Webサイト開発時の対策が最も重要
SQLインジェクション攻撃に対抗する際に,最も重要なのは企業のWebサイトの対策だ。サイト開発時にWebアプリケーションにSQLインジェクションのぜい弱性を作らないことが第一である。 そのためにはWebアプリケーションがデータベースに不正なSQLを渡さないよう,Webサイトの実装を工夫する必要がある。例えばデータベースでバインド機構を利用する,データベースに渡すSQLに適切なエスケープ処理を施すといった対策が有効だ(図1)。 こうした対策を実施するのは,技術的にはさほど難しくない。しかし,インターネット上にはSQLインジェクションのぜい弱性を残したWebサイトが今でも多数存在する。試しにSQLインジェクション攻撃を受けたWebサイトに特有の文字列をGoogleで検索してみると,改ざんされたWebサイトが多数検出できる(図2)。これは,対策の必要性や手法をすべての開発者に教育するのが非常に難
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
攻撃者は複数の中継サーバーの後に雲隠れ
「攻撃元コンピュータやマルウエア配布サイトのドメイン名やIPアドレスなどが分かれば,ブラックリストを作成して不正アクセスを拒否したり,犯人を捕まえたりできるのではないか?」と思う方もいるかもしれない。しかし,最近のSQLインジェクション攻撃では,攻撃者の足跡がつかめない仕掛けが施されている。 例えば,攻撃元となるコンピュータにはボットネットが使われるケースが増えている。攻撃は,ボットネットを構成する任意のパソコンから送り出される。つまり攻撃元コンピュータのIPアドレスは動的に変わるうえ,攻撃者が直接攻撃を仕掛けるわけではないので,足が付きにくい。 マルウエアは改ざんされたWebサイト上に仕込まれるのではなく,全く別のサーバー上にある。改ざんされたWebサイト上には,アクセスしてきたユーザーをマルウエアの配布サイトに誘導する悪意あるスクリプト・タグだけが存在するケースが一般的だ。悪意あるスク
今からはじめる、情報セキュリティ対策再構築のすすめ
情報セキュリティ対策に関連して企業は、「ウイルス」、「フィッシング」、「個人情報保護」、「 JSOX」、等々、さまざまなキーワードに動かされてきた。最近では、「スピア攻撃」、「ゼロデイアタック」といった言葉がよく聞かれる。 特別セッションで「今から始める、情報セキュリティ対策再構築のすすめ」と題して講演した綜合警備保障の三輪信雄氏は、初めに「ありがちな状態」として、そのようなキーワードを取り上げ、「毎年、新しいキーワードが出てくる状況」と前置きして、「対策の時間と労力がほとんど、個人情報の『棚卸』と『教育』に割かれている。また、ポスターを貼ったり、認証取得を目的にしたり、ノートPCの持ちだしやUSBメモリーの使用禁止など不便にする方向で、対策を講じた気になっている」と、「ありがちな状態」を指摘。 次に、情報セキュリティのコスト問題に言及。異なるベンダーの製品で構築されているためにその習熟と
SQLインジェクションの仕組み
前回はSQLインジェクションが急に増えた事情を概説した。今回は,SQLインジェクション攻撃の流れをたどってみよう(図1)。ここではユーザーが指定した商品をデータベースから探せるショッピング・サイトを想定している。 改ざんされたサイトにアクセスしてきたエンド・ユーザーは,最終的にマルウエアに感染してしまう。図中のSQLの内容を変更すれば,攻撃者はデータベースを思うがままに操作できる。なお,図中にある「xxx」という文字列は,ユーザーが入力した「デジタル一眼レフカメラ」という文字列を符号化したもの。 最初に,ユーザーがWebページ上で入力した数値や文字列(「xxx」,これはユーザーが入力した文字列「デジタル一眼レフカメラ」をWebブラウザなどのアプリケーションが符号化したもの)は,HTTPリクエストとしてWebサーバー側に送信される。Webサーバーは,リクエストから数値や文字列を取り出して,W
「通帳や印鑑と違い、パスワードは盗まれたことさえ気づかない」
「インターネット取引ほどハードルが低く、安全性を担保できないものはない。銀行窓口では通帳と印鑑、ATMならカードと暗証番号が必要だ。しかしインターネット取引に必要なのはパスワードだけ。通帳や印鑑、カードは盗まれればすぐにわかるが、パスワードは盗まれたことさえ気づかない」――。電子署名やネットワーク認証製品を開発・販売するバスコ(VASCO)データ・セキュリティ・ジャパンの相原敬雄日本ディレクターはこう語る。 VASCOは従来のパスワードに加えて、ワンタイムパスワードを利用する“2要素認証”を実現する製品を提供する。ワンタイムパスワードとは、ユーザーのIDと時間という二つの要素を基に、暗号化したパスワードを生成する仕組みだ。パスワードは時間が経つにつれ変化するため、堅牢なセキュリティを保持できる。 さらにセキュリティを強化するため、ホスト認証コードやメッセージ認証コード(MAC)などの機能も
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
第1回 CSIRTは何をする組織?
企業内にCSIRTを設置するにはどうしたらいいか──。筆者は企業・団体からこうした相談を受け,CSIRTの設置や運用に関する支援活動に奔走している。本コラムでは,その活動を通じて把握できたCSIRT構築のポイントを紹介していく。 CSIRTは企業などにおけるコンピュータ・セキュリティに関する窓口となる組織である。例えば一般企業なら,社内のセキュリティ向上,インシデント対応に向け,情報収集や社員への情報伝達,対策のコーディネーションといった役割をCSIRTが果たす。 特定のコンピュータ・ウイルスの爆発的な感染被害の発生が目立たなくなっている一方で,特定の情報資産を狙った標的型攻撃など,対応が難しい事案が増加している。しかも,一つひとつのコンピュータ・セキュリティ・インシデントのインパクトが大きい場合が少なくない。 こうした背景から,企業や業界団体などの各組織が自律的にセキュリティ・インシデン
実はぜい弱なVoIP/SIPシステム
2002年頃から本格的に広がり始めたIP電話サービスは,2008年3月末時点の統計では0AB~J番号と050番号のサービスを併せて1700万加入を越えた。IP電話の普及と並行して,使われるようになったのが呼制御プロトコルのSIP(session inititation protocol)である。企業内のIP電話でもSIPは活用されており,今やメジャーなサービス基盤になっている。 VoIPの普及によって,懸念されるのがセキュリティ・リスクである。実際,ここ数年で次のような動きが出始めている。 ・2005年2月にVoIPセキュリティに関する業界団体(VoIPSA)が設立。 ・2007年12月に情報処理推進機構(IPA)が「SIPに係る既知のぜい弱性に関する調査報告書」をまとめる。 ・2008年1月に総務省の情報通信審議会が,「ネットワークのIP化に対応した安全・信頼性基準」を答申。この中で情報
テクノロジー : 日経電子版
電通、三菱UFJ信託銀行など大手企業が相次ぎ参入を表明する「情報銀行」。ここに挑むベンチャー企業がDataSign(東京・渋谷)だ。同社の太田祐一社長は情報銀行という言葉が生まれる…続き 中部電力が「情報銀行」参入へ 電力データを活用 [有料会員限定] 「情報銀行」説明会に200社 データ流通の枠組み始動
テクノロジー : 日経電子版
電通、三菱UFJ信託銀行など大手企業が相次ぎ参入を表明する「情報銀行」。ここに挑むベンチャー企業がDataSign(東京・渋谷)だ。同社の太田祐一社長は情報銀行という言葉が生まれる…続き 中部電力が「情報銀行」参入へ 電力データを活用 [有料会員限定] 「情報銀行」説明会に200社 データ流通の枠組み始動
ウイルス対策の歴史をひもとく 第4回 資料編:一挙公開!1984年から2008年までのウイルスの数々:ITpro
これまで3回にわたってコンピュータ・ウイルスの約20年を駆け足で振り返った。 最初の「ウイルスバスター」を発売した1991年には73種であったパターン・ファイルのウイルスは,今や20万を超えている。当時,現在のコンピュータ環境を予想できた人は少なくないと思うが,現在のコンピュータ・ウイルスの脅威を予想できた人は,ほとんどいないであろう。我々の生活にコンピュータが無くてはならない時代になった今,それを悪用するコンピュータ・ウイルスによる脅威も増えている。 「歴史は繰り返す」との言葉がある通り,コンピュータ・ウイルスの世界も,以前使われた手法が数年たって再び使われたりする。しかもさらに強力さを増して。昔のウイルスを知っておくことは,決して昔を懐かしむことではないのである。 今回は資料編として,1984年から2008年までのウイルスの特徴の変遷(図1)と,主なウイルスの一覧(表1)をお届けする。
第3回 2004年~2008年:大きく金銭目的にシフト,深く静かに広がるウイルス感染
今回は,コンピュータ・ウイルスを作成する目的が,世間を騒がすことをもくろむ愉快犯的なものから,明らかに金銭目的に大きく変わった2004年以降の話をしよう。 ユーザーから金銭を詐取する手段として,最も直接的な手段は詐欺である(写真1)。インターネット・ユーザーでフィッシングという言葉を知らない人は,もはや少数派に属するだろう。ほかにも,hostsファイルを改変するファーミングやワンクリック詐欺が発展したワンクリックウエア,キーロガーを使ってオンラインバンクのIDやパスワードを詐取する事件も発生した。 ただ,ユーザーから直接金銭を奪わずとも,悪意の者が低いリスクでリターンを得る方法が現在はまん延してしまっている。ウイルスの見えない化や,日本における地域的な感染(ターゲット攻撃)や,連続攻撃(シーケンシャル攻撃)も現実のものとなった。いわゆる「Webからの脅威」が始まったのである。 ウイルスとは
「メールシステムの限界が近づいている」--シマンテックのスパム調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます シマンテックは6月3日、ネットワーク管理者と企業内のエンドユーザーを対象に実施した「企業におけるスパムメールに関する調査」について、報道関係者向けの説明会を開催した。調査はウェブによる自記式アンケートによって行われ、3月に実施されたネットワーク管理者対象のアンケートからは534件、4月に実施されたエンドユーザー対象のアンケートからは848件の有効回答が得られた。 調査の結果、企業の受信メール全体に占めるスパムの比率は、平均で32%程度となった。シマンテック リージョナルプロダクトマーケティングマネージャーの今村康弘氏は、2004年からの同様の調査結果を示し、「スパム受信比率は毎年増加している」と説明する。これまでの調査によると、スパム比
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[SophosLabs Blog] UI 着せ替え攻撃 (クリックジャック)
テクノロジー : 日経電子版
PC
http://japan.internet.com/webtech/20080609/6.html
IT news, careers, business technology, reviews