URLを巡るだましの手口
スパム送信者は,メールをスパム・フィルタに見つけられないようにするために,たちの悪い様々な手を使う。例えば難読化やなりすまし,有名ブランドの不正使用といったことが行われると,スパム・メッセージ識別を目的としたコンテンツ・フィルタリング処理が難しくなる。 米シマンテックが最近見つけたスパム攻撃は,信頼できるドメインの名前の一部またはすべてを,形の似た文字を使ってまねたドメイン名を使ってなりすましていた。この手口を詳しく説明する前に,馴染みの薄い可能性がある「国際化ドメイン名」(IDN),「Punycode」,「同形異義語スプーフィング」に触れておこう。 IDN IDNはASCII文字以外の文字を含むドメイン名である。アラビア語や中国語の文字,サンスクリット語のデーバナーガリ文字など,非ラテン系の文字をドメイン名に入れることができる(関連記事:IDN)。 例:「ёxample.com」というド
パッチ未公開の『超特大』のセキュリティ・ホールを「Microsoft Fix it」で回避
パッチ未公開の『超特大』のセキュリティ・ホールを「Microsoft Fix it」で回避 影響を受けるWindows Vista/Server 2008/7 RC版は“SMBv2”を無効に 比較的安全なOSとされるWindows Vista/Server 2008。そのVista/Server 2008が影響を受ける,パッチ未公開のセキュリティ・ホールがアナウンスされています。ネットワークに接続しているだけでパソコンを乗っ取られる可能性があるという,非常に危険なものです。これについて,ある企業のシステム管理者から『対象の”SMBv2”とはどういう機能なのか?また,簡単な回避方法をアドバイスしてほしい』と相談を受けました。 マイクロソフトは2009年9月9日,「マイクロソフト セキュリティ アドバイザリ(975497) SMB の脆弱性により,リモートでコードが実行される」を公開しました。
そしてサーバーだけになった
ある仮想アプライアンスの説明会。「データセンターでは,ユーザーのニーズに応えるためにネットワーク機器を在庫しておかなくてはならない。仮想アプライアンスなら仮想サーバーとプラットフォームを共通化できる」という趣旨の話を耳にした。サーバー仮想化のコモディティ化に伴い,ネットワーク機器,そしてストレージ装置が,安価なPCサーバーと仮想化ソフトに置き換わる潮時が近づいているようだ。 冒頭部の発言は,シトリックス・システムズ・ジャパンが2009年9月29日に発売した仮想L7スイッチ「NetScaler VPX」の説明会で,評価ユーザー代表として臨席したブロードバンドタワーの大和敏彦社長が述べたものだ(関連記事)。ネットワーク機器,特にデータセンター向けの製品は,発注後すぐに手に入る類のものではない。このためユーザーの要望に応えるための在庫を抱えているわけだが,倉庫に眠っている間は利益に貢献しないお荷
「P/L」と「B/S」がなくなる日
損益計算書(P/L)と貸借対照表(B/S)がなくなる――。国際会計基準(IFRS)関連の取材で聞いた話で一番、びっくりしたのがこの話だ。記者がIFRS関連の取材を本格的に始めたのは、今から1年半くらい前。当時、記者は主にJ-SOX(日本版SOX法)関連の取材をしていた。J-SOX対応の話を聞こうと訪れた会計コンサルタントの方との雑談の中で「そういえばこんな話が」といって冒頭の話を聞いたのだ。取材先の企業研究や決算記事の執筆など、記者にとって損益計算書と貸借対照表はなじみ深い。それが「なくなる」というのは、「記者だけでなく、企業、そして社会全体に影響を与える大きな話になりそうだ」というのが最初の感想だった。 損益計算書と貸借対照表を読むことは、会計の基本中の基本だと考えている。記者は学生時代、会計関連の授業が一番苦手だった。仕訳、減価償却、配賦などなじみのない言葉が並ぶ。その苦手な授業で最初
svchostの詳細情報を簡単に確認できる「svchost viewer」
■「svchost viewer」は,サービス・プログラムの詳細を把握する際に役に立つフリーソフトである。 ■サービス・プログラムを起動する際の親となるsvchostについて分析し,どのサービスとどのsvchostが関連しているかを確認しながら,必要に応じてサービスを停止したり開始したりできる。
[SS&ERM2009]「存亡をかけた11日間」で得たセキュリティ対策の真髄とは---カカクコムの田中社長
「セキュリティ侵害への対処に際して,経営陣は平常心かつ明るい気持ちで,社員に接してほしい」。カカクコムの田中実社長(写真)は2009年9月3日,東京ビッグサイトで開催されている「Security Solution 2009」の基調講演に登壇し,同社の生命線である「価格.com」が不正アクセス攻撃を受けてから復旧するまでの11日間で得た教訓を明かした。 価格比較サイトの「価格.com」を運営するカカクコムは,2005年5月にメール・アドレスなどを奪われる不正アクセス攻撃を受けた。田中氏ら経営陣は「原因究明と対策を施しながら通常業務を続けるのは人員リソースが足りず不可能」と判断。サイトを一時閉鎖し,対処すべき要素を社長,CFO,営業担当,システム担当の役員4人に割り振って復旧に当たった。当時CFOの立場にあった田中氏は,警察や関係省庁への対応,マスコミ対応に奔走。「計算上,サイト閉鎖が5カ月に
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
チェックしておきたいぜい弱性情報<2009.08.24>
8月16日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。 マイクロソフト2009年8月の月例セキュリティ・アップデート(2009/08/12) 8月の月例セキュリティ・アップデートでは,7月中旬に報告されたMicrosoft Office Webコンポーネントのぜい弱性(MS09-043),7月下旬に報告された定例外のセキュリティ・アップデートであるVisual Studioに含まれるライブラリ(ATL:Active Template Library)のぜい弱性(MS09-037)を含む9件のセキュリティ問題を解決しています。 このうち,攻撃者の用意した任意のコードを実行されてしまうぜい弱性を除去するセキュリティ・アップデートは,「MS09-038:Windows Mediaファイル処理におけるぜい弱性」,「MS09
DNSSEC
図1 DNSSECのしくみ 電子署名によって正しいDNSサーバーからの回答であることを証明する。DNSキャッシュ・ポイズニングなどの攻撃を防ぐ。 DNSSECとは,DNSサーバーから送られてくるIPアドレスとホスト名の対応情報の信頼性を証明するセキュリティ拡張機能である。DNSキャッシュ・ポイズニングのようなDNS応答のなりすまし攻撃を防ぐためのものだ。DNSキャッシュ・ポイズニングとは,DNSサーバーに一時的に保存(キャッシュ)してあるホスト名とIPアドレスの対応情報を偽の情報に書き換える攻撃のことである。この攻撃を受けると,ユーザーのWebブラウザは偽のWebサイトに誘導されてしまう。 DESSECでは,応答を送信するDNSサーバーが秘密鍵を使って応答に署名し,受信する側が公開鍵で検証する(図1)。秘密鍵を持っていないと正しく署名を付けられないので,署名の検証によって偽の応答を検知でき
チェックしておきたいぜい弱性情報
7月26日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。 Adobe Reader,AcrobatおよびFlash Playerに関するぜい弱性(2009/07/22) 7月21日,米アドビ システムズのブログにAdobe Reader,Acrobat 9.1.2とAdobe Flash Player 9と10に存在する潜在的なぜい弱性について調査中という報告が掲載されました。翌7月22日には,Adobe Flash Player 10.0.22.87,9.0.159.0およびそれ以前,Adobe Reader,Acrobat 9.1.2およびそれ以前のバージョンを対象に,異常終了やシステム侵害の影響を伴うぜい弱性(CVE-2009-1862)に関するアドバイザリが発行されました。アドバイザリ発行時点では非公式な対策
IEに対する新たな攻撃
McAfee Avert Labs Blog 「New Attacks Against Internet Explorer」より July 6,2009 Posted by Haowei Ren, Geok Meng Ong Geok Meng Ong氏とXiaobo Chen氏が2008年12月に書いたブログ記事を読んだ人なら,今回の件を映画の続編のように感じるだろう。2009年7月4日を含む週末に,米マイクロソフトのDirectShow ActiveXオブジェクトに存在するぜい弱性を狙った大規模なゼロディ攻撃が,中国の多くのWebサイトで見つかったのだ。 調査したところ,ハイジャックされたWebサイトが100個以上見つかった。こうしたWebサイトには,現在も問題のトロイの木馬を配布している悪質なWebサイトへのリンクが挿入されていた。改変されたWebサイトの多くは,「悪質」とか「怪しい
データセンターきほんのき:ITpro
「データセンター」って言葉をよく聞くけど,いったい何のことだろう。データのセンターだから,データの中心のことかな,それともデータを置く中心となる施設のことかな? この連載では,一般の方にはなじみが薄そうだけれど,実は大半の人が日ごろからお世話になっている,データセンターの世界を基本から解説していきます。 ■いまさら聞けない「データセンターとは?」 ■いまさら聞けない「DCはいつ誕生したの?」 ■いまさら聞けない「どんなサービスを提供しているの?」 ■いまさら聞けない「利用料はいくらなの?」 ■いまさら聞けない「どんな手順を踏むの?」 ■データセンターのあれこれ
RFPの基本構造
RFPを作るときに最も重要な項目の一つが,業務要求である。今回は,業務要求の洗い出しと取りまとめ方について解説していく。 業務要求について詳しく見ていく前に,まずはRFPの基本構造について考えてみよう。RFP(Request for Proposal:提案依頼書)を文書として考えると,その最も基本的な構造は図1のようになる。 ビジネス文書の「枕詞」ともいえる表紙・挨拶・目次がまずあり,それに続いてRFPの趣旨(目的・背景・狙い)が続く。前回説明したように,趣旨は非常に重要であり,最初に持ってくるのがよい。次に,RFPの基本要素である「何を・いくらで・いつまでに」を具体的に記載する。特にシステムに求める「何を」は,大きく次の三つに分類できる。 (1)業務要求 (2)技術要求 (3)運用要求 この中で最も重要で,RFPの中心的なコンテンツとなるのが,今回のメインテーマである(1)業務要求である
ハードディスク全体のイメージをバックアップする「Macrium Reflect」
通常,Windowsのシステムでバックアップの対象とするのは,作成したドキュメントやメールなどのデータであることが多い。これらのデータをバックアップする手段はいろいろあり,多数のツールが市販製品やフリーソフト/シェアウエアを問わず公開・販売されている。一方,Windowsのシステムそのものをバックアップする製品は,「NTBACKUP」をはじめとするWindows標準のツール以外はあまり見かけず,しかもかなり高額なものが多い。 Windowsには,動作中のプログラムが常に存在する。このため,システムをバックアップするには,いろいろと難しい問題が発生する。中でも現在稼働中のシステムをそのままバックアップすることは,バックアップ・アプリケーション側からするとけっこう面倒な作業となる。 主流になりつつあるイメージ・バックアップが可能 こうした状況を踏まえ,近年ではWindowsシステムの有力なバッ
キャリア・グレードNATで変わるインターネット
2011年に在庫が底をつくと見られているIPv4アドレス。その対応策として,企業内ネットワークや家庭内ネットワークの中で使われているプライベート・アドレスの範囲をプロバイダのアクセス網まで広げる「キャリア・グレードNAT」に注目が集まっています。本連載では,キャリア・グレードNATの動きをはじめとして,それがエンドユーザーに及ぼす影響や,複数ある導入形態などを解説していきます。 キャリア・グレードNATは,IETF(Internet Engineering Task Force)に提案中の技術です。2009年2月現在,標準化作業中であることを表す「Internet-Draft」段階の文書が公開されています。この技術が注目され始めた2008年の半ばは,「Carrier Grade Network Address Translator (NAT)」(CGN)という名称が使われていました。その後
要件定義の合意形成術
多様な立場のメンバーが集まる会議では,合意形成は一筋縄ではいかない。成功のカギは,メンバー1人ひとりの参画意識を高め,結論に責任感を持たせること。システム開発の上流工程での会議を例に,現場経験で培った実践ノウハウを紹介する。 目次
悪文と良文から学ぶロジカル・ライティング 目次
ITエンジニアにとって文書作成技術は欠かせません。日常のメールのやりとりにはじまり、要件定義書、機能仕様書、企画の提案書など、上司やチーム、顧客などに対して、文章でコミュニケーションをとる機会がとても多いからです。 本連載では、論理的にわかりやすい文章を書く「ロジカル・ライティング」のノウハウを伝授します。ITエンジニアが日常的に用いるであろう文章を例に使い、どこが悪くてどう直せばいいのかといったポイントをわかりやすく解説します。実践すれば、誰でもすぐにわかりやすい文書が書けるようになるはずです。 連載目次 ●オリエンテーション ・ITエンジニアにとって「書く技術」とは? ●文書の全体構成を組み立てられるようにする ・内容を大きく分けて項目を立てる ・適切な順番で項目を並べる ・話の階層をそろえる ●文章表現の基本ルールをマスターする ・主語と述語を対応させる ・修飾語と被修飾語をはっきり
日経Linux : フリー/オープンソース・ソフトウエア:ITpro
グラフィカルな操作画面を備え,CDやDVDの各種メディアへの書き込みが行える多機能ライティング・ソフト
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
レイヤー2接続で広がるMVNOのモバイル通信