Flash Playerの最新版を社内に漏れなく確実に展開する方法 再配布版MSIファイルを活用しグループ ポリシーによりインストール ある企業のシステム管理者から「Flash Playerの起動時ごとに，毎回更新を自動確認する方法を教えてもらったが，もう一歩踏み込んで，Flash Playerを社内で漏れなく確実に更新させる方法はないか？システム管理者側に手間が掛かってもよいので，対処方法をアドバイスしてほしい」と相談を受けました。 前回のコラム「長すぎるFlash Playerの自動更新間隔，“隠し設定”でカスタマイズを」では，「Adobe Flash Player」の自動更新チェックのデフォルトである“30日間ごと”の間隔を，「グローバル通知設定」パネルや，プライバシおよびセキュリティに関する各種設定値を記述する「mms.cfg」ファイルを配置して変更する方法を説明しました。 ただ，

ルーマニアの組織がセキュリティ企業のWebサイトを連続攻撃している。Kasperskyに続いてF-Secureが被害に遭った。 フィンランドのセキュリティ企業F-Secureは2月12日のブログで、同社のサーバがSQLインジェクション攻撃を受けたことを明らかにした。 F-Secureによれば、ここ数日でルーマニアの組織がセキュリティ企業のWebサイトを狙って攻撃を仕掛けるケースが相次いでいる。ロシアのKaspersky Labも先に、米国向けのサポートサイトが攻撃された事実を公表していた。 F-Secureの場合、マルウェアの統計を収集するために使っていたサーバに入力値チェックが不十分なページがあり、そこを突かれて攻撃されたという。 ただし攻撃側はデータベースの情報を読むことはできても、それを書き換えたり操作することはできなかったと説明。しかもこのデータベースには統計ページで公開している情

景気低迷期には多くの企業が、商品やサービスの需要減少に対応するために組織のリストラを迫られる。このようなリストラは大規模なレイオフを伴うことが多く、そうしたレイオフは一般に、経営上層部が前もって決めた日に実施される。本稿では、人員削減の際に慌ただしく仕事をこなすことを要求される情報セキュリティ・IT管理担当者に役立つように、多数のシステムアカウントの解除を管理するための基本的なポイントを説明する。 ユーザーアカウント解除の厄介さ 情報セキュリティ・IT管理担当者の多くは、近いうちに人員削減が行われることになっても、ほとんど、あるいはまったく知らされない。このため、ユーザーアカウントガバナンスの責任者は、2つの厄介な課題に対応しなければならない。1つは、各種のシステム全体にわたって、人員削減対象者に割り当てられたアカウントをすべて特定すること。もう1つは、それらのアカウントを短時間のうちに無

Linuxの普及促進や標準化などを行う非営利団体「The Linux Foundation Japan」は2008年11月19日，技術者向けイベント「The Linux Foundation Japan Symposium」を開催した。9回めとなる今回のシンポジウムでは，「ファイル・システム」を中心テーマに，Linuxカーネルの最新動向や，資源管理，次世代ファイル・システムなどについての講演があった。 最初の講演は，技術ニュース・サイト「LWN.net」を主宰するJonathan Corbet氏（写真1）によるLinuxカーネルの開発動向紹介である。 まず同氏は，2008年1月24日リリースの「カーネル2.6.24」から10月9日リリースの「カーネル2.6.27」までにどのような新機能や改良が加えられたかを紹介した。カーネル2.6.24で実施されたx86とx86_64とのコード統合を「ずっ

株式会社神戸デジタル・ラボが公表している「セルフチェックかんたん5」がWebアプリケーションセキュリティの一部専門家の間で話題になっている。 mi1kmanさん経由。 神戸デジタル・ラボさんの Webセキュリティ診断の販促ページ。 色々と言いたいことはありますが、一番は、「Webサイトセキュリティチェックリスト」の7ページ目：【中略】の部分ですかね。 手元の IE7/Firefox3 で試してみた限りでは、「http://int21h.jp/../」にアクセスした場合、ブラウザから出るリクエストの時点で「GET / HTTP/1.1」になっていました。（ブラウザが勝手に訂正してくれるので、GET /../ HTTP/1.1 のようなリクエストが送信されることは無さそう。）　はたして“何らかのエラーメッセージ”が表示されることはあるのでしょうか…。(^-^; http://yamagata.

第08-23-133号 2008年10月 2日 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 独立行政法人 情報処理推進機構（略称 IPA、理事長：西垣 浩司）は、2008年9月および第3四半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 9月に IPA に寄せられた相談・届出の中に、「登録しているオークションサイトに、身に覚えのない商品が自分の ID で出品されている」といった、アカウント*1を不正に利用されたという被害が複数ありました。 相談の中には、パスワードに数字だけの組み合わせや、簡単な英単語を設定していたために、容易にパスワードが見破られて、アカウントを不正に利用されたと推測されるケースがありました。 オークションサイト等のサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険が

VMwareは9月18日、ESXiとESX 3.5の深刻な脆弱性に対処するアップデートパッケージを公開した。 VMwareやUS-CERTによると、脆弱性は、Webサービス管理プロトコル（WS-Management）を実装するシステム管理プラットフォーム「openwsman」のバッファオーバーフロー問題に起因する。openwsmanはデフォルトでインストールと実行がされ、脆弱性を悪用するとリモートの認証を受けない攻撃者が任意のコードを実行できるようになる。 VMwareはopenwsmanのアップデート版を組み込んだESXi 3.5のパッチ「ESXe350-200808501-O-SG」とESX 3.5パッチの「ESX350-200808413-SG」を公開し、脆弱性に対処した。ユーザーに対し、パッチ／リリースノートを調べ、ダウンロードファイルのmd5sumを確認するよう呼びかけている。

共通脆弱性タイプ一覧CWE概説 CWE（Common Weakness Enumeration） ～脆弱性の種類を識別するための共通の脆弱性タイプの一覧～ >> ENGLISH 共通脆弱性タイプ一覧CWE（Common Weakness Enumeration）(*1)は、ソフトウェアにおけるセキュリティ上の弱点（脆弱性）の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた

外出時のすき間時間で電子メールを確認したいビジネスパーソンは多い。だが企業は情報漏えいを懸念してPCの持ち出しを禁じる。こうした背景の中、フィードパスは携帯電話からセキュアに電子メールを閲覧できるSaaSサービスを新展開、秘められたモバイルSaaSの需要を掘り起こす。 SaaS（サービスとしてのソフトウェア）型Webメール「feedpath Zebra」を展開するフィードパスの後藤康成取締役CTOはこう言い切る。仕事で携帯電話を使うビジネスパーソンが多く、「携帯電話をビジネスツールと見立てており、機能へのニーズも高い」（同氏）からだ。 紛失による情報漏えいのリスクをなくすために、多くの企業ではノートPCなどの持ち出しを禁止している。一方で、「外出時のわずかな時間で電子メールをチェックし、早急に対応したい」というユーザーの要望は日増しに強くなっている。ビジネスパーソンの就労時間に占める移動時

ドットインストール代表のライフハックブログ