内閣官房情報セキュリティセンター(NISC)は2010年6月17日、各府省庁に対して、Internet Explorer 6(IE6)からInternet Explorer 8(IE8)への移行を推奨したことを明らかにした。 IE6は、2001年8月にリリースされたWebブラウザー。最近では、セキュリティや互換性の問題が頻発。例えば2010年1月には、IE6だけを狙った攻撃が確認されている。このためマイクロソフトなどでは、IE6のユーザーに対して、最新版IE8への移行を推奨(図)。グーグルなどのWebサービス提供者は、IE6への対応を順次打ち切っている。 しかしながらNISCによれば、中央省庁の中には、バージョンアップすることなくIE6を使い続けているところがあるという。組織内のシステム(Webアプリケーション)を、IE6用に構築しているためだ。IE8に移行するとなると、既存システムがIE
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っ
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
ある日,プロジェクトでチームリーダーを務めている高野氏は不測の事態に遭遇し,一人ひそかに青くなっていた… このプロジェクトは,あるユーザー企業で大規模Webアプリケーションの開発に取り組んできた。開発言語は「Ruby」,フレームワークとして「Ruby on Rails」(RoR),データベースには「MySQL」を採用。これをRed Hat系Linuxである「CentOS」上に配備して動作させる想定だ。 既に開発フェーズに入り,メンバー各自が社用PCにJavaの開発環境である「NetBeans」などをインストールし,開発作業を進めていた。OSは基本的にWindows XPで統一されている。しかしながら,開発環境はNetBeansだけでなく「Eclipse」や単なるエディタを使ったものなど,バラエティに富んでいる。 プロジェクトのキックオフから7カ月たった時点まで,プロジェクトの常としてある程
無数にある脅威や世界規模で広がり続けるウィルス、Windows PCのセキュリティー確保にはいつも頭を悩ませられますが、だからといってWindowsセキュリティーにお金を投じる必要はあるのか?、というのが今回のお話です。 今回のお話は「これが正しい」という結論付けではなく、あくまでも一つの意見ですので、いろんな意見を聞かせて頂けるとうれしいです。 『Microsoft Security Essentials』は、優秀なアンチウイルスアプリである。 『Microsoft Security Essentials』のリリースによってアンチウイルスソフトはあるべき姿を変えた、と言っても過言ではないかと思います。ついに我々は、システムパフォーマンスを犠牲にせずにウイルス、スパイウェア、その他のマルウェアからパソコンを守ってくれるフリーアプリを手に入れたのです。このアプリはパソコンのスピードをほとんど
Blogやオンラインショッピング、SNSなど、利用の際にログインが必要とされるWebサービスは多い。個人情報保護のため、これらに使用するパスワードはすべて異なるものを使うべきなのだが、現実問題としてそのように多くのパスワードを覚えておくのは大変である。そこで活用したいのが、パスワードをWebブラウザ側で一括管理できるパスワードマネージャである。今回紹介する「LastPass Password Manager」は、Webサービスとの連携により、複数のPC/Webブラウザ間でのパスワード同期機能を備えるパスワードマネージャだ。 LastPassはLastPassが提供する無償のパスワード管理・同期サービスで、Internet ExplorerおよびFirefox(Windows/Mac OS X/Linux)向けプラグイン/拡張機能、そして有償ではあるがiPhoneやBlackBerry、Wi
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
独立行政法人 情報処理推進機構ソフトウェア・エンジニアリング・センター(IPA/SEC)は9月11日、「信頼性自己診断ツール」を公開した。このツールによって、情報システムの供給者と利用者の双方がシステムの安全性や信頼性に関する作業の実施状況を診断できるという。 信頼性自己診断ツールは、9月4日に経済産業省が発表した「情報システムの信頼性向上に関する評価指標」に準拠した初めてのツール。重要インフラシステムや企業の基幹システムを主な診断対象としており、全82問の質問に答えることでシステムの信頼性を確認できる。 質問分野は「信頼性・安全性向上に向けての全般的配慮事項」「企画・要件定義・開発及び保守・運用全体における事項」「技術に関する事項」「人・組織に関する事項」「商習慣・契約・法的要素に関する事項」の5つに分かれている。診断結果を棒グラフで表示するとともに、全回答を14個の診断項目に配分し、そ
無線LANセキュリティ技術として利用されているWPAだが、より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。 日本の2人の研究者の発表によれば、同氏らが開発した手法を使えばWPAを利用したいかなるシステムであっても、1分とかからずに突破が可能だという。WPAの前身となるWEPの解読が数秒程度で可能なことはすでに知られているが、WPAもまたその脆弱性が明らかになりつつあるようだ。 今回の研究を発表したのは広島大学の大東俊博氏と神戸大学の森井昌克氏の2名で、8月6-7日に台湾で開催されたJWIS 2009 (Joint Workshop on Information Security 2009)の学会でその詳細が公開されている。JWIS 2009のサイトでその論文「A Practical Message Falsification Attack on WPA 」の内容が
文:Don Reisinger(Special to CNET News.com) 翻訳校正:村上雅章・野崎裕子 2009-06-03 08:00 ウェブサーフィンを安全に行うということは極めて重要であるものの、安全さと快適さは時に相反する場合がある。しかしFirefoxのユーザーであれば、セキュリティを強化するアドオンをインストールしておくことで、ワームやハッカー、フィッシング詐欺といった脅威に備えることができるのだ。 ただし、こういったアドオンをインストールしたからと言って、絶対に安全であるとは言いきれないという点は述べておく必要がある。信頼できるサイトのみを訪問し、出所の不明なファイルをダウンロードしないということを常に心がけてほしい。 #1:BetterPrivacy BetterPrivacyを使用することで、有効期限が長く、削除されないトラッキングクッキーの脅威から身を守ること
米Comodo Security Solutions, Inc.は13日(現地時間)、フリーの統合セキュリティソフト「COMODO Internet Security」v3.9.95478.509を公開した。本バージョンでは、有志らによるメニューなどの翻訳が行われ、新たに日本語をはじめとする19カ国語に対応した。編集部にて試用したところ、メイン画面の一部の説明文やヘルプファイルが英語表記であるほかは、ほぼすべての項目が日本語化されており、利用の際のハードルが非常に低くなっている。 「COMODO Internet Security」は、ウイルス対策機能やファイヤーウォール機能などを備えた統合セキュリティソフト。とくにファイヤーウォール機能には定評があり、ファイヤーウォールの性能を測る海外のコンテストでも常に上位にランクインしている。 また、ウイルス対策機能としては、常駐監視や手動によるウイ
PDFといえば、誰もが知るAdobeによって開発された電子文書のためのフォーマットです。作成したドキュメントは異なる環境のコンピュータでも元のレイアウトどおりに表示することができるため、幅広いところで使用されています。中にはPDFの内容を秘密にしておきたいものもあり、パスワード保護をしている場合もあるだろう。 しかし、そんなパスワード保護をかけたものに限ってパスワードを忘れてしまうなんてことはよくあることだ。このような時に役立つのが今回紹介するPDFCrackです。PDFCrackはPDFのパスワードクラックをしてくれるソフトウェアで、総当たり(ブルートフォース)でパスワードを解析してくれます。 「PDFCrack」でのパスワードを解析する方法! 1、PDFCrackのHPにアクセスして、右側にある「Download(pdfcrack-0.11.zip, 630k)」からPDFCrackを
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
会社や学校などの出先マシンから自宅マシンを遠隔操作したり、自宅マシン内のファイルを取り出すために便利なツール「WallCooler VPN」がリリースされた。ルーターやPFWなどの設定が不要な点と、全ての通信が暗号化されるため盗聴されない点が長所だ。 「WallCooler VPN」は、例えば自宅と会社といったように離れた場所にある複数台のマシンを、仮想的に同じ家庭内LANに配置するツールだ。リモートデスクトップによる遠隔操作、共有フォルダによるファイルアクセスなどを行うことができるようになる。Skypeなどと同様の仕組みで接続を行うため、ルーターやPFWなどの設定を行う必要なしに、基本的に全ての環境で利用可能だ。しかも通信が暗号化されるため、ホットスポットなどで利用しても、例えば遠隔操作中にデスクトップ画面、ファイル転送時に転送しているファイルを盗まれる危険がない。リモートデスクトップを
みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「危険な文字列の検出」「安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか(このルールを符号化方式あるいは文字エンコーディングと言います)に注意しなければならないこともあるでしょう。攻撃者は巧みに文字
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く