第212回 大騒ぎのSpectreとMeltdownの脆弱性をざっくりと解説
2018年の年明けから大騒ぎとなっているSpectreとMeltdownの脆弱(ぜいじゃく)性をざっくりと解説する。プロセッサの何が問題となって脆弱性が起きているのだろうか? 連載目次 2018年正月早々、プロセッサ業界に騒動が起きている。すでにあちらこちらで報道されているのでご存じの方も多いと思うが、Spectre(スペクター)とMeltdown(メルトダウン)と呼ばれるプロセッサの脆弱性の問題である(脆弱性の詳細は、Google Project Zeroの「Reading privileged memory with a side-channel 」参照のこと)。 脆弱性は、以下の3つである。「Variant 1」と「Variant 2」がSpectreと呼ばれるもの、「Variant 3」がMeltdownと呼ばれる脆弱性だ。 Variant 1: bounds check bypa
Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
Web広告からのマルウエア感染「Malvertising」にどう対処すべきか:川口洋のセキュリティ・プライベート・アイズ(57)(1/2 ページ) セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。 連載目次 Web広告からのマルウエア感染 皆さんこんにちは、川口です。つい先日「Hardening 10 ValueChain」のリポート記事を出したばかりですが、どうしても2015年のうちに記事化しておきたいテーマがあったので、必死に原稿を書き上げました。 そのテーマは、「Web広告からのマルウエア感染」です。「不正広告」や「Malv
「GitHubを使うプログラマー」を狙ったマルウェア攻撃が発生 コードを秘密裏に改ざんされる可能性
GitHubを使うオープンソースプログラマーを対象に、コンピュータをトロイの木馬プログラムに感染させようとする標的型攻撃が発生している。スロバキアのセキュリティ企業 ESETが2017年3月30日(現地時間)、公式ブログで注意を呼び掛けた。以下、内容を抄訳する。 GitHubを活用しているプログラマーは警戒が必要だ。何者かがあなたのコンピュータにマルウェアを感染させようと狙っているからだ。 GitHubユーザーにメールを送り付け、コンピュータにトロイの木馬プログラムをインストールしようとする標的型マルウェア攻撃の発生が報告されている。 この攻撃は2017年1月に発覚した。攻撃に使われる電子メールは、以下のようにプログラミングの仕事を持ち掛ける文面で届く。 Hey. I found your software is online. Can you write the code for my
BNF記法入門(1) ─XML関連仕様を読むために─
第4回 BNF記法入門(1) ─XML関連仕様を読むために─ W3Cの勧告として発表されているXML 1.0の仕様書は、XMLの構文を厳密に定義するためにBNFと呼ばれる記法で記述されている。XML関連の仕様書を読みこなそうとすれば、BNFの理解は不可避だ。今回はそのBNFを解説しよう。 ■話題 BNF記法 ■程度 C (XMLに関するひととおりの知識を持っている人を対象とする) ■目的 基礎的な知識の解説 この連載を初めてお読みになる方は、「XML深層探求について」をご覧ください。
「Mirai」ソースコード徹底解剖-その仕組みと対策を探る
Miraiボットネットとは Miraiは、2016年9月13日夜、米国のセキュリティジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」に対して行われた大規模なDDoS攻撃に使用されたとして話題になったボットネットです(関連記事)。Miraiは主にWebカメラやルーター、デジタルビデオレコーダーなどのIoTデバイスを踏み台としてDDoS攻撃を仕掛けます。 参考:セキュリティ用語事典:DDoS攻撃 攻撃を受けた後に投稿されたKrebs氏のブログ記事によれば、同サイトを保護していたAkamaiが、ピーク時にはそれまでに経験した最大規模の攻撃の2倍近いトラフィックを観測したそうです。 また、2016年10月21日にTwitterやNetflixなどが利用するDNSサービスへ行われたDDoS攻撃でも、Miraiボットネットが利用されていたのではないかと推定され
終わらないWindows Updateの問題を解決する(2016年9月版)
解説 新しくWindows 7 SP1をインストールしたり、しばらく使っていなかったWindows 7 SP1搭載のPCの電源を入れたりした後で、Windows Updateを実行すると「更新プログラムの確認」が終了するまで数時間から、PCの性能によっては数日もかかることがある。例えば、仮想マシン(VirtualBox)上にクリーンインストールしたWindows 7 SP1でWindows Updateの「更新プログラムの確認」を実行したところ、更新プログラムの一覧が表示されるまで5時間以上もかかってしまった。 Windows Updateの画面 Windows 7 SP1をインストールした場合、Windows Updateの「更新プログラムの確認」に数時間要する。事前に2つの更新プログラムを適用しておくことで、これを15分程度に短くできる。 これは適用すべき更新プログラムが大量にあること
「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る
「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る:セキュリティ・ダークナイト ライジング(外伝)(1/5 ページ) 「サイバー攻撃者の手法」を解説する本連載。今回はその「外伝」として、ランサムウェア被害者へのインタビューをお届けする。感染に気付いてから復旧に至るまでの“ランサムウェア被害の生々しい実態”をぜひ知ってほしい。 連載目次 「ランサムウェア=暗号化」ではない――意外と古いランサムウェアの歴史 この記事を読まれている方の多くは、「ランサムウェア」という言葉を聞いたことがあるだろう。ランサムウェアはマルウェアの一種で、感染することでそのコンピュータのリソースへのアクセスを制限し、それを解除するための対価として身代金を要求するものである。「身代金要求型ウイルス」と呼んだ方が分かりやすいかもしれない。 2015年末には国内でもファイルを暗号化し、そのファイルの拡張子を「
攻撃/防御双方の視点からサイバーセキュリティを“ディープに“解説した人気連載を無料提供
著名ペンテスターで@IT人気筆者でもある辻伸弘氏が、攻撃/防御双方の視点を織り交ぜながらセキュリティ関連のテーマについて考察した連載「セキュリティ・ダークナイト」がついにeBook化! 「CTF体験記」から「Anonymousインタビュー」に至るまで、筆者自身が体当たりで収集した情報と知見を余すことなく紹介します。 他にも、「『Wireshark』のコマンドライン版を使ったログ分析」「ハニーポットの構築」「パスワードクラッキング」など、教科書には載っていないディープなテーマが盛りだくさん。一通り基礎知識は習得しているけれど、「もう一歩先に進みたい」「本物の最前線が知りたい」、そんな皆さまには最適な内容でしょう。 また、普段セキュリティ関連業務には直接携わっていないエンジニアの方や、情報システム部門の皆さまにとっても、きっと参考になるはずです。本eBookが、あなた自身やあなたの会社を脅威か
UXとは何ぞや? UXを高める武器を手に入れよう! ― 開発者は、いかにユーザー・エクスペリエンス(UX)と付き合うべきか ―
UXとは何ぞや? UXを高める武器を手に入れよう! ― 開発者は、いかにユーザー・エクスペリエンス(UX)と付き合うべきか ―:連載:UX(ユーザー・エクスペリエンス)研究(2/2 ページ) ◇UXを高めると何がうれしいのか? そもそもUXに配慮すると何が良くなるのだろうか? システムに投資するのなら、企業経営上の観点から、投資対効果(=ROI:Return On Investment)を追求する必要がある。よってUXへの投資も、経営層に対して「どれだけ利益があるか」を説明する必要がある。 利益を考える場合には、大きく2つの観点しかない。つまり、 コストを削減するか 売上を伸ばすか である。 ●コストを削減する UXがもたらすコスト削減としては、大きく3つある。 実際にシステムを利用する人間の作業時間/労働コストの削減 システム利用者へのトレーニング・コスト削減 オペレーション・ミスが減る
再考・APT~Mandiantレポートを基に~
世界を駆けめぐった1通のレポート 2013年2月18日、米国のセキュリティ会社Mandiantが「APT1: Exposing One of China's Cyber Espionage Units」というタイトルのレポート(以下「APT1レポート」)を発表しました。 このレポートは、「上海を拠点とする中国人民解放軍所属の部隊が、過去数年間にわたって、主に米国を中心に、世界中の組織に対しサイバースパイ活動を行っていた」ことを指摘するもので、米国内にとどまらず、世界中のメディアなどで取り上げられ、大きな話題となりました。 そこで本記事では、10年以上にわたって繰り広げられてきた米中間のサイバー空間における争いや、APT1レポートによる影響とその意味、今回のレポート公開へとつながる背景などについてまとめてみたいと思います。 「APT1レポート」が示した内容~サイバースパイ活動の実態 APT1
XPよりも難問? IPAがサポート切れのWebサーバー関連ソフトに警鐘
XPよりも難問? IPAがサポート切れのWebサーバー関連ソフトに警鐘:長期的な視点に基づく組織的なWebサイト管理を IPAは2014年4月25日、Webサーバーの適切な運用を呼び掛ける文書「サーバソフトウェアが最新版に更新されにくい現状および対策」を公開した。少なからぬ割合のWebサーバーで、サポートが終了したバージョンのサーバーソフトウェアやミドルウェアが使われているという。 情報処理推進機構(IPA)は2014年4月25日、少なからぬ割合のWebサーバーで、サポートが終了したバージョンのサーバーソフトウェアやミドルウェアが使われているという調査結果に基づき、Webサーバーの適切な運用を呼び掛ける文書「サーバソフトウェアが最新版に更新されにくい現状および対策」を公開した。 IPAでは情報セキュリティ早期警戒パートナーシップに基づき、クロスサイトスクリプティングをはじめとするWebアプ
OWASPを関西にも、カジュアル勉強会「OWASP Kansai」が発足
OWASPを関西にも、カジュアル勉強会「OWASP Kansai」が発足:Webデザイナーにも参加してほしい! 2014年3月3日、大阪市のコワーキングスペース「TAM Coworking」にて、OWASP Kansai発足を記念した「OWASP Kansai Local Chapter Meeting 1st」が開催された。Webセキュリティに関心を持つ人々が集うカジュアルな勉強会で、東京(OWASP Japan)以外での支部(チャプター)発足は初となる。 OWASP(Open Web Application Security Project)はWebアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体で、日本ではOWASP Japanが2011年より活動を開始しており、2014年3月17日には「OWASP AppSec APAC 2014」を日本で開催する。 OWA
Metroスタイル・アプリの開発者が知るべき3つのこと(1/3) - @IT
特集:Windows 8開発に向けて準備しよう Metroスタイル・アプリの開発者が知るべき3つのこと ―― アイデアを考え始める前に、これだけは理解しておこう! ―― BluewaterSoft 山本 康彦 2012/03/13 先日、Windows 8 Consumer Preview(以下、Win8CP)とVisual Studio 11 beta(以下、VS11beta)が公開され、誰でもダウンロードできるようになった。この機会に、Windows 8の新しいUIである「Metroスタイル・アプリ」の作成に挑戦してみようと思っている読者も多いことだろう。 だが、その前に押さえておきたいポイントがある。この記事では、あなたの素晴らしいアイデアを実現できるかどうかに関わってくる、3つの重要なポイントについて説明する。
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
Ruby開発の新メンバーは14歳の中学生! - @IT
2011/04/14 オープンソースのプログラミング言語「Ruby」の開発コミュニティで、いま注目されている人がいる。福森匠大(Shota Fukumori、sora_h)さん、14歳だ。国籍、性別、年齢などは無関係というオープンソースの世界だが、これほど年若い参加者が「コミッタ」と呼ばれる開発のコアメンバーに迎え入れられることは珍しい。Ruby開発に加わった時点では中学2年生。「最年少記録」を塗り替えた。 欧米を中心にビジネスの世界でも迎え入れられつつあり、先日、JIS規格化もされたRuby言語。そのRubyの生みの親で、現在も開発をリードしているまつもとゆきひろさんに島根県から動画チャットで加わってもらい、福森さんに話を聞いた。 無料海外ドメインも使う「デジタルネイティブ世代」 記者への挨拶もそこそこに、最新のAndroid端末とMacBook AirをWiFiルータでネットに接続する
どのマスコットがお好き? - @IT
オープンソースのさまざまなプロジェクトを見渡してみると、ロゴなどに動物をモチーフとしたかわいらしいキャラクタを配していることが少なくない(コワモテであったり奇抜であったりするキャラクタも存在していることは否定できないが)。 いわゆるマスコット(マスコットキャラクタ)、近年では“ゆるキャラ(ゆるいマスコットキャラクタ)”と呼称されるキャラクタたちは、公式または非公式にプロジェクトの象徴としてオープンソースコミュニティの活動を支え、ユーザーに愛され続けている。 今回は、@IT編集部の総力を挙げて、オープンソース界の“ゆるキャラ”祭りを勝手に開催してしまおう。2008年最後の記事として、ゆるい気持ちで読んでいただきたい。 Linuxはマスコットが大好き? さて、読者の皆さんはオープンソースのキャラクタと聞いて、何を最初に思い浮かべるだろうか。おそらくLinuxのマスコットであるペンギンを挙げる人
ここが大変だよBigtableとGoogle App Engine
ここが大変だよBigtableとGoogle App Engine:分散Key-Valueストアの本命「Bigtable」(3)(1/2 ページ) RDBとは別の、クラウド時代のデータベースとして注目を浴びている「分散Key-Valueストア」。その本命ともいえる、Googleの数々のサービスの基盤技術「Bigtable」について徹底解説 月間3000万PVの大規模サイトの運用費が月額4万円!? 月間3000万PV相当の膨大なトラフィックを楽々とさばく大規模サイトが、月額4万円弱で運用されている。 Google App Engine(以下、App Engine)が普及するにつれて、そんな驚愕の国内事例も登場しつつあります。GClueがApp Engine上で実装したmixiアプリモバイルモバイルには、1日100万PV以上のアクセスが集中している状態でもサービスのレスポンス低下やダウンは皆無
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
再考・ケータイWebのセキュリティ 連載インデックス - @IT
「SSL通信内容をプロキシサーバは解析できる?」(1) Linux Square - @IT