CISSP認定試験、申込手順変更
CISSP及びCISSP-行政情報セキュリティ認定試験を2008年6月以降に、受験される場合の申し込み方法が変更になっています。
これから受験予定の方は、参考にしてください。
申込書が4枚から24枚になっています。
記入するところが増えたというわけではなく、認定試験の時にアナウンスされていた注意事項などが事前に知らされることになった、ということのようです。
それにしても、読むのは大変そう…
| 固定リンク | コメント (0) | トラックバック (0)
2008年4月の記事
グーグル新入社員はコードを書く前にセキュリティ教育を受ける
@ITの記事「グーグル新入社員はコードを書く前にセキュリティ教育を受ける」からです。
これは、「RSAカンファレンス2008」の米グーグルのスコット・ペトリ氏(エンタープライズセキュリティおよびコンプライアンス担当ディレクター)の基調講演での発言のようです。(諸般の事情で「RSAカンファレンス2008」は参加できませんでした)
この記事によると、
従来の情報システムは、何が起こるか把握できる「ホワイトボックス」だった。しかし自社のものだけでなく、サードパーティのツールやサービスが普通に利用できるようになったいま、どのユーザーがどのリソースを使い、何をするのか、予測も把握も難しい「ブラックボックス」の時代になっている。こうした環境の変化に対応するには、新しいハードウェアやソフトウェアの追加といったやり方ではなく、トレーニングをはじめとする地道な取り組みを通じて、基盤の中にセキュリティを取り込んでいくべきだという。
とのこと。
その通りですね。いわゆる「視えない化」は、一般的なネットの脅威だけでなく、こういうところにもあるわけです。
どこに「ブラックボックス」があるのか、それがわからなかったり、検出も想定もできなかったり、これもセキュリティ上の綻びなのです。
いろんなところで「視える化」という言葉が使われていますが、このような概念もアプローチもない「視える化」は怪しいもんだと思っています。
(特に、人間の目での「視える化」しか、考えてないような場合は)
そこでグーグルでは、この記事の表題のようなことをして、「セキュリティが内面的な文化となるよう、自助努力を促している」というらしいです。
なるほど…
| 固定リンク | コメント (6) | トラックバック (0)
御礼、100,000アクセス突破
ついに、このブログのアクセスが100,000を突破しました。
「情報セキュリティ」というニッチな話題にも関らず、多数の皆様よりアクセスをいただき、心より御礼申し上げます。
これからもよろしくお願いします。
といいながら、もうすぐ連休なので、更新頻度は落ちると思います・・・
| 固定リンク | コメント (2) | トラックバック (0)
名刺ジェネレーター
「おもしろ名刺ジェネレーター あなた何様」
というサイトで遊んでみました。(ちゃんと、印刷もできます)
すると、私の肩書は「うすっぺら博士」になりました。
これからは、「情報セキュリティ うすっぺら博士」としてがんばります。(ウソ)
一応、「博士」だから、「プロフェッショナル」と考えていいのかな?
もう1枚、ある方の名刺も勝手に作ってみました。
なるほど…
| 固定リンク | コメント (0) | トラックバック (0)
「セキュア・ジャパン2008」(案)、公開
内閣官房情報セキュリティセンター(NISC)のHPで「セキュア・ジャパン2008」(案)が公開され、パブリックコメントの募集がされています。
(パブコメ募集は、5/22まで)
中身は、これからじっくり読んでみます…
私なりのコメントは、そのあとにここで書いてみます。
| 固定リンク | コメント (0) | トラックバック (1)
「パッチから攻撃プログラムを自動生成」
日経ITproの記事「「パッチから攻撃プログラムを自動生成」、米研究者が実験に成功」からです。
この記事によると、
セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。
ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より危険な状況になると考えられる。
とのこと。
自動生成が可能ということになると、高いスキルをもっていない攻撃者でもエクスプロイトの生成が可能ということになります。(しかも、わずか数分で)
パッチの公開前に情報が入手されたりするリスクへの対策、リバースエンジニリアリング対策が、いままで以上に必要になってくるということでしょうか。
| 固定リンク | コメント (0) | トラックバック (0)
平成20年度春期情報処理技術者試験
IPAのHPで4/20の情報処理技術者試験「平成20年度春期試験 問題冊子・配点割合・解答例・採点講評」が公開されていますね。
ちなみに、私は受験しておりません、あしからず。
しかし、時間がある時に解いて、そっと採点してみたりする予定です。
さて、「テクニカルエンジニア(情報セキュリティ)」の問題は、以下の通り。
<テクニカルエンジニア(情報セキュリティ)>
・午前問題(解答)
・午後Ⅰ問題
・午後Ⅱ問題
午前中の問題で何問か「こういう問題って、「テクニカルエンジニア(情報セキュリティ)」で必要なのかなぁ?」というのがありました。
午後Ⅰでは、(いまどき、ということで?)ボット対策の問題なども出てますね。
それから、「テクニカルエンジニア(情報セキュリティ)」としては、3回目にして最後の試験になりました。
来年からは、出題傾向も変わるのでしょうか。人気も出るのでしょうか。
| 固定リンク | コメント (0) | トラックバック (0)
IPA「ウェブサイトの脆弱性検出ツール」公開
IPAの「ウェブサイトのSQLインジェクション脆弱性の検出ツール」を公開~ウェブサーバのアクセスログを解析して脆弱性検出を簡易に行うツールiLogScanner~、からです。
かなり役立ちそうなツールです。
●iLogScanner
#概要
今までは専門的なスキルが必要だったWebサーバのアクセスログ解析が、iLogScannerを使えば誰でも簡単に行うことができ、危険な攻撃と思われる痕跡を確認することが出来ます。
iLogScannerは、ブラウザ上で実行するJavaアプレット形式のツールとなっているので、ホームページを見ることができる環境ならば、どこでも簡単に使用することができます。
現在は、次の攻撃と思われる痕跡を検出することができます。
・SQLインジェクション#解析対象のアクセスログ形式
・IIS5.0/6.0のW3C拡張ログファイルタイプ
・Apache HTTP Server1.3系/2.0系/2.2系のcommonタイプ#操作手順
こちら
現在は、対象となる攻撃がSQLインジェクションだけですが、今後はそのほかの攻撃にも対応予定とのこと。
これは、期待したいですね。(というより、すでに期待してます)
まずは、どこかのサイトをスキャンしてみたい…
| 固定リンク | コメント (2) | トラックバック (0)
「平成19年度 情報セキュリティ監査制度の利用促進に関する実施報告書」公開
NPO日本セキュリティ監査協会(JASA)のHPで公開されました。(PDF形式で、ダウンロードできます)
特に今回は、以下のものにご注目いただきたいと思います。
◇ 保証型監査促進プロジェクト報告
・監査主体のためのガイド
・被監査主体のためのガイド
・監査報告書利用者のためのガイド(利用者合意方式を中心に)
・監査報告書利用者のためのガイド(実務者向け被監査主体合意方式のガイド)
◇ 情報セキュリティ管理基準 V2
・マネジメント編
・管理策編
| 固定リンク | コメント (0) | トラックバック (0)
情報セキュリティ関連イベント、5月~8月
来週は、注目の情報セキュリティイベント「RSAカンファレンス2008」が開催されますね。
さて、もちろん5月以降も情報セキュリティ関連イベントが開催されます。
(スケジュールや費用の関係で、すべて参加できるわけではないですが)自分自身の備忘録も兼ねて、以下に8月までの主要なイベントを挙げてみます。
(他にもあったら、ご存じの方は、ぜひ教えてください!)
●「第5回情報セキュリティEXPO」
日程:2008年5月14日(水)~16日(金)
会場:東京ビッグサイト
展示会無料(事前登録)、セミナー有料
●「CeCOS II 東京 :第2回 ネット犯罪対策運用サミット(The second annual Counter-eCrime Operations Summit)」
日程:2008年5月26日(月)・27日(火)
会場:グランドプリンスホテル赤坂 別館 ロイヤルホール
早期割引 43,300円(税抜 41,239円+消費税2,061円)(5/9(金)までお申込みの場合)
通常価格 48,650円(税抜 46,334円+消費税2,316円)
●「第12回サイバー犯罪に関する白浜シンポジウム~国民総ネット化時代の情報安全教育」
日程:2008年6月5日(木)~7日(土)
会場:「コガノイベイ」ホテル(和歌山県白浜町)
15,000円 (1名様3日間 昼食代・宿泊費別)
●「Interop Tokyo 2008」
日程:
展示会:2008年6月11日(水)~13日(金)
コンファレンス:2008年6月9日(月)~13日(金)
会場:幕張メッセ
展示会無料(事前登録)、コンファレンス有料
●「SANS Future Vision 2008」
日程:2008年7月1日(火)~2日(水)
会場:ホテル日航東京 東京お台場
セッション(無料)、SANSトレーニング(有料)
●「第3回オフィスセキュリティEXPO」
日程:2008年7月9日(水)~11日(金)
会場:東京ビッグサイト
展示会無料、セミナー有料
●「Security Solution 2008」
日程:2008年8月20日(水)~22日(金)
会場:東京ビッグサイト
無料
※「エンタープライズ・リスク・マネジメント2008」と同時開催
| 固定リンク | コメント (0) | トラックバック (0)
「ユミコのセキュリティ研修」
基本的な情報セキュリティの知識を学べるサイトのようです。
・「ユミコのセキュリティ研修」
【ユミ研】は、「セキュリーマン検定」の番外編で、「ウイルス編」「コンプライアンス編」「メール/Web編」など情報セキュリティに関するテーマについて毎日一題ずつ問題を出題。“日めくり感覚”で解答いただくことで、通勤時間などのすき間時間に楽しく情報セキュリティのエッセンスを学べるというものです。
問題は新入社員世代をターゲットにした基本的な問題をピックアップしました。新入社員のみならず先輩社員世代にとっても「恥ずかしくて今さら聞けない」知識を補強してくれることうけあいです。
基本的な情報セキュリティを学べるサイトと言えば…
こちらも、どうぞお忘れなく!(手前味噌で、すいません)
<参考URL>
「情報セキュリティ理解度セルフチェック」
| 固定リンク | コメント (0) | トラックバック (0)
「解読不能」の新暗号方式、のつづき…
さっそく、以下のような記事がでました。
「“解読不能”の新暗号の記事について、いつくかのお詫び」~@IT
アルゴリズムを非公表にしたまま「解読不能」と主張するのが「詐欺まがい」だという指摘が相次いだようです。
確かに、検証されていないものを主張されても、そのまま信頼はできないですね。
それから、前回の記事でも書きましたが、暗号(に限らずですけど)は理論だけではわかりません。
実際に実装や運用されないと、評価はできません。
続報も書かれるようですから、その際はまた注目して記事を読んでみたいと思います。
| 固定リンク | コメント (0) | トラックバック (1)
「解読不能」の新暗号方式
@ITの記事「「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは」
からです。
新しい暗号方式「CAB方式」(Crypto Alarm Basic:仮称)は、「数学的に解読が不可能であると証明されている」とのこと。
「解読困難」ではなく「解読不能」とのことなのです。
この記事によると、
RSA暗号は素数のかけ算と、その逆の素因数分解という1種の関数を利用した暗号方式だ。これは楕円曲線暗号やElGamalといった公開鍵暗号方式か、DESやAESといった共通鍵暗号方式かを問わず同じで、暗号化には何らかの関数を使う。
CAB方式では、その関数自体が無限個の中から利用者が自由に選べて、いつでも変えられるのだという。
「例えば、xのm乗というのも1つの関数ですし、2xも関数です。実際には逆関数の計算が極めて難しい関数の集合を利用していますが、こうした関数からなる無限集合から鍵となる関数をピックアップします。盗聴者の探索しなければならない鍵空間は無限大ですから、鍵を推定できる確率はゼロです」
ということで、「鍵空間は無限大」ということから「数学的に解読が不可能」ということになるようです。
私自身、まだこのメカニズムを十分に理解できていませんが、注目すべき新しい暗号方式であることは間違いないようです。
(ただし、方式がいくら優れていても、実装や運用・管理が不十分であれば、解読されてしまう可能性があるわけです)
| 固定リンク | コメント (0) | トラックバック (0)
世界ITランキング、日本は19位
ITmediaの記事「世界ITランキング、日本が19位に転落」からです。
このランキングは、各国・地域のICT整備度を、ビジネス全般および規制面、インフラ面などの「環境」、個人や企業、政府によるICTへの「準備度」、最新技術の実際の「利用状況」の3つの視点からの評価です。
そして、日本は前回14位から今回は19位にダウン。
これは、グローバルなICT環境変化の速度に、日本がついていけていない、ということでしょう。
「ICT先進国」といえない国は、もちろん「情報セキュリティ先進国」ともいえません。
そういう国は「経済先進国」でもなくなってしまうのではないでしょうか。
(政策を中心に)国を挙げての、グローバルな視点での戦略的な取組みが必要ですね・・・
<参考記事>
・昨年の「世界ITランキング」について~ITmedia
| 固定リンク | コメント (0) | トラックバック (0)
情報セキュリティ格付専門会社、いよいよ設立
NIKKEI NETの記事「富士ゼロックスなど18社、情報セキュリティ格付専門会社「アイ・エス・レーティング」を設立」からです。
4/8に会見が行われ、世界初の情報セキュリティ格付専門会社「株式会社アイ・エス・レーティング」の設立が発表されました。
世界初の情報セキュリティ格付専門会社を設立
「株式会社アイ・エス・レーティング」18社が出資企業の情報セキュリティのレベル(信頼度の水準)を評価し、格付する世界初の「格付専門会社」(注1)が5月に誕生します。新会社の発起人である株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社など18社(注2)は、5月2日付けで「株式会社アイ・エス・レーティング」(本社東京、中村哲史[てつふみ]社長、資本金2億8千万円)を設立することに合意しました。
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。新会社はこの情報セキュリティ格付の審査業務のほか、格付に関連する調査・教育・出版等を事業目的としています。
(中略)
なお、「株式会社アイ・エス・レーティング」の会社概要および出資会社の構成は、以下の通りです。
注1:世界初の「格付専門会社」
「株式会社アイ・エス・レーティング」は、複数の会社および各業界に適用可能な評価基準を用いて、組織等の情報セキュリティのレベルを格付評価する「格付専門会社」であり、このような取り組みは世界にはまだ例がありません。注2:情報セキュリティ格付会社発起人18社
「株式会社アイ・エス・レーティング」の発起人は下記の通りです。
株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社、富士通株式会社、株式会社野村総合研究所、キヤノンマーケティングジャパン株式会社、綜合警備保障株式会社、テュフ・ラインランド・ジャパン株式会社、凸版印刷株式会社、株式会社日本経済新聞社、株式会社北洋銀行、株式会社みずほコーポレート銀行、三井住友海上火災保険株式会社、株式会社三井住友銀行、三井物産株式会社、三菱商事株式会社、株式会社三菱総合研究所、株式会社ワコールホールディングス<関連資料>
さて、注目はその「格付け」の方法です。
「マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化」ということですが、成熟度や対策の強度をどう相対的・客観的に、しかもどう定量化するのか、興味深々です。
これは、(間違いなく)かなり難しいことだと思っていますが、ぜひともやり遂げてもらいたいと個人的にはかなり期待しています。
<関連記事>
「松下、富士ゼロックスなど18社が情報セキュリティ格付け専門会社設立」~日経ITpro
| 固定リンク | コメント (4) | トラックバック (2)
「次世代の情報セキュリティ政策に関する研究会中間報告書(案)」公表
4/4に総務省から公開されています。
5/4まで、1ヶ月間パブコメを募集しています。
●次世代の情報セキュリティ政策に関する研究会中間報告書の公表及び意見募集
・「次世代の情報セキュリティ政策に関する研究会中間報告書」
・中間報告書のポイント
・中間報告書の概要
現状の課題だけでなく、近い将来の脅威と課題という視点でまとめられています。
それにしても、「近い将来」(ここでは5年後あたりまで)というのも思い描くこと自体が難しいですよね。(半年先ですら、難しいですから)
でも、それができなければ、EA(エンタープライズアーキテクチャー)やセキュリティアーキテクチャーなどの構築もできないわけです。これらを構築するために、重要なリファレンスとなる資料になりそうですね。
| 固定リンク | コメント (0) | トラックバック (0)
「USBウイルス」って?
日経ITproの記事「「USBウイルス」の被害報告が依然多数、トレンドマイクロが警告」からです。
ここでいう「USBウイルス」とは、「MAL_OTORUN1(オートラン)」など「主にリムーバブルメディアを介して活動をする不正プログラム」のことを指しています。
(ITproの記事に限ったことではないのですが)つまりUSBメモリはリムーバブルメディアのうちの1つに過ぎないのに、このような不正プログラムのことを「USBウイルス」と呼んでいるわけですね。
これでまた「USBメモリは使うべきではない」と主張する人や、「だから、USBメモリは使うべきじゃないんだ」と自分の今までの主張の確信の裏づけのようなものにしたりする人が増えるんでしょうね。
そうして、ゆがんだ解釈(USBメモリを使わなければ、この種の不正プログラムの被害はない、など)や合理性や実効性のない「リスク回避」が増えていくのではないか、と懸念を抱く用語(「USBウイルス」)でした。
| 固定リンク | コメント (2) | トラックバック (0)
「情報セキュリティ早期警戒 パートナーシップガイドライン -2008年版-」
「情報セキュリティ早期警戒 パートナーシップガイドライン -2008年版-」が、IPAとJPCERT/CCから公開されています。
変更点だけ見ると、別に「改訂しました」とリリースしなくてもいいようですが、リマインドの意味があるのでしょうね。
それなりに知られてきたように感じていましたが、まだまだ周知が不十分ということなんでしょう。
ということは、まだまだ普及啓蒙が必要ですね。
資料のダウンロードは、以下のURLから。
・「情報セキュリティ早期警戒 パートナーシップガイドライン -2008年版-」
(JPCERT/CC)
(IPA/ISEC)
・「ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル」
(JPCERT/CC)
(IPA/ISEC)
・「ウェブサイト運営者のための脆弱性対応ガイド」
(JPCERT/CC)
(IPA/ISEC)
| 固定リンク | コメント (0) | トラックバック (0)
情報処理技術者試験、平成20年度春期応募者数速報
IPAのHP「平成20年度春期試験の応募者数速報」からです。
テクニカルエンジニア(情報セキュリティ)試験(SV)
2008年応募者数:22,739
2007年応募者数:24,477
増減:-1,738
初級システムアドミニストレータ試験(AD)は、-14,658と、かなり減ってますね・・・
今回減っているのは、この初級システムアドミニストレータとテクニカルエンジニア(情報セキュリティ)だけです。
来年の制度改正がありその影響も多少あるでしょうが、それにしても人気ないですね、情報セキュリティ。
| 固定リンク | コメント (2) | トラックバック (0)
「CCTV」って?
中国国営放送の中央電視台(CCTV、中央テレビ)のことです。
CISSP的(物理セキュリティ)には、防犯カメラ(Closed Circuit TV)のことですね・・・
ちなみにWikiPediaでは、この両方の意味が出てきます。
<参考URL>
| 固定リンク | コメント (0) | トラックバック (0)
総務省「高度ICT人材育成に関する研究会報告書(案)」
総務省の高度ICT人材育成に関する研究会のページで、「高度ICT人材育成に関する研究会報告書(案)」が公開されています。
平成20年3月28日(金)の「第7回 高度ICT人材育成に関する研究会」で配布された資料ですが、この研究会はこれが最終なのでしょうか。
それとも、この報告書(案)でパブコメを募集して、その内容を再度この研究会で検討して、正式版を公開するのでしょうか。
(普通は、そうなるはずですが、何も書いていないのでわかりません)
さて、中身を見ての感想です。
ここでいう「高度ICT人材」という人材像が、かなり偏っている気がします。
人材像に当てはまるのは「作る人」だけで、「使う人」(運用管理)は対象外のように読めます。
それから、育成する対象は「情報工学系」の学生だけのように読めます。
本当にそうなんでしょうか・・・
過去の議事や配布資料は、こちらからダウンロードできます。
| 固定リンク | コメント (2) | トラックバック (0)
「ITスキル標準バージョン3」正式発表
日経ITproの記事「「ITスキル標準バージョン3」が正式発表、試験はレベルの「エントリ基準」に位置付け」からです。
ということで、ITSSのVer.3が公開されています。
それから、IPAのTOPページも新しくなってますね。
現行の「ITSS V2 2006」に対する「V3」の主な変更点は、
(1)レベル1、2にあった専門分野の区分をなくし、これらのレベルにおける基礎知識の記述を職種にかかわらず統一
(2)情報処理技術者試験をレベル認定の「エントリ基準」として位置付け
(3)コンサルタント、ITスペシャリスト、アプリケーションスペシャリストの3職種の専門分野を変更
の3つです。
また、この記事によると…
ITSS V3では、最終的に「試験合格はそのレベルに期待される必要最低限の能力レベルに到達しているものと見なす」、つまりエントリ基準に落ち着いた。同時に、これまで通り、情報処理技術者試験を用いないレベル評価指標も併存させることを明記した。必ずしも情報処理技術者試験の受験を優先できないケースや、成果や業績はあるものの試験合格の実績がない人材の評価には、「今まで通りのスキル熟達度や達成度指標を使って欲しい」というわけである。「どちらをレベル基準とするかは、企業や市場の判断に委ねたい」と話している。
つまり、情報処理技術者試験との関連はあいまいなままということでしょうか。
そのほかの、中身に関するコメントは、また後日・・・
報告書のダウンロードは、こちら。
同時に、UTSSも新バージョンが公開されています。
| 固定リンク | コメント (0) | トラックバック (0)
「エイプリルフール」ネタバトル
昨日はエイプリールフールでしたね。
ということで…
ITmediaの記事「今年もやり過ぎ!? Googleも初参戦 日本「エイプリルフール」ネタバトル」からです。
いろんなサイトがありますね、楽しませてもらいました。
今年からGoogleも参戦です。
Googleのネタは、これでした。
人工知能「BakaUke」の生成するダジャレ、だそうです。
このまま、残しておいてもいいかも・・・
| 固定リンク | コメント (0) | トラックバック (0)
ブログの4割は「迷惑ブログ」
ITmediaの記事「ブログの4割は「迷惑ブログ」――ニフティ調査」からです。
ニフティの独自調査によれば、国内のブログ記事の4割(約4億5000万のうち)が広告収入などを狙った「迷惑ブログ」だそうです。
アフィリエイト広告収入や特定サイトへの誘導が目的で、同社では「無意味なコンテンツ」と定義しているようです。
(独自調査とはいえ)ブログの数(約4億5000万)もすごいのですが、うち40%(約1憶8000万)以上が「迷惑ブログ」というのは予想以上でした。
ところで、このブログは皆様に迷惑かけてませんか?
| 固定リンク | コメント (0) | トラックバック (0)
IFRAME攻撃、主要なWebサイトが続々とターゲットに
日経ITproの記事「IFRAME攻撃,USAToday.comなど主要なWebサイトが続々とターゲットに」からです。
ところで、IFRAME攻撃とは?
iframeというHTMLタグを使ってWebページに見えないコンテンツを埋め込む手口。iframeはブラウザの画面を複数に区切り,それぞれに別のWebページを表示させるタグだが,例えば悪質なサイトへのリンクや,不正なJavaScriptを埋め込んで,フレームのサイズを幅0,高さ0と指定すれば,見た目は何も表示されない。こうした仕掛けにより,OSやアプリケーションのぜい弱性を突く不正コードをユーザーのブラウザに送り,これを実行させてウイルスに感染させる。
というもの。
正規サイトがローカルでキャッシュしている検索結果に、ユーザーを悪質サイトに誘導する不正IFRAMEが組み込まれていた、などということで、「SEOポイズニング攻撃」としてかなり悪用されています。
しばらくの間、ネットの大きな脅威となりそうですね。
<参考サイト>
・検索結果でマルウェアサイトへ誘導、米の大手企業サイトに被害
| 固定リンク | コメント (0) | トラックバック (0)
最近のコメント