14日、NHKにて「プロフェッショナル仕事の流儀 サイバーセキュリティー技術者 名和利男」が再放送されました(2015年9月放送のもの)。 サイバーセキュリティー技術者の中でも最高の技術を持つ「トップガン」と称される名和利男氏のお話し。年々巧妙化し、かつ悪質化しているサイバー攻撃に対応し、日本を守るすごい人。 再放送とはいえ、2chではかなりの盛り上がりに。「神回」の言葉にふさわしく、感心する人が多かったようです。
こんにちは、かすたーど先生です。 セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか?」と聞かれることがよくあります。 情報収集の方法って、学生さんももちろん、セキュリティエンジニアの方同士も「他の人はどうやっているんだろう?」と思っているネタなのではと思いまして、今回ブログのテーマにすることにしました。 ということで、私と同じデジタルペンテスト部に所属している一部のセキュリティエンジニア約30名に協力してもらい、セキュリティ技術の情報収集に関するアンケートを実施しました。結果をご紹介します。 1:セキュリティ技術の情報収集は何を使って実施していますか(複数回答可) 1位:Twitter 2位:ニュース系サイト 3位:書籍・ブログ(同数) 4位:脆弱性情報データベース 5位:
あらゆるものがインターネットにつながる時代。パソコンやスマートフォンは私たちの日常生活や仕事に欠かすことのできないものになっています。 一方で、公的な機関へのサイバー攻撃が相次いだり、企業の顧客情報などの個人情報が流出する事件が多発するなど大きな社会問題になっています。そして、悪意ある者のその手口は、ますます巧妙化しています。しかし、日本では、そんなサイバー攻撃から企業などの情報を守る情報セキュリティ技術者が不足しているといいます。 今夜は、情報セキュリティ技術者の不足を解消するためにはどうすればよいか?を考えます。 コンピューターへの不正侵入、データの改竄(かいざん)や破壊、情報漏洩(ろうえい)、コンピューターウイルスの感染などがなされないように、コンピューターやコンピューターネットワークの安全を確保することをいいます。 そして、情報セキュリティ技術者とは、組織の情報の、何をどう守
Web において使われる URI(URL)には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ(パーセントエンコード)が行われる。埋め込まれた情報は取り出されるときにアンエスケープ(パーセントデコード)される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は HTML の form でユーザに式の入力を求め、式が入力されてサーバに送られたらその結果を表示する。ここで、式は "http://calc.example.org?q=式" というような URI にブラウザがアクセスすることによって、サーバに送られるものとする。この形式は HTML の form で用いられる application/x-www-form-urlencoded という形式であり、HTML の規格で定義される。この場合、"1+1" という式を URI に埋め込むには "+" とい
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 開発者がセキュリティについて考えていないと批判されることはしばしばある。しかしLinuxカーネルの生みの親であるLinus Torvalds氏は、開発者やエンドユーザーのことを気に掛けないセキュリティ関係者の存在に嫌気がさしているようだ。 同氏は米国時間11月17日、Linuxカーネルのメーリングリストにおいて、カーネルのセキュリティ強化という名目で開発プロセスをないがしろにしようとした一部の開発者らを強く批判した。その後同氏は21日に別の投稿で、近視眼的にセキュリティを追求する彼らの行為に対する自らのフラストレーションについて、より落ち着いた論調で説明した。 Torvalds氏は、カーネル内でセキュリティを多層化するのは良い考えだとい
Googleは、2013年1月、セキュリティに関する研究結果を公表した。このレポートは「Authentication at Scale」というタイトルで、ユーザー認証技術についての評価報告である。Googleはこのレポートで、「パスワードとCookieで利用者を守ることはできない」と結論付け、新たな技術の導入を検討していることを明らかにした。 ユーザー認証にハードウエア・キーを利用 Googleが評価している技術の一つがYubiKey (ユビキー) という製品である。この製品は、Palo Alto (カリフォルニア州) に拠点を置く、Yubico (ユビカ) というベンチャー企業により開発されている。YubicoはRSA Conferenceに同社の最新技術を出展していた。 Yubicoのブースにおいて (上の写真、出展はすべてVentureClef)、John Salterから、製品デモ
はじめに 脆弱性対応に追われる状況は、開発からデプロイまでの時間を浪費し、またサイバー攻撃への対応力を弱めがちです。そこで、開発者が最初からセキュアにソフトウェアを構築する能力を身につける必要性が高まっています。前回の記事では、深刻な影響のある10の脆弱性についてまとめた「OWASP Top 10」から、それぞれの脆弱性についての解説や、開発者の方に活用してほしいOWASPコミュニティの成果物を紹介しました。OWASP Top 10によりソフトウェア・セキュリティの世界の扉を開くきっかけになれば幸いです。 OWASP Top 10では各脆弱性の概要、脆弱性の有無の確認方法、防止方法などを理解できることを紹介しました。このドキュメントは、脆弱性そのものを軸として説明がなされていることから、事前の対策、すなわち脆弱性が発生しないようにするための防止方法を軸として見た視点とは異なっています。その
富士通研究所は11月15日、異なる仮想通貨の交換や決済を簡単・安全に実行できるセキュリティ技術として「コネクションチェーン」を開発したと発表した。 同社によると、仮想通貨を使った資金調達手段である「ICO」など、仮想通貨の発行が注目されているが、ブロックチェーンで管理される仮想通貨間の決済には、それぞれのブロックチェーンの境界で通貨を交換処理するアプリケーションが必要であり、その部分の透明性確保や複数のブロックチェーンの取引タイミングを制御して、連続する一連の取引として扱えるようにするには課題があったという。 そこで、複数のブロックチェーン間を新たなブロックチェーンで接続し、各チェーンにおける一連の通貨交換に関わる取引処理を紐づけることで全体をひとつの取引として自動実行する「スマートコントラクトの拡張技術」と、各チェーンでの取引処理の実行タイミングを同期させる「トランザクション制御技術」を
2008年下期には、Perl の File::Path モジュールの rmtree 関数に関する CVE が 3件発表された。 (CVE-2008-2827, CVE-2008-5302, CVE-2008-5303)また、symlink attack に関する CVE は 100件以上出ている。 テンポラリファイルの扱いに関する問題は古くからあるが、いまだに多くの問題が発生する。そこで本稿ではテンポラリファイルの扱いかたについて解説する。また、安全な削除に利用できる新しいシステムコールが提案されているので、それについても触れる。 テンポラリファイルはプログラムが一時的に利用するファイルである。 Unix においては /tmp や /var/tmp というディレクトリが提供されており、すべてのユーザがそのディレクトリ下にテンポラリファイルを生成・削除するのが慣習である。本稿では、これらのデ
独立行政法人 情報通信研究機構(NICT)は11月30日、12月1日の2日間にわたり「NICTオープンハウス」を開催した。その講演の一部をレポートしよう。 独立行政法人 情報通信研究機構(NICT)は11月30日、12月1日の2日間にわたり「NICTオープンハウス」を開催した。このイベントはNICTの最新の研究成果を講演、デモンストレーション、パネル展示を通して紹介するものだ。本記事ではその講演の一部をレポートしよう。 nicterやDAEDALUSが作られた背景――「サイバーセキュリティ研究の最前線」 サイバーセキュリティ研究室の井上大介氏からは、NICTの研究成果であるインシデント分析センター「nicter」や、対サイバー攻撃アラートシステム「DAEDALUS」の解説とデモが行われた。 NICTは以前より、思わず目を引かれるインターフェイスのツールを製作、提供している。INTEROPな
この何年かでWebアプリケーションは、サーバ上のみでプログラムが動作するものから、多くのJavaScriptコードがWebブラウザで動作し、背後でサーバと連携して、リッチかつスムーズな操作感を提供するものへと進化してきた。このことは、Webブラウザ上に悪意のスクリプトを送り込む「スクリプト注入(XSS)」攻撃を、より防止しづらく、悪用の懸念がより大きなものに変化させた。本稿は、WebアプリケーションにAjax等の進化をもたらした技術について振り返るとともに、スクリプト注入対策を考慮すべき新たな文脈について論じるものである。 Ajax(Asynchronous JavaScript and XML)[1]は、必要となるデータを非同期でWebサーバから取り寄せつつ、Webブラウザの画面上でなめらかな操作性を提供する形態のJavaScriptプログラムのことである。かつてのブラウザにおいてはこの
By Ian Lamont オンラインストレージサービスを運営しているDropboxでは脆弱性報奨金制度を行っており、報告の内容によっては最高で約3万3000ドル(約350万円)の報奨金を支払う制度を導入しています。しかし、昨今のセキュリティ研究者は脆弱性情報を公開することで「企業に損害を与えた」として訴訟されるケースがあり、セキュリティ技術の発展を妨げている状況にあるとDropboxが指摘しています。そこで、Dropboxはセキュリティ研究者を守るための脆弱性公開ポリシー(VDP)を更新し、他企業でも利用できるようにテンプレート化したとのことです。 Protecting Security Researchers | Dropbox Tech Blog https://blogs.dropbox.com/tech/2018/03/protecting-security-researcher
In 2017, Microsoft announced the ARM version of Windows. The number of devices with ARM version of Windows is increasing, such as Surface Pro X series and HP ENVY x2, and it is gradually becoming popular. When using these ARM devices, there is a compatibility issue that existing x86/x64 applications cannot be used. However, this problem has been addressed by providing x86/x64 emulation capabilitie
セキュリティー意識の重要性と技術 日常圏内にさまざまなデジタル端末が普及することで、いまやネットワーク空間におけるセキュリティに関する意識はエンジニアのみならず、我々一般的なコンピューターユーザーにも浸透しつつある。SECCONとは、未来のセキュリティのスペシャリストを育成すべく、その実践的な技能を競う日本最大のコンテスト。CTF(Capture The Flag)という世界共通のゲーム形式でネットワーク、プログラミング、バイナリ解析、暗号解読などの技術を競う国内予選を経て、来る2015年2月開催の全国大会に挑む選手が選ばれる。 バイナリ解析や、暗号解読というと……ネットワークのセキュリティを脅かす者=ハッカーと同じと思われる方もいるかもしれない。誤解を恐れずに言うならば、技術を持っているという意味では同根のものだろう。ただ、その知見や技術をどのように活かすかが異なる点であり、例えば往年の
IE9は、ファイルをダウンロードしようとするたびに警告を表示するのではなく、ファイルの「レピュテーション(評判)」を基に不要な警告を出さないようにする技術を採用している。 Microsoftの次期ブラウザ「Internet Explorer(IE)9」はHTML5対応が大きな特徴となっているが、新たなセキュリティ機能も備えていると、Microsoftが明らかにした。 IE9では新しいダウンロードマネージャが搭載され、ダウンロードの進捗確認やキャンセルなどが簡単になるほか、マルウェアフィルター「SmartScreen」にダウンロードレピュテーション技術が組み込まれる。この技術は、ダウンロードしようとするファイルのレピュテーション(評判)データに基づいて、ファイルの安全性を判定する。よく知られている一般的なファイルには不要な警告を出さず、リスクが高いファイルにはより厳しい警告を発するという。
OpenID 2.0 は実装を容易にするために、ユースケースを「OpenIDプロバイダのID情報を用いた、RPへのログイン/属性提供」に限定した仕様となっている。その結果、以下のような要件を満たすことは、仕様の範囲内では容易ではない(図2)。 機能の制限された Web ブラウザへの対応 OpenID 2.0 では、ユーザ・エージェントとして一般的なWebブラウザを対象としており、ある程度大きなURL長を処理する能力や、リダイレクト機能などを有する必要がある。そのため、携帯端末などのように機能が制限された環境のWebブラウザでは、OpenID 2.0 プロトコルを処理できない場合がある。 セキュリティ要件への対応 OpenID 2.0 プロトコルでは、Web サイト間でのID情報の要求(認証リクエスト)ならびにその提供(アサーション)は、Webブラウザのリダイレクト機能を用いて、平文のメッセ
ハッキングコンテストでIEやSafari、Firefoxの最新版が破られ、Microsoftの最新のセキュリティの仕組みもかわされた。 カナダでこのほど開かれたセキュリティカンファレンス「CanSecWest 2010」で、今年もブラウザのハッキングコンテストが開かれた。セキュリティ企業の米Symantecがブログでその結果を報告、攻撃阻止を目的としたセキュリティ技術の効果について考察している。 ハッキングコンテストではMicrosoft Internet Explorer(IE)、Mozilla Firefox、Google Chrome、Apple Safariの各ブラウザ最新版が標的となった。参加者は64ビット版Windows 7のIE 8で2件の脆弱性を突いて任意のコードを実行することに成功。さらに、OS XのSafari、Windows 7のFirefoxも破られ、Microso
パナソニックは2月20日、AI(人工知能)を活用してビルオートメーション(BA)システムをサイバー攻撃から守るセキュリティ技術を開発したと発表した。1月末から森ビルが所有するビルの実データを使った実証実験を始めている。 BAシステムは、ビルの電気や空調設備、防災・防犯設備、エレベーターといった機器を総合的に監視、管理、制御する情報システムのこと。 昨今、ビル設備の多くは省エネや管理の省力化のため、BAシステムのネットワークを利用して集中制御されている。一方で、BAシステムのオープン規格プロトコルである「BACnet IP」が普及したことで、サイバー攻撃の標的にもなりやすくなった。また、暗号鍵の管理の煩雑さから認証機能が使われていなかったり、なりすまし攻撃が容易だったりと脆弱性(ぜいじゃくせい)が問題になっているという。 パナソニックの大庭達海さん(製品セキュリティセンター セキュリティ技術
関連キーワード PayPal | ウイルス対策 | マルウェア | セキュリティリスク 米PayPalは、ポリモーフィック型マルウェアの技法を生かしたセキュリティ対策に取り組むイスラエルCyActiveを買収した(画像はCyActiveのWebサイト)《クリックで拡大》 「ポリモーフィック型マルウェア」を知っている人は多いだろう。現況に適応して、セキュリティソフトウェアを回避し、標的のコンピュータに危害を加える能力を持ったマルウェアのことだ。この種類のマルウェアは、実行時の攻撃ベクトル(攻撃方法・経路)の性質が常に変化する。そのため、シグネチャベースのスキャンツールや他の標準的な検出手段を簡単に回避できる。 同じ動作を防御に使用したらどうなるだろうか。つまり、マルウェアが標的のシステムを簡単に感染させることができないよう、システムが変化しているように見せるということだ。非常に洗練された考え
Untrusted search path vulnerability は「信用できない検索パスの脆弱性」という意味である。代表例としては環境変数 PATH に .(カレントディレクトリ)を入れた場合の問題が古くから知られているが、これに限られたものではない。2009年上期には、Python に関連したUntrusted search path vulnerabilityが多数出たことを踏まえ、これを解説する。 Python は動的オブジェクト指向プログラミング言語である。Pythonはアプリケーションに組み込むことにより、アプリケーションをPythonで拡張することができる。実際、vim やblenderなど多くのアプリケーションがPythonの組み込みをサポートしている。 昨年から、Python関連のUntrusted search path vulnerabilityとして以下のよう
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、組込みシステムの情報セキュリティ対策を推進するため、7分野(RFID 、ICカード、情報家電、携帯電話、金融端末(ATM)、自動車搭載機器カーナビ、自動車搭載機器ETC)の組込みシステムを対象として、製品のライフサイクルを考慮したセキュリティ技術マップを策定し、「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書」として2007年5月10日(木)より、IPAのウェブサイトで公開しました。 「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査」では、今後顕在化すると予測されている組込みシステムの脅威に対する情報セキュリティ対策の浸透、向上を目指し、RFID、ICカード、情報家電、携帯電話、金融端末(ATM)、自動車搭載機器カーナビ、自動車搭載機器ETCの7分野の組込みシステムを調査対象として
2018年10月24日 日本電気株式会社 株式会社日立製作所 富士通株式会社 日本電気株式会社(注1、以下、NEC)、株式会社日立製作所(注2、以下、日立)および富士通株式会社(注3、以下、富士通)は、実践的なスキル・ノウハウを持つサイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定し、本日からIT・セキュリティベンダー向けに公開します。 近年、サイバー攻撃の増加のみならず、その手口も高度化・巧妙化が進む中、国内において高度なセキュリティ対策を担うセキュリティ技術者が不足しており、こうした課題を解決するために政府機関などによるセキュリティ技術者の育成・確保に向けた取り組みが加速しています。 一方、IT・セキュリティベンダーにおけるセキュリティ技術者の人材像はそれぞれで異なり、人材の育成も各社独自で行っているため、適切なセキュリティ技術者を効率的に育成するには限界が
講義ノートの目次へ 数学が苦手な人が暗号技術を学ぶための資料。 セキュリティ技術に詳しくなりたいが,数式はあまり使いたくない・・・ という場合に役立つ。 独学に使える物として,下記の2種類を集めた。 (1)数式をあまり使わず暗号理論を説明。 要点:共通鍵暗号,公開鍵暗号,RSA暗号の仕組み (2)暗号理論に必要な数学(=初等整数論)を,やさしく学ぶ。 整数の合同式,素因数分解の難しさ,フェルマーの小定理 使いやすいテキストだけに絞ってある。 ※もし数学が得意なら,こちらのノートを使うとよい。 (1)数式をあまり使わずに暗号理論を説明 (2)暗号理論に必要な数学 (1)数式をあまり使わずに暗号理論を説明 暗号理論を,細かい数式をほとんど使わずに,文章を中心に学ぶ。 Webページとして閲覧できるもの: ライブラリ|SBINS Developer Center http://dev.sbins.
by Josh Bancroft 世界最大の半導体メーカーであるインテル(Intel)はセキュリティソフトウェア大手マカフィー(McAfee)を76億8000万ドル(約6560億円)で買収すると発表しました。 詳細は以下から。Intel to Acquire McAfee | Business Wire 発表によると、インテルとマカフィーは、マカフィーの普通株の全株を1株48ドル(約4100円)、総額76億8000万ドル(約6560億円)でインテルが取得することで合意に至ったそうです。買収は現金で行われ、マカフィーの株主総会で承認を得られ次第、実行されるとのことです。 昨年度は2ケタ成長を見せ、売上総利益率80%と好調なマカフィーですが、買収が完了すればインテルの完全子会社となります。 インテルは2009年にも組み込みシステム向けリアルタイムオペレーティングシステム大手「Wind Rive
近年、ソフトウェアやハードウェアなどのリソースをネットワーク経由で利用する形態である「クラウドコンピューティング」が流行っている。クラウドコンピューティングには、SaaS(Software as a Service)やPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)などの「パブリッククラウド」や、企業毎に自社のデータセンタ上でサーバ仮想化技術を使用して、社内の部門に対して仮想サーバの貸し出しサービスを行う「プライベートクラウド」などが存在するが、複数の企業のプライベートクラウドを物理的に同じインフラ上で実現することでコスト削減を実現する「仮想プライベートクラウド」が注目されてきている。仮想プライベートクライドでは、サーバの論理分割だけでなく、ネットワークの論理分割を行い、各社のプライベートクラウド間のセキュリティを確
Webサービスにおける安全な通信を実現するためにTLS(Transport Layer Security)プロトコル[1]では通信データの暗号化と通信相手の認証が行われている。本稿で取り上げるDANE(DNS-based Authentication of Named Entities)は、このTLSにおける通信相手の認証のために、認証局ではなくDNSを使う仕組みである。本稿では、2011年度上半期のインターネットにおけるセキュリティ技術の動向としてDANEを紹介する。 DANEは、2010年8月頃、KIDNS(Keys in DNS)と呼ばれ、IETF(Internet Engineering Task Force)のメーリングリスト1で議論が始まった仕組みで、2010年末にワーキンググループが設立され、プロトコルの策定に向けた議論が活発化した。DANEは、DNSを使って、電子証明書を配
FreeBSD9.0からは、新たなセキュリティ機構としてケーパビリティを利用するcapsicumが実装された。ここでは、一般的なケーパビリティと、capsicumの使用方法を説明する。 通常Unixでは、プロセスは一般ユーザの権限で動くか、特権(root権限)で動くかの2種類となる。たとえば、Apacheなどのサービスが1024番未満のいわゆる「特権ポート」をプロセスで使用する際や、pingやsnortなどのように生(raw)ソケットをイーサネットデバイスに対してオープンし、生のIPデータトラフィックを見る時、あるいはntpdなどでシステムの時刻を設定する際には、プロセスに特権が必要になる。 しかし、プロセスに特権をすべて与えてしまうと、動作しているプロセスに脆弱性があった場合に、不正な操作ですべての特権が取られてしまう可能性がある。 この問題は随分前から指摘されており、これを解決する方法
サイバー犯罪に加担する攻撃者はどのような手口を用いるのか。Sophosの技術戦略担当ディレクター、ジェームス・ライン氏が近年に広がっている攻撃の手口を解説した。 企業や個人を狙うサイバー攻撃にはどのような手口が使われているのか――セキュリティ企業の英Sophosで技術戦略ディレクターを務めるジェームス・ライン氏が、近年のサイバー犯罪で用いられることの多い攻撃手法を解説した。 ライン氏は、セキュリティの脅威がPCだけでなくモバイルの世界にも広がり、クラウドサービスやHTML5のような先端のインターネット技術ではベストプラクティスの確立が課題になると指摘する。マルウェアに感染するPCは1日当たり約18万5000台に上り、この5年間で感染台数が激増しているという。 攻撃者向けにクラウドサービス マルウェア感染を通じてコンピュータの情報を盗み取るようなサイバー攻撃では攻撃者を相手にしたクラウドサー
本報告では 2009 年上半期のアイデンティティ管理技術に関する動向として、OAuth 仕様の動きを概観する。 2.1 概要 OAuth [1] は、Web サイトや非 Web アプリケーション(「コンシューマ」)がWeb サービス(「サービス・プロバイダ」)内のデータやサービス(「リソース」)に対して Web API 経由のアクセスを行う際の、そのアクセスの認証を行うためのプロトコルである。 コンシューマとサービス・プロバイダが OAuth に対応することにより、ユーザはコンシューマに対してサービス・プロバイダでのクレデンシャル(ログインID /パスワードなど)を開示することなく、ユーザのリソースへのアクセスを、コンシューマに許可することができるようになる。 ユースケースの一例として、写真共有サイトと写真加工アプリケーションとの間でのデータ共有が挙げられる。前者がサービス・プロバイダ、後
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く