ネットワーク・アドレス（プリフィックス）の表記 IPv4では32bitのアドレスのうち、上位の何bitかをネットワーク・アドレスとし、残りの下位部分をホスト・アドレスとして利用するのが一般的であった。同様にIPv6でも、128bitのアドレスを2つのパートに分けて利用している。そして、その上位の方を単に「プリフィックス」、あるいは「ネットワーク・プリフィックス」「サブネット・プリフィックス」などと呼ぶ。表記方法としては次のようになる。 ＜IPv6アドレス＞/＜プリフィックス長＞ 例えば64bitずつに分けるなら、「2001:0db8::/64」のように表記する。IPv4のCIDRのように（連載 基礎から学ぶWindowsネットワークの第8回「2．サブネットワークへの分割」参照）、アドレスの上位から何bitをプリフィックスとして使用するかを指定する。プリフィックス長はアドレスの用途に応じて変

Windows 10 Homeでも使える本物のDockerの提供開始 DockerのコンテナリポジトリであるDocker Hubでは、歴史的な経緯からWindows ServerやIISが提供されている。本物のDocker環境「Docker Desktop for Windows」との関係などを整理する。 コンテナ仮想化を用いたアプリケーションの開発／実行環境である「Docker（ドッカー）」を試したことはあるだろうか。Windowsユーザーの場合、Hyper-VやVMwareといった仮想マシン環境は使ったことがあっても、Dockerを普段から利用しているという人はまだ少ないだろう。手元のWindows環境で試してみたかったけれど、「何やら複雑そうで手が出なかった」という人もいると思う（これはWindows OS上のDockerのサポートが二転三転したことも一因だろう。詳しくは後述）。 し

Eclipse Foundationは2020年3月31日（米国時間）、ブラウザとデスクトップで動作するオープンソースソフトウェア（OSS）のIDE（統合開発環境）プラットフォームである「Eclipse Theia 1.0」を発表した。 Theiaは、TypeScript、CSS、HTMLで実装されており、「同じコードベースによるデスクトップIDEおよびブラウザベースIDEの開発をサポートする、ユニークなIDEプラットフォーム」とされている。ユーザーは、ブラウザとデスクトップのどちらで動作するIDEを開発するか、あるいは両方で動作するIDEを開発するかを、前もって決める必要がないという。 Theiaを使うには GitHubとGitLab向けのオンラインIDEである「Gitpod」でもTheiaは使用できる。Eclipse Foundationは、Theia自体のソースコードを置くGitHu

権威DNSサーバーに対する監視は、一般的なWebサーバーなどと同様「死活監視」「リソース監視」「ログ監視」を行うとよい。 権威DNSサーバーは、一般的なWebサーバーなどと同様「死活監視」「リソース監視」「ログ監視」を行うとよい。例えば、死活監視では、監視用ホストなどから定期的にPing応答確認やDNSの応答確認を行い、リソース監視では、CPU使用率、メモリ使用率、ディスク使用率、送受信トラフィック量、送受信パケット量の短期的、長期的な取得を行うといった具合である。一方、ログ監視では、一般的なOSが出力するログに加えて、DNSサーバーソフトウェアが出力するログを取得するとよい。 DNSサーバーソフトウェアによっては、DNSの問い合わせ（クエリ）内容を全てログ出力する機能があり、そのような機能を使って出力したログを定期的に分析することができる。しかしながら、大規模なサーバー構成や大量の問い合

米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見：“履歴スニッフィング”攻撃の最新版 カリフォルニア大学サンディエゴ校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見した。ユーザーがあるWebサイトを訪問したかどうかを高速に判定することで、結果的に履歴が漏れてしまう。 米国カリフォルニア大学サンディエゴ校は2018年10月30日（米国時間）、同校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見したと発表した。発見した手法は、2000年代初頭に見つかった「履歴スニッフィング」という攻撃手法と同じカテゴリーに属する。 今回の発表に先立ち、2018年8月に情報セキュリティ関連のワークショップ「2018 USENIX Workshop on Offensive Technologies（

pingで相手が稼働しているかどうかを確認する TIPS「Windowsのpingコマンドでネットワークトラブルの原因を調査する」では、Windows OSに付属する「ping」コマンドの基本的な使い方について説明している。その中では、「pingを実行すると対象PCからpingの応答が返ってくるので、それを使って相手のPCが稼働しているかどうかを確認できる」と紹介した。システムの死活監視においては、pingは一番基本的なコマンドである。 pingは、ネットワークプロトコルでいうと、TCP/IPの補助プロトコルである「ICMP（Internet Control Message Protocol）」の「エコー要求／エコー応答」メッセージを使って相手と通信している。だが現在のWindows OSでは、セキュリティなどの理由のため、デフォルトではこのパケットの受信を許可していない。pingでPCの

「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見：任意のコードが実行される恐れ 2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱（ぜいじゃく）性を悪用するPoC（概念実証）コードが見つかった。 広く普及したオープンソースのWebアプリケーションフレームワーク「Apache Struts 2」で発表されたばかりの脆弱（ぜいじゃく）性を悪用するPoC（概念実証）コードを、セキュリティ研究者が発見した。これを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載。以下、内容を抄訳する。 このPoCコードは、脅威インテリジェンス企業Recorded Futureがソフトウェア開発プラットフォーム「GitHub」で発見した。同社によると、このPoCコードには、「問題の脆弱性を簡単に悪用できるPythonスク

フットプリンティングとは、攻撃者が攻撃を行う前に攻撃対象となるコンピュータやネットワークに対して弱点や攻撃の足掛かりを得るために行う事前調査のことである。 フットプリンティングとは、攻撃者が攻撃を行う前に攻撃対象となるコンピュータやネットワークに対して弱点や攻撃の足掛かりを得るために行う事前調査のことである。 調査する情報としては企業へのIPアドレスの割り当て情報、ドメイン名の登録情報、DNSレコード、ポートスキャン、OSの識別、ネットワーク構成の把握、Webページなどで配信されているファイルなどからのメタデータの抽出、通常ではリンクされていないWebページの発見などが挙げられる。 手法としては以下のような方法が挙げられる。 whoisデータベース dnsmapによるドメイン名の探索 nmapによるポートスキャンとOSの識別 Google検索のfiletype演算子やsite演算子を用いた

侵入後の“ラテラルムーブメント”に罠を仕掛ける偽装（Deception）技術とは――インテリジェントウェイブ：＠ITセキュリティセミナー2018.2 ＠ITは、2018年2月7日、東京で「＠ITセキュリティセミナー」を開催した。本稿では、インテリジェントウェイブの講演「偽装テクノロジを利用して高度な攻撃活動を検知～侵入した攻撃者を騙すテクニックとは～」の内容をお伝えする。

講師も悩む――セキュリティ・キャンプ「選考」のやり方：セキュリティ業界、1440度（9）（1/2 ページ） 2014年6月、セキュリティ・キャンプ全国大会2014の参加者選考が行なわれました。枠は限られているので、参加者を厳しく選考しなくてはなりません。そこには、講師なりの苦労があるのです。 連載目次 今回のテーマは、産官学オールジャパンによる若年層セキュリティ人材の発掘・育成の場である「セキュリティ・キャンプ全国大会2014」です。FFRIからも3名のエンジニアが講師として参加しますが、今回は私、FFRI新技術研究部の忠鉢洋輔が担当した「セキュアなシステムを作ろうクラス」の紹介と応募者選考の様子をレポートします。 「OSを吹き飛ばした」ことがきっかけで 今年で通算11回目となるセキュリティ・キャンプ。実は私もかつて参加者の一人でした。高専4年生（2005年）のときにセキュリティ・キャンプ

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を定期的に取り上げ、解説していく。2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性が報告された。連載初回は、こちらの詳しい説明と情報をまとめる。 「OSSセキュリティ技術の会」の面和毅です。本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア（OSS）の脆弱（ぜいじゃく）性に関する情報を定期的に取り上げ、解説していきます。 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性（CVE-2017-1000367/CVE-2017-1000368）が報告されました。連載初回は、こちらの詳しい説明と情報をまとめます。 脆弱性発見の経緯 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性（CVE-2017-1000367）が報告さ

2016年8月に開催されたリオデジャネイロオリンピック。205カ国のアスリート1万1303人が参加、チケットは610万枚以上を販売したという。続いて9月に開催されたパラリンピックも、159カ国から4333人のアスリートが出場した。この全世界的スポーツイベントにおけるサイバーセキュリティ対策はどうなっていたのか。 左より、リオ五輪でCISOを務めたMorphusのBruno Moraes氏、リオ2016でアドバンスドサービス担当したシスコのRodrigo Paes氏、リオ2016でエンジニアリングを担当したシスコのLeonardo Ferreira氏、シスコのリオ2016プロジェクトリーダーを務めたRodrigo Cardoso Uchôa氏 本記事では2回に分け、同オリンピックにおけるサイバーセキュリティ対策を統括した専門家たちによる講演の内容を再構成してお届けする。今回は前編として、「サ

Job Description ABC Inc. is one of the most leading companies in the Silicon Valley. We are looking for the best experienced software engineer to expand our business. “Job Description”は「職務記述書」です。ここで書かれているのは、「ABC社はシリコンバレーで急成長している企業の1つです。われわれは業務拡張のためにすばらしい経験を持ったソフトウェアエンジニアを募集しています」といった、募集の背景です。 次は入社後に担当する仕事の内容です。

具体的には、最初にスクリプトを実行するための基本的な手順を理解したうえで、PowerShellにおける変数や制御構文、関数など基礎的な構文の解説を行っていく。 PowerShellスクリプトの基本 スクリプトとはいっても、その実体はファイルとして保存されたコマンドの集合にすぎない。例えば前回も紹介した次のコードをスクリプト化するには、ただ単にこれをテキスト・エディタで入力し、ファイルとして保存すればよい。 ここでは、スクリプトのファイル名を「Begin.ps1」としておこう。ファイルのベース名には任意の名前を指定できるが、PowerShellスクリプトの拡張子は「.ps1」としなければならない。 ただし拡張子を「.ps1」としたスクリプト・ファイルをエクスプローラなどからダブルクリックしてもPowerShellが自動起動するわけでは「ない」点には注意が必要である（試してみれば分かるように、

トリップワイヤの脆弱性調査チーム「VERT」が語る、脆弱性悪用の傾向：“バグハンター”共通の苦労も（1/2 ページ） 最近のサイバー犯罪に用いられるマルウェアや攻撃コードは、数年前に指摘された古い脆弱性がいまだに悪用されることが多いという。最近の脆弱性の傾向と、企業や組織が向き合うべき姿勢とは。トリップワイヤの脆弱性調査チーム「VERT」のエンジニア2人に話を聞いた。 セキュリティ企業のトリップワイヤ・ジャパンは、脅威の監視／改ざん検知を行う「Tripwire Enterprise」に加え、ネットワーク全体にまたがって脆弱（ぜいじゃく）性やリスクを管理する「Tripwire IP360（以下、IP360）」を提供している。このIP360が参照する脆弱性情報を作成し、更新しているのが、専門の脆弱性調査チーム「Vulnerability and Exposure Research Team」（

ネットエージェント、「自動車セキュリティ検査サービス」を提供開始：専門エンジニアチームが“攻撃者視点”でテストを実施 ネットエージェントは2016年8月4日、自動車メーカーなどを対象に、車両に存在する情報セキュリティ上の弱点を調査する「自動車セキュリティ検査サービス」の提供を開始した。 ネットエージェントは2016年8月4日、「自動車セキュリティ検査サービス」の提供を開始した。同社が新規に立ち上げた「ハッカーエンジニアチーム」が自動車システムに対する侵入テストを実施し、セキュリティ上の弱点の有無をチェックするもの。主に、自動車メーカーを対象にサービスを展開していくという。 近年、「自動運転技術」の発展や、「IoT（Internet of Things）」の一部としてインターネット接続される「コネクテッドカー」の登場により、自動車にさらなる利便性がもたらされようとしている。一方で、こうした技

速報！ Windows Server 2016の正式リリースは2016年9月末に：vNextに備えよ！ 次期Windows Serverのココに注目（54：特別編） マイクロソフトが公式ブログで、Windows Server 2016とSystem Center 2016の正式リリース時期を明らかにしました。これらの製品は2016年9月末に正式リリースとなり、現在提供中のTechnical Preview 5（TP5）が最後のプレビューリリースになります。 Microsoft Igniteカンファレンスに合わせて正式リリース 2016年7月12日（米国時間）、マイクロソフトは公式ブログで、Windows Serverおよびシステム運用管理製品の次期バージョンとなる「Windows Server 2016」と「System Center 2016」の正式リリース時期を明らかにしました。 Wi

人間にまつわるセキュリティを考える本連載。今回のテーマは「ヒューマンエラー」です。個人の意識だけに原因を求めてもうまくいかないヒューマンエラー対策について考えます。 連載目次 ヒューマンエラーを考える 心理学などの知見を借りながら、「人間のセキュリティ」を考える本連載。第5回では、組織の「ヒューマンエラー対策」を扱います。情報セキュリティに限らず、多くの事件・事故は、ヒューマンエラーが主要な原因となって起きています。 図表1はNRIセキュアテクノロジーズが2015年に行った調査の結果です。これを見ると、企業におけるセキュリティ事故の大部分は、「ヒューマンエラー」と「サイバー攻撃」によるものだと分かります。また、この調査の中でサイバー攻撃として分類されている幾つかの項目も、考え方によってはヒューマンエラーに起因するものと捉えることができます（標的型メール攻撃など）。 図表1　過去1年間に発生

HTML5コンテンツ制作支援ツールをGoogleが発表。動的な制作が可能なツールが無償ダウンロードできる。 米Googleは9月30日、HTML5を使ったコンテンツデザインツール「Google Web Designer」のパブリックβをリリースした。デスクトップ、スマートフォン、タブレットの画面にシームレスに対応できるコンテンツの制作を支援する。 Google傘下の広告ネットワークDoubleClickのブログによると、スマートフォンやタブレットでWebを閲覧するユーザーが増える中、HTML5対応環境のエンドユーザー数はFlash対応環境のユーザー数を上回り、広告出費も2年以内にHTML5広告がFlash広告を上回る見通しだ。 それにもかかわらず、モバイル向けのコンテンツ制作は、「プラットフォームやブラウザ、端末の種類の多さが障壁となり、制作プロセスを単純化するツールも存在していなかった」