Dark Reading | Security | Protect The Business
Dark Reading is part of the Informa Tech Division of Informa PLC This site is operated by a business or businesses owned by Informa PLC and all copyright resides with them. Informa PLC's registered office is 5 Howick Place, London SW1P 1WG. Registered in England and Wales and Scotlan. Number 8860726.
動向●導入容易なWebアプリケーションの“防衛装置”
Webサイトのアプリケーション・プログラムに潜む脆(ぜい)弱性を保護する「Webアプリケーション・ファイアウォール」。従来からソフトウエア製品はあったが,ここにきてアプライアンス製品が増えてきた。ソフトウエア製品より,導入が容易で投資額が割安という特徴がある。 Webアプリケーションの脆弱性を減らすには,慎重な設計と実装,多岐にわたるテストが欠かせない。だが,短納期と低予算の圧力が強いシステム構築現場では,脆弱性の評価がおざなりになってしまうことが間々ある。こうして見落とされた脆弱性を突かれ,情報漏えいなどの事件が起きたら,どうなるか。情報システムの主幹部署や,開発の請負業者が責任を追求されることは想像に難くない。 こうしたリスクを軽減し,Webアプリケーションの脆弱性を保護するのが,「Webアプリケーション(WebAP)ファイアウォール」と呼ばれる製品だ。TCPポートの80番や443番を
カード会員情報のセキュリティ基準「PCI DSS」への対応
Payment Card Industry Data Security Standard(PCI DSS:PCIデータセキュリティ基準)では、クレジットカードやデビットカードのデータを保存、処理、転送する販売業者やサービス業者が、この機密性の高い情報を保護するために順守すべき12の要件が定められている。ほとんどのセキュリティ専門家は、これらの要件(「ダーティダズン」という俗称で呼ばれることも多い)は、「現在の情報セキュリティのベストプラクティスを盛り込んだものであり、機密性の高いデータを管理するための妥当な指針を提供する」という認識で一致している。 PCI DSSの要件は、クレジットカード情報の保護という目的にかなっているかもしれない。だが、大企業などが日常的に扱うデータの大部分に適用するには、あまりに厳しく、コストが掛かりすぎる内容だろう。例えば、大規模な大学がネットワークの大部分を公開
Web経由の攻撃が激増、問題サイトの8割はハッキングで被害に
2007年上半期はWebを使った攻撃が急増した。Sophosによるとマルウェアをホスティングしているサイトのうち、8割はハッキング被害に遭った正規サイトだという。 セキュリティ企業のSophosは7月25日、2007年上半期のサイバー犯罪動向に関する報告書を発表、Webを使った攻撃が急増傾向にあると報告した。 報告書によると、金銭目当ての攻撃に使われる手段として、Webは電子メールを抜いて最大の攻撃経路に浮上。悪質コードに感染したWebページの検出件数は、2007年初頭の時点では1日平均5000件程度にすぎなかったが、6月には1日平均約2万9700件に達し、過去最高となった。 Sophosがマルウェアや不適切コンテンツを理由にアクセスを遮断しているWebページ100万件について分析したところ、最も多かったのはマルウェアホスティングサイトの28.8%。次いでポルノやギャンブルなどのアダルトサ
XSSワームが増加、高度化の傾向
McAfeeによると、クロスサイトスクリプティング(XSS)の脆弱性を突いて4大Webメールに感染するコンセプト実証ワームも出現しているという。 Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性を突いたワームが増加し、高度化の一途をたどっているという。セキュリティ企業のMcAfeeが7月19日のブログで報告した。 McAfeeによると、XSSワームは古くは2002年に話題になったことがある。これは、Hotmailに存在するというXSSの脆弱性を悪用すれば、感染したユーザーのアドレス帳に登録された全員に電子メールを送信できるというものだった。 この種のワームは2006年になって増加し、WikiやYahoo! MailといったWebサイトのXSS脆弱性を突いた「Samy」「Yamanner」などのワームが出現。WebページのXSSの脆弱性を探し出す自動ツールも登場している
「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』,サイト管理者は注意を」---専門家が警告
「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』,サイト管理者は注意を」---専門家が警告 「『Yahoo!メール』を狙ったウイルスは,同サイトのクロスサイト・スクリプティング(XSS)脆弱性を悪用した。同様の脆弱性は多くのWebサイトに存在する。このウイルスのソース・コードも出回っているので,今後,同様の攻撃が頻発する可能性は高い。Webサイトの管理者や開発者は十分に注意する必要がある」---。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は6月15日,ITproの取材に対して警告した。 Yahoo!メールのウイルスは“単純” 6月12日ごろに確認されて「Yamanner」などと名付けられたウイルスは,米Yahoo!が提供するメール・サービス「Yahoo! Mail(Yahoo!メール)」で感染を広げる(関連記事:Yahoo!メールの脆弱性を突
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Barracuda buys Web security vendor NetContinuum | InfoWorld | News | 2007-09-17 | By Robert McMillan, IDG News Service
IT Infrastructure Advice, Discussion, Community - Network Computing
http://www.keyman.or.jp/3w/prd/98/10009798/
http://www.e-research.biz/profile/pro_8/001966.html
着実に増加中!?最近の脆弱性事情とは - IT、IT製品の情報なら【キーマンズネット】