「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ
フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱(ぜいじゃく)性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。 2つのプロセスはデータを交換するために、「プロセス間通信(IPC)」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。
Windowsのシンボリックリンクとジャンクションとハードリンクの違い
対象OS:Windows 2000/Windows XP/Windows Vista/Windows 7/Windows 8/Windows Server 2003/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012 解説 ●Windows OSで利用できるリンクの種類 Windows OSでは、ファイルやフォルダ名へのリンク(参照)を行う機能として、「ハードリンク」や「ジャンクション」「シンボリック・リンク」などがある。これらは同じような機能を提供しているが、例えば「フォルダへのリンク」と「ファイルへのリンク」の扱いが異なるなど、いくらか違いがある。ユーザーは用途に応じてこれらを使い分ける必要がある。 それぞれのリンクの特徴を表にまとめておく。
DNSの仕組みの基本を理解しよう
いきなりだが、2001年はDNS(Domain Name System)にとっては、当たり年ともいえる年だった。ニュースなどでも取り上げられているが、「日本語」や「多言語」ドメインという大きな構造変化がシステム全体に押し寄せ、ブロードバンド環境の広がりは、個人がドメインを取得して運用するための足掛かりともなった。 本連載では、ドメインの運用など、これからDNSと付き合おうとしている方々を対象に「DNSの概念や運用の考え方」を明らかにしていこう。ただし「BIND」など、DNSに関する具体的な製品の設定方法については触れない。詳しくは以下の記事もぜひ参考にしてほしい。 DNSはなぜ必要か? 最初に、「DNSとは何か」を説明するために、「なぜDNSが必要になるのか」を考えてみよう。それには、歴史的経緯から考えるのが分かりやすい。 DNSはご承知のとおり、IPアドレスとホスト名をマッピングして相互
第1回 暗号化の基礎
暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。今回は暗号化技術の基礎として、暗号化の基本、暗号の安全性、共通鍵暗号と公開鍵暗号について解説。 暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。ファイルやデータの暗号化の他、HTTPSや、無線LANにおけるWEP/WPA/TKIP/AESのようなセキュアな通信、証明書やデジタル署名、PKIなど、多くの場面で暗号化技術が使われている。今回からしばらくは、暗号化の基礎や共通鍵暗号、公開鍵暗号、証明書、PKIなどについて、IT Proの初心者向けに暗号化技術の基礎を解説していく。今回は、暗号化の基礎を解説する。 暗号化とは データを保護するだけなら、暗号化ではなく、「ファイルの許可属性(読み出し禁止などの属性)」や「アクセス制御(ACL)」などの方法もある。これらは、アクセスするユーザーに応じ
@IT:運用 Windows管理者のためのWindows Script Host入門 第1回 WSHの内部構造 1.Windows管理にWSHを活用しよう
管理作業では、決まりきった一連の処理を実行したり、同じ処理を繰り返したりすることが多い。WSHで自動化・省力化を図ろう。 ネットワーク管理者の毎日は憂鬱だ。新規のユーザーの追加やユーザー情報の変更、共有資源のメンテナンス、障害の原因追求など、仕事は次から次へと終わりがない。しかも実際の作業といったら、同じコマンドやツールを繰り返し実行したり、決まりきった一連のコマンドやツールを順に実行したりするだけのうんざりする内容だったりするものだ。 周知のとおり、WindowsのメリットはGUI環境だということだ。アプリケーションはもちろんのこと、Windows環境を管理する各種の管理ツールもGUI化されたことで、初心者管理者でも管理作業に手をつけられるようになった。グラフィカル・アプリケーションのユーザーは、メニューやダイアログの表示により、自分にどのような操作が許されているのか(許されていないのか
PowerShell的システム管理入門 第1回 PowerShellの概要 − @IT
コマンド・プロンプトやWSHスクリプトはもう古い!? これからのWindowsシステム管理はPowerShellでスマートに片付けよう。 連載目次 Windows PowerShell(以下PowerShellと表記)は、コマンド・プロンプトに代わってWindowsを管理するための新しいシェルとして開発され、Ver.1.0が2006年に、Ver.2.0が2009年にリリースされた。PowerShellはクライアントOS(Windows XP/Vista/7)とサーバOS(Windows Server 2003/Server 2008/Server 2008 R2)のいずれでも動作する。 PowerShellについてはすでに本フォーラムでも何度か記事を掲載しているが(関連記事参照)、本連載ではより進んだ活用方法として、PowerShellを用いたシステム管理について解説していく。毎回テーマを
第4回 iPhone/iPod touch(iOS 5)の無線LAN設定
無線LANの手動設定 無線LANの設定はたいていの場合、前ページで述べたような自動的な設定方法で十分だろう。表示されたSSIDから目的のネットワークを選択し、パスワードを入力するだけである。だがSSIDを秘匿してある場合や、特定のセキュリティ・メカニズム(WPA2やWEPなど)を使いたい場合は手動で設定することも可能である。そのためには、無線LANの一覧が表示された画面において、一番下に表示されている「その他」をタップする。すると次のような画面が表示されるので、必要な情報(SSIDやセキュリティの種類、パスワードなど)を個別に入力する。 手動接続 これはSSIDの一覧から「その他」を選択して表示された画面。SSIDやパスワード、WPA2やWEPといったセキュリティ・メカニズムなどを指定して、手動で無線LANネットワークに接続することもできる。 (1)SSID文字列を入力する。 (2)選択し
単純ではない、最新「クロスサイトスクリプティング」事情
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
Windowsで.MSIファイルを解凍して内部のファイルを取り出す(msiexec編)
解説 .MSIファイルは、Windowsアプリケーションや修正プログラムの配布などで使用される、インストール・イメージ用のファイル形式である。この中には、.EXE実行ファイルやDLL、リソース、レジストリや各種セットアップ情報などが含まれている。アプリケーションのインストーラ(セットアップ・プログラム)は、この.MSIファイルからファイルや設定情報を取り出し、システムにコピー/セットアップする。.MSIファイルの作成はWindows SDKに含まれるWindows Installer(旧称Microsoft Installer)で行う。 .MSIファイルは一般的にはセットアップ・プログラムが参照するものであり、ユーザーが直接操作するものではない(比較的小規模なプログラムやツールでは、.msiファイルの形で直接配布されていることもある)。だが場合によっては、システムにアプリケーションをインス
SFCコマンドでdllcacheフォルダのデフォルト・サイズを小さくする - @IT
Windows XPやWindows Server 2003では、セキュリティ修正プログラムの適用失敗やディスク・エラーなどによるシステム・ファイルの不整合や損傷を修復するWindowsファイル保護(WFP:Windows File Protection)」と呼ばれる機能が実装されている。システム・ファイルは、%systemroot%\system32\dllcacheフォルダにも保存されており、不整合や損傷などを検知すると、このフォルダから正しいファイルがシステム・フォルダにコピーされる仕組みとなっている(WFPについては関連TIPS記事も参照)。 このフォルダはデフォルトで400Mbytesも確保されており、さらにハードディスクの空き容量が600Mbytes+ページ・ファイルの最大サイズになるまで、システム・ファイルをキャッシュし続けるようになっている。修正プログラムが適用されるなどす
WindowsのSFCコマンドでシステムファイルの不整合や破損を修復する
解説 セキュリティ修正プログラムの適用失敗やディスク・エラーなどにより、システム・ファイルの不整合や損傷が起きることがある。また誤ってシステム・ファイルを移動してしまったり、削除してしまったりすることもある。システム・ファイルが損傷すると、システムが不安定になり、ブルースクリーンが発生するなどの深刻な事態に陥ることもある。 Windows 2000以降のWindows OSには、Windowsファイル保護(WFP:Windows File Protection)」と呼ばれる、保護対象のシステム・ファイルに不整合や破損が起きた場合、自動的に修復する機能が実装されている。この機能により、一般のアプリケーションがシステム・ファイルの変更を行えないようにもなっている。これは、一般のアプリケーションが、システム・ファイルを上書きして、システムやほかのアプリケーションに影響を与えるのを防止するためだ。
.NET Frameworkのバージョンを整理する
対象ソフトウェア:Windows Vista/Windows 7/Windows 8/Windows 8.1/Windows 10、Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2/Windows Server 2016、.NET Framework 1.0/1.1/2.0/3.0/3.5/4/4.5/4.5.1/4.5.2/4.6/4.6.1/4.6.1/4.7/4.7.1 .NET Framework対応アプリケーション(.NETアプリケーション)を利用するには、対象コンピュータに.NET Frameworkを展開(インストール)する必要がある。 この展開作業における厄介な問題の一つは、.NET Frameworkに何種類ものバージョンがあって混乱しやすいことだ。展
ウイルス保管容疑で男逮捕、改正刑法で初摘発 - @IT
2011/07/21 P2Pファイル共有ソフト「Share」ユーザーに感染させる目的でウイルスをPCに保管していたとして、警視庁は7月21日、不正指令電磁的記録保管容疑で岐阜県大垣市の無職の男(38)を現行犯逮捕したと発表した。 ウイルス作成罪などを盛り込んだ改正刑法が14日に施行されて以来、初の摘発となる。 警視庁によると、男は17日、他人のPCに感染させる目的で、ウイルスを自宅PCに保管していた疑いがある。ウイルスは男が作成したもので、児童ポルノを思わせるファイル名を付けてShareに流していたという。「Shareで児童ポルノを流しているユーザーをこらしめたかった」などと供述しているという。 警視庁はShareによる著作権法違反の疑いで男の自宅を家宅捜索した際、ウイルスが見つかったため現行犯逮捕した。ウイルス自体の作成は改正刑法施行前だったため、ウイルス作成容疑は適用されなかった。 W
NICTのNTPサーバで1月23日に障害、誤った時刻を配信 - @IT
2011/01/28 情報通信研究機構(NICT)は、インターネットエクスチェンジポイント(IX)で運用しているNTPサーバで、1月23日に2回にわたって誤った時刻を送出したことを明らかにした。 NTPはインターネットを介してPCの時刻を調整するためのプロトコルだ。NTPサーバは、stratum 1というNTPサーバを頂点に階層的な構造をなしており、下位のサーバは同じ階層内か、1つ上の階層のNTPにアクセスし、時刻を同期させていく。これにより、負荷の集中を防ぎながら時刻同期の精度を高める仕組みだ。 NICTでは日本標準時に直結したNTPサーバ(stratum 1)を運用している。2010年2月からはこれに加え、時刻配信の精度と信頼性の向上を目的に、IXに直結したNTPサーバの運用を開始した。今回障害が発生したのは、このIX側のNTPサーバだ。 NICTによると、1回目の障害は10時19分か
なぜTwitterは低遅延のままスケールできたのか 秒間120万つぶやきを処理、Twitterシステムの“今” − @IT
ユーザー同士のつながりを元に時系列に140文字のメッセージを20個ほど表示する――。Twitterのサービスは、文字にしてしまうと実にシンプルだが、背後には非常に大きな技術的チャレンジが横たわっている。つぶやき数は月間10億件を突破、Twitterを流れるメッセージ数は秒間120万にも達し、ユーザー同士のつながりを表すソーシャル・グラフですらメモリに載る量を超えている。途方もないスケールのデータをつないでいるにも関わらず、0.1秒以下でWebページの表示を完了させなければならない。そのために各データストレージは1~5ms程度で応答しなければならない。 Twitterのリスト機能の実装でプロジェクトリーダーを務めたこともあるNick Kallen氏が来日し、2010年4月19日から2日間の予定で開催中の「QCon Tokyo 2010」で基調講演を行った。「Data Architecture
Webのバグを燃やしまくるFirebugと、そのアドオン7選
Webのバグを燃やしまくるFirebugと、そのアドオン7選:ユカイ、ツーカイ、カイハツ環境!(10)(1/3 ページ) 高度化するWebのデバッグに悩む人、必見! 近年、Google Chrome、Firefox、Safari、Opera、Internet Explorer(以下、IE)がJavaScriptの実行速度の最速の座を争っていますが、それに伴いJavaScriptによるフレームワークやコンポーネントが多数出現し、Webブラウザのユーザビリティは飛躍的に向上してきました。 一方で、開発者/デザイナにとっては複雑化するWebアプリケーションのデバッグが悩みの種となってきています。そんなときにお勧めなのが、Firefox上で動作するアドオン「Firebug」です。これを利用すれば、デバッグがかなり効率的に行えます。 本稿では、Firefoxのアドオンとして利用するFirebugと、
「アーリー・アダプター」は要らない
ITの世界は英語ばかりだ。よく日本企業のIT利用が遅れていると指摘されるが、言葉の壁がなかったら状況はかなり違っていた可能性があるのではないかと思うことがしばしばある。 製品や技術のことを理解するのに資料は英語ばかりで、それも販売促進資料になるとごまかすような表現が常用されているので、事実を確認するのに膨大な時間と手間を要することがある。「(製品における)○○のサポート」という言葉1つをとってもそうだ。○○にどう対応するのか? どこまで対応するのか? まあ、これについては英語を母国語とする人も同じように感じるはずだ。 それはなんとかがまんするとしても、日本のIT業界には、顧客やプレス関係者との日本語による会話やプレゼンテーションに、妙に英語(カタカナ語)を挟みたがる人がいて、辟易(へきえき)させられる。ちょっと前だが、あるIT関連企業の人が顧客向けの製品紹介で「イージー・オブ・ユーズ」と、
非プログラマのためのプログラミング講座 - @IT
鳥人間 郷田まり子 2009/9/10 非プログラマのためのプログラミング講座。MITが作った「Scratch」を使って、ねとらぼのITちゃんに枕投げをさせるまでを解説する ITちゃんに枕投げの相手をしてもらうまで 「プログラミング」というと、皆さんはどのようなイメージをお持ちでしょうか。 便利そうだけど専門知識が必要なうえに英語だらけで、自分には無理。そう思われている方は下の図を見てください。 これはイギリスの小学生が、今回解説する「Scratch」というソフトで作った、立派な「目覚ましプログラム」です。 この短いプログラムには、どのプログラムにも共通する基礎が詰まっているのですが、全く予備知識のない方でも、これがどのような機能を持つか大体見当がつくと思います。 プログラムの基礎を理解し、コンピュータをより自由に操れるようになるということは、すべての人にとってとても大きな力となります。絵
「個人情報」とは何でしょうか
また、これを受けて、各省庁においても業界ごとのガイドラインの策定・公開が進められています。業界ごとのガイドラインには、より具体的な例示などが盛り込まれていますが、基本的な理解をしておくことが重要です。 今回は、個人情報保護法を抜粋しつつ、法でいうところの「個人情報」について、経済産業省のガイドラインを参照しながら解説していきます。 個人情報保護法とは (目的) 第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の順守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。 高度情報通信社会とあるように
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TCP/IP入門