セキュリティ情報,あなたはどこから入手していますか?
みなさんはセキュリティに関する情報をどこから入手しているだろうか。筆者はよく,セキュリティ情報の情報源について取材先と話すことがある。そのようなときには,有用な情報源の一つとして「SANS Institute」を挙げている。IT Pro読者の中にはご存じの方は多いだろうが,相手がセキュリティにあまり詳しくない場合には「聞いたことない」と言われることが少なくない。 筆者としてはSANS Institute(以下,SANS)を広く知ってもらって,できるだけ多くの人にSANSの情報を活用してほしいと思っている。IT Proでは,SANSの情報を基にしたニュース記事を今までに何本も掲載している。しかしながら,SANS自体を説明する機会はなかった。そこで本稿では,SANSについて簡単に紹介したい。今までSANSを知らなかった方は,セキュリティ情報の入手先の一つとしてぜひ活用していただきたい。 SAN
「年齢確認に見せかけたダイアログに注意,『はい』を選ぶと悪質なプログラムが実行される」---IPA
コンピュータ・ウイルスや不正アクセスの届け出先機関である情報処理推進機構(IPA)は9月5日,8月中の届け出状況を公表するとともに,最近出回っているウイルスや手口について注意を呼びかけた。例えば,メール・アドレスなどを盗む悪質なプログラムを“言葉巧み”に実行させるようなサイトに騙されないよう注意を呼びかけている。 IPAが例として挙げているのは,セキュリティ警告のダイアログを,年齢確認のダイアログに見せかける手口。 Internet Explorer(IE)では,Webサイトからプログラム(JavaアプレットやActiveXコントロール)をダウンロード/インストールする際には,セキュリティ警告のダイアログが表示される。プログラムにデジタル署名が施されている場合には,プログラムのファイル名や作成者,デジタル証明書の発行者などをダイアログに表示して,ユーザーに実行してもよいかどうかをたずねる。
Windowsに管理者アカウントでログオンするのはもうやめよう
Windows NT 4.0の時代だから6~7年前のことになるが,日常業務に管理者アカウントを使うべきかどうかを,先輩記者と議論したことがある。学生時代に使っていたUNIXの思想が曲がりなりにも身についていた筆者は,必要なときだけ管理者アカウントでログオンすべきだと主張した。しかし,先輩記者はそんな面倒なことはやってられないという。 確かに,suコマンドを使って必要なときだけ管理者権限でプログラムを起動できるUNIXと違い,NTでは何か設定を変更するたびにログオンし直さなくてはならない。実は筆者もプログラミングのためという大義名分のもとに,自宅のWindows NTには常時管理者でログオンしていたので,結局引き下がってしまった。最近,筆者が担当する日経WindowsプロでWindowsのセキュリティについての特集を執筆した際に,再びこの点を考える機会があったので少し書いてみたい。 管理者権
Adobe Reader/Acrobatにバッファ・オーバフローのセキュリティ・ホール
米Adobe Systemsは米国時間8月16日,同社のPDF閲覧ソフト「Adobe Reader」および編集ソフト「Adobe Acrobat」にセキュリティ・ホールが見つかったことを明らかにした(日本語訳)。細工が施されたファイルを読み込むと,ファイルに仕込まれた悪質なプログラムを実行させられたり,Adobe Reader/Acrobatを不正終了させられたりする恐れがある。対策は最新版にアップデートすること。 セキュリティ・ホールが確認されているのは,Adobe Reader 5.1/6.0-6.0.3/7.0-7.0.2,Adobe Acrobat 6.0-6.0.3/7.0-7.0.2。Windows/Mac OS/Linux/Solaris版が影響を受ける。 今回のセキュリティ・ホールは,Adobe Reader/Acrobatに含まれるプラグインに見つかった。プラグインにはバ
“フィッシング時代”のメール「べからず」集
国内ユーザーを狙った「フィッシング(phishing)」が氾濫している。フィッシングとは,偽のメールやWebサイトを使って個人情報などを盗むオンライン詐欺のこと(関連記事)。ユーザーとしては,偽メールにだまされないよう注意する必要がある。一方で,企業が送った“正規”のメールであっても,フィッシング目的の偽メールに見える怪しいメールが少なくない。 メール・マガジンなどを顧客に送っているある企業の担当者は筆者にこぼした。「フィッシングが話題になっているために,ユーザーから『本当におたくが送ったメールなのか。フィッシングじゃないだろうな』といった問い合わせが多数寄せられるようになった」 “フィッシング全盛”の現在,ビジネスでメールを利用している企業は,メールの内容や利用方法を見直す必要がある。フィッシング目的と間違われるようなメールは,顧客をいたずらに不安がらせるとともに,その企業のセキュリティ
「このセキュリティ・ホールが狙われる」---米SANSが第2四半期版“危険リスト”を公開
セキュリティ組織の米SANS Instituteは米国時間7月26日,2005年第2四半期に公表されたセキュリティ・ホールの中で,特に危険なセキュリティ・ホールをリストアップした「Top New Vulnerabilities in Q2, 2005」を公表した。リストに含まれるセキュリティ・ホールは米Microsoft製品に関するものが6件,それ以外の製品が8件だった。リストを参考に,パッチなどをきちんと適用しているかどうか確認したい。 リストアップされているMicrosoft製品のセキュリティ・ホールは以下の6件。 Microsoft Internet Explorer Multiple Vulnerabilities (MS05-020/MS05-025) (関連記事1,関連記事2)Microsoft Exchange Server Extended Verb Overflow (M
「急増するSQLインジェクション攻撃,『データベース・セキュリティ』が一層重要に」---DBSCのセミナーより
「最近注目されている『SQLインジェクション攻撃』だが,決して新しいものではない。3~4年前から行われているので,『何をいまさら』というのが専門家の見方だ。ただし,2004年9~10月ごろから“使いやすい”攻撃ツールが公開されているために,SQLインジェクション攻撃が急増しているのは確かだ」――。ラックの代表取締役社長である三輪信雄氏などは7月25日,データベース・セキュリティ・コンソーシアム(DBSC)のセミナーにおいて,SQLインジェクション攻撃やデータベース・セキュリティについて解説した。 DBSCとは,データベースに関するセキュリティの議論や研究,情報発信を行うためのコンソーシアム。2005年2月に設立された。ラックの三輪氏が事務局長を務める。設立目的は,「データベース・セキュリティにかかわるさまざまな人々が集まれる場所を提供するため」(三輪氏)。 一口に“データベース・セキュリテ
米Microsoft,開発者にIE 7への準備を促す
米Microsoftが来週,Internet Explorer(IE) 7の最初のベータ版をテスターに対して公開する。これに伴って同社は,このベータ版への準備を開発者にさせようとしている。 IE 7は前バージョンよりも,Webサーバーに対して明確に違うものになるだろう。しかしながらMicrosoftは,「IE 7はIE 6のように扱われるべき」という。IE 7が異なるWebブラウザのように見える,という事実があるにもかかわらずだ。 「開発者は,自分のWebサイトがIE 7のユーザー・エージェント・ストリング(HTTPヘッダー)に対応しているか,IE 7をIE 6のように扱えるか,確認すべきである」。Microsoftのインターネット・プラットフォーム・アンド・セキュリティ・プロダクト・マネジメント・ディレクタのGary Schare氏は,最近eWeekにこう語った。「私たちは数カ月以内にそ
「あなたはスパムを送ってませんか?添付ファイルを開いて確認を」――F-Secureがウイルスの手口を紹介
「あなたはスパムを送ってませんか?添付ファイルを開いて確認を」――F-Secureがウイルスの手口を紹介 セキュリティ・ベンダーのフィンランドF-Secureは現地時間7月1日と2日,同社ブログ「News from the Lab」において,同社が最近受け取ったウイルス(正確にはトロイの木馬)添付メールを警告した。 メールには,英語で「あなたから大量のスパムが送られているようです。添付ファイルを開いて今すぐ確認してください。さもないと,あなたは会員ではなくなります」といった文章が書かれている。メールの差出人は「ネットワーク管理チーム(Network Administrator Team)」とされている。 メールに添付されている「report.log.exe」は,あるサイトから「キーロガー」や「バックドア」などをダウンロードしてインストールする,いわゆる「ダウンローダ」と呼ばれる悪質なプログ
Microsoft Updateへの移行が本格的に始まる
マイクロソフトはこのほど,Windows UpdateからMicrosoft Updateへの移行を本格的に開始した。Microsoft Updateでは,Windows OSだけでなくOffice製品やSQL Serverなどの修正モジュールが適用できる。 Microsoft Updateの運用は6月に始まっていたが,これまでは明示的にMicrosoft UpdateのサイトにアクセスしたユーザーだけがMicrosoft Updateに移行できた(既報)。7月に入ってからは,従来のWindows UpdateのサイトにMicrosoft Updateへのリンクが表示されるようになり,だれでもMicrosoft Updateに移行できるようになった。Windows Updateのサイトにアクセスすると,Microsoft Updateへのアップグレードを案内されるようになっている。正式なア
IEのパッチ未公開セキュリティ・ホールの影響を回避するツールがリリース
米Microsoftは米国時間7月5日,6月末に見つかったInternet Explorer(IE)のセキュリティ・ホールの影響を回避するツールを公開した(関連記事)。レジストリを変更して,セキュリティ・ホールを突いた攻撃を受けないようにする。セキュリティ・ホールに関する情報は6月30日にMicrosoftから公表されたものの,修正パッチは公開されていない。 今回のセキュリティ・ホールは,IEのCOMオブジェクトの呼び出しに関するもの。あるCOMオブジェクト(Javaprxy.dll)を呼び出すようなHTMLファイル(Webページ/HTMLメール)を開くと,IEが強制終了したり,ファイルに含まれる任意のプログラムを実行させられる可能性がある。実際,このセキュリティ・ホールを悪用するコード(プログラム)が公開されている(関連記事)。 現時点(7月6日14時)では,修正パッチは未公開。「Mic
【緊急インタビュー】SQLインジェクション攻撃に気づかない企業は山のようにある
7月6日、中国人留学生(27歳)が不正アクセス禁止法違反で逮捕された。「カカクコム」を含む14社のWebサイトから、52万件にのぼる個人情報を盗んだと見られている。その際に用いたのは「SQLインジェクション」と呼ぶ手口。この手口による被害は、企業Webサイトで急増している。その現状をラックの三輪信雄社長に聞いた。 Q SQLインジェクションによる攻撃が増えているのはなぜか。 A SQLインジェクションという手法自体は以前から知られているが、攻撃件数は2004年秋ごろから急増した。これは2004年10月ごろに、中国でSQLインジェクションを用いた攻撃用ツールが出回ったためだ。SQLインジェクション攻撃が可能な、脆弱性を抱えたサイトを調べるツールや、そういったサイトを簡単に攻撃できるツールなどが公開されたのだ。ツールの使い方さえ分かれば、Webサーバーの背後で動いているデータベースに不正なデー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
