が登壇,商材としてのGoogleの可能性,そして全社員1万人にGoogle Apps Premier Editionを展開中のユーザー企業としての経験について語った。 同社がGoogleのパートナーになってから,非常に多くの引き合いがあったという。案件化したケースの多くは,単にGoogle Appsを導入するだけでなく,セキュリティ関連のシステム構築などを含むSI案件として受注しているという。「金融危機の影響でコスト意識が非常に高くなったせいか,2008年11~12月には特に引き合いが多かった。11月には200件以上,今もそれ以上の数の案件を抱えている」(間下副本部長)。 だがGoo
第6回■異なる文字集合への変換がぜい弱性につながる
文字集合自体は抽象的な「文字の集まり」に過ぎないので単独で問題になることはないが,異なる文字集合に変換する際には問題が発生する場合がある。文字集合が異なるということは,対応する文字が1対1対応していないので,変換先の文字集合で対応する文字がないケースや,多対1の対応が発生する可能性がある。 図1に,Unicodeからマイクロソフト標準キャラクタセットに変換する場合を例示した。マイクロソフト標準キャラクタセットには「骶」(尾てい骨の“てい”)や,ハングルなどはない。また,バックスラッシュ「\」(U+005C)と円記号「\」(U+00A5)がともにJIS X 0201の「\」(0x5C)に変換される場合について示している。 「漢」のように1対1対応している文字は問題ない。ハングルや「骶」のように対応するコードポイントがない場合はエラーになるか文字化けする。インターネットで「尾 骨 びていこつ」
「電子政府推奨暗号」は2つで十分?,シンポジウムで専門家が討論
情報通信研究機構(NICT)と情報処理推進機構(IPA)は2009年2月18日,日本の電子政府や地方公共団体などで利用を推奨する暗号技術を議論する「CRYPTRECシンポジウム2009」を共催(写真1)。同シンポジウムにおいて,2013年度以降に日本の電子政府システムでの利用を推奨する暗号技術を公募する「電子政府推奨暗号リスト改訂のための暗号技術公募要項(2009年度)」案を明らかにした。 CRYPTRECは,電子政府推奨暗号技術の安全性についての評価・監視,および評価基準などの策定を目的とするプロジェクト。総務省と経済産業省が共同で設置する暗号技術検討会と,NICTとIPAが共同開催する暗号技術監視委員会および暗号モジュール委員会で構成される。CRYPTRECは2003年に,29種類の暗号技術「電子政府推奨暗号リスト」を公開。電子政府の調達や民間での評価基準として使われてきた(写真2)。
DBセキュリティ・コンソーシアムがセキュリティ状況を診断するチェック・ツールを公開
図2●「データベースセキュリティ安全度セルフチェック」でデータベースのセキュリティをチェックした結果<br>分野ごとにレーダーチャートでセキュリティ・レベルを表示する。 データベース・セキュリティ・コンソーシアム(DBSC)は2009年2月17日,データベース向けのキュリティ・チェック・ツール「データベースセキュリティ安全度セルフチェック」の提供を始めた。DBSCのWebサイトで無償公開されている。 DBSCはセキュリティ関連ベンダーやデータベース関連ベンダーからなる任意団体。2005年にデータベース・セキュリティの普及促進のため,研究や情報発信を行う目的で設立された。DBSCに参加しているラックのデータベースセキュリティ研究所 須田堅一研究員によると,「インターネット側から見た場合,データベースはシステムの最深部に位置する。そのため,直接インターネットからの攻撃にさらされるWebサーバー
コンピュータのセキュリティを監査できる「Belarc Advisor」
普段使用しているコンピュータでも,長い間使っているうちにハードディスクや周辺機器の構成が少しずつ変わっていくことがあるだろう。また,ソフトウエアのインストールやアンインストールを繰り返したりすると,インストールされているソフトウエア情報などが雑然としてきて,正確に把握することが難しくなってくる。また,Windowsを使用しているユーザーであれば,サービス・パックを適用したり,定期的なセキュリティ・アップデートをきちんと実施しているユーザーが多いだろう。そうした作業を繰り返しているうちに,コンピュータに設定した,あるいは設定されているセキュリティ構成が変更されていくと,結果としてセキュリティ構成情報を詳細に把握することはユーザーにとって意外に手間のかかる作業になってしまいかねない。 こうしたハードウエア構成やインストールされているソフトウエア情報について分析し,レポートを作成してくれるツール
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
第5回■注目される文字コードのセキュリティ問題
今回から5回にわたって,アプリケーション全体に関する文字コードの問題と対策について説明する。文字コードがセキュリティとどう関わるのか,疑問に思うかもしれないが,Webアプリケーションで文字コードを指定可能な個所は非常に多く,しかも文字コードの選定や処理方法次第ではぜい弱性の原因になることが分かってきている(図1)。実は文字コードはWebアプリケーションのセキュリティ問題の最新の話題と言ってよい。 2008年10月に開催されたセキュリティ・イベントBlack Hat Japan 2008では,ネットエージェントの長谷川陽介氏が「趣味と実益の文字コード攻撃」と題して,文字コード問題の広範なプレゼンテーションを発表した 。そのプレゼンテーション資料が発表されている のでこの問題の詳細に関心のある方は参照されたい。ここでは,セキュアなWebアプリケーションを開発するために文字コードの問題をどのよう
企業の機密狙う標的型攻撃が急増中
2008年はSQLインジェクションによるWebコンテンツ改ざんが絶えず話題になっていた。さらに12月半ばからは攻撃が激増し,それまでの1カ月分相当の攻撃が1日に発生する状態に陥った。ただその一方で,あまり表沙汰にならないものの深刻なセキュリティ事故が,国内で次第に増えている。標的型攻撃によるものである。 標的型攻撃というと“スピア型”でお馴染みの電子メールによる手口を思い浮かべるかもしれないが,手口はもっと多様だ。2005年の千葉銀行の顧客を狙った攻撃で知られるCD-ROMを悪用する手口がその一つ。ほかにも,USBメモリーを悪用する手口,特定の企業担当者だけが閲覧するWebページに悪性コードを埋め込む手口などがある。そして最近,以前から危惧されていたタイプの悪性コードを使う手口が見付かった。フォレンジック妨害(アンチフォレンジック)機能を持つトロイの木馬である。 不正操作の痕跡が見付からな
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
SSL証明書の偽造
MD5と呼ばれるハッシュ関数が既に破られていたことは分かっていた。ところが,今度はMD5で署名されたデジタル証明書の偽造に成功した研究者が現れたのだ(関連記事:「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用/認証局のデジタル証明書が偽造されるリスクについて)。 これそのものは大きな問題でない。デジタル証明書を偽造するという研究が素晴らしい。よい取り組みだし,筆者は実在するセキュリティ・システムを破る目的で暗号解読攻撃が利用される例を見たいといつも思っている。大抵の場合,これほど大きな成果を収めることは暗号分野の研究者が想像するよりはるかに難しい。 もっとも,SSLのセキュリティ分野における役割は少なく,SSL証明書が偽造されたところで被害はそれほど大きくない。SSL証明書を検証する人はほとんどいないため,偽造攻撃を仕掛ける価値は小さい。そのうえ,通常インターネット上
第4回■ぜい弱性対策の考え方 -- 5W1H式ガイドラインを踏まえてRFPを作る
今回は,前回,前々回の内容を基に,基盤ソフトウエア選定のガイドラインを考えてみよう。 基盤ソフトウエアの選定は,セキュリティという観点から見ても保守フェーズでのコストに大きく影響する。このため,必要なコストを捻出できないことを理由に,古く危険なバーションを放置している例が少なくない。 基盤ソフトウエアの選定は,セキュリティ以外の要件から検討される場合が多いが,セキュリティの観点からは以下の項目が必要条件となる。 アプリケーションの稼働年限を仕様として定義する採用候補の基盤ソフトウエアが稼働年限までのサポートを保証しているか確認する稼働年限までのサポートが保証されない場合は,途中でサポート切れになった場合の代替策を検討して,予算を確保しておく アプリケーション発注者としての立場でも,基盤ソフトウエアを自ら選定する場合の注意点は上記と同じである。これに対して開発会社に提案を求める場合には,基盤
米カード決済会社が不正侵入の被害に,過去最大規模のカード情報が流出か
クレジットカードやデビットカードなどの決済処理を手がける米Heartland Payment Systemsは米国時間2009年1月20日,同社の処理システムが不正侵入の被害に遭い,カード情報が流出したと発表した。米メディアの報道によると,米国で過去最大規模の情報流出となる可能性があるという。 不審なカード決済に関して米Visaおよび米MasterCardから通報を受け,同社が調査を進めたところ,処理システムに不正なソフトウエアが組み込まれていたことが前週判明。同社のネットワークで処理したカード情報が流出していたという。これを受けて同社は,連邦捜査機関とカード会社各社に報告した。世界的に広がるサイバー犯罪による犯行の可能性があるとみて,米財務省検察局や司法省と密接に連携を進めているという。 流出したデータの内容について,同社の公式発表では,「買い物の情報,カード所有者の社会保障番号,暗号化
複数の事象を混同しがちなVistaの文字問題
既にいくつかの記事で報道されているように,Windows Vistaでは,JIS X 0213:2004(JIS2004)と呼ぶ規格に対応し,利用できる文字数が増えるとともに一部の文字の形が変わる。そのことで,Windows Vistaを使うと文字に関して何か問題を起こすかのように思われている節があるようだ。 私が書いた記事でも,「これらの文字を使ってWindows Vistaで作った文書を,JIS2004に対応していない既存のWindowsで開くと,『・』や『■』などで表示される恐れがある」と記述しており,読者に対して余計な不安を与えてしまったかもしれない。また,「追加文字を使った文書を保存するときは,エンコーディングをUnicodeにする必要がある」との記述は,Windows Vistaだけのことかと誤解を与えてしまったかもしれない。これは,後で説明するようにWindows 98/NT
第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要
表を見ると分かるように,PHP4は7年半にわたってサポートが継続していた。これだけを見ると商用製品に大きく引けを取るわけではない。ただ,後継バージョンであるPHP5が公開された時期がPHP4の4年遅れだったため,PHP5の公開直前にPHP4で開発されたアプリケーションは3年半でセキュリティ・アップデート終了ということになった(図1)。 加えてPHP5の初期バージョンが不安定であったこと,PHP4に対する互換性が不十分だったことなどから,PHP5への移行はなかなか進まなかった。結果として,PHP4で開発したあと1~2年でPHP4のサポート終了を迎えたサイトも多いようだ。 現行のPHP5系統についても,PHP5の最初のリリースから既に4年以上が経過していることから,今後何年程度サポートが継続されるかは不明確である。今後PHPを使用してWebアプリケーションを開発する場合は,アプリケーションの保
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
「USBマルウエアの感染経路はボット。挙動も既知のボットそっくり」 -- ラックの新井悠部長,2008年の脅威を振り返る
ラックは2008年12月18日,報道関係者向けにセミナーを開催。同社サイバーリスク総合研究所 先端技術開発部の新井悠部長(写真1)が,2008年の情報セキュリティを総括した。新井部長が今年の特徴として挙げた脅威は三つ。(1)USBマルウエアの増加,(2)偽ウイルス対策ソフトの増加,(3)標的型攻撃の拡大――である。 (1)のUSBマルウエアはUSBフラッシュ・メモリーなどのリムーバブル・メディア経由で感染を広げるマルウエア(関連記事)。新井部長は「2008年に顕著に増加した脅威だった」と,トレンドマイクロのデータを参照しつつ説明した(参考データ)。当初,USBマルウエアは「感染源がよくわからない」といわれていた。しかし,ラックで詳細にUSBマルウエアの挙動を分析した結果,ボットによって感染が広まっていることが明らかになったという。 「約3年前に発見された既知のボット『TROJ_POEBOT
第6回 KENGINEでぜい弱性分析に一貫性を
JPCERTコーディネーションセンター(JPCERT/CC)では,米国のCERT/CCと共同で,ぜい弱性対応に向けた意志決定支援ツール「KENGINE」の開発を進めている。前回解説したVRDAを実装したもので,2008年度中に有効性を検証する計画だ。 KENGINEはぜい弱性対応の様々な場面で役立つ機能を備えている。具体的にはぜい弱性対応のための判断要素(FACT:分析項目)やディシジョン・ツリーの編集/生成(ぜい弱性対応ポリシーの管理),ぜい弱性情報の取得,Q&A形式の分析フォームと分析テンプレート,履歴検索,統計といったものである。 まず導入の準備としてユーザーのぜい弱性対応ポリシーを定義する。ぜい弱性への対応を決める際に判断材料とする分析項目,それぞれの分析項目が取る値(選択肢),分析結果を基に選択する対策アクションなどを決める。そして,これらの情報の関係を意思決定のロジックとしてま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
