知らないほうがいいのかもね? 人の脆弱性にハラハラ
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 改正不正アクセス禁止法、成立 特定の国や企業をターゲットにした攻撃や、正義を掲げ活動するハクティビストの動きが盛んだ。 これらの攻撃は既存の手法を組み合わせたものであって、根本的に新しい部分はない。だが、筆者が情報セキュリティにかかわるようになってから10年以上が経つが、これほどまでにつかみどころがなく、多岐に渡る大規模な動きはなかったように思う。サイバー情勢が世界中で
官民連携の情報共有を真面目に考える
2月は情報セキュリティ月間! 遅ればせながら、皆さん明けましておめでとうございます。川口です。 前回のコラムからかなり時間が経過してしまいました。「行く(1月)逃げる(2月)去る(3月)」とはよく言ったものですが、気が付けばあっという間に2月です。 このコラムを読んでいる方はよくご存じだと思いますが、2月は「情報セキュリティ月間」なのです。日本のインターネットの交通安全週間みたいなもので、情報セキュリティに関する普及啓発強化のため、いろいろとイベントが開催されます。 さっそくセキュリティらしいことをしなければと思った私は、「セキュリティ」→「警察」→「新参者 加賀恭一郎」と安易な連想をして映画「麒麟の翼」を見にいき、情報セキュリティ月間開始に弾みを付けました。 情報セキュリティ政策会議が提唱する「情報共有」 情報セキュリティ月間に先駆けて、先月の1月24日、政府の「情報セキュリティ政策会議
本当のAnonymousが知りたいの
PlayStation Networkに関する報道によって日本でも広く知られるようになった「Anonymous」。果たして彼(女)らはいったい何を目的とした、どんな集団なのか。日本に住むAnonymousの1人に取材する機会を得た(編集部) 日本で活動するあるAnonymousの声 PlayStation Networkの事件から日本でも名前を広く知られるようになった「Anonymous」。この名がメディアで報じられるときは、ほぼ決まって「ハッカー集団」「クラッカー集団」という「枕詞」が付く。中には、「政府や主要企業などへのハッキングの第一線にいるグループ」と説明される場合もある。 だが、多くのメディアにおける「Anonymous」の報道のされ方を見ると、さまざまな事件への関与を臭わせる内容がもっぱらで、彼(彼女)たち自身の活動を主軸としたものはあまり見かけない。 【関連記事】 PlayS
PSN Hacked――問題の根はどこに?
史上最大規模の個人情報漏えい事件 4月、ソニーのゲーム機関連のネットワークサービス「PlayStation Network」(PSN)で史上最大規模の個人情報漏えいがありました。この原稿を書いている段階では、ソニーの記者会見で公開された情報によって全貌がうっすらと見えてきました。 今回は、これを踏まえて筆者の推測について書いてみます。あくまでも筆者の個人的な推測であり、ソニーの発表以外の新事実を公開するものではありません。 記者会見によって明らかになったのは、以下のような事柄でした。 漏えいした個人情報の内容 システムはWebサーバ、アプリケーションサーバ、データベースサーバの3層構造になっていた 各サーバにはファイアウォールが設置されていた アプリケーションサーバの脆弱性を突かれた アプリケーションサーバに攻撃用ツールが置かれた アプリケーションサーバの攻撃用ツールからデータベースサーバ
2011年2月版 セキュリティベンダのクラックがTwitter上の話題に - @IT
山本洋介山 bogus.jp 2011/3/8 はじめまして。Twitterのセキュリティ関連のタイムラインを日々眺めながら、忙しくてTLを追えない人のために「twitterセキュリティネタまとめ」というブログを書いている山本洋介山です。 今月からここで、「Twitterセキュリティネタまとめ」のまとめを書かせていただくことになりました。よろしくお願いします。 AnonymousによるHBGary社のクラック事件 日本ではそれほど話題になっていないようですが、「Anonymous」という名のハッカー集団がこのところ活発に活動を繰り広げています。WikiLeaksを支援したりAmazonを攻撃したり、エジプト政府への攻撃により革命に影響を及ぼしたともいわれてます。 さて、そのAnonymousですが、中でもセキュリティベンダのHBGary社がクラックされた事件がTwitterでは話題となりま
Twitter創業者の新事業「Square」の衝撃 - @IT
Twitter創業者のJack Dorsey(http://twitter.com/jack)の新事業「Square」(http://squareup.com/、http://twitter.com/Square)が発表された。衝撃的な内容であった。「アメリカのセレブがやればこれもアリなのか!」という強烈な衝撃である。 現在判明しているSquareの基本ビジネスは、 製造原価1ドル以下といわれる、マイクロホンジャックに差し込む磁気カードリーダーをiPhoneに差し込んで、クレジット決済サービスを個人間に開放する。 というものである。Dorsey氏の言及によれば、この磁気カードリーダーは無料で配布する予定らしい。 保守的なカード業界 単純に考えれば、「iPhoneでカード決済が出来て何がすごいの?」ということなのだが、ある程度クレジットカード業界を知る立場からすれば、このプランは従来の常識を
アスキーアートや単語当てゲーム、それが「問題」だ - @IT
いざラスベガス、いざDEFCON CTF決勝へ(後編) アスキーアートや単語当てゲーム、 それが「問題」だ 福森大喜/ラウリ・コルツパルン 株式会社サイバーディフェンス研究所 上級分析官 2009/10/6 「もしDEFCONに行くなら手伝ってくれないか」……そして、いざ決勝の地へ! 予選の混乱をお伝えした前編に続き、後編では決勝の模様をレポートします。(編集部) 決勝の地に到着、そこは底冷えするホテルの一室 会場はラスベガスにあるリヴィエラというホテルで行われます。会場に着くと、韓国チームは開場30分前に全員そろっていてすでに腹ごしらえをしています。それに対して、われわれのチームは開場から1時間ほどたってからそろい始めるという具合。韓国チーム、気合いが入っています。 われわれのチームは、韓国、アメリカ、エストニア、日本の混合チームです。学生が多く、若いチームでした。会場はテーブルが用意さ
予選はクイズ感覚の「超高度な知恵くらべ」 - @IT
福森大喜/ラウリ・コルツパルン 株式会社サイバーディフェンス研究所 上級分析官 2009/9/14 「Trivialの400」にみる証明書の重要性 「Trivial 400」は暗号解読のような問題でした。これは「SSLを使っていれば安全」という考えに警鐘を鳴らすような問題です。 まず、配布されたバイナリファイルを見ると、パケットキャプチャをしたファイルであることが分かりました。これをWiresharkで開いてみると、HTTPSで通信したデータであることが分かります。暗号化通信ですので通信内容を読むことはできません。そのため、暗号を解読すれば正解を得られるのではないかと考えました。 そこでまず使われている暗号方式を調べるため、キャプチャデータの中からサーバ証明書を抜き出します。すると、2048bitのRSAが使われていることが分かりました。OpenSSLといえば昨年、DebianのOpenS
x86コードのサンドボックス、グーグルの「NaCl」は安全か? - @IT
2009/08/06 Webブラウザ上で、ネットワークからダウンロードしたx86バイナリを安全に実行する――。2008年暮れにグーグルがオープンソースプロジェクトとして公開した「NaCl」(Native Client)は、本当に安全なものに仕上げることができるのか。先日グーグルが主催したセキュリティ・コンテスト、「Native Client Security Contest」でNaClの脆弱性を2つ発見して、日本人で唯一入賞したサイバーディフェンス研究所 上級分析官の福森大喜氏に話を聞いた。 静的解析で安全にx86コードを実行 福森氏は、Webブラウザ上にx86バイナリを実行するサンドボックスを載せるというアイデアを評価する。「基本的には、いい考え。コードに悪意がある場合でも、WebブラウザやOSが被害を受けないようにできている。ソースコードを見た印象ではOSのカーネルに似ている」(福森氏
アカマイがクラウドにWAFを実装して提供 - @IT
2009/05/21 アカマイは5月20日、同社が全世界に配置しているコンテンツ配信用プラットフォーム「Edge Platform」の機能を拡張し、Webアプリケーションファイアウォール(WAF)モジュールを搭載することを発表した。これにより、データセンターに置かれているオリジナルのサーバに届く前に、クラウド側で攻撃を検出、ブロックできるという。 アカマイでは、世界70カ国に約4万8000台のEdge Platformを配置し、インターネットを介したコンテンツの高速配信サービスを提供してきた。Edge Platformではさらに、オンラインショッピング事業者向けにいくつかのツールキットを提供しており、アクセスしてきたユーザーの属性に応じて優先順位付けを行ったり、キャンペーンと連動したコンテンツを提供するといった、きめ細かなサービス提供が可能という。 新たに提供されるWAFモジュールも、この
Windows PE 2.0のブータブルUSBメモリを作成する - @IT
「Windowsプレインストール環境 2.0(Windows Preinstallation Environment 2.0。以下Windows PE 2.0)」は、CD/DVDメディアやネットワークなどから起動して利用できるコンパクトなWindows OSだ。ハードディスクにインストールすることなく、Windows用の各種ユーティリティ/ツールが実行可能で、システム・トラブル時のファイル・サルベージやハードディスクのイメージ・バックアップ/リストア、OSの展開などによく使われる。無償で入手可能なので、Windowsシステムの管理者であればWindows PE 2.0の起動ディスクを1つ用意しておいて損はないだろう。 Windows PE 2.0の起動CD/DVDメディアを作成する手順は、運用「管理者必携! 最強のデータ・サルベージ・ツールを自作する」で詳しく解説されている。しかし最近では
思想の数だけセキュアOSは生まれる- @IT
第1回 思想の数だけセキュアOSは生まれる 才所 秀明 Linuxコンソーシアム 理事 兼 セキュリティ部会リーダー 2007/6/1 なぜセキュリティを確保するためのOSが必要とされたのでしょうか。そしてセキュリティを高めるということが唯一のゴールであるにもかかわらず、いくつもの種類のセキュアOSが生まれたのでしょうか。本連載ではその答えを探るべく、セキュアOSを支える人たちの「思想」に注目します(編集部) @ITを含め、多くのメディアでセキュアOSが紹介されています。恐らく、SELinuxやLIDS、TOMOYO Linuxなどの紹介記事をご覧になった方も多いでしょう。 セキュアOSといってもさまざまなものがあります。筆者がリーダーを務めるLinuxコンソーシアム セキュリティ部会Wikiでは、数々のセキュアOSを紹介し、セキュアOSを選択するための評価項目を公開しています。これは、実
Windows Vistaのエクスプローラにおける自動フォルダ・タイプ設定を無効にする - @IT
Windows VistaのWindowsエクスプローラには、フォルダに含まれるファイルの種類によって表示する項目(詳細表示の際に表示されるファイルの種類やサイズなど)を自動的に選択する「自動フォルダ・タイプ設定(Automatic Folder Type Discovery)」と呼ばれる機能が実装されている。含まれるファイルの種類によって、フォルダのプロパティの[カスタマイズ]タブの「フォルダの種類」で設定可能なテンプレートが自動的に適用されるというものだ。例えば、フォルダ内のファイルが、プログラム・ファイルなどの場合は[すべての項目]が選択されて「名前」「更新日時」「種類」「サイズ」が、MP3ファイル(音楽ファイル)ならば[音楽の詳細]が選択され「名前」「アーティスト」「アルバム」「トラック」「ジャンル」「評価」が、写真ファイルならば[画像またはビデオ]が選択されて「名前」「撮影日」「
Windows Server Insider 運用 - @IT Windows Server 2012 R2時代のHyper-Vサーバ設計術
第1回 Macってどうでしょう--2014/09/25 第2回 MacBook Airへの環境移行に踏み出そう--2014/11/20 第3回 メール環境の移行は一筋縄ではいかない(前編)--2015/01/28 第4回 メール環境の移行は一筋縄ではいかない(後編)--2015/02/04 第5回 Macのリモートデスクトップを使いこなす--2015/04/09 第6回 Windows PCとファイルを共有できるようにしよう--2015/06/17 第7回 Mac上で仮想化技術を使ってWindows OSを実行させる--2015/07/29 第8回 MacBook AirにWindows 10をインストールしてみる--2015/10/07 最終回 Macを活用するための便利な設定とツール教えます--2015/11/30
Windows Vistaチューニング術 11のポイント(1/5) - @IT
[運用] Windows Vistaチューニング術 11のポイント ―― Windows XPユーザーのためのWindows Vista設定術 ―― 1.Windows Vistaチューニングの必要性 井上 孝司 2009/03/04 発売開始から2年あまりを経て、Windows Vistaのユーザーも徐々に増えてきている。Windows XPの販売が一部のネットブック向けなどを除き終了したこと、旧版Windowsのサポート終了が近づいていること(Windows 2000の延長サポートは2010年7月13日まで、Windows XPのメイン・ストリーム・サポートは2009年4月14日まで)などが影響しているものと思われる。 しかしWindows Vistaは、Windows XP以前のものとはユーザー・インターフェイスが大幅に変更されているため、使い方の習得に時間がかかり、特に企業ではサポ
ハードディスクのパスワードロックはなぜ破られた?
ハードディスクのパスワードロックはなぜ破られた?:データを守るためにできること(1)(1/3 ページ) 情報漏えい対策が注目される中、企業はどのようにデータを保護していくかの手法を模索し続けている状況ではないだろうか。本連載ではデータを保存するメディアの1つである「ハードディスク」がどのようにデータを守れるのかという点に着目する(編集部) ATAパスワード保護についての事実 コンピュータのハードディスクに保存したデータを保護する際、ATAパスワードを利用することが多いと思います。しかし多くの場合、悪意を持った攻撃者は簡単にパスワードロックを外すことができ、ドライブ上のすべてのデータにアクセスすることが可能になります。 個人、あるいは企業のコンピュータからの機密情報の盗難は、アメリカでも最も急増している犯罪の1つで、数え切れないほどの組織がノートPCから数百万件もの機密情報を盗まれ、データ盗
DOMの基本。正しいHTMLとドキュメントツリーを理解しよう
DOMを介してHTMLを操作する方法を理解しよう。そのためには、正しいHTMLの概念とドキュメントツリーを知る必要がある。 旧来のDHTMLの手法では、JavaScriptから操作できるHTML要素には限りがありましたが、DOMでは、HTML上のありとあらゆる要素を自由自在に読み取ったり、書き換えることができるようになります。本連載では、おもにDOM Level 1で規定されている手法を使って、JavaScriptを使ってどのようにHTML上の要素へアクセスするのか、そして、それをどうやって書き換えるのかを詳しく解説していきます。JavaScriptからHTML要素を手に取るように操れるようになります。 ドキュメントツリーとは DOMスクリプティングでは、HTMLに関する正しい知識が求められます。まずは正しいHTMLとはなんなのかを理解していただきます。そして、DOMスクリプティングでは欠
Webアプリ開発環境としてのSafariを知ってますか?
「Java News.jp(Javaに関する最新ニュース)」の安藤幸央氏が、CoolなプログラミングのためのノウハウやTIPS、筆者の経験などを「Rundown」(駆け足の要点説明)でお届けします(編集部) シェア競争に挑まないWebブラウザ「Safari」の登場 2008年3月、iPhoneの日本登場に先駆けて、Windows版Safari 3.1が登場しました(参考「Apple、Windowsにも正式対応の「Safari 3.1」リリース」)。 WebブラウザのシェアはFirefoxが健闘しつつも、いまだInternet Explorer(以下、IE)が大半を占め、多くのWebアプリケーションサービスにとって、IEへの対応が必須であると思われてきました。そんなWebブラウザのシェア競争の中へSafariが登場したことは、最初はとても異質なことに感じられました(参考「新しいWebブラウザ
すばらしいソフトを作るには、カリスマが講演 ― @IT
記者という職業柄、これまで非常に多くのプレゼンテーションを見てきたが、プレゼンテーションの1枚目が半裸の女性モデルの写真だったのは初めてだった。 2月13日、14日の予定で東京・目黒で開催中の「デベロッパーズ・サミット2008」で講演したFog Creek Softwareの創業者でCEOのジョエル・スポルスキー(Joel Spolsky)氏のプレゼンテーション「Joel on Developers Summit――素晴らしいソフトウェアを作るということ」は、型破りに楽しく、なおかつソフトウェア開発者にとって示唆に富む内容だった。 スポルスキー氏は米マイクロソフトのExcelチームで、Excel用マクロ言語を、後にVBAと呼ばれることになるモダンなオブジェクト指向言語に置き換える仕事でプログラムマネージャを務めたことがあるなどソフトウェア開発のベテランだが、エッセイの書き手としても名を馳せ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
教科書に載らないWebアプリケーションセキュリティ - @IT