@IT編集部のセミナーに出てきました 3月2日に、@IT編集部主催の「@IT セキュリティソリューション Live! in Tokyo」にて、NTTデータ先端技術の辻さんとインターネットイニシアティブの根岸さんとともに、ランチセッションに出演してきました。辻さん&根岸さんのトークに絡ませてもらい、あっという間にランチセッションは楽しく終了しました。 事前の準備中はあれだけいろいろと話そうと思っていたのに、いざ始まると時間が足りないくらい盛り上がりました。ちょっと物足りないと思うくらいがいいのかもしれませんね。その会場で使った、2002年と2012年付近の出来事を示した資料がこちらです。 私はちょうど10年前の2002年にラックに入社しました。振り返ってみればあっという間の10年の社会人生活です。こうしてみると、いろんなインシデントがリアル世界とサイバーの世界で起こっていたんだなと懐かしくな
第34回と第35回では、「Windows Sysinternals」のツールを使って自動実行の設定や通信の状況から怪しいプログラムを探す方法を紹介しました。今回はプロセスそのものを見張る方法を紹介します。 プロセスのファイル・レジストリアクセス状況からウイルスやスパイウェアを探る 今回紹介するのはプロセスの挙動からウイルスやスパイウェアを探る方法ですが、この方法は少々難解で、非常に手間がかかります。そのため、第34回と第35回の方法でターゲットをある程度絞込み、怪しいプログラムの目星をつけてから実行することをお奨めします。 プロセスの挙動、ファイルやレジストリへのアクセスの状況を見るには、Windows Sysinternalsの中の「Process Monitor」を使います。Process Monitorを起動すると、動作しているプロセスの挙動を記録し始めます。 PCでは、システムプロ
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
2007.03.22 SQLインジェクション対策~PHP(Perl)+PostgreSQL+JavaScript=Ajax~ カテゴリ:PHP 今日も引き続き開発を行なっていたのですが、データベース絡みの開発で気をつけないといけないのがSQLインジェクションです。 簡単に説明すると、入力フォームにSQLを書かれて、データベースをいじられてしまう事。(だと思ってます POSTやGETの値を信じてはいけないというのは、そんな事が関係しているのです。 で、SQLインジェクションを防ぐ為には特殊文字をエスケープしてあげる必要があるのです。PHPにはSQLのエスケープ関数があり、以前よく使われていたのが 「addslashes()」 なのですが、何でも今では推奨されていないとか(不具合があるとかないとか PostgreSQLを使用している場合に推奨されているエスケープ関数は 「pg_escape_s
前回の記事でSQLインジェクションの話は終わりにして、クロスサイトスクリプティングの話を書かせて頂こうと思っていました。しかし、6月5日に東京にて開催されたPostgreSQLカンファレンス2007でセキュリティをテーマに講演させて頂き、意外にブラインドSQLインジェクションをご存じでない方が沢山いらっしゃいました。40名ほどの聴講者の皆様にSQLインジェクションをご存じの方?とお聞きするとほぼ全ての方が知っていると答えたのですが、ブラインドSQLインジェクションをご存じの方は数名でした。 SQLインジェクションの常識 ブラインドSQLインジェクションの話をする前に、SQLインジェクションとその対策の常識について確認します。 SQLインジェクション対策として間違ってはいないが不十分な対策 エラーメッセージを表示しない(特にSQLエラー) ユーザ入力文字列をエスケープする これらはSQLイン
Use our SQL Injection Cheat Sheet to learn about the different variants of the SQL injection vulnerability. In this cheat sheet you can find detailed technical information about SQL injection attacks against MySQL, Microsoft SQL Server, Oracle and PostgreSQL SQL servers. What is an SQL injection cheat sheet? An SQL injection cheat sheet is a resource where you can find detailed technical informati
133.242.243.6 (133.242.243.6) 判定:プロクシです proxy判定箇所が 1箇所、 疑惑点が 1箇所ありました。 漏れ判定:漏れてはいないようです 総合評価:A 極めて物静かなproxyです。proxy経由であることを示す情報がほとんどありません。
Android OSから見たセキュリティ対策ソフトの制約:萩原栄幸が斬る! IT時事刻々(1/2 ページ) スマートフォンブームの影で、特にAndroidスマートフォンを狙う不正プログラムの増加が指摘されている。対策ソフトなども数多く登場しているが、これらは本当に有効なのだろうか――。 今回は恐らく世界で初めてこの効果について検証結果を添えて述べたい。あらかじめお断りするが、本稿の内容は一部の対策ソフトメーカーを非難するものではなく、現在(調査時点)における傾向と事実を明らかにしたにすぎない。また、ここでの結論は調査範囲の中で得たものであり、批判があるかもしれない。後述で指摘していくさまざまな課題は、これから改善が進むことになるだろうし、ぜひそうなってほしい。まずは読者に現実を冷静に知っていただきたいというのが、筆者の希望である。 ここでの調査結果はKDDIおよびKDDI研究所が安心・安全
SPモードメールで、メールの発信者が別の人のメールアドレスにすげ替えられてしまうというトラブル。 加入者に強くひも付いたシステムになってるはずなのになんでこんな不思議なことが起きるのか理解できなかったのですが、記者会見での詳細が幾つかのニュースサイトに出ていました。 「あってはならない」個人情報流出の可能性も――ドコモがspモード不具合の経緯を説明 - ITmedia +D モバイル ドコモ、“他人のメアドになる”不具合は解消――10万人に影響 - ケータイ Watch 加入者はIPアドレスで識別されていて、そのひも付けが伝送路障害をきっかけに混乱した、ということのようです。加入者とのひも付けは全然強くない…というか恐ろしいほど弱いシステムでした。 まず、「IPアドレスで加入者を識別する」という思想がかなりやばいと言わざるを得ません。初期iモード時代は無線ネットワークと一体になっていたシ
Applies To: Windows 8.1, Windows Server 2012 R2 The Windows Server 2012 R2, Windows Server 2012, Windows 8.1, and Windows 8 operating systems include an automatic update mechanism that downloads certificate trust lists (CTLs) on a daily basis. In Windows Server 2012 R2 and Windows 8.1, additional capabilities are available to control how the CTLs are updated. Important Software updates are availab
Apacheの脆弱性(CVE-2011-3192)いわゆるApache killerが話題になっていますが、その脅威については一部誤解があるようです。 以下は、非常に脅威とする報告の例です。 一方今回のはプロセスの肥大化を伴うので、実メモリ消費して更にスワップも使い尽くしてOS毎激重になったあげくLinuxとかの場合はOOM Killer発動と、他のプロセスや場合によってはOSを巻き込んで逝ってしまいます。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.xより引用 以下は、それほど脅威でなかったとする報告の例です。 pooh.gr.jp は結構頑丈だったので 60 並列でやっと CPU idle 30% まで減らせた。 Apache Killer (CVE-2011-3192) 対策 for CentOS 5
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
現在も事態は進行中のため詳細には触れられないが、取り急ぎサイトの全データを取得できたため、簡単に解析した結果について書いておく。同様の被害に遭われた方の復旧の参考になれば。(ただし、全ての改ざんされたサイトで同様の手口だったかどうかは定かでありません。下記ハッキングチームであれば似たような手法を採るものと思われますが、あくまで参考にとどめ、必ず詳細な解析を行ってください) 画像ならびにタイトル等に、Hacked By BoZKuRT という名称が見られ、かつ画像にはトルコ国旗があることから、トルコのハッキングチームによる可能性が高い。また、ログ解析結果を聞いたところによると、改ざんされたと思われる日時にトルコから複数のアクセスがあったとのこと。 以下全て、PivotX の管理画面より ・サイト管理−設定 サイト名 サイトホームページ サイト名が Hacked By BoZKuRT に変更さ
2011/03/10 「パスワードポリシーはますます複雑化し、ユーザーの大きな不満の原因となっている。再発行などに対応するヘルプデスクの手間、コストも大きい」――。 日本ベリサインは3月9日、認証ソリューションに関する説明会を開催した。米シマンテックのユーザーオーセンティケーション担当バイスプレジデント、アトリ・チャタジー氏は、パスワード認証にまつわる問題点をこのように指摘し、より強固で高度な認証が求められていると述べた。 ベリサインは2010年9月から11月にかけて、フォレスターリサーチに委託し、企業における認証の現状について調査を行った。北米の306社を対象としたこの調査からは、パスワードポリシーがますます複雑化していること、それにともない企業のヘルプデスクの負荷およびコストが高まっていることが明らかになった。 例えば、回答企業のうち87%では2つ以上の、27%は6つ以上のパスワードを
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
Microsoft Security Essentials について Microsoft Security Essentials を使用すると、ウイルス、スパイウェア、およびその他の悪意のあるソフトウェアから自宅の PC をリアルタイムで保護できます。 Microsoft Security Essentials は、無料で* Microsoft からダウンロードできます。簡単にインストールでき、使いやすく、常に最新に保つことができるため、お使いの PC を最新のテクノロジで保護できます。外観もシンプルで、たとえば青信号の場合は安全というように、PC が保護されているかどうかを簡単に識別できます。 Microsoft Security Essentials は、あまりメッセージを表示せず効率的にバックグラウンドで動作するため、Windows ベースの PC を通常どおり使用できます。中
これまでにC/C++ セキュアコーディングセミナーで使用した講義資料を公開しています。2010年度にセミナを実施した、文字列、整数、動的メモリ管理、書式指定文字列、CERT C セキュアコーディングスタンダード、ROSE については、それぞれ最新版の資料を掲載しています。 文字列 ユーザとソフトウエア間に発生するデータのやりとりの大部分は文字列によって行われます。 また、プログラム間でのデータ交換も文字列形式で行われるようになり、その結果、文字列表現や文字列管理、文字列操作における弱点がソフトウエア脆弱性を生み出しています。 文字列では、C/C++ 言語における文字列操作、一般的なセキュリティ上の欠陥と、その結果発生する脆弱性と対処方法について解説します。 C/C++ における文字列の特性 犯しやすい文字列操作の間違い 文字列の脆弱性 プロセスのメモリ構成 スタック破壊の仕組み コードイン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
