新しいシステムを企業で構築する場合，システム・インテグレータ（SIer）に依頼するのが一般的である。「システムを知り尽くした専門家に頼んでいるからセキュリティも安心」と思いたいところだが，実際はそうでもない。手間ではあるが，構築後にセキュアな設定になっているか，セキュアな運用がなされているかをユーザー企業が確認する必要がある。 セキュリティ・コンサルタントの吉田氏はネットワーク経由での企業システムのセキュリティ監査を手掛けるが，「監査の結果，SIerが施した設定や運用のずさんさが明らかになることが少なくない」という。 ずさんな設定の典型例が，規則性のある文字列のパスワードである。「SIerが利用しているシステムの管理用パスワードがある決まった法則に基づいて作成されていることがよくある」（吉田氏）。ユーザー名やパスワードにSIerの社名や納入した製品の名称，誰でも簡単に推測できる文字列を使っ

ネットで騒ぎになっているのがこの事件。 ■Amazonを倉庫代わりにしていた転売厨終了のお知らせ　※リンク切れ ただ、ヤフオクやAmazonになじみが薄い人は、何が起こったのかよくわからない人もいらっしゃるかと思います。そこで、自分の中で整理するのも兼ねて、この事件の顛末を簡単にまとめてみようと思います。ちなみに自分の調べた範囲で書いてますので、間違いが含まれている可能性もあるのでご了承ください。 経緯は？ なんでAmazonはそういう処置に踏み切ったの？ なんで転売者はこれらをキャンセルしないでAmazonに払うの？ その他問題 これから予想される動き 注意 最後に 経緯は？ 最大手ネット書店Amazon、ここでは当然買ったものを送ってもらえます。決済方法では、カード、代引きの他に「決済をコンビニなどで振り込みでできる」という特徴もあります。しかし前の２つと異なり、これだけは入金後の発送

ハードディスクのパスワードロックはなぜ破られた？：データを守るためにできること（1）（1/3 ページ） 情報漏えい対策が注目される中、企業はどのようにデータを保護していくかの手法を模索し続けている状況ではないだろうか。本連載ではデータを保存するメディアの1つである「ハードディスク」がどのようにデータを守れるのかという点に着目する（編集部） ATAパスワード保護についての事実 コンピュータのハードディスクに保存したデータを保護する際、ATAパスワードを利用することが多いと思います。しかし多くの場合、悪意を持った攻撃者は簡単にパスワードロックを外すことができ、ドライブ上のすべてのデータにアクセスすることが可能になります。 個人、あるいは企業のコンピュータからの機密情報の盗難は、アメリカでも最も急増している犯罪の1つで、数え切れないほどの組織がノートPCから数百万件もの機密情報を盗まれ、データ盗

インターネット管理組織のICANNは、スパムサイトの登録に利用されることの多いドメイン登録業者（レジストラ）に是正を迫り、「場合によってはレジストラ認定を取り消すこともある」と警告したことを明らかにした。 これに先立ち、スパム対策プロジェクト「KnujOn」はスパムサイトとレジストラの関係を調べ、報告書を公表している。スパムメールで宣伝されている悪質サイトの90％はレジストラの20社で登録されていると指摘し、ワースト10のレジストラの社名を公開した。 ICANNはKnujOnが公表したレジストラの半分以上に対して既に警告書を送っており、残るレジストラについても警告書を送ったとしている。 ドメイン登録をめぐっては、WHOISの登録者情報を偽るケースが後を断たないことからICANNは、不正登録についての通報を受け付ける「Whois Data Problem Report System」（WDP

情報処理推進機構は27日、5月23日に発刊を公表した「情報セキュリティ白書 2008」から第II部「10大脅威 ますます進む『見えない化』」を抜粋したものを公開した。 情報セキュリティ白書2008 第II部 「10大脅威 ますます進む『見えない化』」は、情報処理推進機構に報告されたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基にまとめられたもの。「情報セキュリティ早期警戒パートナーシップ1」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など104 名から構成される「情報セキュリティ検討会」で、2007年に「印象が強かったもの」、「社会的影響が大きいもの」などの観点から投票を行い、10大脅威を選択・分析した上で、今後の対策をまとめた。10大脅威は以下の通り。 第1位 高まる「誘導型」攻撃の脅威 第2位 ウェブサイトを狙った攻撃の広まり

DDoS攻撃でWebサイトの閲覧を困難にし、電子メールで恐喝する手口が出現。ラックは企業サイトを狙った恐喝行為について注意喚起をした。 ラックは5月15日、企業のWebサイトを狙ったDDoS（大規模サービス障害）攻撃について注意喚起を行った。4月後半から、緊急対応サービス「個人情報119」の相談窓口に相次いで相談が寄せられているという。 攻撃の手口は、Webページの閲覧を困難にするためWebサーバにDDoS攻撃を行い、攻撃を止める代わりに特定の口座へ現金を振込むように電子メールで要求してくるもの。 寄せられた相談の中で、DDoSにおける最大のトラフィックは800Mbps。当該企業サイトの平均時と比べ、40倍以上の通信量を記録したという。 同社は、DDoS攻撃および恐喝を受けた場合には恐喝行為に屈しないことが重要であると注意を喚起。攻撃を受けた場合、都道府県警察本部のサイバー犯罪相談窓口や、

米研究者らによる論文「Automatic Patch-Based Exploit Generation is Possible: セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ（セキュリティ更新プログラム）から攻撃プログラム（エクスプロイト）を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。 ソフトメーカーが公開した修正パッチを解析（リバースエンジニアリング）して、そのパッチで修正される脆弱（ぜいじゃく）性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。 現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より

Elon Musk’s suit against OpenAI — right idea, wrong messenger

ハッカー集団Cult of the Dead Cowが、脆弱なWebアプリケーションやパスワードなどをGoogle検索するツールをリリースした。 検閲反対のスタンスで知られるハッカー集団Cult of the Dead Cow（cDc）が、Google検索エンジンを使い勝手のいい脆弱性スキャナに変える新ツールをリリースした。 ジョニー・ロング氏の「Google Dorks」――機密情報を見つけるための検索クエリー――にヒントを得たcDcの「Goolag Scan」は、さらに限界に挑み、Windows GUIベースのスタンドアロン検索アプリケーションを提供している。 オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー名とパスワードなど、インターネット上で誤ってさらされてしまっている文書を検索するための約1500種の