「WannaCryはまだ終わっていない」──キルスイッチで毎日1000台が救われている
2017年6月9日、「Interop Tokyo 2017」の展示会場内セミナー『WannaCryがおしえてくれたこと』で講演を行ったJPCERTコーディネーションセンター(JPCERT/CC)の久保啓司氏(インシデントレスポンスグループ マネージャー)は、「2017年6月8日現在も、WannaCryのキルスイッチに接続するホストは同年5月12日のピーク時と同程度国内に存在している。つまり、再び被害につながる恐れのあるホストはまだまだ国内に存在している」と述べ、あらためてパッチ適用という基本の対策を徹底してほしいと呼び掛けた。 2017年5月13日から感染を広げ、世界150カ国で数十万台に上る被害を与えたとされる「WannaCry(WannaCryptor、WannaCrypt、Wcrypt、Wcryなどとも呼ばれる)」は、報道によっては「史上最大の影響を与えたランサムウェア」とも表現され
アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね
アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね:「訴えてやる!」の前に読む IT訴訟 徹底解説(39)(1/3 ページ) IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「システム開発におけるドキュメントは、何のために必要か?」を解説する。 連載目次 アジャイル開発だからドキュメントはいらない? 最近はアジャイル開発が一般的になり、ユーザーと一緒になって話し合いながらモノづくりをしていく現場では、「ドキュメントは必要ない」と考える技術者も増えていると思う。実際、最近の開発では、「要件定義書」や「設計書」、あるいは「テスト仕様書」や、その「結果報告書」も作成せず、簡単なメモを残すだけで、後はプログラム本体を納品すれば完了してしまうようなものもある。 この考え方は、ある意味合理的だ。システムを細かい機能に分けて、ユーザーヒアリングやワークシ
Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行
Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行:セキュリティクラスタ まとめのまとめ 2017年3月版(1/4 ページ) 2017年3月、セキュリティクラスタが注目したのは簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性。Symantecの発行する電子証明書にも話題が集まりました。 2017年3月のセキュリティクラスタは大騒ぎ。誰でも簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性が公表されたことが原因です。案の定、この脆弱性を使用している多数のWebサイトが攻撃を受けてしまいました。1月に話題となった「東京都税 クレジットカードお支払サイト」と2度目の被害となった「JINS」の被害が特に大きく、たくさんの人が興味を持ち、ツイートしていました。 Symantecの発行するSSL証明書をGoog
WordPressサイトが書き換えられまくり、SHA-1が衝突した2月
WordPressサイトが書き換えられまくり、SHA-1が衝突した2月:セキュリティクラスタ まとめのまとめ 2017年2月版(1/3 ページ) 2017年2月は「サイバーセキュリティ月間」の始まりということで、セキュリティに関するイベントが各所で開催されました。それに併せて、会場内からもたくさんのツイートが行われていました。 関連リンク:サイバーセキュリティ月間(内閣サイバーセキュリティセンター) 一方で2月上旬にはメジャーなCMS「WordPress」に簡単に記事を書き換え可能な脆弱(ぜいじゃく)性が見つかり、イベントどころではなく対応に追われた人や、脆弱性を追試してみた人も多くいたようです。 また23日にはハッシュ関数「SHA-1」で衝突を発生させられるということがGoogleにより発表され、「いよいよSHA-1も終わりを迎えるのか」と嘆かれながらも、「SHA-1衝突大喜利」が開催さ
「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る
「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る:セキュリティ・ダークナイト ライジング(外伝)(1/5 ページ) 「サイバー攻撃者の手法」を解説する本連載。今回はその「外伝」として、ランサムウェア被害者へのインタビューをお届けする。感染に気付いてから復旧に至るまでの“ランサムウェア被害の生々しい実態”をぜひ知ってほしい。 連載目次 「ランサムウェア=暗号化」ではない――意外と古いランサムウェアの歴史 この記事を読まれている方の多くは、「ランサムウェア」という言葉を聞いたことがあるだろう。ランサムウェアはマルウェアの一種で、感染することでそのコンピュータのリソースへのアクセスを制限し、それを解除するための対価として身代金を要求するものである。「身代金要求型ウイルス」と呼んだ方が分かりやすいかもしれない。 2015年末には国内でもファイルを暗号化し、そのファイルの拡張子を「
CMSのプラグイン、何でもかんでも入れてませんか?
2016年4月、国内の複数のWebサイトが不正アクセスを受け、個人情報が流出したことを明らかにした。原因は、CMS(Content Management System:コンテンツ管理システム)「Movable Type」のプラグインとして提供されている「ケータイキット for Movable Type」に存在していたOSコマンドインジェクションの脆弱(ぜいじゃく)性だ。 OSコマンドインジェクションは、比較的古くから存在していた問題だ。Webサイト内のフォームに文字列を入力することでサーバ上でOSのコマンドを実行させ、リモートからさまざまな意図しない操作を可能にしてしまうものだ。 確かに危険性は高いが、IPAが公開している「安全なWebサイトの作り方(pdf)」などにまとめられている通り、対策は示されている。また、OSコマンドを呼び出すのではなくライブラリを利用するといったプログラミング作
DevOpsとSecは同じ夢を見るか?
DevOpsとSecは同じ夢を見るか?:セキュリティ・アディッショナルタイム(5)(1/2 ページ) 米国で開催されたRSA Conference 2016では、開発・運用とセキュリティ担当者の距離を縮め、「セキュアでビジネスニーズに合ったサービスを素早く提供する」という共通の目的を達成するためのキーワード「DevSecOps」に関連するセッションが多数行われた。 開発(Development)と運用(Operations)が協力し、ビジネスの要請に合ったシステム開発をスピーディに進めていく「DevOps」の潮流は、継続的インテグレーション/継続的デリバリといった取り組みとも相まって、スタートアップ企業だけでなくエンタープライズ企業にまで浸透しつつある。 DevOpsは、対立しがちだったDevとOpsが一つのチームとなり、共通のゴールを目指すための取り組みだ。だが、まだ蚊帳の外に置かれてい
EmEditorや「オバQの毛」に気付いたeBookJapanに見る、「有事」のあるべき姿勢とは
EmEditorや「オバQの毛」に気付いたeBookJapanに見る、「有事」のあるべき姿勢とは:適切なインシデント対応と情報公開には、適切な評価を(1/2 ページ) セキュリティインシデントに遭遇した後、優れた対応を取った企業や組織を表彰することで、適切な事後対応に取り組むモチベーションとしてもらうことを目的とした「セキュリティ事故対応アワード」の表彰式が2016年2月24日に行われた。 セキュリティ対策は、労多くして報われることの少ない仕事かもしれない。運用全般に言えることだが、「何もなくて当たり前、何か起こると怒られる」という中で、安全を実現しようという使命感を持つ技術者に支えられているのではないだろうか。 だが何らかのセキュリティインシデントが発生すると、メディアや世間から糾弾され、時には「袋だたき」の様相を呈することもある。批判の中には、セキュリティ対策の不備や見通しの甘さなど、
マイクロソフト、隠れ“SQL Server 2005 Express”に注意喚起
米マイクロソフトは2016年3月1日(米国時間)、同社のリレーショナルデータベース管理システム「SQL Server 2005」の延長サポート終了が数週間後に迫っていることから、その無償エディション「SQL Server 2005 Express Edition(以下、SQL Server 2005 Express)」のユーザーに向けて、公式ブログでサポート終了への注意を喚起するとともに、最新版「SQL Server 2014 Express」へのアップグレードを呼び掛けた。 SQL Server 2005は2016年4月12日(日本時間)に延長サポートが終了する。SQL Server 2005 Expressは、クライアントデータベースとしても、基本的なサーバデータベースとしても利用できるエディションで、無料でダウンロード配布されていた。マイクロソフトは、「SQL Server 2005
WordPressプラグインの検証情報提供、プライム・ストラテジー
プライム・ストラテジーは2016年2月29日、WordPressのプラグインを検証する「KUSANAGI Readyプロジェクト」を2016年3月に始めると発表した。WordPressの主要なプラグインやテーマのソースコードが、PHP 7やHHVM(HipHop Virtual Machine)などの言語仕様に適合していること、一定のセキュリティルールに適合していること、ある程度の実行速度を確保できていること、日本語や英語といった言語対応の状況などを検証して、同社が定めた水準に適合しているものを公表する。 同社によると、オープンソースのCMS(Contents Management System)であるWordPressは、世界のWebサイトの約25%で利用されている。開発元の「WordPress.ORG」の公式ディレクトリには、4万種以上のプラグインと2000種以上のテーマが登録されてい
なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説
サイバー攻撃の対象として、最も狙われやすい情報の一つが「パスワード」です。パスワードを盗み出せば、攻撃者はユーザーに成り代わってさまざまな操作を行い、情報や金銭を窃取することができます。 パスワードを守る方法としては、「パスワードを定期的に変更する」「複雑なパスワードを設定する」といった対策が常識だと思っている方は多いでしょう。しかし、パスワードを定期的に変更しても、パスワードを盗まれれば、次に変更するまでの間はログインし放題になってしまいます。これは複雑なパスワードを設定していても同じです。 では、パスワードはどうやって盗まれるのでしょうか? 最も単純な方法は「盗み見」です。パスワードを入力しているところを、後ろを通った人が肩越しに見ていたら、簡単なパスワードであればすぐに覚えられてしまうかもしれません。 もう少し手間を掛ける方法としては、「ブルートフォース攻撃(総当たり攻撃)」や「辞書
さよならJavaアプレット。JDK 9からWebブラウザプラグイン機能を排除
米オラクルは2016年1月27日(米国時間)、Javaプラットフォームグループのブログで、JDK 9からJavaブラウザプラグインを非推奨にすると発表した。今後のJava SEのリリースではOracle JDK、JREには含まれなくなる。 この発表の背景として、オラクルでは主要ブラウザベンダーがプラグインの標準サポートを廃止ないしは廃止すると表明したことを挙げている。Javaに限らず、FlashやSilverlightなども同様に標準ではサポートされないオプションとなる予定だ。 こうしたことから、オラクルでは「プラグインフリー」な実装を推奨していくとし、Javaプラグインを前提とした既存アプリケーションについては、2001年から提供し続けている「Java Web Start」テクノロジーに移行し、Webブラウザに依存しない実装にすることを推奨している。 既存のJavaアプレットをJava
「Joomla!」に再び深刻な脆弱性、3.4.6への速やかなアップデートを推奨
2015年12月18日追記 HASHコンサルティングの徳丸浩氏はこの件に関するブログ投稿(http://blog.tokumaru.org/2015/12/joomla-zero-day-attack-caused-by-php.html)を公開し、この問題の原因はJoomla!側ではなく、PHPに存在する既知の脆弱性(CVE-2015-6835)にあることを指摘している。通常は顕在化しないこの脆弱性が、セッションストレージとして用いているMySQLにおいて、UTF-8の4バイト形式以降を切り詰めるという仕様のために顕在化したことが原因という。このため、Joomla!以外も影響を受ける可能性があり、「PHPの最新版を使うことを推奨」している。 オープンソースのコンテンツ管理ソフトウエア(CMS)「Joomla!」に、リモートからのコード実行も可能な深刻な脆弱(ぜいじゃく)性が存在することが
CMS「Joomla!」にSQLインジェクションの脆弱性、スキャンの動きも内外で
CMS「Joomla!」にSQLインジェクションの脆弱性、スキャンの動きも内外で:バージョン3.4.5へのアップデートを「直ちに」「強く」推奨 オープンソースのコンテンツ管理システム「Joomla!」に、SQLインジェクションの脆弱性が存在することが明らかになった。開発チームでは問題を修正したJoomla! 3.4.5へのアップデートを強く推奨している。一方で早速、この脆弱性を探索するアクセスが観測されており、注意が必要だ。 米国時間の2015年10月22日、オープンソースのコンテンツ管理システム(CMS)「Joomla!」に深刻な脆弱(ぜいじゃく)性が存在することが明らかになった。開発チームは問題を修正した「Joomla! 3.4.5」をリリースし、速やかにアップデートするよう呼び掛けている。 Joomla!は多くのWebサイトで採用されている人気の高いCMSの一つだ。開発チームが10月
設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」:すぐ実践可能!(1/4 ページ) カギは「ZoneID」と「アーカイバー」と「保護されたビュー」。これらの設定を見直すことで、なぜ標的型メール攻撃対策ができるのかを考察しよう。 脅威はメールからやってくる――いますぐできる対策は? 近年、機密情報などの窃取を目的とし、特定の企業や組織を狙い撃ちにする「標的型攻撃」が、情報セキュリティの大きな課題となっている。「標的型攻撃」はさまざまな手法が存在するが、その中でも組織の関係者や顧客などを装い、メールを送信する「標的型メール攻撃」と呼ばれる攻撃が現在の主流となっており、手口も巧妙化、多様化の一途をたどっている。 本稿では、従来型のセキュリティ対策では防ぐことが難しいといわれる「標的型メール攻撃」に対し、費用負担も少なく容易に導入可能な、攻撃を緩和する対策について考察する。 標的型メ
続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」:Windows標準機能でいますぐできる標的型攻撃対策(1/4 ページ) 2014年9月の公開後、その実効性と手軽さが反響を呼んだ前回記事に新たな対策を追加。Windows標準のセキュリティ機能だけで実践可能な最新の標的型メール攻撃対策を紹介します。Windowsユーザーやドメイン管理者の皆さまは、ぜひご一読ください。 日本年金機構の情報流出事件を契機として、「標的型攻撃」への関心が再び高まっている。最近では、「標的型攻撃でのマルウエア感染は避けられない」「感染・侵入を前提とした対策が必要」との声が聞かれるようになってきた。それらの主張に異論を挟むつもりはないが、感染のリスクを少しでも減らせる対策があるのならば、実施するに越したことはないはずだ。 実際、感染被害が起こると、そのインシデント対応は決して容易なものではなく、費用
本番さながらの環境でXSSなどの脆弱性を探す、学生向けイベント
本番さながらの環境でXSSなどの脆弱性を探す、学生向けイベント:mixi Scrap Challengeリポート 書籍などを通じて知識として知っているつもりの脆弱性。しかし、実際に手を動かしてその仕組みを体験するのは難しい。日本有数のSNS mixiや「モンスターストライク」などのサービスを展開しているミクシィが、同社本番環境のクローンに対する疑似攻撃を通じてWebサービスの脆弱性について学べる学生向けのイベントを開催した。 ミクシィは2015年8月29日、同社のSNS「mixi」のクローンサイトに対する疑似攻撃を通じて、Webサービスの脆弱(ぜいじゃく)性についての理解を深める学生向けのイベント「mixi Scrap Challenge」を開催した。 しばしば言われることだが、Webサービスを守るには、攻撃者の視点や手法も知らなければ効果的な対策は難しい。mixi Scrap Chall
第1回 暗号化の基礎
暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。今回は暗号化技術の基礎として、暗号化の基本、暗号の安全性、共通鍵暗号と公開鍵暗号について解説。 暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。ファイルやデータの暗号化の他、HTTPSや、無線LANにおけるWEP/WPA/TKIP/AESのようなセキュアな通信、証明書やデジタル署名、PKIなど、多くの場面で暗号化技術が使われている。今回からしばらくは、暗号化の基礎や共通鍵暗号、公開鍵暗号、証明書、PKIなどについて、IT Proの初心者向けに暗号化技術の基礎を解説していく。今回は、暗号化の基礎を解説する。 暗号化とは データを保護するだけなら、暗号化ではなく、「ファイルの許可属性(読み出し禁止などの属性)」や「アクセス制御(ACL)」などの方法もある。これらは、アクセスするユーザーに応じ
Perlは諸悪の根源か? ヨーロッパで行われた情報セキュリティの祭典「31C3」リポート
Perlは諸悪の根源か? ヨーロッパで行われた情報セキュリティの祭典「31C3」リポート:31st Chaos Communication Congress(1/3 ページ) これはまるでアートイベント? これまでのセキュリティイベントとはちょっと違う雰囲気で行われた、情報セキュリティの祭典「31C3」の様子をリポートします。 2014年12月27日から30日にかけて、今年もドイツ・ハンブルグでカンファレンスという名の祭典、「31st Chaos Communication Congress(31C3)」が開催されました。2年前にリポートした29C3と比べてどれだけ進化を遂げているのか、その模様を紹介します。 しっかりシステム化し整理された31回目の「CCC」 技術、政治、料理……何でもありのカンファレンス「CCC」が、今年もドイツ最大の港町ハンブルグにて、2014年の年の瀬に開催されまし
ShellShockに管理者はショック! パスワード定期変更の議論どころではない?
中でも多かった意見は、「サービスごとに異なるパスワードを設定する」「分かりにくい文字列をパスワードにする」の二つと同列に「パスワードの定期変更」を並べるのはどうなのかということと、これらのいずれかを対策とするという要件であるため、パスワードの定期変更だけを採用してしまうと、根本的な対策にはならないのではないかという意見です。 それに対し、@keijitakeda氏から「必ずしも駄目とも思えない、一律にパスワードの定期変更をあざ笑うような風潮を広めることはあまりよくない」と反論がありました(なお、@keijitakeda氏は基本的にパスワードの定期変更には反対の立場だそうです)。 @keijitakeda氏に対して、たくさんの反論ツイートが向かいます。まとめると、定期変更は一定の効果はあるのは分かってはいるけれど、あくまでも他の2つの補助的な役割に過ぎないので、ここでいずれかの対策に含めるの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
