「我々は過去の教訓を生かしきれていない」,米Fortify Softwareセキュリティ担当者
「アプリケーションの脆弱性を突く代表例は二つある。一つはバッファ・オーバーフロー,もう一つはクロスサイト・スクリプティング(XSS)だ。ともに10年近く前から指摘されているにもかかわらず,我々は過去の教訓を生かしきれていない」。10月26日,東京で開催されたセキュリティ関連のイベント「Black Hat Japan 2007 Briefings」で,アプリケーションの脆弱性対策ソフトウエアを開発する米Fortify SoftwareのJacob West氏(写真)はこう主張する。West氏は,同社セキュリティ研究グループの責任者を務めている。 バッファ・オーバーフローは,設定したサイズ以上のデータをバッファに大量に送り込んで,管理者権限を取得すること。XSSは,悪意のある文字列を埋め込んでWebサイトなどを乗っ取ることをいう。なぜ,こうした脆弱性の問題を解決できないのか。West氏は,We
Part1 正しいPerl/CGIの書き方:ITpro
Shibuya Perl Mongers 2代目リーダーにして,ppencodeの作者。広島市立大学卒業後,大企業向けmod_perl製品の開発に従事。2005年よりサイボウズ・ラボ株式会社に入社。LL Ringに参戦。Namazu for Win32,Plagger,Ajajaのコミッターでもある。 CGIといえばPerl。そんな風にいわれていた時期もありました。レンタル・サーバーのCGIで手軽にPerlが使えたこともあり,ちょっとした掲示板のスクリプトやアクセス・カウンタなど,CGIプログラムの多くがPerlで書かれていました。このためPerlが爆発的に普及したのです。Perlは日本のインターネット黎明期を支えたプログラミング言語として,広くその名が知られています。 その半面,Perlで書かれたプログラムの保守性に悩む声も聞かれるようになりました。事実,Perlのプログラミング経験が少
MicrosoftがMP3でDRMフリー音楽配信へ,携帯用プレーヤ「Zune」も全面刷新
米Microsoftは10月2日(米国時間),米Appleおよび市場をリードしている「iPod」シリーズと競うため,携帯用メディアプレーヤ「Zune」の第2世代モデルを発表した。Zune用のソフトウエアおよびサービスも全面的に刷新する。30Gバイト版しかなかった初代Zuneと違い,第2世代はフラッシュ・メモリーを搭載する4Gバイト版および8Gバイト版と,ハード・ディスク装置タイプの80Gバイト版の3モデルとなる。新モデルはいずれも初代Zuneよりスマートで小型化し,iPodのよい競争相手になりそうだ(関連記事:Microsoftが「Zune」新シリーズ発表,フラッシュ搭載モデルなどでiPodに対抗)。 新型Zuneについて,Microsoft会長のBill Gates氏は「われわれはゲーム,音楽,ビデオに対して大きな賭をしており,こうしたエンタテインメント機能を結びつけることで,ユーザーの
“21世紀のプログラムを作る君たち”に伝えたかったこと
個人が成し遂げられることはどんどん大きくなっている。常識は短期間で変わる。今貴重なものは,やがて過剰になる。日本市場を世界からへだててきた日本語の壁はなくなろうとしている。ネットの向こうにいる仲間を信じよう---「U-20プログラミング・コンテスト」という,20歳以下を対象にしたコンテストに参加した若い技術者たちに,伝えたかったことだ。 ここ3年ほど,このコンテストの審査会にオブザーバという名目で立ち会わせてもらっている。なにしろ審査員のひとりであるまつもとゆきひろ氏が「私が応募しても入賞できないかもしれない」というレベルの高さである。思わず唸る完成度の高い作品あり,思わず吹き出してしまうユーモアのある作品あり。記者は好きに意見だけ言って審査の責任は負わないという美味しい役目でもあり,こんなに無料で見させていただいていいのだろうかというくらい楽しませていただいている(関連記事)。 ところで
【CEATEC】NTTドコモが人体通信をデモ
写真1●人体通信に対応したヘッドセットと携帯電話。ヘッドセットの電極が髪,携帯電話の電極が手の表面に接触することで体が電線の代わりに電気を通す。 NTTドコモは2007年10月2日~6日,幕張メッセ(千葉市美浜区)で開催されているCEATEC JAPAN 2007において,「人体通信」のデモンストレーションしている。人体通信は人の体を電線のように利用して,体に触れているデバイス同士の通信をする技術。 実施しているデモは,(1)ヘッドセットと携帯電話の通信,(2)床と携帯電話の通信---の二つ。(1)のヘッドセットは髪に接触する電極を備えており,音楽再生状態にある携帯電話を握ると,音が聞こえるというもの。(2)は携帯電話を握ったまま電極が埋め込まれた床の上に立つと,データの伝送が開始されるというものだ。(1)を実際に体験してみたが,携帯電話を握った瞬間大音量の音楽が明瞭に聞こえてきて,不思議
[識者の一言]「現場の要望を突き詰めたら、結局はExcelだった」
宮森 勝彌 マイクロラボ 代表取締役 「上手く説明できないけど、とにかく使いづらいんですよ。どうにかしてください」。 お恥ずかしい話だが、受託開発したプログラムを納品した際、納品先の企業の担当者からこう言われた。しかも何度も。もう10年以上前の話だ。 自分なりに工夫して使いやすいGUI(グラフィカル・ユーザー・インタフェース)のアプリケーションを開発したつもりだった。それでも現場で利用する担当者はなかなか受け入れてくれない。不満だと言われてしまえば、そのまま納品するわけにはいかない。GUIを改修するため、担当者と膝を突き合わせ、何が欲しいのか、どうすれば使いやすくなるのか、とことん議論した。 「Excelみたいにならないの?」。 担当者が発したこの一言でようやく分かった。担当者の要望を聞きながら、操作画面を一からデザインし、プログラムをスクラッチで開発したが、彼らが望んでいたのはExcel
著作権管理にはメリットなし!? 欧米で広がるDRMフリーの音楽配信
米Apple CEOのSteve Jobs氏の爆弾提言を覚えているだろうか? 同氏は今年2月,DRM(Digital Rights Management:デジタル著作権管理)技術をオンライン音楽販売サービスの楽曲に適用している現状について異議を唱えた(関連記事:米AppleのSteve Jobs氏,「デジタル著作権管理技術の廃止が理想的」)。 ことの発端は欧州の消費者団体だった。 彼らは「Appleが自社の独自DRM技術である『FairPlay』によって音楽販売サービス『iTunes Store』と携帯音楽プレーヤ『iPod』を結びつけ,他社を排除していることは独占であり違法だ」と主張。この非難が欧州の各地に飛び火していった。ノルウェーの規制当局も動き,10月1日という期限を設け,Appleに改善要求を出した(FT.comに掲載の記事)。 これを受け真っ向から反発したのがJobs氏である。
世界で初めてのスパムでも検知できる
スパム(迷惑メール)対策製品で急成長する米プルーフポイント。2006年には日本市場にも参入し,製品を提供し始めた。競合が多い中,順調にシェアを伸ばすプルーフポイントの何が評価されているのか。同社のゲイリー・スティールCEO(最高経営責任者)を直撃した。 玉石混交といわれるスパム対策製品市場において急成長を続けている。CEOとして,それをどのように分析しているか。 スパム対策製品は,「どのメールがスパムに相当するかを定義するのが非常に難しい」と考えているユーザーが多い。運用を始めた後の定義のやり直しなど,チューニングに手間がかかってしまう。その点,当社は独自に開発した「MLT(マシン・ラーニング・テクノロジー)」と呼ばれるエンジンを使い,導入に際しての定義作業やルール作りを不要にしている。これが多くの企業に受け入れられた要因ではないかと考えている。 スパムを検知するルールを設定せずに,検知す
トロイの木馬を簡単に生み出してしまうツール「SharK」
McAfee Avert Labs Blog 「SharK2: Trojan Creation Made Easy!」より August 21, 2007 Posted by Rahul Mohandas マルウエア作者たちは,攻撃を仕掛けるマシンの制御について,常に新たな改良した方法を編み出してきた。そんな中で,リモート・アクセス型のトロイの木馬(RAT)は長きにわたって利用されている。最も悪名高いRATの一つは「Back Orifice」だ。 “マルウエア自作キット”が普及したことで,どこにでもいるような若者が,気まぐれに第三者のコンピュータに侵入する術(すべ)を身につけた。そして,時間の経過とともに,これら自作キットの使いやすさはさらに高まったし,身を隠すためのステルス技術も進歩した。「SharK」はまさにこれに当てはまるRATキットで,攻撃者は同キットに搭載された機能を使い,トロイ
カメラの枠を吹き飛ばすソニーの超高速CMOSセンサ
「今回のCMOSセンサが高速に吐き出す膨大な画像データを,どうやってユーザーの喜びに結び付けるか。デジタル・カメラを作る前提を考え直さないといけないかもしれない」(ある国内カメラ・メーカーの技術者)。 2006年2月8日,「IEEE International Solid-State Circuits Conference(ISSCC 2006)」でソニーが発表したCMOSセンサが,カメラ関連技術者に衝撃を与えた。同社が明らかにしたのは,640万画素の1フレームを1秒間で60回出力する試作品[講演番号:27.1]と,276万画素の1フレームを1秒間に180回出力する試作品[講演番号:27.5]である。 これらがカメラ関連技術者を驚かせた理由は,まず「画素データの出力速度がとんでもなく速い」(ある国内撮像素子メーカーの技術者)こと。300万~600万画素の既存の民生用CCDと比べると,実に2
情報セキュリティに関する国際標準
ポイント ●ISOとIECの共通部分になる情報技術は,標準化のために合同専門委員会が設けられている ●ISO/IEC TR 13335は,ITセキュリティのマネジメントに関する文書である。リスク分析に関する記述があるのが特徴 ●ISO/IEC 15408は,情報技術製品やシステムのセキュリティ評価基準である。EALと呼ばれる7段階の基準で評価する ●情報セキュリティ・マネジメント・システムの国際標準であるISO/IEC 27001,および27002(17799)は英国規格BS7799が基になっている ここまでは,情報セキュリティに関する国内法規を見てきました。今回は,情報セキュリティに関する国際標準の中からよく目にする規約である,ISO/IEC TR 13335,ISO/IEC 15408,27001,27002(17799)の概要を学びます。 ISOとIEC ISO(Internatio
「フラッシュとは30Gバイトを境に棲み分け」「媒体メーカーは再編」,米Seagate社CEOがHDD業界の将来を語る
2007年,HDDの部品業界に再編の嵐が吹き荒れた。2007年3月には,アルプス電気がHDDヘッドの資産の譲渡でTDKと合意(関連記事)。2007年6月末にはHDD大手の米Western Digital Corp.(WD社)が媒体メーカーのKomag社を買収した(関連記事)。フラッシュ・メモリにデータを記録するSSD(solid state drive)がHDD市場を侵食しようと攻勢を掛けるなか,さらなる再編が続く可能性がある。 今後2~3年のHDD業界の見通しについて,HDD業界首位の米Seagate Technology LLC, CEOのWilliam D. Watkins氏に聞いた。 ――ノート・パソコン向けにSSDが相次ぎ発売されている。HDDとSSDは今後,どのように市場を分けるのか。 Watkins氏 2010年には,30Gバイト以下の用途ではSSD,30Gバイト以上ではHD
「変な会社」が徹底する真っ当な情報共有
QAサイトやブログ、ソーシャルブックマークなどのネットサービスをてがける「はてな」。同社は、「立ったまま会議をする」「ミーティングをポッドキャスティングする」などユニークな試みを実践している「変な会社」として知られている。「超オープン」と言われる同社の情報共有の仕組みについて、川崎裕一副社長に話を聞いた。(聞き手は小野口 哲) はてな社内での情報共有はどんな仕組みになっているのでしょうか。 はてなでは、社員が全員ブログを書いています。業務日報的なものだけでなく、基本的に何でも書くんです。例えばあるサーバー担当者は、仕事がきつい、眠いといった自分の状況やフットサルの感想の後で、エラーのログや監視プログラムの話を書いています。 「個人のブログみたいなことを書いても意味がない」と感じる人もいるでしょうか、そうではないんです。ブログを読んで、この担当者が眠いことを知ったら、「もう眠ったらどうか」と
米IBMが150以上のWeb技術特許を無償開放、契約も不要に
米IBMは米国時間の7月11日、同社が保有する150以上のソフトウエア関連特許を無償で開放すると発表した。IBMは「この種の取り組みでは最大級であり、訴訟を抑制しつつ互換性のあるソフトウエア開発が可能となる」としている。 開放する特許は主にWeb上のサービスを構築するための技術で、ソフトウエアの仕様や、サービス間でデータをやり取りするためのプロトコルである。IBMがW3C(ワールド・ワイド・ウェブ・コンソーシアム)など、標準化団体に提案し採用されているものや検討中の技術が対象。例えば、W3CのSOAP(シンプル・オブジェクト・アクセス・プロトコル)関連技術などが含まれる。詳細は米IBMのWebサイトに掲載している。 IBMは従来もこれらの特許を無償で公開していたが、IBMとロイヤルティー・フリーのライセンス契約を結ぶ必要があった。今回の方針によって、こうした契約が不要となる。なお、IBMが
Winnyの脆弱性を発見した元米eEyeの技術者らが日本でセキュリティ・サービス会社を設立
左からフォティーンフォティ技術研究所 取締役技術担当 金居良治氏,取締役副社長最高技術責任者 鵜飼裕司氏,代表取締役社長 野澤宏之氏 Winnyのセキュリティ・ホールを発見したことなどで知られる,元米eEye Digital Securityの鵜飼裕司氏らが,日本でセキュリティ専門企業を設立した。会社名はフォティーンフォティ技術研究所。セキュリティに関するコンサルティング・サービスなどを行う。 取締役副社長蒹最高技術責任者の鵜飼氏はWinnyのセキュリティ・ホール(関連記事)のほか数多くのMicrosoft製品やルーターなどのセキュリティ・ホールの報告,およびShareの暗号解読(関連記事)などで知られる。 また取締役技術担当の金井良治氏はeEyeのセキュリティ・スキャナRetinaのエンジンの主な開発者の一人であり,また,P2Pシステムのセキュリティに関する研究などを行っている(関連記事
まつもと直伝 プログラミングのオキテ 第6回 メタプログラミング:ITpro
今回は「プログラミングをプログラムする」メタプログラミングについて学びます。メタプログラミングを利用すると,動的にメソッドを追加するなど,実際のアプリケーション作成に役立つ処理が簡単に実現できます。メタプログラミングと小言語の関係についても解説を加えました。 今回はメタプログラミングを扱います。メタとはギリシャ語で「間に,後に,越える」などを意味する接頭辞「meta」に由来する言葉で,「超越」,「高階」などの意味があります。例えば,Rubyをはじめとする多くのオブジェクト指向プログラミング言語では,「クラスのクラス」のことを「メタクラス」と呼びますし,他のオブジェクトを支えるクラス・オブジェクトなどのことをメタオブジェクトと呼ぶこともあります。 メタプログラミングとは,プログラミングをプログラミングすることです。そんなことが何の役に立つのかと感じる方もいらっしゃるでしょう。今回は一見して何
「MySQL,PostgreSQLとFirebirdの性能をユーザー会メンバーが徹底比較,判明...
「更新とJOINが多ければMySQL,シンプルなSELECT主体ならPostgreSQLが向いている。ストアド・プロシージャでシングル・コネクションならFirebirdは非常に速い」---6月23日に開催された「オープンソースカンファレンス2007.DB(OSC2007.DB)」で,各オープンソースDBのコミュニティのメンバーによる性能比較が披露され,従来の一般的なイメージとは異なる“意外な結果”が明らかにされた。 オープンソースカンファレンスは,オープンソース関連コミュニティが主催するイベントで,OSC2007.DBはデータベース関連のコミュニティが集まったイベントである。性能比較セッションを担当したのは,日本MySQLユーザ会の堤井泰志氏,日本PostgreSQLユーザ会の片岡裕生氏,Firebird日本ユーザー会の木村明治氏。「あくまでボランティアによる性能比較であって,最速,最新マ
見えない”攻撃に挑む 第2回 ボットのウラに巨大犯罪マーケット:ITpro
ボットは,パソコンに仕込まれた後,目立たずにひっそり活動する。攻撃者がボットをしかける狙いが金儲けだからだ。背景には,巨大な犯罪マーケットと,犯罪組織の存在がある。 攻撃者がボットを仕掛けて狙うのは,パソコンに眠る個人情報や踏み台とするためのコンピューティング・リソースである(図1)。 かつてのウイルス開発者の目的は,自らの開発能力を誇示したり,人が困っているのを見て楽しむことだった。だから,できるだけ広く感染させることや,ネットワークをダウンさせて人々の話題に上ることが目的となる。 ところが金銭目的の場合は逆だ。目立つのは厳禁である。目立てば,迅速に対策され,駆除されてしまう。気付かれることなく,長い間支配下に置ければ,それだけ多くの情報を盗んだり,攻撃の踏み台に使える。 では,支配下に置いたパソコンによってどうやって利益を得るのか。代表的な“ビジネス”はメール・アドレスの販売だ。ボット
米モジラ、Firefox次期版の新機能を一部公開:ITpro
米モジラ・コーポレーションは、2007年6月16日、東京都内で行われた開発者向け会議でFirefox次期版(Firefox 3)への搭載を検討している機能の一部を公開した。ブックマークに対するタグ付けや、テキストの大きさなどの表示形式をサイトごとにカスタマイズできる機能などを紹介した。Firefox 3は2007年内のリリースが予定されている。 次世代ブックマークとして紹介された「Places」では、(1)ブックマークしたWebサイトに対するタグ(キーワード)付け(写真1)、(2)サーバーに保存しているブックマークデータのブラウザー側での読み込みなどが披露された。(2)の機能では、ブックマークが更新された際、サーバー側のデータと同期を取ることで、最新のブックマーク情報を複数のパソコンで共有できる。 Firefox 3への搭載について、「ブックマークのタグ付け機能の搭載は検討されているが、ブ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
鵜飼文敏さんの講演「ハッカーのソフトウェアエンジニアリング」の動画を公開しました:ITpro Challenge! ブログ:ITpro