Microsoft Learn: Build skills that open doors in your career
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
「WEPは10秒で解読可能」、神戸大と広島大のグループが発表
無線LANの暗号方式「WEP」を一瞬で解読する方法を実証したとして、神戸大学と広島大学のグループが「コンピュータセキュリティシンポジウム2008(CSS2008)」で発表を行った。 WEPの暗号を解読する方法としては、2007年4月にドイツのダルムシュタット大学からWEPの暗号を1分程度で解読する論文が発表されている。ただし、この手法では大量のARPパケットを観測する必要があるため、通常の環境では解読が難しく、短時間で解読するためにはARPリインジェクション攻撃を仕掛ける必要があったという。 これに対して、今回、神戸大学と広島大学のグループが提案した手法は、任意のIPパケットからWEP鍵を導出できるという。手法としては、流れるIPパケットを盗聴し、IPパケットからキーストリームを回復、3つの関数を用いて鍵を推測し、鍵の候補を決定するというもの。 実験では、OSがWindows XP SP2
なぜ、DNSは攻撃されるのか? Dan Kaminsky氏が講演
東京・新宿の京王プラザホテルで開催中のセキュリティ専門カンファレンス「Black Hat Japan 2008」で9日、DNSキャッシュポイズニングの脆弱性を発見したDan Kaminsky氏が基調し、DNSが攻撃されることの意味をシステム全体として考えることの重要性を強調した。 ● DNSは、認証の問題を抱えたまま攻撃され続けている Kaminsky氏は、この脆弱性の概要や対策に至る経緯などを説明した後、DNSに対する攻撃手法について研究するだけでなく、DNSになぜこれだけの欠陥があり、なぜ攻撃されるのかを考えることが最も重要だとした。 Kaminsky氏によると、まず、キャッシュポイズニングが成功した場合に攻撃者が持つ権限が非常に大きくなる可能性が挙げられる。特定のサイトをハイジャックできるだけでなく、そのTLD以下のすべてのドメイン名に影響を及ぼすこともできるという。 さらに、攻撃者
DNSSECは解決策になりえるか? DNSの脆弱性の発見者に聞く
セキュリティシンクタンクの米Black Hatとインターネット協会の共催によるカンファレンス「Black Hat Japan 2008」が10月5日から10日まで、東京・新宿の京王プラザホテルで開催中だ。 まず、8日までの4日間は、授業形式で詳細な知識を解説する「トレーニング」を実施、続いて9日・10日にセキュリティ専門家らによる講演「ブリーフィングス」を実施する。 9日に行われるブリーフィングスの基調講演には、セキュリティ研究者のDan Kaminsky氏が登場する。Kaminsky氏は、7月にその存在が広く公になったDNSキャッシュポイズニングの脆弱性(通称「カミンスキー攻撃」)の発見者。8月にラスベガスで行われたBlack Hatに引き続き、日本でもこの脆弱性について講演する予定だ。今回、Kaminsky氏にメールでインタビューした。 なお、ブリーフィングス2日間の参加費は8万950
PSP&野良無線による犯行予告の犯人特定の捜査方法 - satoru.netの自由帳
【社会】PSPと無線LAN無断利用、ネット掲示板に「浅草で無差別に殺す」 無職の47歳男逮捕 偽計業務妨害の疑いで逮捕された、無職の小林宏有容疑者(47)は6月、埼玉・川口市で、 ソニーの携帯型ゲーム機「PSP」を使って、インターネットの掲示板に、「今月中に浅草で 無差別に殺す」、「無差別で、人殺してやるよ」などと書き込みをした疑いが持たれている。 この事件で逮捕された犯人は、野良無線&PSPを使って犯行予告をしていた。 こんな状況で警察がどうやって身元を特定したのか疑問だったんだけど、 日刊スポーツの『裁判Showに行こう』のコラムで詳細を裁判の傍観をレポしてくれていた。 きっかけは「ウザイな。はいはい、通報」(『裁判Showに行こう』コラム) (..前略..) 警察はIPアドレスの開示を受け、犯行予告の書き込みをした場所を特定。しかし、メガネ屋の店員にPSPユーザーがいなかったことから
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
JPRSのフィッシング対応措置、ドメイン名を直接削除する可能性も
インターネット犯罪対策をテーマに開催された国際カンファレンス「CeCOS II 東京:Counter-eCrime Operations Summit」で27日、JPドメインのレジストリである日本レジストリサービス(JPRS)の堀田博文氏が「ccTLDレジストリから見たフィッシング対策」と題して、レジストリが実際に行なっているフィッシング対策を紹介した。 今回紹介されたのは、JPRSが行なっているフィッシング対策だが、世界中のレジストリの多くがほとんど同じようなフィッシング対策を行なっているという。 堀田氏はまず、フィッシングに関連した統計データを紹介する中で、JPRSが実際に受け取っているフィッシング報告の件数の推移グラフを示した。これは、JPドメインを使ったフィッシングサイトに関する問い合せ(実質的にはフィッシングサイトの停止依頼)の件数だが、2007年以降、数が激減している。正確な原
コラム: やじうまミニレビューPLUS「ケシポン」
PLUSの個人情報保護スタンプ「ケシポン」はこんなパッケージで売られている!! ボディカラーは青と赤だが、スタンプの柄・色は同じ。ポンと押すだけで個人情報の印刷を隠せるスタンプなのだ 個人情報を隠すのが面倒臭ぇ~ッ!! とか思いがちな俺。いや、自分に関わる情報がテキトーな感じで漏洩したら困るんですけど、しかし、漏洩しないための手間がけっこータイヘンである。 例えば毎日のように届くダイレクトメール。ゼンッゼン要らねぇ郵便物ではあるが、自分の住所氏名が印刷されているので、そのままポイというのも……。じゃあ、というコトで、サンスター文具の「シュレッダーはさみ」を使っていたが、連日、ダイレクトメールの類をチョキチョキするのも、やはりカッタリィのである。 そんな拙者が便利な道具と遭遇。PLUSの個人情報保護スタンプ「ケシポン」である。店頭で見た瞬間便利であるに違ぇねえ!! と感じたので、即購入。メー
情報セキュリティ早期警戒パートナーシップガイドラインの改訂版が公開
独立行政法人情報処理推進機構(以下、IPA)と責任中間法人JPCERTコーディネーションセンター(以下、JPCERT/CC)は4月4日、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂し、「同 2008年版」を公開したと発表した。「情報システム等の脆弱性情報の取り扱いに関する研究会」での検討結果を踏まえたもので、IPAおよびJPCERT/CCのWebサイトで公開されている。 情報セキュリティ早期警戒パートナーシップは、ソフトウェア製品やWebサイトに内在する脆弱性情報の適切な取り扱いおよび情報公開を促進するための枠組み。このガイドラインの公開によって、これまでに2000件を超える脆弱性の届け出がなされているほか、関係者による、官民を超えた情報セキュリティ対策に関する情報共有・連絡体制の強化が推進されてきたという。 しかしその一方で、攻撃の兆候や被害の影響が見えにくく、IT利用
システム監査の設定
Windows 2000のデフォルトではシステム監査は設定されていません。これは、ユーザーのログオンやログオフの成功や失敗、重要なファイルへのアクセス失敗などについて追跡する手がかりが何もない状態と言えます。Windows 2000ではシステム監査の機能を利用することにより、セキュリティ上重要なイベントをイベントログ(セキュリティログ)に記録するように設定できます。 Windows 2000では以下の項目について、「成功」と「失敗」に関する監査を行なうことが可能です。 アカウント ログオン イベントの監査 アカウント管理の監査 オブジェクト アクセスの監査 システムイベントの監査 ディレクトリ サービスのアクセスの監査 プロセス追跡の監査 ポリシーの変更の監査 特権使用の監査 ログオンイベントの監査 セキュリティイベント監査の一般的な設定例を以下に示します。 多くの項目について
机が無線LANのアンテナに。イトーキの「LANシート」
机にシート状の無線LANアンテナを敷き、電波が届く領域を制限した「LANシート」がイトーキから登場。無線LANを使いながら、セキュリティ対策や位置特定などが可能になる。 フリーアドレスのオフィスなら無線LANを導入したい。でも、隣のビルまで電波が届いてしまう無線LANはセキュリティ的に心配。さてどうするか? こんな課題に対応するLANシステムをイトーキが開発。「SECURITY SHOW 2008」の同社ブースで展示している。名称は「LANシート」。通常のアンテナではなく、机の上に置いたシート状のアンテナを使うことで、机上に置いたPCだけが無線LANを使えるというものだ。 「シートから1メートルの範囲だけに電波が届く。セキュリティレベルを上げられるだけでなく、誰がどの机のLANにつなげているのか、位置を特定できるのが特徴」だとイトーキ。 シート型アンテナには、出力を弱める機構を持った専用の
hansode.org - このウェブサイトは販売用です! - hansode リソースおよび情報
このウェブサイトは販売用です! hansode.org は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、hansode.orgが全てとなります。あなたがお探しの内容が見つかることを願っています!
Windows Server 2008の検疫システム「NAP」を見る【第一回】
個人情報保護法や日本版SOX法(金融商品取引法)などの施行で注目を集めているのが、企業ネットワークや企業で利用するPCのセキュリティだ。これらの法律の施行以前からも、PCがウイルスに侵されたことがニュースとして新聞紙上をにぎわしていた。これらの原因の多くは、ウイルス感染したたった1台のPCが持ち込まれることで、中には、多くのPCにウイルスが感染してしまうような深刻なケースもあった。このため企業では強固なセキュリティポリシーを策定し、PCを使用する上でのルールを定めているところも多く見られる。 しかし、PCやネットワークを利用する上でのいろいろなルールを決めても、社内のすべての社員が従うとは限らない。ルールで禁止されているのに、ノートPCを社内へ持ち込み、社内ネットワークに接続するようなことも、頻繁に起こっているのだ。一方で労働環境の変化により、社内ネットワークに接続するユーザーが正社員だけ
「詐欺的DNSサーバ」が増加中 | スラド セキュリティ
本家/.の記事より。悪意あるクラッカーにより設置され、問い合わせ に対し正当なIPアドレスを返さない「詐欺的DNSサーバ」 (Rogue DNS Servers)が増加しているそうだ(AP 通信の記事)。ジョージア工科大学とGoogleが共同で行った調査によ ると、インターネット上には約68,000もの詐欺的DNSサーバが存在する。 マルウェア等によりエンドユーザのコンピュータの設定が汚染されたDNS サーバを参照するように改変されてしまった場合、クラッカーはいかなる 偽サイトにもユーザを誘導することができる。実際に誘導される先はいか にもインチキくさいものからほぼ完璧なコピーサイトまで様々のようだが、 深刻な脅威であることに違いはない。アンチウイルスソフトでは手の施し ようがない場合が多いのが、この手法の普及に一役買っているようだ。
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JPCERT/CC Alart 2006-10-24 - Microsoft Server サービスの脆弱性 (MS08-067) に関する注意喚起
Microsoft Corporation
さくらインターネットの一部ホスティングサーバーに不正コード挿入の被害
hansode.org - このウェブサイトは販売用です! - hansode リソースおよび情報
日本ベリサイン、「日本ジオトラスト株式会社」設立