個人でもできる情報漏洩対策 | OSDN Magazine
Winnyを介した情報漏洩の恐ろしいところは、いったん外に流れ出した情報を回収することが困難な点である。その恐ろしさは度重なる情報漏洩事件を通じて知れ渡っているようにも思うが、逆にその頻繁さゆえに世間の人々の感覚が麻痺してしまっている感もある。 さて、企業や団体は自組織が保有する情報が漏洩しないように外部からの侵入に備え、内部統制に努める義務がある。だが、そのような義務を負わない個人でも対策はしておいたほうがよい。特にショッピング・サイトを頻繁に利用し、ブラウザに各サイトでのユーザーIDとパスワードを覚えさせているような方は要注意だ。 そこでここでは、ファイルやファイルシステム(パーティション)、通信経路の暗号化といった個人レベルでも実践できる情報漏洩対策を紹介する。なお、以下の記事で紹介されているツールはLinuxユーザーを対象としたものがほとんどだが、TrueCryptのようにWind
IT部門9人以下が78%――中小企業、アンチウイルスソフトに依存傾向
中小企業のセキュリティ対策は人的サポートが足りず、アンチウイルスソフトに依存傾向がある――ウェブルート・ソフトウェアが行ったセキュリティに関する被害状況および対策に関する調査から、このような結果が明らかになった。 ウェブルート・ソフトウェアは10月29日、日本、米国、カナダ、フランス、ドイツ、イギリスの6カ国の中小企業を対象に調査したセキュリティに関する被害状況および対策の結果を発表した。調査は2007年8月~9月にインターネットを通じて、PCの所有台数が5台~999台までの企業でセキュリティソフト購入の決定権をもつ担当者に行った。有効回答数は1842件。 中小企業がセキュリティ面において脅威と感じるのは、「従業員の過失」が39.8%、「内部者による妨害やデータ盗難」が39.8%となった。外部からの攻撃である「ウイルス」の31.0%、「スパイウェア」の25.2%を上回った。 セキュリティに
高木浩光@自宅の日記 - 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない
■ 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない 目次 ワープロソフトの「脆弱性」とは? ゼロデイ攻撃に見舞われ続ける一太郎 「危険度:低」って正気で言ってるの? パソコン初心者並みの認識のソフト会社 「攻撃成立に必要なユーザの関与」は「積極的」か「消極的」か 知られざる一太郎ビューアplug-inの存在 受動的攻撃がもはや最大級の脅威 ジャストシステムは回答を拒否 製品ベンダーが発表しなければ危険性を周知できない 発見者の指摘があっても無視 メディアはJVN情報を伝えるときどうして発見者に取材しないの? plug-inを無効にする方法 ワープロソフトの「脆弱性」とは? 先週、新たな一太郎の脆弱性と修正パッチが公開された。「一太郎の脆弱性」と聞いて、どんなときに危険のある話だと理解されるだろうか。ジャストシステム社の告知文には次のよう
リクエストをいじれば脆弱性の仕組みが見えるのだ!
telnetでリクエストを打つのは面倒…… クウ 「うーん。めんどくさい……」 ジュンさんにWebアプリエンジニアとして重要な基礎、HTTPのしくみを教えてもらったクウは、引き続きHTTPと格闘中だ。 クウはジュンさんに教わったとおりtelnetを使ってHTTPを勉強していた。しかし、telnetで静的ファイルの閲覧などは比較的簡単にできるのだが、肝心のWebアプリケーションの閲覧を行うには非常に面倒であった。 ユウヤ 「どうしたの?」 クウ 「HTTPの勉強しようと思ったんだけど、コマンドをいちいち打ち込むの大変なんだよね……」 ユウヤ 「なんかそういうの、簡単にできるツールあるんじゃないの?」 クウ 「ああ、そうか。よく考えたらそういうのありそうだね。ちょっと探してみよっと」 ユウヤ 「まあ、それはいいとしてだ。昨日頼んでおいた資料ってどうなった?」 クウ 「ああっ。ごめん! 共有サー
はてなのCAPTCHAは簡単に破れる
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
300日以上脆弱性が修正されないWebアプリが累計50件、IPA - @IT
2007/10/22 独立行政法人 情報処理推進機構(IPA)と有限責任中間法人 JPCERTコーディネーションセンター(JPCERT/CC)は10月22日、今年第3四半期(7-9月)のソフトウェアとWebサイト(Webアプリケーション)の脆弱性情報の届け出状況をまとめた。152件の届け出のうち、3分の2がWebアプリケーションに関する報告だった。 ソフトウェアに関する脆弱性の報告は49件、Webアプリについては103件だった。届け出件数は2004年7月の受付開始から伸び続けていて、営業日当たりの平均は今第3四半期に2.03件となった。累計の届け出件数は1603件。ソフトウェアが560件で、Webアプリは1043件。 今第3四半期中に処理を終えたソフトウェアの脆弱性は20件。修正が完了して「Japan Vulnerability Notes」(JVN)が対応情報を公開した件数は18件、開発
送信ドメイン認証(Sender ID/SPF)について | サービス・機能 | NTTドコモ
ドコモ同士はもちろん、他社のケータイやパソコンにも文字や静止画などが送れます。絵文字を組み合わせたメールを送ることもできます。 iモードメールへ
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
緊急通報ダイヤルにハッキング、SWAT出動させた“でっち上げ”少年
米国の緊急通報ダイヤル911のシステムに不正侵入し、いたずら電話で特殊部隊を出動させた19歳の少年ハッカーが摘発された。禁固18年の実刑を言い渡される可能性があるという。 McAfeeによると、この少年はワシントン州在住で、カリフォルニア州オレンジ郡の緊急通報システムに不正侵入し、自分の電話番号を偽ってでっち上げの通報を行った。 この通報を受け、武装したSWATの特殊部隊が何の関係もない一家の自宅に急行。取り囲んだ家の中には夫婦と2人の幼児がいたが、外の物音を聞いた父親が泥棒だと思ってナイフを持ち、裏庭に出てみると、SWAT部隊が自分に向けて一斉にライフルを構えていたという。 「1つ間違えば無実の人が射殺されるところだった」とオレンジ郡の検察関係者はコメントしている。 少年は、全米で同じようないたずら電話を200件近くもかけていたことが判明。ドラッグ使用、銃撃、兄弟間の撃ち合いなどのでっち
3分LifeHacking:他人にPCを貸すときの設定法 - ITmedia Biz.ID
「ちょっとPCを貸してください──」。こんなとき一瞬躊躇した経験はおありだろうか? セキュリティを保ったまま、他人にPCを使わせるときの設定方法。 「ちょっとPCを貸してください──」。来社したお客さまがインターネットに接続してデモンストレーションをしたいと言っているときや、同僚に少しだけPCを使わせてほしいと言われたとき、自分が普段使っているノートPCをそのまま渡していないだろうか。 こうしたノートPCには、業務で使っている各種ファイルが入っているのはもちろん、他人に知られてはならない情報がたくさん詰まっているもの。Webブラウザ1つ取ってみても、ついさっきまで業務でアクセスしていたサイトのURL履歴も残っているし、サイトパスワードも保存されているかもしれない。日本語IMEには(ATOKにもIME-2007にも)推測変換が搭載されつつあり、残された変換履歴から、入力していた文章も読み取れ
企業の危機管理は“意識”だけ先行――総合危機マネジメント協会が発足
危機監理の人材育成を目指すNPO法人「総合危機マネジメント協会」が発足。協会調査で、危機管理が十分ではない企業の実態が明らかになった。 危機管理の意識啓発と専門家育成を目的とするNPO法人「総合危機マネジメント協会」の設立会見が10月16日、東京都内で行われた。併せて同協会が行った企業の危機管理に関するアンケート調査結果(速報)が発表された。 同協会は、自然災害やテロ、ITセキュリティ、経済、企業の不祥事など、さまざまなリスクに対する意識の啓発と専門家の育成を目的に活動する。代表・理事に元内閣安全保障室長の佐々淳行氏、理事長にフォーバル会長兼社長の大久保秀夫氏が就任した。 会見の冒頭、佐々会長は「2001年9月11日の米同時多発テロ事件以降、さまざまな危機管理の重要性が叫ばれてきたが、時間が経つにつれて国民の意識が薄まっているとの危機感を持つようになった。日本を取り巻くリスクは多岐にわたり
koress.jp: OpenIDの襲来に備えよ!
追記: OpenID対応サービスまとめを作りました。 たぶん、2008年のインターネット(Webサービス)業界はOpenIDによるWebサービスのID体系の統一の荒波に揉まれることになると思う。日本のサービスプロバイダは、OpenIDの襲来に備えるべき。 海の向こうではすでにDigg, Wikipedia, Yahoo, Microsoftなどが導入や支持を発表しているほか、多くの小さなネットサービスはOpenIDに頼ったアーリーアダプタの取り込みに積極的になってる。日本国内ではどうかと言えば、niftyのaboutmeなどを除いて大手のWebサービスは未だ様子を見ている状態。リサーチレベルでは重要性が把握されつつある一方、経営レベルでは「なにそれ」的な状態が多そう。いかん、いかんよ。 2008年、YahooかAmazonかGoogleかわからないけれど、ほぼ間違いなくどこかの日本の大手の
子供騙しは大人にとっては下らないが、子供に対しては絶大な威力を発揮する:Geekなぺーじ
「子供騙し」という言葉があります。 しかし、最近では「子供だまし」的である陳腐な表現の方が実は絶大な威力を持っているのではないかと感じる事があります。 例えば、最近ではメールを持っていると必ずといって良いほど受け取る「大人な出会い」系迷惑メールや、 ナイジェリア詐欺的なSPAMメールがあります。 これらは、ある程度の知識がある人であれば「子供だましだ」で終わってしまうようなものです。 しかし、これらのメールは無くなるどころか増殖している気がします。 恐らく、これらに引っかかってしまう人が多くいるため、メール送信者が収益を上げられるのでメール送信者が減らないのではないかと思われます。 SPAMメールに書いてある内容を非常に強く欲する人が読むと、ついつい心を動かされてしまうのかも知れません。 現状では、これらのSPAMメールが狙っているのは大人です。 しかし、最近では子供もインターネットに接す
難読化手法(Software Obfuscation):Geekなぺーじ
ソフトウェアの難読化に興味を持ったので、どういう手法があるのか調べてみました。 結構面白かったです。 この分野は勉強していくと非常に面白そうですね。 (メチャメチャ奥が深そうですね) 以下に、簡単な手法をいくつかピックアップしてみました。 様々な手法を組み合わせて、ぐちゃぐちゃの読みにくい出力を生成できるそうです。 また、自動的に出力をぐちゃぐちゃにするツールも色々あるようです。 名前マングリング 何をするかバレバレの名前をバイナリ中に残してしまうと、すぐに解析されてしまいます。 それを防ぐために関数名などをマングリングしてしまいます。 例えば、以下のようなコードがあったとします。 secret_key_funcという秘密鍵を扱う関数があるとします。 例えば、これをdefineでhogera()に変えてしまうと、何をしたい関数なのかが多少わかりにくくなります。 #include <stdi
仙石浩明の日記: chroot されたディレクトリから脱出してみる
要約すれば、 「chrootなんて簡単に抜けられるからセキュリティ目的で使っても意味ないよ。」 ってことね。そうだったのか。 そうだったのか orz Note that this call does not change the current working directory, so that `.' can be outside the tree rooted at `/'. In particular, the super-user can escape from a `chroot jail' by doing `mkdir foo; chroot foo; cd ..'. chroot するときは、そのディレクトリへ chdir しておくのが常識と 思っていたので気づいていなかった。 つまり、 故意にカレントディレクトリを chroot 外へもっていけば、 chroot された
力を誇示? 新世代ツール使ったフィッシング攻撃が激増
9月半ばから下旬にかけ、新世代の攻撃キットを使ったフィッシング詐欺が激増した。IBM傘下のセキュリティ企業Internet Security Systems(ISS)がブログで伝えている。 それによると、ドイツのカッセルにあるISSの研究部門X-Forceチームは9月17日までの1週間で、45万以上のフィッシングホストを発見。翌週にはさらに49万件を発見した。いずれも新しいフィッシングキットとホスティング戦略を採用していた。 問題のフィッシングキットは、詐欺サイト開設に使うドメインを自動的に登録し、そのドメインが遮断されるとまた新たなドメインを登録するなど、「先進的」な機能を備えていたという。 これを使ったフィッシング攻撃の9割以上は、米銀行Citizens Bankのユーザーが標的とされていた。先週になって、新しいホストの検出件数はようやく2万1000件に減少、平時のレベルに戻ったという
グーグル、「Gmail」の脆弱性を修正
倫理的ハッカーであるPetko Petkov氏が、「Gmail」のクロスサイトスクリプティング脆弱性を発見したと発表した3日後、Googleはこの問題を修正したと述べた。 Google Australiaの広報担当者は現地時間9月28日、「最近報告のあった脆弱性について迅速に対応し、修正を加えた」と述べた。 Petkov氏が発見し、ウェブサイトGNUCitizenに投稿した脆弱性は、ユーザーがGmailアカウントにログイン中に悪質なリンクをクリックすると、攻撃者がセッションクッキーの制御を得る危険性があるというものである。 侵入テスト企業であるPure HackingのChris Gatford氏の26日の説明によると、この状態において攻撃者は、攻撃を受けたアカウントの電子メールを別のPOPアカウントに抜き取ることができるという。 Gatford氏は、「Googleが修正する前に誰かがこれ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://yamk.net/20071029.html
http://www.machu.jp/posts/20071023/p01/
http://triaez.kaisei.org/~kaoru/diary/20070930.html