DigiNotarの不正証明書問題、その影響は - @IT
2011/09/08 オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。 この被害は8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オラ
シェルコード解析に必携の「5つ道具」
リバースエンジニアリングのスタンダード「IDA Pro」 リバースエンジニアリングには、逆アセンブラである「IDA Pro」がよく用いられます。IDA Proは逆アセンブラのデファクトスタンダートといっても過言ではありません。正規版はHex-Rays社から販売されていますが、非商用の利用に限っては、旧バージョン(Ver.5.0)を無償版として利用することができます。 最新版(Ver.6.1)と比べ、無償版では対応しているファイルフォーマットやCPUアーキテクチャが少なかったり、組み込まれているプラグインやデバッガの数が少なかったりと、いくつか機能的に劣っている部分があります。とはいえ、シェルコード解析やマルウェア解析をこれから始めてみよう、という方であれば問題ないかと思います。解析をバリバリ行えるようになり、無償版では物足りないと思ったときに最新版の購入を検討するとよいでしょう。 IDA
Internet Explorer 8のInPrivateフィルタをデフォルトで有効にする - @IT
IE 8には、Webサイト間をまたがってサイトへアクセスしたという情報などをブロックするInPrivateフィルタ機能が実装されている(IE 9では同様の機能が[追跡防止]という名前で提供されている。ただし機能や設定方法などが異なる)。 多くのWebページは、広告を表示したり、Web分析ツールを実行したりするために、訪問しているWebサイト以外のサイト(サードパーティWebサイト)にアクセスする。このように実際には、ユーザーが意図しないWebサイトへのアクセスが多く発生しており、場合によってはユーザーの情報の一部がサードパーティWebサイトで収集される可能性がある。例えば、WebサイトAとWebサイトBの広告スペースに同じ種類のスクリプトやWebビーコンなどが組み込まれ、別のWebサイトC(広告の実体などが置かれているサイト)を指しているような場合だ。このように同一のコンテンツが多数のWe
ケータイWebの今後を安全に保つには
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 前回では、URLにセッションIDを埋め込むことの問題点を指摘した上で、今後はできるだけケータイでもCookieを使うことを提案しました。それを受けて今回は、前半で、ケータイWebでCookieを使う際の注意点について説明します。 そして後半では、連載の終わりに当たり、スマートフォンが普及しつつある状況下でのケータイWebの今後について説明します。 ケータイWebにおけるCookieは「取り扱い注意」 これまで説明したように、KDDIとソフトバンクのケータイでは従来からCookieが利用でき、NTTドコモの端末でも2009年夏モ
Androidを取り巻く脅威――ユーザーにできることは?
セキュリティ上の問題と向き合いながら使うために 最近、新聞やニュースサイトでAndroidに関連したセキュリティ上の問題が取り上げられることが増えました。Androidでセキュリティ上の問題が多く報告されていることは事実です。しかし、気を付けるべきポイントを理解していれば、他のOSと同様、セキュリティ上の問題と向き合いながらうまく利用できるはずです。 本記事では、本記事執筆時点におけるAndroidを取り巻く現実的な脅威を概観したうえで、Android端末をプライベートで使用するユーザーが気を付けるべきことを紹介します。特に、Android端末を使い始めたばかりのユーザーに読んでいただければと思います。 なお、Android端末を「ビジネス用途」で使用したい場合には事情が変わります。Android端末をビジネス用途で使用する場合には、「私物のAndroid端末の取り扱い」や「Android
2011年7月版 定期的に話題になる「パスワードの定期変更」 - @IT
山本洋介山 bogus.jp 2011/8/8 7月は大きなセキュリティインシデントもなく、この数カ月の間暴れ回っていたAnonymousやLulzSecも鳴りを潜めてしまったようです。 一方国内では、セキュリティ&プログラミングキャンプ(セプキャン)への参加を希望する若者たちがタイムラインをにぎわせ、台湾のセキュリティカンファレンスでは日本人が活躍を見せました。そして、パスワードや法律の問題では、いつものように盛り上がりを見せています。その一部をご紹介しましょう。 親御さん、ご安心を。怪しいキャンプじゃありません! 毎年夏休みに、セキュリティやプログラミングに興味のある前途有望な学生を全国から集め、合宿形式で勉強しつつ、成果物を発表する「セキュリティ&プログラミングキャンプ」(セプキャン)が開催されています。この真夏のイベントが今年も開催されることになり、6月末に参加者の募集が始まり、7
IPA、ネットバンクでの不正アクセス被害に注意喚起 - @IT
2011/08/04 情報処理推進機構(IPA)セキュリティセンターは8月3日、国内のインターネットバンキングで不正アクセスが相次いでいることを踏まえ、パスワードの強化・管理をはじめとする対策を講じるよう注意喚起を行った。 IPAによると、6月下旬以降、日本国内のインターネットバンキングで不正アクセスの被害が増加している。主な手口は、不審なメールを通じてフィッシングサイトに誘導されたり、PCにスパイウェアを仕掛けられたりして、パスワードなどの情報を窃取されるというもの。これを用いてなりすましが行われ、振り込み被害など実害が生じているという。 IPAでは改めて、「セキュリティパッチを定期的に適用する」「極力新しいバージョンのソフトウェアを使用する」「不審なサイトや心あたりのないメールは開封しない」といった基本的なセキュリティ対策を心掛けるとともに、「パスワードをいかに保護していくかが重要」と
クラウド時代のITインフラに必要なソリューションとは?
クラウド時代のITインフラに必要なソリューションとは?:レポート ITパフォーマンスイベント(1/3 ページ) 6月29日、東京・秋葉原の富士ソフト アキバホールにて、@IT編集部および@IT情報マネジメント編集部主催の「パフォーマンス最適化セミナー 仮想化・クラウド時代のビジネススピードを加速する」が開催された。当日はアマゾン データ サービス ジャパンの小島英揮氏による基調講演や、NTTデータの馬場達也氏による特別講演のほか、日本ベリサイン、ジュニパーネットワークス、NTTコミュニケーションズ、日本コンピュウェアによるセッションが行われた。 “経営のスピード化”が叫ばれるようになって以来、ITの側からもこれを支援する大きな流れがグローバルレベルで形成されてきた。その代表とも言えるのが仮想化の普及であり、その発展形であるクラウドコンピューティングであろう。特にクラウドコンピューティングは
Twitter、Facebookへのうっかり投稿で94%の企業が情報漏えいを経験 - @IT
2011/08/03 シマンテックは8月2日、企業がTwitterやFacebookなどのソーシャルメディアを利用する際にどのような自衛策を取っているか、その実態をまとめた「2011年 ソーシャルメディアからの保護に関する調査(2011 Social Media Protection Flash Poll)」を発表した。 調査対象は、北米、EMEA(ヨーロッパ、中東、アフリカ)、アジア太平洋(日本含む)、中南米の33カ国で企業の経営陣とIT管理者を務める1225人。企業規模は小規模(従業員数1000~2400人)、中規模(同2500~4999人)、大規模(同5000人以上)に分類している。 同調査によると、82%の企業がソーシャルメディアの利用に伴い順業員の発信内容のアーカイブ(収集、保管、検索)やセキュリティポリシーの策定、教育プログラムの確立を検討していることが分かった。実際に導入フェ
今、見直すべきAndroidのセキュリティ
今、見直すべきAndroidのセキュリティ:Androidセキュリティの今、これから(1)(1/2 ページ) 爆発的な勢いで普及し始めたAndroid端末は、大きなポテンシャルを秘める一方で、セキュリティという課題にも直面しています。この連載ではAndroidアプリ開発者や一般ユーザー、ビジネスユーザーと、あらゆるユーザーを対象に、Androidのセキュリティについて解説していきます。(編集部) 普及とともに避けては通れない「セキュリティ」 こんにちは、Androidセキュリティ部 部長の丹羽直也です。このたび、Androidセキュリティ部として連載の機会をいただき、その第1回を執筆することになりました。この連載では4チームに分かれ、Androidのセキュリティについて解説していきます。 ご存じの方も多いと思いますが、Androidは2007年にGoogleが発表したLinuxカーネルベー
どう備える? どう対応する? 頻発する情報漏えい事件(1/2) - @IT
柏木 恵子 2011/7/14 「PlayStation Network」における個人情報漏えい事件をきっかけに、再び情報漏えい対策に注目が集まり始めている。我々はどう備え、どのような対応を取るべきなのか。6月16日に開催された情報漏えい対策セミナー「防ぐ、見つける、拡散を抑える――現実的な情報漏えい対策とは」の様子をレポートする。(編集部) 頻発する情報漏えい事件、有効な対策とは? 4月、ソニーのオンラインサービス「PlayStation Network」において、史上最大規模の個人情報漏えい事件が発覚した。このインシデントの後も、ソニー関連会社やセガ、シティグループなどで相次いで情報漏えい事件が発生している。いつ自社が標的になるか分からない状況で、いったいどんな対策が必要であり、可能なのか――。 2011年6月16日、東京・ベルサール飯田橋で、@IT編集部が主催する情報漏えい対策セミナ
スパムが吹けば薬局がもうかる
不審なメールをトリガとした攻撃? 皆さんこんにちは、川口です。 前回のコラムでは、一般にはなかなか詳細が公表されない標的型(メール)攻撃を取り上げました。これが皆さんの対応の参考になればうれしい限りです。 今回は、不審なメールをトリガとしたインシデントの事例をご紹介します。標的型(メール)攻撃として取り上げるべきか、あるいは海外で話題になっている、より巧妙で執拗なAPT(Advanced Persistent Threat)攻撃と位置付けるべきか悩みますが、最近の攻撃の一例として、参考にしてください。 複数の企業からSQLインジェクション 先日、セキュリティ監視センターJSOC(Japan Security Operation Center)のセキュリティアナリストの分析用端末に、あるログが出力されました。そのログは、監視を行っている企業のIPアドレスから、その企業とは全く関係ない組織のW
2011年6月版 “ハッカー集団”は梅雨とともに去りぬ? - @IT
山本洋介山 bogus.jp 2011/7/7 まだ梅雨も明けていないのに暑い日が続いて、関東では早くも電力消費が心配でたまりませんが、皆さまいかがお過ごしでしょうか。 さまざまな“ハッカー集団”が世間を騒がしていることもあって、Twitterのセキュリティクラスタは相変わらず活発に動いています。今月も、クラスタの中で話題になっていることをピックアップしました。 祝! チームsutegoma2、DEFCON本戦出場! 「DEFCON」といって、すぐにぴんとくる方はどのくらいいるでしょうか? これは世界のハッカーが真夏のラスベガスに集う伝統のイベントで、今年も8月上旬に開催されます。 期間中には会場内で、Capture The Flag(CTF)というセキュリティ技術を競う競技会が行われ、カンファレンスと並んでDEFCONの目玉となっています。しかしながらこのCTF、誰でも簡単に参加できるも
在宅勤務のセキュリティ対策、はじめの一歩(1/2) - @IT
在宅勤務のセキュリティ対策、はじめの一歩 持ち帰り仕事のリスクの減らし方 株式会社トライコーダ 上野 宣 2011/7/5 東日本大震災に起因する電力不足による節電対策の1つとして、在宅勤務の導入を検討している企業が増えています。相応のコストを投じてソリューションを導入する、というやり方までは取れない企業向けに、基本の対策を紹介します(編集部) 「安全な在宅勤務」までの3段階の道のり 東日本大震災に起因する電力不足による節電対策の1つとして、在宅勤務の導入が考えられます。震災以前でも、ワークライフバランスの一環として、在宅勤務が推進されようとしていました。 在宅勤務やテレワークの環境が整備されている会社であれば、それを利用すればいいのですが、「我が社もこれから、一から在宅勤務を導入したい」という場合、何をすればよいでしょうか。 在宅勤務と一口にいっても、さまざまな状況や環境が考えられます。
JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
川口、官房長官就任 皆さんこんにちは、川口です。先月からセキュリティ監視センターJSOC(Japan Security Operation Center)のセキュリティアナリストのリーダーの座を後進に譲り、JSOCの官房長官として、JSOCセンター長を補佐するお仕事に就くことになりました。 今回は、そんな私が対応することになった標的型メール攻撃の顛末(てんまつ)を取り上げます。厳密にいうと今回届いたメールは、JSOCにとっては、脅威となり得る「標的型」ではありません。しかし受け取る組織によっては十分標的型メール攻撃となり得る内容ですので、紹介したいと思います。 ある日JSOCに届いた1通の標的型メール 5月のある日、JSOCで仕事をしていたところ、1人のセキュリティアナリストが話しかけてきました。 「サポート窓口に変なメールが来ているぞ。ヤバイと思うので見てほしい」 すぐに確認したところ、
2011年5月版 収束見えないソニー関連の攻撃 - @IT
山本洋介山 bogus.jp 2011/6/9 ゴールデンウィークからあっという間に5月も終わり、祝日のない6月に突入してしまいました。しかし、PlayStation Network(PSN)における個人情報の大量流出に端を発したソニーのグダグダはまだ続いていて、なかなか収束しそうにありません。 いつものように盛り上がるパスワードやエスケープ関連の話題の他、セキュリティ女子力に巫女テスターと、ちょっとだけIT業界の女子会ブームに乗っかっている感のあるセキュリティクラスタです。では、5月に起こったトピックのうち、気になったことをピックアップしていきます。 ソニーは引き続き「脆弱性発見大会?」 4月末からセキュリティ界の話題をほぼ独占している感のあるソニーの情報流出事件ですが、侵入を受け、個人情報がダダ漏れしてしまったPlayStaion Network(PSN)のセキュリティ対策費用だけで1
キャッシュDNSサーバのDNSSEC対応
今回は、DNSSECの検証機能を有効にしたキャッシュDNSサーバを構築・運用する方法について解説する。 DNSSECにおけるキャッシュDNSサーバの役割 キャッシュDNSサーバは、名前解決を依頼するクライアントと権威DNSサーバの間に立ち、反復検索を行うサーバである。DNSSECにおいて検証を担当するものを「バリデータ(Validator)」と呼び、多くの場合キャッシュDNSサーバがバリデータを担当する。 第2回でも簡単に説明したが、DNSSECの検証を行うためには信頼の連鎖の起点となる情報が必要となる。これを「トラストアンカー(Trust Anchor)」と呼ぶ。バリデータとなるキャッシュDNSサーバは、トラストアンカーを起点に、DNSSECの信頼の連鎖を検証していくことになる。 DNSの階層構造における委任の起点がルートゾーンであることから、一般的にはルートゾーンの公開鍵情報をトラスト
ヒューリスティックエンジンの原理とは - @IT
といえば、本稿の読者であればご存じだろう。 これらのレジストリキーは、いずれもプログラムの自動実行に関係するものだ。1つ目と3つ目は指定したプログラムを自動実行するために使用され、2つ目はUSBメディアなどにおける自動実行機能の有効/無効を切り替えるために使用される。そして同時に、ウイルスが非常によく利用するレジストリキーの一部でもある。 「ウイルスらしさ」を検出するHIPSエンジン 弊社のyaraiが搭載するエンジンの1つに「HIPSエンジン」というものがある。HIPSとはHost-based Intrusion Prevention System(ホスト型侵入防止システム)の略であり、その名の通り侵入防止システムとして各プログラムの挙動を監視する。 ウイルス検出の方法はいろいろあるが、HIPSエンジンは「ビヘイビア検出」として知られる検出方法を採用しており、監視しているプログラムが「ウ
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
シェルコードから始めるマルウェア解析
いま、求められるリバースエンジニアリング技術 「なぜ、ソースコードがないのに脆弱性を見つけられるの?」「なぜ、コンピュータウイルスの詳細な動作が分かるの?」 読者の皆様は、日々公開されるゼロデイ攻撃や巷をにぎわせるコンピュータウイルスの解析結果を見て、このような疑問を持ったことはないでしょうか? これらの多くは「リバースエンジニアリング」という技術を基に行われています。 【関連記事】 用語辞典:リバースエンジニアリング http://www.atmarkit.co.jp/aig/02security/revengine.html ――ハードウェアやソフトウェア製品に関して、構造や仕様を分析して技術的情報をほぼすべて明らかにしてしまう技術、またはその行為のことをリバースエンジニアリングという。 リバースエンジニアリング技術とはソフトウェアの“解析”技術です。ここではソースコードのないバイナリ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
