正しく管理されていないLinuxにセキュリティなどないに等しい。しかし、どこから手をつければよいかすら分からない人も多いだろう。本連載ではLinuxのセキュリティ対策をインストール時点からファイアウォールやIDSの構築、ログ管理まで解説していく。 終わらないセキュリティ対策の世界 Linuxは現在、インターネットサーバOSとして注目されています。特に初期コストを抑えてネットワークを構築したい場合にLinuxは有効ですが、適切なセキュリティ対策が施されずに公開され、クラッキングなどの被害に遭っているところも多々見受けられます。 インターネットの世界には、クラッカーと呼ばれる悪質なネット利用者もいますし、最近では彼らが開発した(?)ワームにも注意する必要があります。万が一これらのえじきとなった場合、Webページを改ざんされたり踏み台にされて人様に迷惑をかけてしまうかもしれません。企業としてはイ
Windowsの各種ユーザーアカウントのパスワードを解析して表示することができるオープンソースソフト「Ophcrack」を使ってみました。Windows Vistaにも対応しており、総当たりで解析するのではないため、非常に素早く解析できるのが特徴。数分程度の時間で解析できてしまいます。今回の実験ではジャスト3分でAdministratorのパスワードが表示されてしまいました、ショック。 通常はISOイメージをCDに焼いてCDブートで起動するのですが、今回はUSBメモリから起動してみました。実際に起動してから終了するまでの様子のムービーもあります。 というわけで使い方などの解説は以下から。 ※あくまでも自分のパスワードの弱さをチェックするためのソフトなので、使用する際には自己責任でお願いします Ophcrack http://ophcrack.sourceforge.net/ ダウンロードは
「JavaScript乗っ取り」の問題は各種のAjaxフレームワークに広く存在するとFortifyは指摘。直ちに防止策を取るべきだと勧告している。 セキュリティ企業のFortify Softwareは4月2日、Web 2.0とAjaxのセキュリティ問題について解説したアドバイザリーを公開した。 Fortifyによると、「JavaScript乗っ取り」(JavaScript Hijacking)と呼ばれるこの問題では、Web 2.0アプリケーションにアクセスするユーザーを装った攻撃者が、JavaScriptを使ってアプリケーションとブラウザの間でやり取りされる重要情報を読むことができてしまう。 問題は各種のAjaxフレームワークに広く存在しており、悪用されるとマルウェアを使って企業の社外秘情報にアクセスされる恐れもあるという。 同社はGoogle、Microsoft、Yahoo!、オープンソ
米IBMは6月22日(現地時間)、企業システムで利用されるアプリケーションのセキュリティを強化するソフトウェア・ツール群を無償公開した。同社によれば、アプリケーション開発者が最も関心を寄せている問題がセキュリティであり、米国企業の60%が物理的な犯罪対策よりも、オンライン経由でのサイバーアタック対策により多くのコストがかかると考えているそうだ。このアプリケーション開発のセキュリティ対策にかかる手間を軽減することで企業のITコストを削減するのが、今回提供するソフトウェアの狙いだという。 提供されるツールの1つ「IBM Secure Shell Library for Java」は、Java向けの暗号化通信ライブラリで、ネットワーク上でのコンピュータ間の通信を自動的に暗号化し、盗聴などによる情報漏えいを防ぐ。特に社内LAN上の通信などにおいて、IDやパスワード、個人情報といった重要なデータがプ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
「Windowsマシンへの不正アクセスを発見」---そのとき,どうする? Windowsにおける証拠保全の具体的手順 自分が管理するシステムにおいて不正アクセスを見つけた場合,まずなすべきことは証拠保全である。影響範囲や原因を特定するためには,その時点でのシステムの状態をきちんと記録/保存しておかなければならない。 証拠保全の手順などについては,インターネット上で関連する情報を見つけられるし,関連書籍も複数発刊されている。しかしながら,具体的な作業例はUNIX系のOSについて書かれているものがほとんどで,Windows OSについてはあまり情報がない。特に,日本語で書かれた情報はほとんど見かけない。 そこで本稿では,Windowsマシン上で不正アクセスが見つかった場合の対処法を紹介したい。特に,失われやすい情報(揮発性の高いデータ)の証拠保全に焦点を絞って順を追って解説する。揮発性の高いデ
ウイルスなどからパソコンを守ってくれるアンチウイルスソフトウェア。気になるのは実際のところどれぐらい防御してくれるのか?ということ。 というわけで、14万7184種類のウイルスを用意し、各社のアンチウイルスソフトウェアの設定をデフォルトではなく、機能の許す限り「最高」の防御レベルにまで引き上げた上で実験した結果です。果たしてどのアンチウイルスソフトウェアが1位なのでしょうか…? なお、有名どころだと、マカフィーは13位、ノートンは22位、ウイルスバスターは海外ではPC-Cillinという名前で27位です。 Antivirus programs and protection guide, virus info, antivirus tests, Free Antivirus Tools! ベスト10は以下の通り。 1位. Kaspersky version 6.0.0.303 - 99.62
SecTools.Org: Top 125 Network Security Tools For more than a decade, the Nmap Project has been cataloguing the network security community's favorite tools. In 2011 this site became much more dynamic, offering ratings, reviews, searching, sorting, and a new tool suggestion form. This site allows open source and commercial tools on any platform, except those tools that we maintain (such as the Nmap
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く