「Chromeをアップデートしないで」――Salesforce“異例のお願い”の真相
関連キーワード Google Chrome | Salesforce.com(セールスフォースドットコム) | セキュリティリスク | Webセキュリティ Salesforce(salesforce.com)は「混合コンテンツ」(mixed content、「混在コンテンツ」とも)の問題に関する情報発信で迷走している。混合コンテンツとは、エンドユーザーとWebサーバ間の通信が「HTTPS」で暗号化されているWebサイトにおいて、平文の「HTTP」通信でやりとりされているコンテンツを指す。 GoogleのWebブラウザ「Chrome」が混合コンテンツをブロックすることで発生する問題を受け、Salesforceは「Chromeの最新アップデートの適用を見送るか、旧バージョンにロールバックすること」を推奨した。 併せて読みたいお薦め記事 Webブラウザのリスクとセキュリティ ChromeやFir
いまさら聞けない「TCP/IP」とは? 何が危険なのか?
関連キーワード ネットワーク・セキュリティ | セキュリティ対策 | 脆弱性 ネットワークの主要なプロトコル群に「TCP/IP」がある。その名の通りインターネット通信プロトコル「TCP」(伝送制御プロトコル)と「IP」(インターネットプロトコル)を中核としたプロトコル群だ。 TCP/IPを取り巻く“これだけの危険” 併せて読みたいお薦め記事 インターネット利用時のセキュリティ対策 「パスワードは最低12文字」では不十分? 在宅勤務での情報漏えいを防ぐ方法 在宅勤務を危険にする「知識不足」「モバイル」「不審ソフト」への対処法は? IoTデバイスで「IEEE 802.11」無線LANを採用すべき理由と、注意すべき限界 TCP/IPの基礎知識 いまさら聞けない「TCP/IP」と「OSI参照モデル」の違いは? 即時性か信頼性か、レイヤー4のプロトコル「TCP」と「UDP」 IPは、エンドポイント間
GoogleがChromeでの「クリプトマイニング」を全面禁止 その理由は?:クリプトジャッキングの抑止につながるか - TechTargetジャパン セキュリティ
関連キーワード Google | セキュリティ | セキュリティ対策 他人のPCリソースを無断で使うといった不正な手段で、仮想通貨の採掘(クリプトマイニング)を実行する「クリプトジャッキング」が横行しつつある。事態を受け、GoogleはWebブラウザ「Chrome」向けの拡張機能で、クリプトマイニングの全面的な禁止に踏み切った。Googleはなぜこうした措置に出たのか。この禁止措置は、クリプトジャッキングに対してどの程度の効果があるのか。 分散型台帳の一種である「ブロックチェーン」に記録される、過去の仮想通貨取引を検証するのがクリプトマイニングだ。本質的には不正行為ではなく、禁止もされていない。実際に、クリプトマイニングは新しい仮想通貨を生成する方法であり、成功すれば収入が得られる。 クリプトマイニングは大規模なリソースを要するため、普通のユーザーのPCで処理できる範囲を越えている。この障
10Gbps通信の普及を阻んだ「高過ぎるエラー率」問題 (1/2)
関連キーワード ブロードバンド | ギガビットイーサネット | ネットワーク | ルータ | ネットワークスイッチ 2008年に登場した10GBASE-T準拠のデータセンタースイッチ。32ポートの10ギガビットイーサネットを収容して当時の価格は税別で350万円だった データトラフィックは日々増大している。だからこれまで以上に高速で広帯域のネットワークが必要になる。この予測が大きく外れることはまずないだろう。ここでいうネットワークは、バックボーン回線だけではなく、データセンターやサーバルームの中にあるコンピューティングユニットとストレージの接続も当てはまる。 2010年まで、ラックに多数のブレードサーバを収めるようなケースでは、サーバとラックに設置したスイッチは、データ転送速度が1Gbpsのギガビットイーサネット(GbE)規格「1000BASE-T」ベースの接続で間に合っていた。ただ、スイッ
17歳少年が不正アクセス 佐賀県教育システム「SEI-Net」を責められない理由 (1/2)
関連キーワード 教育 | 教育IT | タブレット 佐賀県教育委員会は2016年6月27日、不正アクセスによって生徒や保護者、教職員の個人情報、成績関連情報などが外部へ流出したと発表した。同教委の発表では、流出した情報の中には9589人分の個人情報が含まれていたという。報道されている情報をまとめると、一定レベルのシステムとハッキングに関する知識や技術を持つ17歳の少年が、校内LANやシステムへ不正アクセスし、その中で上記の情報を窃取してしまったようだ。 学校の成績情報といった重要情報が外部へ流出したのは、今回の事件が初めてではない。むしろ小中学校や高等学校といった教育機関からの重要情報の漏えいは、これまで何度も発生してきた。セキュリティ対策を含めてクライアントPCの管理が不十分で、情報を管理するための環境を十分に整備しきれていない教育機関が少なくないからだ。 併せて読みたいお勧め記事 佐賀
誰もが間違う、セキュリティ対策「9の迷信」
関連キーワード CIO | Symantec(シマンテック) | サイバー攻撃 | セキュリティ | セキュリティ対策 企業はサイバー攻撃に関して“ハイテク”な対策を取るようになっているが、攻撃者は“ローテク”になっている。本稿では、最高情報責任者(CIO)が見落としがちな点とサイバー攻撃が発生する仕組みを紹介する。 強固なサイバー攻撃対策が自社を保護する適切なアプローチだと今も信じて疑わないCIOに警鐘を鳴らしたい。 関連記事 米NSAの“最強ハッカー集団”「TAO」の背筋が凍る手口 何が起きたのか「韓国大規模サイバー攻撃」 1400万ドルを荒稼ぎ、FBIが摘発した大規模サイバー犯罪の手口 「金融機関をハッキングせよ」 英国でサイバー攻撃演習が実施 「ATMは止まらない?」、疑似サイバー攻撃で銀行が試される 受動的になりがちなサイバー攻撃対策の態勢を強化し、油断した状態を改める必要がある
ID不正利用を払拭する「ワンタイムパスワード製品」10選 (1/10)
一度限りの使い捨てパスワードを使ってユーザー認証をする「ワンタイムパスワード」。パスワードを推測されたり、パスワードが漏えいして不正利用されたりする可能性が低いといったメリットがある。ワンタイムパスワードを生成/表示するトークンも、ハードウェアトークンだけでなく、ソフトウェアトークンも利用できるようになり、ユーザーにとっての利便性も向上してきた。主要な10種のワンタイムパスワード製品を見ていこう。 紹介する製品 RSA SecurID Identikey Server Symantec Validation&ID Protection SafeNet Authentication Service Entrust IdentityGuard PassLogic SECUREMATRIX WisePoint PhoneFactor MagiPass 関連記事 増えすぎたID/パスワードを安全に
何が起きたのか「韓国大規模サイバー攻撃」
2013年3月20日に韓国で発生した大規模サイバー攻撃、通称「320サイバーテロ」。金融機関や放送局のコンピュータの一斉ダウンを引き起こした320サイバーテロは、どういった経緯で発生したのか。企業が学び取れる教訓と対策とは。韓国政府のタスクフォースメンバーとして320サイバーテロを解析した、セキュアソフト CERT所長のソン・ドンシク氏の話から明らかにする。本稿は、2013年5月にセキュアソフトとラックが共催した「SecureSoft SECURITY FAIR 2013」でドンシク氏が講演した内容をまとめた。 関連記事 米国政府も「Stuxnet」で参戦、サイバー戦争で生き残る策とは? イランの核施設を狙い撃ちにした「Stuxnet」とは何者か 米国防総省委員会、「サイバー攻撃への軍事作戦力を高めよ」 Officeのパスワードを数秒で解析――専門家が語るサイバー攻撃の現状 攻撃の被害:金
Macマルウェア「Flashback」まん延で露呈した米Appleの過失
米Appleの幸運は尽きかけている。マルウェア「Flashback」のまん延は、平均的なMacintosh(Mac)ユーザーやLANにMacが存在する企業に、あらためて警鐘を鳴らす役割を果たした。 Apple製品はかつて、四方を壁に囲まれた庭園に例えられ、Macは鉄壁のセキュリティのオーラを放っていた。初期のウイルスの中にはMacを狙ったものもあったが、Macのエコシステムにウイルスは入り込めないと強調したAppleの宣伝が大きく功を奏し、「Macのセキュリティは本質的に優れている」という一般的な認識が浸透した。 実際、マルウェアにまつわるMacユーザーのセキュリティ不安を最小限に抑えていたという点では、Appleが米Microsoftよりも幸運な時期があった。この幸運は、オープンソースのコアコンポーネントを採用したAppleの決断も一因となっている。Macの鉄壁のセキュリティに守られた庭
Webサイトのセキュリティ対策に――読めば分かる! WAF
WAF(Web Application Firewall)は、名前の通りWebアプリケーションの保護を目的に導入するセキュリティソリューションだ。現在のWebは、ユーザーとインタラクティブなやりとりを行い、商取引などの経済活動の場としても活用されている。個人情報や経済的に重要な情報なども保持しているため、セキュリティの維持が重要となる。 クレジットカード情報に関するセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standards)」の要件6.6では、「一般公開されているWebアプリケーションは、常時、新しい脅威と脆弱性に対処し、以下のいずれかの手法によって既知の攻撃から保護する必要がある」としている。PCI DSSは、国際的なクレジットカードブランド5社(American Express、Discover、JCB、MasterCa
Webアプリの入力検証不備──4つの実例とその対策
Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかし、こうした不備は、得てして問題が起こるまで気付かれない。本稿では、わたしがWebアプリケーションのセキュリティ評価を行った際に見つかった入力検証の不備の例を幾つか紹介しよう。 ログインIDが含まれたURL これまでで最も興味深い入力検証の問題を見つけたのは、自分のさまざまな機密情報を保存していたWebサイトだった。ある日、そのサイトを眺めていて、自分専用のログインIDがURLに含まれていることに気付いた。これはWebサイトの最も基本的な、しかし危険な欠陥の1つだ。わたしは「彼らは分かっていないに違いない」と考えた。そこでサイトの管理者に電話で連絡を取り、問題を報告した。彼女は最初は平然としていた。彼女の態度が変わったのは、彼女がそのシステムの自分専用のIDをわたしに教えた後で、わたしが彼女の住
「モバゲータウン」のつくりかた − TechTargetジャパン システム開発
低価格なPCサーバ1000台で1日6億PVをさばく 「モバゲータウン」(以下、モバゲー)といえば、誰しも「中高生に絶大な人気を誇る携帯サイト」という認識ぐらいはあるだろう。ゲーム、ニュースに小説、占いなどのコンテンツ、アバター(仮想キャラクター)を装ったSNSコミュニケーション、ディー・エヌ・エー(以下、DeNA)が運営するショッピングやオークションサイトなどが利用できる、携帯電話向けの総合ポータルサイトだ。 DeNAのポータル事業本部 システム部 部長、武部氏 モバゲーは2009年5月現在で会員数1419万人、月間ページビュー(PV)は約183億を誇る。つまり、1日当たり6億PVである。さぞかし大掛かりなシステムを運用しているのだろうと想像してしまうが、意外にそうではない。 DeNAポータル事業本部 システム部の部長、武部雄一氏は「モバゲーのシステムは、比較的低価格なPCサーバ機1000
ソフトウェア品質保証は継続的なプロセス
継続的な品質プロセスとは、品質保証タスクをソフトウェア開発ライフサイクル(SDLC)のあらゆる段階に導入するだけでなく、開発チームのワークフローに統合することでもある。これは、自動化されたポリシー監視“センサー”をSDLC全体に組み込むためのポリシーベースのアプローチによって実現できる。 そのためには、品質とセキュリティに関する自社の要件を盛り込んだポリシーを定義した上で「ポリシーが正しく適用されているか」「ポリシーが期待通りの成果を実現しているか」をチェックするセンサーにより自動化を実現する必要がある。 企業はソフトウェアの品質とセキュリティの欠陥をテストする(監査)コストを頻繁に発生させるのではなく、開発チームが品質とセキュリティをソフトウェアに作り込むのに役立つシステムを確立するための投資を行うべきだ。そのようなインフラがあれば、開発チームの生産性は劇的に向上する。 品質とセキュリテ
Webアプリケーションの脅威モデリングの勘所
Webアプリケーションセキュリティ対策の重要なポイントの1つは、どのようなリスクにさらされているかを把握し、それらのリスクを評価することだ。このプロセスは脅威モデリングと呼ばれる。その過程ではアプリケーションの弱点とその影響を技術的に検討するため、脅威モデリングには脆弱性モデリングやリスクモデリングといえる側面もある。 Webアプリケーションのセキュリティがあなたの会社のビジネスにとって重要なら、脅威モデリングの結果は高レベルなものも含めて、十分に注意を払いながら開発プロセスに反映させなければならない。というのも、Webアプリケーションでは思いがけないさまざまなことが起こる可能性があるからだ。Webの世界では、ファイアウォールやSSL、強力なパスワードといった基本的なセキュリティ要素が整備されていれば、すべてが安全だという思い込みに陥りやすい。この危険な思い込みは結局のところ、どのようなリ
脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威
攻撃者の関心は金目のデータにあり 今、インターネットからSQLインジェクション(※1)という攻撃を通じて、データベース(DB)内に格納された個人情報(特に電子メールアドレス)に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている(表1)。 ※1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。 個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント+レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワー
自動SQLインジェクション攻撃への新たな防御戦術
SANS InstituteのInternet Storm Centerのアナリストらは最近、SQLインジェクションに対して脆弱なWebサイトを見つけ出して攻撃するプロセスを自動化するツールを発見した。このプロセスの自動化は、正規のサイトの一部を利用してマルウェアをホスティングし、配信するテクニックがますます一般化しつつある状況を示すものだ。 本稿では、SQLインジェクション攻撃について説明した上で、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。 従来のSQLインジェクション攻撃 SQLインジェクション攻撃自体は決して新しいものではない。例えば、有名な2003年のケースでは、アパレル企業GuessのWebサイトがSQLインジェクション攻撃を受けた結果、情報が流出して政府主導による法的和解に至った。当時の裁判資料は、SQLインジェクションについて「標
Webサイト防御のためにできること
2005年春、2007年春に猛威を振るったSQLインジェクション(※注1)の検知数が、2008年の3月上旬から当時の何倍もの規模にまで増えてきた(図1)。正直なところSQLインジェクションは「過去の遺物」であり、ほとんどのサイト運営者が何らかの手を打ち、もう絶滅したと思われていたが、現在も被害に遭うサイトは後を絶たない(図2)。 ※注1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法 図1●JSOC(ラックセキュリティ監視センター)で検知したSQLインジェクションの件数 図2●被害サイトは予想以上(Googleの検査結果)《クリックで拡大》 ここではWebアプリケーション(以下、Webアプリ)の脆弱性対策の話が中心であるため、攻撃の詳細にまでは触れないが、一連の攻撃で厄介だったのは、攻撃コードが難読化されていたことである(図
デル、仮想化ソフトをSDカードに搭載した新PowerEdgeサーバ2機種を発表
デルは5月13日、仮想化環境に最適化されたPCサーバ「PowerEdge」2機種を発表した。仮想環境では複数のOSが稼働することから、高性能なCPUならびに十分なメモリ容量の確保が求められる。今回発表された2製品はいずれもその条件を満たすもので、最新のAMDクアッドコアOpteronプロセッサの搭載や各種拡張スロットの大幅な増設など、仮想環境での使用を前提とした機能強化が行われている。 ラインアップに加わるのは、ラックマウント型の「PowerEdge R805」「PowerEdge R905」の2製品だ。PowerEdge R805は2ソケットの2Uラックサーバで、同クラスのサーバの2倍に相当する16個のDIMMスロット(最大で128Gバイトのメモリを搭載可能)と、4ポートのギガビットNIC(Network Interface Card)、4つのPCI Expressスロットを備える。Po
PostgreSQLで効率的な負荷分散を実現し、モバゲーやmixiを追撃 ― TechTargetジャパン
オープンソースのPostgreSQLでシステムを構築 10代、20代を中心に急激な普及を見せる“ケータイSNS”。会員数が865万人に達する「モバゲータウン」や月間118億ページビュー(PV)を誇る「mixi」(約6割がモバイル経由)など、大手SNSサイトが存在感を増している(数値はいずれも2007年12月現在)。そうした中で先行組を激しく追撃しているのが、オープンドアが運営する携帯電話向けのSNSサイト「大集合NEO」だ。 2007年1月にスタートした大集合NEOは、SNSのみならず、アバターやゲーム、小説、動画、日記、チャットなどのサービスをすべて無料で楽しめるのが特徴だ。アバターやサイト内通貨の使い勝手の良さで先行サイトと差別化を図り、2007年夏に50万人だった会員数が2008年2月時点で2倍の100万人に達している。 その大集合NEOのシステム基盤を担っているのは、MySQLとオ
セキュリティの深刻な脆弱性につながるダングリングポインタ
従来、ダングリングポインタという非常に一般的なプログラミングエラーは、セキュリティの問題というよりも品質管理の問題と考えられることが多かった。例えば、2005年にInternet Information Services 5.1のダングリングポインタがMicrosoftに報告されたが、その後2年間、対応パッチが提供されなかった。こうしたバグはシステムをクラッシュさせたり、深刻なセキュリティ上の脅威をもたらす可能性があるにもかかわらずだ。 ダングリングポインタは、プログラマーがメモリオブジェクトを作成・使用し、解放時に、オブジェクトのポインタの値をそれに合わせて変更(つまり、NULLに変更)しなかった場合に発生する。そのポインタは、メモリの割り当てが解除されたメモリ位置を不正に参照することになる。このポインタがダングリング(宙ぶらりん)ポインタと呼ばれるのは、このポインタが指すメモリが、もは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
