「人がいない」「予算がない」でやりたくてもやれない脆弱性検査を実施するための現実的な施策とは:「優れたセキュリティ人材はめったに見つからない」は間違い 脆弱性の存在を把握し、対処することが重要だとは分かっていても、肝心の脆弱性検査を実施できる人がいない――そんな状況につけ込むサイバー攻撃が増えている。脆弱性検査を行えるスキルを持った人材を育て、根本的に問題を解決するため、CompTIAでは新たな資格を設けた。 「4~5年前までは、セキュリティに関して日本の大手企業の方々と話しても、『弊社はそんなに深刻な問題がないので大丈夫』と言われることも珍しくなかった。けれど今や、その状況は大きく変わっている」――IT業界団体のCompTIAでチーフ・サーティフィケーション・エバンジェリストを務めるジェームス・スタンガー氏は、このように指摘した。 まず、この数年でIT環境は大きく変わった。クラウドサービ
2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。 ここでは関連情報をまとめます。 確認されている被害事象 (1) ルーターの設定情報が改ざんされる ルーター内部に設定されたDNS情報が改ざんされる。 DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。 (2) マルウェア配布サイトへ誘導される 改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。 一部サイト(Twitter,Facebookなど)は正規のIPアドレスが返されサイトへ接続できる。 誘導先の配布サイトではマルウェアのインストールを促す
「セキュリティ対策はシステム開発で不可欠だが、設計書でうまく表現できている開発現場はまだ少ない」――。 ラックの永井英徳氏(エンタープライズ・セキュリティサービス事業部セキュリティディレクションサービス部長 兼 第一グループ部長)はこう指摘する。よく見られるのが、「クロスサイトスクリプティングの脅威には、Aフレームワークを利用することで対処する」などと、個別の脅威ごとに対策を記述するケースという。しかしこれでは、「システム全体として必要なセキュリティ対策を網羅できているのか判断しにくい」(永井氏)。 とはいえ、機能に関する設計書に、想定しうるあらゆる脅威の内容と対策を書き込むのも問題だ。記述が膨大になり、読みにくい設計書になってしまう。後工程の開発メンバーの作業ミスを招く恐れがある。セキュリティ要件が変わったときの修正作業の負荷も大きい。 このような問題意識のもと、ラックの永井氏は、セキュ
最近お腹まわりのお肉が気になってきたキタムラです。こんにちは。秋って食べ物美味しくてやばいですね! さて、今回はWordpressのセキュリティについてのおハナシです。 実は、WordPressで運営されているウェブサイトやブログの多くは、そのユーザー名を誰でも簡単に調べることができちゃいます。 かといって、Twitter や Instagram なんかはユーザー名が公開されているので、それと同じ感覚なら問題ないっちゃ問題ないのかもしれません。 ぼくは、隠せるなら隠したいタイプなので対処しています。 気になった方はスクロールして読んで下さい。特に気にならない方はそのまま記事を閉じてくださいね。 試しにユーザー名が「わかるのか」かやってみよう自分のウェブサイトやブログのトップページを表示させて、アドレスバーのURLの末尾に /?author=1 をコピペして「Enter / Return」を
よく訓練されたアップル信者、都元です。「認証 認可」でググると保育園の話が山程出て来ます。が、今日は保育園の話ではありません。そちらを期待した方はごめんなさい。こちらからお帰りください。 さて、先日のDevelopers.IO 2016において、マイクロWebアプリケーションというテーマでお話させて頂きました。一言で言うと OAuth 2.0 と OpenID Connect 1.0 のお話だったのですが、これらを理解するにあたっては「認証」と「認可」をはっきりと別のものとしてクッキリと認識する必要があります。 まず、ざっくりとした理解 認証と認可は密接に絡み合っている一方で全く別の概念です。正直、理解は簡単ではないと思います。 まず「認証」は英語では Authentication と言います。長いので略して AuthN と書いたりすることもあります。意味としては 通信の相手が誰(何)であ
2016 年 1 月 12 日(米国時間)を過ぎると Microsoft 社が提供するウェブブラウザ「Internet Explorer」(以後、IE)のサポート対象が“各 Windows OS で利用可能な最新版のみ”にポリシーが変更されます(*1)。サポート対象外となる IE は、セキュリティ更新プログラムが提供されなくなるため、新たな脆弱性が発見されても解消することができません。脆弱性が見つかり攻撃者がそれを悪用すると、ウイルス感染により「ブラウザを正常に利用できなくなる」ほか「情報が漏えいする」などの被害に遭うおそれがあり(図1)、早急なバージョンアップが求められます(*2)。 図1:IE のバージョンごとの影響(イメージ) 1. IE の脆弱性 IPA が運営する脆弱性対策情報データベース JVN iPedia(*3)に登録されている IE 7 から IE 10 までの脆弱性対策
Hewlett-Packard(HP)の研究チームが、「Internet Explorer(IE)」の脆弱性を攻撃できるエクスプロイトコードを公開した。Microsoftがパッチ公開を拒否したことを受けての措置だ。 HPのシニアセキュリティコンテンツデベロッパーDustin Childs氏はブログ投稿において、コードの公開は「あてつけや悪意」によるものではなく、HPの情報開示ポリシーにのっとった措置だと説明している。 「われわれとのやりとりの中で、Microsoftは今回の研究結果に対策を講じる予定がないことを認めたため、この情報を公表する必要性を感じた」とChilds氏は述べている。Microsoftは2015年、この脆弱性を発見した同チームに12万5000ドルの報奨金を授与した(報奨金はのちに寄付された)にもかかわらず、脆弱性の修正は行わないようだ。 攻撃者はこの脆弱性を利用することで
(Last Updated On: 2019年2月18日)入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか?を理解していない方も見かけますが「ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション」の効果と拡張方法を見れば解るのではないでしょうか? ソフトウェア開発者が知っておくべきセキュリティの定義/標準/ガイドで紹介しているセキュリティガイドラインでは入力バリデーションが最も重要なセキュリティ対策であるとしています。 厳格な入力バリデーションを行うと、開発者が意識しなくても、非常に多くの脆弱性を利用した攻撃を防止できます。今回は比較的緩い入力バリデーション関数でも、ほとんどのインジェクション攻撃を防止できることを紹介します。 重要:セキュア/防御的プログラミングでは入力と出力のセキュリティ対策は”独立”した対策です。ど
.@tetsutalow 巧妙ではありますが、プロ意識は低いと言わざる得ません。ドメインチェックは勿論、突然添付メールを送るにしては内容が簡素過ぎですので、セキュリティ意識が高い企業なら開封前に先方に確認に電話は入れます。常に狙われている前提で職員の方は対応して欲しいと思います。
通信の内容を暗号化するHTTPS接続に使われているTLSプロトコルに、また重大な脆弱性が見つかった。3月に発覚したSSL/TLS実装の脆弱性「FREAK」に似ているが、今回の脆弱性はTLS自体に存在し、主要なWebブラウザや電子メールサーバなどに広範な影響が及ぶという。 今回発覚した脆弱性は「Logjam」と命名され、解説サイトが公開された。それによると、TLSでセキュアな接続を確立するための暗号アリゴリズム「Diffie-Hellman(DH)鍵交換」に脆弱性がある。同アルゴリズムはHTTPS、SSH、IPsec、SMTPSなど多数のプロトコルに使われている。 この脆弱性を悪用された場合、通信に割り込む中間者攻撃を仕掛けてTLS接続を512ビットの輸出グレード暗号に格下げさせ、通信の内容を攻撃者が傍受したり改ざんしたりすることが可能とされる。 脆弱性は「DHE_EXPORT」の暗号スイー
【ルチアーノショー寄稿ブログ】 最初は連載もので書き始めたものの、最終的には第1章から第5章に分け1つのブログにまとめた。 永久満足版だ。 通常ネットワークセキュリティについて語ると本3冊(上中下)くらい複雑なので長編ご容赦願いたい。 セキュリティが不安になって夜も眠れなくなった方は、最後の結論をまずはお読みくださいな。 ■第1章 秩序型ハッカーに見られる正義 企業(特に大手)とメールのやり取りをしていると、暗号化した添付ファイルとそれを開くためのパスワード(平文)が別便で送られてくることがよくある。 上場企業なら半数くらいだろうか。 意味ないからヤメテ。 意味がないだけならいい。受け取る側がめんどくさいことさえ我慢すればいいから。 問題は、インターネットの仕組みを知らないことを宣言しているようなもので、むしろ危険なんじゃないかと思う。 「うちには番犬もいなければ、銃もありません。玄関の鍵
Windows用の人気圧縮解凍ソフト「Lhaplus」に脆弱性が発見され、最新版へのアップデートが推奨されています(JVN#02527990 Lhaplus におけるディレクトリトラバーサルの脆弱性、JVN#12329472 Lhaplus において任意のコードを実行される脆弱性マイナビニュース)。 ディレクトリトラバーサルの脆弱性では「名前を細工されたファイルを展開することで、任意のファイルを作成されたり既存のファイルを上書きされたりする可能性」が、任意のコードを実行される脆弱性では「細工されたファイルを展開することで、任意のコードを実行される可能性」が指摘されています。 Lhaplus公式サイトでは、これら脆弱性に対応した最新版「Lhaplus Version 1.72」(2015/04/08更新)が提供されていますので、Lhaplusユーザーは速やかに最新版に更新したほうが良いでしょ
昨日 HTTPS 化した シャンプー評価サイト のSSL評価をA+にしました。 参考にしたのは下の記事 HTTPS on Nginx: From Zero to A+ (Part 2) - Configuration, Ciphersuites, and Performance - Julian Simioni この記事のNginx証明書設定をPOSTDさんが翻訳しているので、近いうちに詳しい訳は日本語で読めるかも。ここでは適当にかいつまんだ手順を書いておく。一部時間のかかるコマンドもあるけど、基本的に決まった設定書くだけなので時間はかかりません。(もちろんどういう意味なのか知っておくに越したことはない) SSLの評価計測について SSLサーバーのテストはQualys SSL Reportで確認します。 Nginxデフォルトの設定で計測したらCだった。 SSLv3 を無効にする SSLv3
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く