さよなら、ハッカージャパン
IEやOfficeゼロデイはありましたが、比較的平穏だった11月。しかし、数少ない専門誌「ハッカージャパン」が休刊……。実に残念です。 2013年11月はInternet ExplorerやOfficeのゼロデイ脆弱性が報告されたくらいで、10月に引き続きそれほど大きなセキュリティインシデントは発生しませんでした。「Anonymous」が日本を攻撃するとの予告もありましたが、これも特に何も起きませんでした。 しかし別の方向からセキュリティクラスターを騒がせる出来事が起こりました。クラスター御用達の雑誌ともいえる「ハッカージャパン」誌の休刊です。 終わるものがあれば始まるものもあります。11月11~25日まで開催されたサイボウズの脆弱性コンテストをきっかけに、国内企業でも脆弱性報告窓口の設置や報奨金制度が始められて、盛り上がりつつあります。サーバー側のプログラムからJavaScriptを書き
PacSec 2013 レポート 1日目~任意のコードをBIOSに
PacSec 2013 レポート 1日目~任意のコードをBIOSに:セキュリティ業界、1440度(1) こんにちは。このコラムではFFRIのメンバーが気になった、セキュリティ業界の話題を紹介していきます。 ハッキングコンテスト「Mobile Pwn2Own」も同時開催 毎年開かれているセキュリティカンファレンス「PacSec 2013」が、2013年11月13~14日の2日間にわたって東京で開催されました。そこでの発表内容と、ハッキングコンテスト「Mobile Pwn2Own」の様子を、2回に分けてお伝えしましょう。 まずはMobile Pwo2Ownについて、簡単に紹介したいと思います。すでにいろいろなところで報告されているので、ご存じの方もいるかもしれませんね。 毎年カナダでは、「CanSecWest」というセキュリティカンファレンスが開催されています。PacSecの姉妹イベントに当た
重要! まずは「オリジン」を理解しよう
連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回から、HTML5やJavaScriptに関連したセキュリティの話題について連載することになりました。よろしくお願いします。 もう読みましたか? HTML5のWebアプリセキュリティに関する報告書 皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター(以下、JPCERT/CC)から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。 この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして
GitHubにブルートフォース攻撃、一部のパスワードが破られる
GitHubにブルートフォース攻撃、一部のパスワードが破られる:強固なパスワード設定や二要素認証を推奨 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 ブルートフォースとは、辞書などを用いて総当たり式にパスワードを試し、不正ログインを試みる攻撃のことだ。GitHubによると、今回の攻撃は4万近くの異なるIPアドレスから時間を掛けて行われた。この結果、脆弱なパスワードや、複数のサイトで使い回されているパスワードなどが破られたという。 GitHubでは、不正ログインの被害に遭ったユーザーにはメールで通知を行うとともに、パスワードのリセット、アクセストークン、OAuth認証、SSH鍵の失効措置を取
日本発世界へ、セキュリティカンファレンス「CODE BLUE」始動へ
日本発世界へ、セキュリティカンファレンス「CODE BLUE」始動へ:セキュリティ専門家の情報交流の場を CODE BLUE事務局は2013年11月5日、情報セキュリティに特化した日本発の国際会議「CODE BLUE」を、2014年2月17日、18日の2日間に渡って東京・お茶の水ソラシティで開催する。 CODE BLUE事務局は2013年11月5日、情報セキュリティに特化した日本発の国際会議「CODE BLUE」を、2014年2月17日、18日の2日間に渡って東京・お茶の水ソラシティで開催することを発表した。「自分が所属する会社の名前を出して真剣に発表し、セキュリティについて語り合う場」(CODE BLUE事務局 篠田佳奈氏)を作り、日本のセキュリティ研究成果を世界に向けて発信していくという。 CODE BLUEは、セキュリティ技術者や専門家の交流と情報交換、教育の場を提供する国際会議だ。
HTML5時代のWeb開発者が知らないとガチヤバな3つの未来予測と6つの脆弱性対策
8月21~23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。 竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る 未来予測その1:通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術 竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術(?)について写真を出すところから講演を始めた。 実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
第5回 なくしたAndroidスマホのデータをリモートから消去する
第5回 なくしたAndroidスマホのデータをリモートから消去する:Windowsネットワーク管理者のためのAndroid活用入門(1/2 ページ) 漏らしてはならない重要な情報がどんどん詰め込まれるAndroid端末。もし紛失したら一大事! 無償ツールでリモートからデータを消去して情報漏えいを阻止しよう。 連載目次 Androidスマートフォン/タブレットには、連絡先(アドレス帳)やメール、さらにはオンライン・サービスのID/パスワードなどといったプライバシー情報がこれでもかといわんばかりに格納されている。あまり考えたくないことだが、もしこれを紛失したらどうなるか? 何より心配なのはプライバシー情報の漏えいだろう。悪意のある何者かが端末を拾ってしまい、その情報を漏えい・流出させたりしたら被害は甚大だ。もちろん、紛失した端末を別途買い直さなければならない、そのコストも無視できない。 最近で
僕らのセキュリティ5日間戦争
8月13日~17日、4泊5日で情報セキュリティを学ぶ「セキュリティ・キャンプ中央大会2013」が千葉の幕張で開催された。その模様をお伝えする。 仲間と共に腕を磨く熱い5日間 今年もセキュリティ男子・女子の熱い夏がやってきた。 8月13日~17日、情報セキュリティを学ぶ4泊5日の「セキュリティ・キャンプ中央大会2013」が千葉の幕張で開催された。今年で10回目を迎える同キャンプは、22歳以下の学生を対象に情報技術の習得を目指す合宿形式の講習会だ。経済産業省の共催、文部科学省の後援を受け、独立行政法人 情報処理推進機構(IPA)とIT関係の企業・団体で構成されるセキュリティ・キャンプ実施協議会が運営する。 今年は全国から250名の応募があった。応募用紙には技術の知識や基礎力を問う設問がいくつかあり、回答を含む厳正な選考の結果、男性37名、女性5名が選ばれた。「昨年まではとりあえず応募してみよう
Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測
Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測:場合によってはリクエストの制限などの回避策を推奨 Apache Software Foundationは米国時間の2013年7月16日、深刻な脆弱性を修正するアップデート「Struts 2.3.15.1」を公開した。 Apache Software Foundationは米国時間の2013年7月16日、Webアプリケーションフレームワーク「Struts 2」の新バージョン「Struts 2.3.15.1」を公開した。深刻な脆弱性を修正するもので、同Foundationは早急なアップデートを推奨している。 Struts 2は、JavaによるWebアプリケーション開発に広く使われているフレームワークで、国内でも多くのサービスが採用している。 今回修正された脆弱性(S2-016)は、Struts 2.0.0から2.3.15までに存
直撃取材! 「たて」の裏側
6月9日に放映されたフジテレビのバラエティ番組「ほこ×たて」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティープログラム」は、視聴者を激しい混乱の渦に巻き込んだ。 その後、“たて”側のネットエージェントは公式ブログで、“ファイル名変更”が実際は“TrueCryptによるディスク暗号化”であることや、対決で用意されたPCはサービスパックも当たっていない脆弱性だらけのWindows OSだったことなど、番組でカットされ誤解を招いた部分について説明。本当はかなりのガチ対決だったことが明かされた。 では、“実際の”攻防戦はどのようなものだったのか。自身も凄腕のハッカーで、昨年度開催された「CTFチャレンジジャパン」の優勝者でもある、luminことネットエージェントの杉浦隆幸氏に直撃した。 編集部 今回の番組出演の経緯は? 杉浦氏 今回の内容は番組制作会社が企画したも
Cassandra、Redis、memcachedに潜む脆弱性
Cassandra、Redis、memcachedに潜む脆弱性:NoSQLを使うなら知っておきたいセキュリティの話(3)(1/2 ページ) MongoDB以外のNoSQLに潜む脆弱性 前々回、前回の2回に分けて、NoSQLのうち「MongoDB」を用いたWebアプリケーションの脆弱性と対策について紹介してきました。 ここからは、MongoDB以外のNoSQLを使うアプリケーションのセキュリティについて簡単に説明します。取り上げるのは、Cassandra、Redis、memcachedの3つのNoSQLデータベースです。まずはCassandraについて見ていきます。 Cassandraを使うアプリケーションのセキュリティ Cassandraは列指向型に分類されるNoSQLデータベースで、大容量のデータを高速に処理することに主眼を置いた製品です。元々はFacebookで開発されたデータベースで
「演算子のインジェクション」と「SSJI」
「演算子のインジェクション」と「SSJI」:NoSQLを使うなら知っておきたいセキュリティの話(1)(1/2 ページ) ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。 注目集める「NoSQL」 ここ数年、NoSQLと呼ばれる種類のデータベースが注目を集めています。NoSQLはSQL言語を使用しないデータベースの総称で、大量データ処理時の高速性やデータ構造の柔軟性などのメリットがあるため、従来のリレーショナルデータベース(RDB)を補完・代替するものとして、大規模なWebアプリケーションなどにおいてNoSQLを採用する事例が増えています。 このような新しい技術が普及し
FTPが格好の侵入経路に? パロアルトがレポート公表
パロアルトネットワークスは4月25日、同社顧客のネットワークトラフィック分析を基に、企業内のアプリケーション使用状況や脅威の動向についてまとめた2つのレポートを公表した。 パロアルトネットワークスは4月25日、同社顧客のネットワークトラフィック分析を基に、企業内のアプリケーション使用状況や脅威の動向についてまとめた「アプリケーションの使用および脅威分析レポート」と、クラウド上で動作するサンドボックス技術「WildFire」を活用してマルウェアを分析した結果をまとめた「モダンマルウェアレビュー」という2種類のレポートを公開した。これらによると意外なことに、「プレーンなFTP」がマルウェア侵入の糸口になる可能性が高いという。 パロアルトネットワークスは、トラフィックをアプリケーション/ユーザー単位で識別してきめ細かく制御を行う「PAシリーズ」を提供している。IPアドレスやポート単位で制御を行う
PostgreSQLのセキュリティアップデートが緊急リリース
OSSのRDBMSであるPostgreSQLで、予告されていたセキュリティアップデートがリリースされた。ユーザーは速やかなアップデートを。 2013年4月4日、PostgreSQLで「深刻な脆弱性」に対応するためのマイナーアップデートがリリースされた。 今回発見された脆弱性は、DBの正規アカウントを持たないユーザーがpsqlなどでDB接続しようとするだけでDBを破壊できるというもの。「-」で始まるユーザー名で接続すると、データベースサーバのデータディレクトリ構造などに影響を与える可能性がある。一般ユーザー権限で実行できることから、ユーザーには速やかなアップデートを呼び掛けている。 もし即時のアップデートが困難な場合は、一時的にオープンなネットワークからPostgreSQLへの接続を制限するといった回避策も検討する必要があるだろう。 アップデートの対象は以下のバージョン。7.4系、8.0~3
新年早々脆弱性と謎解きメールに右往左往
2013年の年明けは、脆弱性ではなく、自称「遠隔操作ウイルス事件の犯人」からの手紙で慌ただしく幕を開けました。 Internet Explorer(IE)の脆弱性が解決されないまま年の瀬を迎えましたが、セキュリティクラスタの2013年の年明けは、脆弱性ではなく、遠隔操作ウイルス事件の犯人からの手紙で慌ただしく幕を開けました。犯人によってメモリカードを取り付けられた、猫のゆたかくんのことが忘れられそうになったころに、Java 7の脆弱性が公開されてまたまた大騒ぎ。そしてやはり、今年になっても怪しいAndroidアプリが注目を集め続けそうな予感がする、そんな2013年最初の1カ月でした。 Java 7の脆弱性で新年早々大慌て 1月10日ごろからJava 7の脆弱性が公になり、攻撃実証コード(Exploit)も公開されているということで大騒ぎになりました。しばらくゼロデイ攻撃におびえる日々が続き
UDIDにおけるセキュリティ&プライバシー問題
これまでの連載では「OAuth」と「OpenID Connect」について紹介してきましたが、今回は少し趣向を変えて、UDIDについてお話しします。 これまでの連載では、「OAuth」と「OpenID Connect」について紹介してきました。今回は少し趣向を変えて、UDIDについてお話ししようと思います。 UDID(Unique Device Identifier)とは、その名の通りデバイスに固有に割り振られた識別子のことで、具体的にはiPhone/iPadのデバイス識別子のことを指します。このUDIDは本来、米アップルが出荷したデバイスを識別するために割り振ったものです。 しかし、ガラケー時代に広まった、契約者固有番号や端末識別子を用いて認証する「かんたんログイン」方式を、UDIDを用いてそのままiOSアプリにも適用する事業者が増え、多くの問題を発生させてきました。今回は、こうしたUD
フィッシング対策 of Life
フィッシングサイトの開設で全国初の検挙 2012年5月1日に、一部改正された「不正アクセス行為の禁止等に関する法律(略称:不正アクセス禁止法)」が施行された。この改正では、いわゆるフィッシングサイトの開設・誘導を処罰の対象とした「識別符号の入力を不正に要求する行為の禁止等」が追加された。 識別符号の入力を不正に要求する行為の禁止等 アクセス管理者になりすまし、その他アクセス管理者であると誤認させて、次に掲げる行為をすることを禁止するとともに、その違反者を処罰することとする。 ア アクセス管理者が利用権者に対し識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信(公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。)を利用して公衆が閲覧することができる状態に置く行為 イ
タダほど高いものはない? ツールバーの履歴収集
タダほど高いものはない? ツールバーの履歴収集:セキュリティクラスタ まとめのまとめ 2012年8月版 8月は、Webブラウザにアドインして利用する「検索ツールバー」の問題が大きくクローズアップされました。ほかにも、話題の市長がうっかり名簿をさらしたり、SQLインジェクションで世界中のサイトが被害に遭ったりと、暑い中でも休みなく事件は起こりました。 8月は、Webブラウザにアドインして利用する「検索ツールバー」の問題が大きくクローズアップされました。以前から多数のツールバーが提供されてきましたが、最近話題の「Tポイント」がツールバーを公開したことを機に、その「怪動作」を調べた人が多かったようです。 また、「セキュリティキャンプ」が開催され全国から未来のハッカーが千葉に集結し、ブートキャンプに挑んだり、話題の市長がうっかり名簿をさらしたり、SQLインジェクションで世界中のサイトが被害に遭った
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTPSはもはや安全ではない? 刺激的な討論もなされたヨーロッパのセキュリティ祭り
