手のひらが世界中 繋がるハクティビスト
正義の反対は悪? このDeadMelloxの回答を、皆さんはどのように受け取っただろうか。筆者は2つのことを考えた。 1つ目は善と悪についてである。 おそらくこのインタビューの回答には、共感できる部分とそうでない部分、賛否両論あるだろう。彼(ら)は果たして善なのだろうか悪なのだろうか。 さまざまな記事で「ハッカー」という言葉が使われている(ここではひとまず、「ハッカー」と「クラッカー」を呼び分けるかどうかという議論は置いておく)。そしてこの言葉に、「善玉」とか「善意の」という接頭語が付く記事や説明を見かけることがある。反対は「悪玉」「悪意の」となるだろう。 しかし筆者は、ハッカーという言葉の基である「ハック」には、善も悪もないと思っている。そもそも、善か悪かというのは、どこからその事実を見るかによって変わってくるものだからだ。 例えば、ヒーローものの特撮番組を思い浮かべてほしい。物語はほぼ
手のひらが世界中 繋がるハクティビスト
「GhostShell」というハッカーチームをご存じだろうか? 世界の有名大学を対象にした攻撃やNASA(米航空宇宙局)、ESA(欧州宇宙機関)などをターゲットにした「Project WhiteFox」を仕掛け、2012年にネットを騒がせたチームだ。Twitterでコンタクトを取ってみたところ意外なほど友好的なGhostShellから、思いがけない申し出を受け……。 2012年、ネットを騒がせた「GhostShell」とは とあるハッカーチームに筆者は接触した。「GhostShell」――皆さんはこの名前をご存じだろうか。 これはあるハッカーチームのグループ名なのだが、中にはピンと来ない方もいらっしゃるだろう。そこでまずは、彼(ら)が最近関与し、日本国内にも影響を与えた事件から紹介させていただこう。 GhostShellは2012年8月下旬から「Project WestWind」という名称
そのときStarBEDが動いた――「Hardening One」の夜明け前
こんにちは、川口です。ずいぶんとコラムの間が空いてしまいました。前回のコラム以降、セキュリティ・キャンプとHardening Oneにほぼ全ての時間を費やしており、全く筆が進みませんでした。期待されていた方には申し訳ないです。 さて、2012年4月のHardening Zeroからはや半年(もう半年!!)、10月27日と11月2日にHardening Oneが行われ、無事に終了しました。 前回のイベントが終わった直後には、「次回のイベント(Hardening One)は、今回のやつをちょっといじって開催すればいいかな」と安易に考えていました。しかし、Hardening Zeroのゲストとして参加していただいた篠田陽一教授から、「同じものを流用なんて、ナメたことを妄想してんじゃねーよ!!」(過大表現アリ)と激励されてしまい、今回もまた大掛かりに取り組んでHardening Oneを開催しまし
自信過剰はセキュリティ被害の元? IPAが分析結果公開 - @IT
2012/09/13 情報処理推進機構(IPA)は9月13日、「IPA テクニカルウォッチ『情報セキュリティに関する被害と個人属性』」を公開した。意識的なセキュリティ対策の実施や情報収集が被害防止に有効な一方で、自信過剰な人ほど被害に遭いやすい傾向があることが判明したという。 テクニカルウォッチは、一般のインターネット利用者のセキュリティ被害防止にとって有効な対策を探ることを目的としたレポートだ。IPAが2005年度から実施してきた「情報セキュリティの脅威に対する意識調査」のデータを基に分析を加えている。今回の分析では被害に遭遇した個人の属性に着目し、被害経験の有無に影響を与える要因を探った。 分析においては、 年齢や性別、パソコン習熟度といった「基本属性」 インターネットの利用時間に加え、利用する場所やファイル交換ソフト、オンラインゲームなどの利用状況も含めた「ネット利用状況」 不審な添
使い回しパスワードは特に注意、米Yahoo!でアカウント情報流出 - @IT
2012/07/13 7月12日、米Yahoo!のユーザー名とパスワード情報、45万件以上が流出したことが明らかになった。報道によれば、流出したのは、オンラインパブリッシングサービス「Yahoo! Voices」のユーザーアカウント約40万件。Yahoo!は流出の事実を認めながらも、盗まれたのは「Yahoo! Contributor Network」(旧Associated Content)の古いファイルであり、「有効なパスワードが含まれていたのはこのうち5%に満たない」と主張している。 これに先立ち、「D33ds Company」と名乗る集団が、Yahoo!にSQLインジェクション攻撃を行ってアカウント情報を取得したと主張し、リストを公開していた。パスワードはプレーンテキストの状態で、ハッシュ化/暗号化されていなかったという。 このリストを分析したSucuriやマカフィーによれば、流出し
「うわっ…私のバージョン管理、ダメ過ぎ…?」を解決するGitの使い方“超”入門
「うわっ…私のバージョン管理、ダメ過ぎ…?」を解決するGitの使い方“超”入門:かんばん!~もし女子高生がRedmineでスクラム開発をしたら(5)(1/3 ページ) 本連載は、ちょっととぼけた女子高生の姉妹が今注目のアジャイル開発手法であるスクラムとプロジェクト管理ソフトの「Redmine」を使って、システム開発をするというフィクションです。 これまでのお話 本連載は、ちょっととぼけた女子高生の姉妹が今注目のアジャイル開発手法であるスクラムとプロジェクト管理ソフトの「Redmine」を使って、システム開発をするというフィクションです。 ひょんなきっかけから電子目安箱(カウンセラー)を開発することになった「ぷりん」と「まいん」の姉妹。第1回の『高校生になって初めてスクラムを始めました~「ストーリー」で何を作るかまとめよう』、第2回の『スプリントと“かんばん”でチームのビートを刻め!! ~ス
セキュアなAndroidアプリ開発のTipを集めたガイド、JSSECが公開 - @IT
2012/06/11 日本スマートフォンセキュリティ協会(JSSEC)は6月11日、セキュリティを考慮したAndroidアプリを設計、開発するためのTipsをまとめた「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。7月31日まで、ガイドに対するパブリックコメントを募集する。 Androidアプリのセキュア設計・セキュアコーディングガイドは、JSSECのセキュアコーディンググループがまとめた全232ページの文書だ。ソフトウェアメーカーやアプリケーション開発者を対象に、セキュアコーディングの基礎知識にはじまり、ActivityやSQLiteといったAndroid特有の機能の適切な実装方法や、パーミッションや暗号、電子署名などAndroid OSが備えるセキュリティ機能の使い方を紹介している。 特徴は「開発現場で使う」ことを念頭に置いて、ふんだんにサンプルコードを交
混沌のセキュリティカンファレンス、CCCレポート(1/2) - @IT
技術から政治色の強いテーマまで 混沌のセキュリティカンファレンス、CCCレポート 三井物産セキュアディレクション株式会社 ビジネスデベロップメント部 主席研究員 草場 英仁 本間 久元 2012/6/8 ヨーロッパのハッカーグループ、Chaos Computer Clubの年次集会から始まったカンファレンスが「Chaos Computer Congress」です。技術的な話題はもちろん、個人情報に関するセッションからデモ行進まで、幅広いその内容を紹介します。(編集部) 年の瀬のベルリンで開かれるカンファレンス 気が付けば昨年末のことになってしまいましたが、ドイツはベルリンにて毎年開催されているヨーロッパ最大のハッカーのためのカンファレンス、「CCC」に参加してきました。今回の会期は2011年12月25日から12月30日まで。よりによってホリデーシーズン真っただ中の開催です。実はCCCは毎年
第2回SECCON CTFはつくばで開催、今度はハッカソンも - @IT
2012/05/07 SECCON実行委員会は5月19日、20日に「第2回 SECCON つくば大会(関東地区)」を開催する。初回の福岡大会で実施したCapture The Flag(CTF)に加え、セキュリティをテーマとしたハッカソンも開催する予定だ。 SECCON実行委員会は、日本全体のセキュリティ技術の底上げと人材の発掘・育成を図ることを目的に、国内でCTF競技会を開催することを目指して結成された団体だ。2月18日、19日には、九州工業大学の飯塚キャンパス「MILAiS」で、第1回SECCON CTFを開催。7チーム、31人が、セキュリティに関するさまざまな知識と技術を競い合うコンテストに参加した。 第2回大会の会場は筑波大学だ。第1回同様、ファイル解析(バイナリ)やフォレンジックス、ネットワークやプログラミングといったジャンルごとにクイズ形式で出題される問題を解いて得点を競うCTF
いまさら聞けないAnonymous(1/3) - @IT
11個の質問を通じて理解する真の姿 いまさら聞けないAnonymous 根岸征史 インターネット イニシアティブ セキュリティ情報統括室 2012/4/16 日本企業へのDDoS攻撃をきっかけに知名度が上がり、テレビや新聞などマスメディアでも報道されるようになった「Anonymous」。その実態を「Anonymousウォッチャー」が分かりやすく解説します。(編集部) 2011年4月に起きた日本企業へのDDoS攻撃をきっかけに、日本でもその存在が広く知られるようになってきた「Anonymous」。しかしその実態については意外に知られていないのではないでしょうか。 筆者は2010年頃からAnonymousの活動に興味を持ち始め、個人的にその活動内容に注目してきました。そこで本記事では、「Anonymousとは一体何なのか?」という素朴な疑問に、できるだけ分かりやすく答えてみたいと思います。 Q
「オープンソース形式でWebアプリセキュリティの向上を」 - @IT
2012/04/10 Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体、The Open Web Application Security Project(OWASP)の日本支部であるOWASP JAPANチャプターは3月27日、第1回のLocal Chapter Meetingを開催した。今後もこうしたセミナーを定期的に開催していく方針だ。 OWASPは、Webアプリケーションセキュリティの向上を目的とした団体だ。Webアプリケーションの脆弱性ワースト10を取りまとめた文書「OWASP Top 10」を定期的に公開するほか、安全なアプリケーション開発のためのガイドラインや脆弱性診断チュートリアル、診断トレーニング用の“やられWebアプリケーション”である「WebGoat」など、さまざまなリソースを提供している。 JAPANチャプターリーダーの1人、Benny
ちょっと変わったSQLインジェクション
@IT編集部のセミナーに出てきました 3月2日に、@IT編集部主催の「@IT セキュリティソリューション Live! in Tokyo」にて、NTTデータ先端技術の辻さんとインターネットイニシアティブの根岸さんとともに、ランチセッションに出演してきました。辻さん&根岸さんのトークに絡ませてもらい、あっという間にランチセッションは楽しく終了しました。 事前の準備中はあれだけいろいろと話そうと思っていたのに、いざ始まると時間が足りないくらい盛り上がりました。ちょっと物足りないと思うくらいがいいのかもしれませんね。その会場で使った、2002年と2012年付近の出来事を示した資料がこちらです。 私はちょうど10年前の2002年にラックに入社しました。振り返ってみればあっという間の10年の社会人生活です。こうしてみると、いろんなインシデントがリアル世界とサイバーの世界で起こっていたんだなと懐かしくな
「感情的な理由によるDDoSが増加」、アーバーがレポート公開 - @IT
2012/02/24 米アーバーネットワークスは2月23日、DDoS攻撃の傾向についてまとめた「第7版 年次ワールドワイド・インフラストラクチャ・セキュリティ・レポート」を発表した。「Webサイトを停止させるぞ」と恐喝する金銭目的のDDoS攻撃も依然として多いが、それ以上に、「エモーショナル(感情的)な理由」によるDDoS攻撃の増加が特徴だという。 アーバーネットワークスは、DDoS攻撃対策アプライアンス「Peakflow SP」や「Pravail」といった製品を、通信事業者やサービスプロバイダーに提供している。同時に2005年より、DDoS攻撃の傾向、特徴について調査し、レポートとして公開してきた。最新の第7版では、サービスプロバイダーを中心とした世界114社を対象に、2010年10月から2011年9月にかけて行った調査結果をまとめている。 米アーバーネットワークスのカルロス・モラレス氏
セキュリティ人材をオールジャパンで育てる、キャンプ実施協議会設立 - @IT
2012/02/22 情報処理推進機構(IPA)は2月22日、若年層のセキュリティ人材育成を目的とした「セキュリティ・キャンプ」の実施に向け、「セキュリティ・キャンプ実施協議会」を設立した。民間企業を巻き込むことで産業界との交流促進を図るほか、地方での講座実施も計画している。 セキュリティキャンプは、優れた人材の発掘と育成を目的に、2004年から実施されてきた(2008年からは「セキュリティ&プログラミングキャンプ」として実施)。22歳以下の学生を対象に、4泊5日の合宿形式で、座学に加えハンズオンでセキュリティやプログラミングの専門知識を学習しつつ交流を深めるもので、これまでに約360名が受講している。 セキュリティ・キャンプ実施協議会は、これまでの蓄積を踏まえ、さらにセキュリティ人材のすそ野を広げ、突出した人材を発掘・育成する目的で設立された。シマンテックやトレンドマイクロ、マカフィー、
攻撃はまるでレーザービーム
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、この手の攻撃は、人に教育さえしておけば防げるものなのでしょうか?(編集部) 「セキュリティ元年」から変化したもの、しないもの 筆者の記憶によると、「セキュリティ元年」という言葉が登場したのは2000年ごろのことだ。 この当時、ADSLのサービスが開始され、「ITバブル」をキーワードに株価は上昇。中小企業においても「eコマース」という言葉がもてはやされ、通販サイトなども乱立した。インターネット華やかなりしころである。 しかし、ITへの投資は増えたものの、それに対する「システムとしてのセキュリティ」はコストと見なされ後回しにされてきた。そして、2000年にはLoveLetterウイルスが蔓延、2001年にはCodeRedによる感染活動によりトラフィックが激増した。この日は「インターネットがまひした日」とされてい
「標的型攻撃」をきちんと分類し、適切な設計、対策を――IPA - @IT
2011/11/30 情報処理推進機構(IPA)は11月30日、標的型攻撃への対処を念頭に置いたドキュメント「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の改訂第2版をWebサイトで公開した。 IPAでは、ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や公的機関を狙う執拗なサイバー攻撃を「新しいタイプの攻撃」と定義している。 この手の攻撃は、既知の手法を組み合わせて攻撃を仕掛けてくるため、必ずしも「新しいタイプ」という表現は的確とは言えない。だが少なくとも、「情報を盗み出す」などの明確な目的を持ち、その達成に向けて執拗に攻撃してくるという点で、ウイルス/ワームなどの不特定多数を狙った攻撃とは一線を画している。その意味で、最近頻繁に報道されている、政府機関や企業を狙った「標的型攻撃」も、新しいタイプの攻撃に分類される。 IPAは2
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
シェルコード解析に必携の「5つ道具」
リバースエンジニアリングのスタンダード「IDA Pro」 リバースエンジニアリングには、逆アセンブラである「IDA Pro」がよく用いられます。IDA Proは逆アセンブラのデファクトスタンダートといっても過言ではありません。正規版はHex-Rays社から販売されていますが、非商用の利用に限っては、旧バージョン(Ver.5.0)を無償版として利用することができます。 最新版(Ver.6.1)と比べ、無償版では対応しているファイルフォーマットやCPUアーキテクチャが少なかったり、組み込まれているプラグインやデバッガの数が少なかったりと、いくつか機能的に劣っている部分があります。とはいえ、シェルコード解析やマルウェア解析をこれから始めてみよう、という方であれば問題ないかと思います。解析をバリバリ行えるようになり、無償版では物足りないと思ったときに最新版の購入を検討するとよいでしょう。 IDA
シェルコードから始めるマルウェア解析
いま、求められるリバースエンジニアリング技術 「なぜ、ソースコードがないのに脆弱性を見つけられるの?」「なぜ、コンピュータウイルスの詳細な動作が分かるの?」 読者の皆様は、日々公開されるゼロデイ攻撃や巷をにぎわせるコンピュータウイルスの解析結果を見て、このような疑問を持ったことはないでしょうか? これらの多くは「リバースエンジニアリング」という技術を基に行われています。 【関連記事】 用語辞典:リバースエンジニアリング http://www.atmarkit.co.jp/aig/02security/revengine.html ――ハードウェアやソフトウェア製品に関して、構造や仕様を分析して技術的情報をほぼすべて明らかにしてしまう技術、またはその行為のことをリバースエンジニアリングという。 リバースエンジニアリング技術とはソフトウェアの“解析”技術です。ここではソースコードのないバイナリ
PSN Hacked――問題の根はどこに?
史上最大規模の個人情報漏えい事件 4月、ソニーのゲーム機関連のネットワークサービス「PlayStation Network」(PSN)で史上最大規模の個人情報漏えいがありました。この原稿を書いている段階では、ソニーの記者会見で公開された情報によって全貌がうっすらと見えてきました。 今回は、これを踏まえて筆者の推測について書いてみます。あくまでも筆者の個人的な推測であり、ソニーの発表以外の新事実を公開するものではありません。 記者会見によって明らかになったのは、以下のような事柄でした。 漏えいした個人情報の内容 システムはWebサーバ、アプリケーションサーバ、データベースサーバの3層構造になっていた 各サーバにはファイアウォールが設置されていた アプリケーションサーバの脆弱性を突かれた アプリケーションサーバに攻撃用ツールが置かれた アプリケーションサーバの攻撃用ツールからデータベースサーバ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
