Windowsのレジストリを設定してIPルーティングを有効にする(WindowsマシンをIPルーターにする)
解説 1台のPC(Windows OSマシン)に2つ以上のネットワークインタフェースを装着して、2つのネットワークインタフェース間でパケットを転送(IPルーティングやIPフォワードと呼ぶ)するように設定すると、ルータ(IPルータ)として利用することができる。Windows OSのデフォルト設定ではこの機能は無効になっているので、1台のPCにいくつネットワークインタフェースを装着してもルータとしては機能しない。この場合は、単に同時に複数のネットワークに接続することができるだけである。 だがIPフォワードの機能を有効にすることにより、ルータとしても利用することができる。離れた場所にある複数のネットワークを接続したり、実験的に構築したネットワークを接続したりするためには、専用のルータを導入しなくても、Windows OSマシンを専用ルータ代わりに利用できる。 ●IPルーティングの有効化の方法 W
日本への義援金騙(かた)ったフィッシングサイトに注意 - @IT
2011/03/14 フィッシング対策協議会は3月14日、日本への義援金を騙(かた)るフィッシングサイトが発見されたとして注意を呼びかけた。 3月11日に発生した「東北地方太平洋沖地震」の復興支援を願った募金活動が各所で始まっているが、この善意を悪用し、個人情報を盗み取ろうとするフィッシングサイトが確認されたという。同協議会ではJPCERT/CCを通じてフィッシングサイト閉鎖のための調査を依頼中だ。 同協議会では、義援金・寄付金は信頼できる企業/サイトを選んで行うよう注意を喚起するともに、もし類似のフィッシングサイトを発見した場合、フィッシング対策協議会 (info@antiphishing.jp)に連絡するよう呼びかけている。 なおこれとは別に総務省は、東北地方太平洋沖地震に関連するチェーンメールが出回っていることに注意を呼びかけている。チェーンメールや電子掲示板、ミニブログ(Twitt
金融庁、内部統制“簡素化”の意見書案を公表 - IFRS 国際会計基準フォーラム
金融庁の企業会計審議会 内部統制部会は2月14日、改訂を進めている財務報告に係る内部統制報告制度についての意見書(案)を取りまとめた。2010年末に公表した公開草案に寄せられた意見を受けて作成した意見書で、同日、内部統制部会で承認された。近く開かれる企業会計審議会で承認される見通しだ(改訂内容についての記事)。 意見書(案)は公開草案に寄せられた意見を参考に、これまでの審議の経緯を記述。改訂の狙いやポイントなども説明している。適用開始時期は従来と同じで、2011年4月1日以降に開始する事業年度。金融庁は意見書を受けて、関係する内閣府令の改訂案や「Q&A集」への追加、中堅・中小企業向けの内部統制「事例集」を作成する。 2010年末に公表した公開草案については関連会社の内部統制整備についていくつかのコメントが寄せられた。金融庁は同日、修正を反映させた内部統制の基準、実施基準の改訂案も公表した。
JPCERT/CCがUNIX/Linuxサーバへの侵入に注意喚起 - @IT
2011/02/08 JPCERTコーディネーションセンター(JPCERT/CC)は2月8日、UNIX/Linux系サーバを踏み台とし、SIPサーバやSIP対応機器などを対象にする攻撃が報告されたことを受け、注意喚起を行った。 JPCERT/CCによると、攻撃者がまずターゲットにするのは、インターネットに公開され、脆弱性のあるUNIX/Linuxサーバ。こうしたサーバへの侵入に成功すると、攻撃用プログラムを設置して踏み台化する。そして、第三者が運用しているSIPサーバやSIP機器を対象に、主にSIPプロトコルが使用しているUDP 5060番ポートを対象としたスキャンや辞書攻撃を行い、SIPサーバに関する情報を収集。最終的にSIPアカウント情報などを入手して、国際電話などの不正な発信に悪用している可能性があるという。 JPCERT/CCが運用しているインターネット定点観測システム「ISDAS
年明けのUSBメモリ接続はシフトキー押下で、JPCERT/CC - @IT
Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24) Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11) 2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 Recruit-CSIRTがマルウェアの「培養」用に内製した動的解
新 情報処理技術者試験、全試験科目をまとめて解説
新 情報処理技術者試験、全試験科目をまとめて解説:新・情報処理技術者試験はこう変わる(2)(1/4 ページ) 1969年に開始して以来、40年ぶりの大改訂を迎える情報処理技術者試験。本連載では2回にわたり、制度改定の背景、情報処理技術者試験の目指す方向、新試験制度の出題分野などについて解説する 秋試験の合格発表が終わり、来春の新試験制度実施に向けいよいよ慌ただしくなってきました。IPA(情報処理推進機構)のWebサイトに新しい基本情報技術者試験や応用情報技術者試験のシラバス、ITパスポート試験の紹介ページが公開されるなど、新試験関連の情報公開が急ピッチで進んでいます。 秋試験直後の10月21日には「共通キャリア・スキルフレームワーク第一版」が公表されました。人材類型やレベル設定などは、これまで公表されてきた案と大きな違いは見られないようですが、情報処理技術者試験の出題内容にもかかわる知識体
USBマルウェアを生んだのはボット感染PC - @IT
2008/12/18 ラックは12月18日、2008年の情報セキュリティ動向を振り返る説明会を開催した。同社サイバーリスク総合研究所 先端技術開発部の新井悠氏は、2008年の脅威の特徴として「USBマルウェア」「偽ウイルス対策ソフトの押し売り行為」「民間企業を狙った標的型攻撃」の3つを挙げ、手の込んだそれぞれの手口について解説した。 まず2008年のインターネットの脅威を振り返ると、Webや電子メールを介したウイルス/ワームに比べ、USBメモリなどのリムーバブルメディアを介して感染を広める「USBマルウェア」の増加が著しく目立ったという。トレンドマイクロの調べによると、1月にはほとんど報告がなかったが7~8月になって急増し、以降、時期によって増減はあるものの確実に増加している。 とはいえ、ネットワークを介して大量に電子メールをばらまくワームなどと比べて、USBメモリという媒介だけでこれだけ
オンライン詐欺への「不安慣れ」? シマンテックが実態調査 - @IT
2008/12/17 ウイルスやフィッシング詐欺といったオンライン詐欺に対する不安感は若干低くなっているが、防御できるという自信も大きく低下している。にもかかわらず、対策を取るなど、インターネットの利用の仕方を変えるユーザーは減少傾向――シマンテックが12月17日に公表した「オンライン詐欺に関する実態調査」の結果からは、インターネット利用者のこのようなやや複雑なマインドが明らかになった。 この調査は、インターネットを介した個人情報の流出やフィッシング詐欺、マルウェアなど不正なコンテンツに対する認識・接触状況を明らかにすることを目的としたもの。2004年4月の第1回から数えて今回で5回目となる。調査はヤフーバリューインサイトが実施し、日本国内の個人ユーザー1000人を対象に、10月に行われた。 「インターネットを利用していて、被害に遭うのを最も恐れるものは?」という設問に対しては、ウイルスが
並列プログラミング規格「OpenCL 1.0」が標準として批准 - @IT
2008/12/10 OpenGLなどのオープン業界標準を策定する業界団体、Khronosグループは12月9日、シンガポールで開催中のイベントSIGGRAPHにおいてクロスプラットフォーム対応の並列プログラミング標準規格「OpenCL 1.0」(Open Computing Language)を批准したと発表した。ロイヤルティフリーで利用できる。 OpenCLはプロセッサのマルチコア化や、計算目的でのGPU利用、いわゆるGPGPUの興隆などの背景から標準的な並列プログラミングAPIへのニーズの高まりに応えるもの。CPU、GPU、Cell、DSPなど異なるアーキテクチャのプロセッサ上、もしくはこれらを組み合わせたハードウェアで使え、データ並列、タスク並列の計算モデルをサポートするという。OpenCLはOpenGLと組み合わせて利用することも想定している。 開発にはC言語ベースのプログラムを使
ブラウザでx86バイナリ実行、グーグルが新技術 - @IT
2008/12/09 米グーグルは12月8日、x86アーキテクチャ向けにコンパイルしたコードをWebブラウザで実行する研究開発プロジェクト「Native Client」(略称、NaCl)を発表した。Linux、Windows XP、Mac OS X上など異なるOSで実行できるという。現在対応するWebブラウザはFirefox、Safari、Opera、Chrome。 プロジェクトチームは同日、実行環境やコンパイラツール群をBSDライセンスでオープンソースとして公開した。NaClは開発初期段階で、セキュリティの専門家などからフィードバックを受けて開発を続けるとしている。また開発チームではx86以外にもPowerPCやARMなどほかのアーキテクチャのサポートに向けて開発を続けているという。 実行環境はWebブラウザ向けのプラグインとしてサンドボックスの形で提供する。実行前に静的解析を行い危険な
不況にもかかわらずネットの闇市場は拡大、シマンテック調査 - @IT
2008/12/03 「闇市場はよりダイナミックに変化すると同時に成熟しており、専門家が増えている。状況は深刻だ」――12月3日に開催した説明会において、米シマンテック セキュリティレスポンス バイスプレジデントのヴィンセント・ウィーファー氏はこのように述べ、サイバー犯罪によって詐取された情報が大規模に取引されている実態について改めて警告した。 サイバー犯罪者の多くは、マルウェアやボット、フィッシングサイトなどさまざまな手段を用いてクレジットカード番号やID情報、メールアドレスといった個人情報を盗み出し、収集している。そうして集められた情報は、アンダーグラウンドのWebフォーラムやIRCなどで広告を通じて売りに出され、換金されていると見られている。また、サイバー犯罪に必要なツール類も同じように闇サイトを通じて売買されている。 米シマンテックは米国時間の11月24日に、このようなサイバー犯罪
Apacheセキュリティチェック、PCI DSSの場合 - @IT
第4回 Apacheセキュリティチェック、PCI DSSの場合 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/12/1 PCI DSSはペイメントカード業界だけではなく、セキュリティのチェックリストにも使える、というのがこの連載の趣旨でした。では、具体的にどのようにチェックを行っているのでしょうか。今回は身近な「Apache」を題材に、セキュリティ評価ベンダがなにをチェックしているのかを解説します(編集部) セキュリティ評価ベンダ(QSA)によるPCI DSSの訪問審査では、文書調査やインタビューのほかに、実際のOSやアプリケーションの設定を、画面上で目視確認することで、PCI DSSの要件に対応しているかどうかを調査します。今回は、QSAとして訪問審査を実施する際に確認するシステム上のポイントを、「QSAの視点」と称して、実際の
情報処理技術者試験、新制度の全貌が明らかに
情報処理技術者試験、新制度の全貌が明らかに:新・情報処理技術者試験はこう変わる(1)(1/2 ページ) 1969年に開始して以来、40年ぶりの大改訂を迎える情報処理技術者試験。本連載では2回にわたり、制度改定の背景、情報処理技術者試験の目指す方向、新試験制度の出題分野などについて解説する 情報処理技術者試験は、2009年春期から制度改定が行われ、新試験制度へと移行することがすでに発表されています。2008年秋期の情報処理技術者試験が終わったばかりですが、今回は、試験改定の経緯や狙いなど新試験制度の背景を見ることにします。 試験制度改定の狙い 情報処理推進機構(以下、IPA)が発表した「情報処理技術者試験制度見直しの考え方」では、試験制度改定の狙いについて、次の7点を掲げています。 改定のポイントは、共通キャリア・スキルフレームワーク (1)共通キャリア・スキルフレームワークに準拠した試験制
「WPA突破」よりも重要なセキュリティ問題とは? − @IT
2008/11/11 11月12日、13日にわたってセキュリティをテーマとしたカンファレンス「PacSec.jp」が都内にて開催される。その主催者であるドラゴス・リジュ氏は、@ITの取材に対し「WPAの暗号鍵が破られたことを取り上げるプレゼンテーションに対する関心が高まっているが、自分としてはむしろ、マーク・ダウド氏が行うセッション『Browser Memory Protection Bypasses: Virtual Machines』のほうが重要性が高いと考えている」と述べた。 このセッションは、Webブラウザのセキュリティ保護機能を迂回してしまう攻撃方法について取り上げる予定だ。「伝統的なバッファオーバーフローの代わりに、FlashやJavaScriptといったリッチでパワフルなコンテンツを用いて、バイトコードを直接、ブラウザのコンテキストで実施してしまうという方法で、非常に驚くべき
グーグルもOpenIDプロバイダに − @IT
2008/10/30 米グーグルは10月29日、グーグルのユーザーアカウントをOpenIDとして利用できるAPIの限定公開を開始した。これまでグーグルはアカウント連携として独自の認証APIを用意していたが、各社Webサービスでの採用で広がりをみせる業界標準のOpenIDにも対応した格好だ。試験サービスの利用にはユーザー登録が必要。 「OpenID 2.0 Directed Identity」プロトコルによる認証と、「OpenID Attribute Exchange 1.0」プロトコルによるメールアドレス情報の交換のサービスを提供する。利用サイトは、これらのプロトコルに準拠したログインボックスを用意することで、グーグル上のユーザーアカウントでログイン認証をすることができる。 OpenIDと合わせて、Google Data APIやOpenSocialのREST API、Portable C
OpenIDの普及目指す業界団体、いよいよ国内でも活動開始 ― @IT
2008/10/30 1つのIDで複数のWebサイト/サービスを利用できることを目指したユーザー認証技術「OpenID」の日本国内における普及、啓蒙を目的とした業界団体「OpenIDファウンデーション・ジャパン」が10月1日に設立された。同ファウンデーションは10月30日に会見を開き、今後の取り組みを説明した。 OpenIDは分散型のアイデンティティ(ID)管理フレームワークだ。1つのIDを取得すれば、オンラインショップやオンラインバンキング、ソーシャルネットワークなど、対応する複数のWebサイトやサービスにシームレスにログインできるため、ユーザーがIDとパスワードを使い分ける必要はない。さらに、名前や住所、メールアドレスといったユーザーの属性情報をやり取りするための拡張仕様も定義されつつある。 「これまでIDは基本的にベンダが発行するものだった。ベンダ単位に切られており、ユーザーから見る
クッキーに隠されたSQLインジェクション、対策は?
Cookieの値にSQLインジェクションが含まれていますが、注目すべきポイントはCookieに含まれているその形式です。URLの“/index.asp”の後に続くべきパラメータがそのままCookieに含まれています。ASPのRequestオブジェクト(ASP.NETの場合、HttpRequest.Params)を使っている場合、クエリ文字列やフォーム以外からでもデータを読み込めます。もしRequestオブジェクトから読み込んだデータの取り扱いにSQLインジェクションの脆弱(ぜいじゃく)性がある場合、データベースを操作されてしまいます。 IIS/ASPの機能を悪用 今回の攻撃手法のもう1つの特徴は攻撃のリクエストに“%”を含ませることでセキュリティ機器の検知機能の回避を狙っていることです。%文字を含んだSQLインジェクションは以下のようなリクエストになっています。 色を付けた「DE%CLAR
日本初の“P2P融資”がスタート、その狙いとは - @IT
2008/10/15 お金を借りたい人と貸したい人をネット上でオークションサイトのように結びつけるソーシャルレンディングサービス「maneo」(マネオ)が10月15日にスタートした。借りたい人が借り入れ目的や希望金額、設定金利、返済スケジュールなどをオークション形式で出し、それに貸したい人がオリジナルの金利を引き下げつつ入札するという形で応じることで貸借を成立させる。 2005年にイギリスでベンチャー企業の「Zopa」が立ち上がったのを皮切りに、“P2P融資”または“ソーシャル融資”ともいうべき同様のビジネスモデルでサービスを提供する企業は、準備中のものも含めてワールドワイドで現在30サイト強ある。米国では2006年初頭に「Prosper」が立ち上がり同様のサービスを開始。すでに取引のボリュームは1億8000万ドルに及ぶという。 日本国内に関しては、イギリスのZopaが米国とイタリアに続い
迷惑メールの比率、さらに増加し85%に到達 ― @IT
2008/10/07 「世の中のメールサーバは、ほとんどがいらないメールを受信するために稼働している」(インターネットイニシアティブ メッセージングサービス部の櫻庭秀次氏)――10月7日、インターネットイニシアティブ(IIJ)が公表した「Internet Infrastructure Review」からは、このような衝撃的な状況が明らかになった。 Internet Infrastructure Reviewは、IIJが観測した各種攻撃の傾向やインターネットバックボーンの運用を通して蓄積した技術的知見などをまとめたレポートだ。四半期ごとのペースで発行する予定で、無償で入手できる。第1号では、最大で2Gbpsを超える通信量を記録したDDoS攻撃のほか、ハニーポットに対する通信の推移やSQLインジェクション攻撃、P2Pネットワークに起因する不要な通信といったトピックが取り上げられている。 同社の
あの手この手で守るべきカード情報、その中身とは? ― @IT
第2回 あの手この手で守るべきカード情報、その中身とは? 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/10/7 PCI DSSではクレジットカード、デビットカードなど「ペイメントカード」の情報保護指針を定めています。日本でも身近になったクレジットカードですが、どのような情報が含まれるのでしょうか。クレジットカード情報の保護から、基本的なセキュリティの考え方を再度確認してみましょう(編集部) 第1回「エンジニアも納得できる“PCI DSS”とは」では、PCI DSSの概略を解説しました。第2回ではPCI DSSで守るべき「カード情報」について、そもそもカード情報と呼ぶものに何が含まれるのか、そしてどのようにカード情報を守るべきかを解説します。 「カード会員情報」って16けたの番号だけじゃないの? 一言でカード会員情報といっても、そ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
