Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP（Open Web Application Security Project）は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ

マイクロソフトは2007年5月22日、Microsoft Office 2003の文書ファイルを、Office 2007のOpen XML形式に変換するツール「Microsoft Office Isolated Conversion Environment（MOICE）」を公開した（セキュリティアドバイザリ）。同ツールを使えば、Office 2003の文書ファイルに仕込まれた危険なプログラムを除去できる。「サポート技術情報 935865」のページなどから入手可能。 従来、Microsoft Officeのファイル形式には、通常のテキストファイル形式ではなく、独自のバイナリーファイル形式が採用されている。このため攻撃者は、Officeの文書ファイル中に、同製品のぜい弱性を悪用するようなプログラムを埋め込むことが可能だった。新版のOffice 2007では、XMLベース、すなわちテキストべース

あらためて言うまでもありませんが，インターネットは，とっても便利なものですね。でも，インターネットには，ウイルス，情報漏洩，なりすましによる詐欺など，様々な危険が潜んでいます。「危険の存在を知り，十分に注意して使いましょう！」とはよく言われることですが，存在を知っているだけでは，危険から身を守ることができません。危険が生じる仕組みを知っておく必要もあります。 今回は，インターネットで使われている「Cookie（クッキー）」の仕組みを知るための実験をやってみます。Cookieは，便利なものなのですが，ちょっと危険なものでもあります。 Cookieの実体は，どこにある？ はじめに，Cookieとは何かを，簡単に説明しておきましょう。 何らかのWebページを閲覧すると，Webサーバーが皆さんのパソコンのメモリーやハードディスクに情報を書き込むことがあります。書き込むデータは，どのサイトにいつアク

「インシデント」とは，セキュリティ上の脅威となりうる出来事を意味する言葉である。意図的，偶発的，疑いがある場合などに関わらず，「セキュリティを脅かす可能性のある問題が起こった」と判断した出来事なら，それがインシデントである。インシデントが起こったとき，「インシデントが発生した」という言い方もする。 そもそもインシデント（incident）という単語には，「事件」，「出来事」，「ハプニング」といった意味がある。航空や医療の分野などでも使われている用語で，いずれも「重大な事故につながる可能性がある出来事」のことを指している。 どのくらいの脅威があるとインシデントと呼ぶかという明確な定義はない。主体となる組織や人によって対象となるインシデントは違う。ただし，コンピュータ・ネットワークを構築している組織すべてに，ある程度共通してインシデントといえる出来事は起こりうる（図1）。 最も身近なインシデン

知識がゼロでもWordの脆弱性悪用コードを簡単に作成できてしまうツールが中国のサイトで提供されていると、Symantecが報告した。 Microsoft Wordの脆弱性悪用コードが簡単に作成できるツールが、中国のサイトで提供されているという。セキュリティ企業のSymantecが4月4日のブログで報告した。 Symantec研究者がMicrosoft Officeの脆弱性悪用コードを調べている過程で、中国のWebサイトで不審なプログラムを発見。「2007 Doc Binder」という意味の中国名が付けられたこのプログラムを分析した結果、脆弱性を悪用したWordファイルを作成できる一種のツールキットであることが判明した。 バックドアや情報を盗み出すトロイの木馬など、作成したい実行ファイルの種類を攻撃者が選ぶと、あとの作業はツールが担当。知識ゼロでも、わずか数分で悪意ある文書のバリエーションを

Windowsのアニメーションカーソル処理に脆弱性が存在し、ゼロデイ攻撃に利用されている。Windows Vistaも影響を受けるという。 Windowsのアニメーションカーソル処理に極めて深刻な脆弱性が存在し、これを悪用したゼロデイ攻撃が発生している。Windows Vistaも影響を受けるとされ、米Microsoftは3月29日、アドバイザリーを公開して注意を呼び掛けた。 Microsoftによると、脆弱性はWindowsがアニメーションカーソルファイル（.ani）を処理する方法に存在する。細工を施したWebページをユーザーが訪れたり、細工を施した電子メールのプレビューや閲覧、添付ファイルの展開によって、攻撃コードが実行される恐れがある。 脆弱性が存在するのはWindows VistaとWindows XP SP2、Windows 2000 SP4、Windows Server 200

Mozilla，修正版「Firefox 2」「Firefox 1.5」を公開，FTPポート・スキャンに対応 米Mozilla Foundationが米国時間3月20日，オープンソースのWebブラウザ「Firefox 2」「Firefox 1.5」の修正版「Firefox 2.0.0.3」「Firefox 1.5.0.11」を公開した。深刻度「Low（低）」のFTP PASVポート・スキャニング問題などを修正した「Security Update」（セキュリティ・アップデート）および「Stability Update」（安定性アップデート）である。Mozilla FoundationのWebサイト（Firefox 2.0.0.3，Firefox 1.5.0.11）からWindows／Mac OS X／Linux版を無償でダウンロードできる。 Firefox 2.0.0.3／Firefox 1.

2005年2月から2006年12月までにラックが観測した「SQLインジェクション」件数の推移（侵入傾向分析レポート Vol.8から引用） セキュリティベンダーのラックは2007年3月19日、2006年中に同社が観測したインターネット上の攻撃をまとめた「侵入傾向分析レポート」を発表した。それによると、Webサイトのぜい弱性（セキュリティホール）を狙う「SQLインジェクション」と呼ばれる攻撃が、2005年の7倍に当たる約250件確認されたという。 ラックでは、企業ネットワークなどに設置したセキュリティ装置（ファイアウオールやIDSなど）をリモートから監視し、攻撃などを検知するとリアルタイムで対策・報告するサービス「セキュリティ監視サービス」を提供している。 今回発表されたレポートは、2006年1月から12月までの間に、同サービスで蓄積した記録（ログ）を基に、不正アクセスの手口やウイルス感染とい

悪用されると任意のコードを実行される恐れがあり、同社はバージョン10.0以降へのアップグレードを促している。 Citrix Presentation Server Clientに深刻な脆弱性が見つかり、同社はパッチを公開して適用を呼び掛けている。 Citrixのアドバイザリーによると、Citrix Presentation Server Clientにはプロキシサーバ経由のICA通信サポートが組み込まれているが、この機能に脆弱性が存在し、悪意のあるサイトをユーザーが閲覧すると、任意のコードを実行される恐れがある。 影響を受けるのは、Windows版Citrix Presentation Server Clientの10.0より前のバージョン。Citrixでは問題を修正した10.0以降にアップグレードすることを強く推奨している。 セキュリティ企業Secuniaのアドバイザリーでは、この脆弱性

米Sun Microsystemsは，UNIX OS「Solaris 10」のtelnetデーモン「in.telnetd（1M）」にあるセキュリティ・ホール「102802」（Sunの警告ID）を悪用するワームの存在を確認した。Sunが米国時間2月28日に明らかにしたもの。 このセキュリティ・ホールについて，Sunは2月13日に情報を公開していた（関連記事）。影響を受けるOSはSPARC版およびx86版のSolaris 10。Sunはすでに，このセキュリティ・ホールに対策する修正パッチ「120068-02」（SPARC版向け）と「120069-02」（x86版向け）を提供している。 Sunによると，Solaris 10のin.telnetd（1M）に利用権限のないユーザーの接続を許してしまうセキュリティ・ホールが存在するという。外部からrootユーザー（UNIXの管理者）のtelnetログイ

皆さんは同じスクリプトへのリンクを貼る時、どの様に記述していますか？ $_SERVER['PHP_SELF']を用いることがあるのではないでしょうか。これを直接用 いることは危険です。なぜならば、$_SERVER['PHP_SELF']にはクロスサイト・ス クリプティング（XSS）脆弱性が存在するからです。 $_SERVER['PHP_SELF']はしばしば次のように使われます。 <form method="post" action="<?php echo $_SERVER['PHP_SELF'] ?>"> このページ（ここではhttp:/www.example.jp/example.php）へ下記の様にリンク を貼り、クリックしてみて下さい。 <a href="http://www.example.jp/ example.php/%22%3E%3Cscript%3Ealert(%27XS

米証券取引委員会（SEC）は26日（現地時間）、外国人がコンピューターに侵入し、米Symantecなどの公表前のプレスリリースを入手、株で荒稼ぎしていたと発表した。手口は解明中だが、セキュリティ企業の同社にとってイメージにかかわりそうだ。 この外国人は1月12日、大量のSymantec株のオプション取引を実行。連休明け16日に同社が業績下方修正を発表したことで、思惑通りに株が下がり、103万471ドルの利益を上げていた。コンピューターに不正アクセスし、発表を事前に知っていたとみられている。 標的になったのは、同社や米RealNetworksなど12社。同様の手口で合計270万ドル以上稼いでいたという。Symantecのセキュリティー対策に問題があったかどうかは不明だが、同社はファイアウォール製品なども販売しているため、信用への影響が気になる。【南　優人／Infostand】 SECの発表

この問題を悪用し、文字コードを指定していないWebページをiframeなどで表示させ、クロスサイトスクリプティング攻撃を仕掛けられる恐れがある。 Internet Explorer（IE 7）7とOperaブラウザに、文字コード処理に関連したクロスサイトスクリプティングの脆弱性が報告された。 セキュリティ各社のアドバイザリーによると、この問題は、文字コードを指定していないWebページをframeなどで表示すると、親ページの文字コードセットを受け継いでしまうことが原因で発生する。 例えばiframeなどを使い、UTF-7の文字コードを使った悪意あるページに特定のサイトを組み込む形で悪用される恐れがあり、ユーザーのブラウザで任意のHTMLやスクリプトコードを実行して、クロスサイトスクリプティング攻撃を仕掛けることが可能になる。 Secuniaでは完全にパッチを当てたWindows XPで動作す