ITmedia Biz.ID:作業中にPCから離れる場合の“お作法”
書類などの作成中にPCから一時的に離れる場合、画面を誰かに覗き見られることがないよう、適切なセキュリティ対策を施そう。 PCでの作業中、デスクトップ上に重要なファイルの内容を表示したまま席を離れるのは、セキュリティ上あまりよろしくない。スクリーンセーバーがすぐに起動してくれれば問題ないのだが、Windowsの仕様上、スクリーンセーバーの自動起動には無操作状態が最低でも1分続くことが必要だ。 すぐにスクリーンセーバーを起動させたいのなら、デスクトップ上にスクリーンセーバーのショートカットを作っておくと便利だ。WindowsのSYSTEM32フォルダ内にスクリーンセーバーのプログラム(拡張子が「.scr」のファイル)があるので、そこから好きなものを選び、ショートカットを作成するのだ。必要に応じてそれをダブルクリックすれば、スクリーンセーバーをすぐに起動できる。
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
そういや、mixiはhttpsじゃないな。 - 暴想
まあ、もはやどうでもいいんだけど。 つっこまずにはいられないところだ。 一応ログインはhttpsも用意されているものの、httpがデフォルトなのも気になるところだけれども、ユーザーのIDとパスワードが漏れようとどうでもいいのだろう、きっと。 でも、株式会社ミクシィ | 個人情報保護に 当会社は、個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏洩などのリスクを認識し、予防並びに是正のために必要な対応策を講じます。 って書いてあるんだよなぁ。 ↓1日1ポチッとをお願いします!励みになります!
ベクターのウイルス問題--専門家が斬る再発防止の策
ベクターは9月27日、主力サービスのソフトウェア群の一部がウイルスに感染していると発表した。一時的にすべてのダウンロードサービスを停止し、その後に順次回復して10月2日には完全復旧した。10月5日時点の調査で3956タイトルのソフトがウイルス感染していたと判明。実際にはそのうち155タイトルが配布され、これらタイトルのダウンロード回数は1107回にも及んだ。 同社はこれについて「今回の問題点と暫定措置、今後の対策」ページの中で、基本的には(1)1社のウイルス対策ソフトに依存していたこと、(2)作業を行う環境の分離が不完全だったこと――の2点が大きな問題だったと説明している。しかし、専門家の中には、「それよりも重要な問題点があったのではないか」と指摘する声もある。 「iPod」の爆発的な人気などで急速に広がり始めているソフトのダウンロードサービス。今回のベクターの問題は、ソフトのダウンロード
IBM Contact
Get answers to questions about products, sales, support and everything else IBM. Support IBM Support Receive help from our tech experts and check the status of a support case. IBM Documentation Search IBM product documentation. Product fixes Fix Central provides fixes and updates for your software, hardware, and operating system. Developer resources Open source projects, knowledge resources, and d
RSSのセキュリティはどうなっている?
eWEEK Labsで次世代ブラウザ、OS、コラボレーションツール、その他双方向アプリケーションを評価していると、ある機能が何度も何度も登場する――RSSフィードの統合だ。 RSSの統合は、既に多数の製品でマストな機能になっている。RSSが統合されていないのは、まるでWebをまったく使えないかのようだ。 多くの開発者や企業が大挙してRSSのサポートに走っている理由は理解できる。ブログやポッドキャスティングなどのコアなWeb2.0製品の配信方法として人気があるのに加え、RSSフィードはコンテンツ、ファイル、さらにはアプリケーションと幅広いものを配布する信頼できる手段として大きな可能性を秘めている。 しかしこの1年ほど、多くの人が重要な疑問を投げ掛けるようになってきた。「RSSは安全なのか?」と。 2~3カ月以内に――MicrosoftがInternet Explorer(IE)7とWindo
2006-09-10
2006-09-10 情報セキュリティアドミニストレータ 日記 2006 情報セキュリティアドミニストレータ 予想問題集 (情報処理技術者試験対策書)作者: アイテック情報技術教育研究所出版社/メーカー: アイテック発売日: 2006/05/17メディア: 単行本 クリック: 1回この商品を含むブログ (4件) を見るに入りました。こちら… 2006-09-10 暗証番号はなぜ4桁なのかを読んで 本 [rakuten:book:11523398:detail]めちゃめちゃ分かりやすいです。岡嶋裕史さんの本にはまってしまいそうです。暗証番号の4桁は、えいや!(何の根拠もなく)で決まった。というのがよく分かります。 実際、人間が覚えやすく、ATMにも設置されやすいものにな…
問題は根深い、スパイウェアのビジネスモデル
キーロガーに代表されるように、スパイウェアを使った直接的な金銭詐欺が広く認識されるようになった。しかし、複雑なビジネスモデルがスパイウェアを取り巻いている事実はあまり知られていない。 スパイウェアの脅威に対抗するには、第一に知識武装が必要だ。まずは、あいまいなスパイウェアの定義を整理し、スパイウェアの背景に潜むビジネスモデルを知っておこう。 ウイルスとは何が違うの? スパイウェア撲滅を目指して組織された米国の業界団体ASC(Anti-Spyware Coalition)は、メンバーの共通の認識としてスパイウェアの定義を公開している。それによると、広義の意味で「スパイウェアとその他の潜在的に望まれない技術」とされている。具体的には下記のようなソフトウェアがそれに当てはまる。 ユーザーの適切な同意なしにインストールされ、かつ、下記のようなユーザーのうなコントロール損なうもの コンピュータの利用
どうやったら情報大公開を防げるか - 雑種路線でいこう
情報漏洩対策の予算要求に対するスラドでの議論ひとつみても,つくづく技術政策の質が下がっている.提案書を入手していないので誤解かも知れないが,スラドに垂れ込まれた途端に5秒で論破されてしまうような技術的に無駄な提案に対し,減額されても申し訳程度に数億〜数十億円の予算がつき,粛々と数年計画で遂行されるとしたら如何なものか.まだ要求段階なので,技術的な精査に基づき厳格な査定をお願いしたい. 相変わらず猛威を振るうWinny/Antinnyに限れば,漏洩データを構成するパケットの特徴をシグニチャで識別して遮断できるだろうが,毎回異なる鍵でファイルを暗号化するとか,プロトコルを識別しがたいよう偽装するとか,遮断技術といたちごっこでファイル共有技術の方も進歩するのだろう. 今は被害が特定できるWinny/Antinnyばかり話題になっている一方で,ピンポイントでデータを盗むボットやマルウェアの方がビジ
高木浩光@自宅の日記 - 公務員研修で体験させておくべき演習 「蛍光ペンで墨塗り」の巻, 追記(8月6日)「折り返し」機能を無効に?
■ 公務員研修で体験させておくべき演習 「蛍光ペンで墨塗り」の巻 隠したはずの個人情報丸見え 千葉市教委のホームページ, 朝日新聞, 2006年8月1日朝刊 HP墨塗り情報、丸見え 千葉市教委が謝罪, 朝日新聞, 2006年8月2日朝刊千葉版 同市は02年末、システムからの情報漏洩(ろう・えい)などを防ぐため「情報セキュリティポリシー」を作り、対策を進めてきた。(略)市のHPを担当する情報政策課の(略)課長補佐は「(今回の問題を)31日夜に聞いたときは正直驚いた。さらなる注意を職員に呼びかけていくしかない」とショックを隠さなかった。 という報道が出ている。この種の事故については2003年7月29日の日記にも書いていた。そのときは「フォントの背景色を黒にした」?と書いていたが、Microsoft Wordの「蛍光ペン」機能を黒色で使ったのではないかと予想した。当たりだった。 千葉市教委HP「
ファイルサーバから営業秘密が漏えいしてないか?
ファイルサーバから営業秘密が漏えいしてないか?:コンプライアンスに耐える情報システムとは?:(1/3 ページ) 仮想印刷会社インク・コムは、営業秘密を守るために不正競争防止法への対応に着手した。すると、営業部門のファイルサーバのアクセス権に問題があることが分かった。 仮想印刷会社インク・コムでは、法令順守の対象として前回、優先順位が高かいと分類された不正競争防止法への対応から着手することにした。この法律は、営業秘密・ノウハウの保護を対象としたもので、同社にとっても情報管理の側面から重要性が高いと判断したからだ。 不正競争防止法とは? 不正競争防止法は、営業秘密や技術上の秘密情報を保護する法律である。その背景には、雇用形態の流動化に伴って、業務のアウトソーシングなどが活発になってきたことがある。企業の営業秘密が流用される懸念があるため、企業の秘密情報を保護するために不正競争防止法が1993年
【第2回】メールの誤送信による信用失墜を防止 - 次世代メールソリューション - ZDNet Japan
メールは現在の社会にとって情報をやり取りするために欠かせないツールの1つだ。しかし、ウイルス、スパム、フィッシング、誤用など、メールを取り巻く脅威は年々増加している。企業にとっては、このツールの安全性を多面的に確保しなければ、機密情報や個人情報の漏洩や、ウイルス/スパムの拡散に手を貸してしまう結果となる可能性を持っている。その結果は、信用の失墜やビジネス機会の損失という事態につながることとなる。連載第2回目となる今回は、その危険度があらためて認識されつつあるメールの「誤送信」について考えてみたい。 メールは現在の社会にとって情報をやり取りするために欠かせないツールの1つだ。しかし、ウイルス、スパム、フィッシング、誤用など、メールを取り巻く脅威は年々増加している。企業にとっては、このツールの安全性を多面的に確保しなければ、機密情報や個人情報の漏洩や、ウイルス/スパムの拡散に手を貸してしまう結
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
「同じソフトに脆弱性が次々と見つかるのは“注目”されるから」,Symantecのマネージャ
米Symantec Security ResponseのEMEA(欧州・中東・アフリカ)およびJAPAC(日本・アジア・太平洋)地域担当シニアマネージャ Kevin Hogan氏 「Microsoft Officeにセキュリティ・ホール(脆弱性)が次々と見つかっている。これは,Officeが特に脆弱なためでははなく,セキュリティ・ホールを探す人間が注目しているためだ」---。米SymantecのSymantec Security Response global Antivirus Operations teamのシニアマネージャ Kevin Hogan(ケビン・ホーガン)氏は7月11日,ITproの取材に対して,最近のセキュリティ動向などを解説した。 あるソフトウエアやサービスにセキュリティ・ホールが見つかると,次々と新たなセキュリティ・ホールが報告される場合がある。例えば,Microso
よく使われるパスワードトップ10 - GIGAZINE
ネットサービスに限らずあらゆる場所で使われる「パスワード」ですが、イギリスで行われた調査結果によると、よく使われるパスワードの上位10個はなかなか興味深いフレーズが並んでいます。この中に自分のパスワードがある人は即座に変えた方がいいでしょう。 というわけで、10位から順番に見てみましょう。 Top 10 Most Common Passwords - Modern Life Is Rubbish 10. 'thomas' (0.99‰) 9. 'arsenal' (1.11‰) 8. 'monkey' (1.33‰) 7. 'charlie' (1.39‰) 6. 'qwerty' (1.41‰) 5. '123456' (1.63‰) 4. 'letmein' (1.76‰) 3. 'liverpool' (1.82‰) 2. 'password' (3.780‰) 1. '123' (
パスワードを突破するまでの速度一覧
パスワード設定時に「文字数が多く、そして文字の種類が多ければ多いほど突破されにくくて安全」というのはよく聞きますが、実際のところはどれぐらい打ち破られにくいのかというのをまとめたのがこの図表です。数字のみの場合、アルファベットのみの場合、アルファベットと数字の場合、記号も含めた場合などの各種パターンで算出されています。 Password Recovery Speeds http://www.lockdown.co.uk/?pg=combi&s=articles 突破方法はクラスAからクラスFまでの各段階が存在し、 A. 10,000/秒 Microsoft OfficeファイルのパスワードをPentium 100MHzで突破する場合 B. 100,000/秒 Windows Password Cache (.PWLファイル)をPentium 100MHzで突破する場合 C. 1,000,0
USBメモリを用いたソーシャル・エンジニアリング
ソーシャルエンジニアリングの第一歩は、「組織内の人に化けること」にある。イーサン・ハントみたく化けの皮を被る必要もない。もっと重要なのは、機密ではないが、組織内の人しか知りえないような情報を知っていること。例えば座席表やビルドサーバの名前だとか。 ひとたび組織内の人に化ける情報を得たならば、攻略はぐっと楽になる。「欺術」を参考に潜入を進めることができる(ホントにやっちゃダメよ)。ここでは、USBフラッシュメモリを使って最初のハードルを効率的に超える方法を考えてみよう。 オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなんてありふれているし、最近じゃオサレな奴やカワイイ系まで出回っているぐらいだ。誰かが落としたんだろうな… で、何が入っているのだろうか? で、自分のPCに挿してみる…が、すぐに覗けない。それぐらい知ってるって、し
「突然メールが送れなくなる!?」迷惑メール対策のOP25Bとは
迷惑メール対策として、OP25Bを実施するプロバイダーが増えてきた。すでにメールの設定変更などで悩まされたユーザーも少なくないと思うが、導入に向けて対策しているユーザーや、導入に気づいていないユーザーもいるだろう。OP25Bとは何なのか、そしてその対策についてまとめた。 ■ OP25Bが導入されると何が起きるか はじめに、OP25Bの仕組みを説明しておこう。OP25Bとは「Outbound Port25 Blocking」の略称で、メールの送信に使われる25番ポートをブロックし、特定の条件下においてメールの送信を不可能とする仕組み。主に迷惑メール対策として導入されている。 通常、一般的なユーザーがメールを送信する場合にはプロバイダーのSMTPサーバーを利用するが、迷惑メール配信事業者の場合は独自のSMTPサーバーを用意してメール配信を行なうケースが多い。OP25Bにより、プロバイダーのSM
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メールの0.71〜1.02%は「ただ消えて無くなる」〜Microsoft研究者らが論文
って、mixiにアップロードした画像って、ログインしなくても閲覧できるのか… - 暴想