« 2010年12月 | トップページ | 2011年2月 »

2011年1月の記事

2011年1月31日 (月)

安全なアプリケーション開発技法を学習できるツール「AppGoat」

IPAセキュリティセンターから「安全なアプリケーション開発技法を学習できるツール「AppGoat」が公開されています。

ベクターのサイトからも、ダウンロードができるようです。

このツールは、以下のような学習ができるようです。

※ おもしろそうですね。しかし、タイトルの「突いてみますか、脆弱性」というのは、ちょっと・・・。

■■概要■■
脆弱性体験学習ツール「AppGoat」は、開発経験の浅い初心者から上級者までが利用できる、脆弱性の発見方法、対策について実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。詳細は、「ツール概要」をご確認ください。

■■学習テーマ一覧■■
<ウェブアプリケーション実習環境 学習テーマ一覧>
●クロスサイト・スクリプティング
1. クロスサイト・スクリプティングとは
2. アンケートページの改ざん(反射型)
3. 掲示板に埋め込まれるスクリプト(格納型)
4. 入力情報の漏えい(反射型)
5. ウェブページの改ざん(DOMベース)
6. 不完全な対策

●SQLインジェクション
7. SQLインジェクションとは
8. 不正なログイン(文字列リテラル)
9. 情報漏えい(数値リテラル)
10. 他テーブル情報の漏えい(数値リテラル)
11. データベースの改ざん(数値リテラル)

●CSRF(クロスサイト・リクエスト・フォージェリ)
12. CSRF(クロスサイト・リクエスト・フォージェリ)とは
13. 意図しない命令の実行
14. 不完全な対策

●その他
15. エラーメッセージからの情報漏えい

<サーバ・デスクトップアプリケーション実習環境 学習テーマ一覧>
●バッファオーバフロー
1. バッファオーバーフローとは
2. アーカイブソフトの異常終了
3. FTPプロキシソフトの異常終了
4. ウェブサーバの異常終了(ヒープ領域)

●ディレクトリ・トラバーサル
5. ディレクトリ・トラバーサルによる情報漏えい

●リソースリーク
6. プログラミングエラーによるリソースリーク

●整数オーバーフロー
7. 整数オーバーフローによる異常終了

●フォーマット文字列
8. フォーマット文字列による異常終了

●認証・認可
9. 本人認証の不備
10. 権限管理の不備によるファイルの漏えい

●その他
11. ジャンクションへの考慮不足の問題
12. TOCTOUによる検証の迂回
13. 暗号の不適切な利用

※ 報告書は、こちら

| | コメント (0) | トラックバック (0)

2011年1月28日 (金)

世界のスパム送信量が大幅減少

japan.internet.comの記事「世界のスパム送信量が大幅減少、2年ぶりの低水準に」からです。

この記事によると、2011年1月のスパム送信量は大幅に減少し、Eメール全体に占める割合が78.6%となった、とのこと。その理由は、

1つは、『Rustock』『Lethic』『Xavester』という3大ボットネットのスパム送信活動が停止したこと、そしてもう1つは、2010年10月に薬物スパム アフィリエート最大手の1つである『SpamIt』が多くのスパム シンジケートとの悪質なパートナー プログラムを停止して以来、医薬品関連スパム送信組織の間に「動揺」(と同報告書では表現している) が生じていることだ。

ということらしい。

スパム活動が「医薬品」関連にかなり偏っていたということですね。
これで、スパム活動が落ち着くのか、それとも「他の商品」でビジネスを続けてくるのか…。
(だいたい、答えはわかっているような気がしますが)

| | コメント (0) | トラックバック (0)

2011年1月27日 (木)

平成22年度「情報セキュリティ月間」

内閣官房情報セキュリティセンター(NISC)のHPで、平成22年度「情報セキュリティ月間」の関連行事が公開されています。
今年度も多くの関連行事が開催されますね。(なんと、3,238件だそうです)

私もいくつかの行事に関係していたり、参加したりする予定です。

今年は、「情報セキュリティ月間」キックオフ・シンポジウムも、2/1に開催される予定になっています。

いろいろと楽しみです。

| | コメント (0) | トラックバック (0)

2011年1月26日 (水)

セキュリティ女子育成BoF

昨日開催されたJNSAの「NSF2011」で、「セキュリティ女子BoF」のセッションで、コーディネーターとして登壇してまいりました。

パネラーの皆さま、会場の皆さまから様々なご意見をいただくことができ、個人的には収穫の多いセッションでした。
皆様、ありがとうございました。

その際の様子は、Twitterで、#secukoのハッシュタグで検索してみてください。

個人的には、女性が活動・活躍できる環境を作ることは、女性のみならず、男性にも、そして社会や組織にとっても重要なことだと感じました。
そして、これからの継続的な活動が大事なのだなぁ、と・・・。
いろいろと、がんばらねば。

| | コメント (0) | トラックバック (0)

2011年1月25日 (火)

史上初のサイバー発革命

nikkei.comの記事「チュニジアで起きた史上初のサイバー発革命 ツイッターが広げた蜂起の波」からです。

この記事によると、

“ジャスミン革命”と名づけられたチュニジアの政変は、アラブ世界で初めて市民の蜂起、より正確に言えば“ネット市民”の蜂起によって国家指導者が放逐された例として、歴史に刻まれることになろう。それを可能にしたのは、チュニジアの近代的な通信インフラやインターネット接続の普及、完全デジタル化された携帯電話ネットワークである。

とのこと。

政府は様々な方法で市民のアクセスを検閲し、妨害したようですが、携帯電話によるツイッターではそれができなかったようです。

サイバーな戦争や政変は、もはや現実のものとなったわけですね。

| | コメント (0) | トラックバック (0)

2011年1月24日 (月)

Android OSを標的としたウイルスに関する注意喚起

今日もスマートフォンねたです。

IPAセキュリティセンターの「Android OSを標的としたウイルスに関する注意喚起」からです。

スマートフォンなどAndroid OS搭載の端末を標的としたウイルスに関する注意喚起と対策が挙げられています。

対策としては、以下の4つが挙げられています。

信頼できる場所からの正規版アプリの入手
不正に配布されているアプリにウイルスが混入している可能性があります。できる限り信頼できる場所(例えばAndroid Market)から、正規版のアプリを入手することを勧めます。また、アプリの評判(コメントや評価など)が参考になる場合があります。

「提供元不明のアプリ」設定のチェックを外しておく
Android端末の設定画面(「設定」→「アプリケーション」)に「提供元不明のアプリ」という項目があります。この項目のチェックを外しておくと、Android Market以外で入手したアプリのインストールが阻止されます(初期状態ではチェックは外れた状態になっています)。
操作を誤るなどして不正なアプリをインストールしてしまわないよう、普段はこの項目のチェックを外した状態にしておくことを勧めます。

「アクセス許可」に注意
アプリの入手元に関わらず、インストール時に表示される「アクセス許可」の一覧には必ず目を通し、不自然であったり、疑問に思う点があれば、インストールを中止してください。

セキュリティ対策ソフトの導入
近年、スマートフォンのセキュリティが注目されており、パソコン用のセキュリティ対策ソフトでも有名な企業によるものを含め、様々なAndroid OS用セキュリティ対策ソフトが公開されています。ウイルス対策の機能を含む、セキュリティ対策ソフトの導入も検討してください。

次はウイルス以外の注意喚起や対策などを挙げてもらえるのでしょうか。
と、ちょっと期待してます。

| | コメント (0) | トラックバック (0)

2011年1月21日 (金)

スマートフォンのセキュリティ推進団体設立へ

ITmediaの記事「スマートフォンのセキュリティ推進団体を設立へ―JNSAらが発起人」からです。

スマートフォンのセキュリティ推進団体「スマートフォンセキュリティフォーラム(仮称)」の設立に向けた準備会が、2月1日に発足するようです。

この記事によると、このフォーラムは、

 設立予定のフォーラムは、スマートフォンやタブレット型端末に関するセキュリティ上の課題を、通信事業者やメーカー、ソフトウェア企業、システムインテグレーターらが協調して解決していくことで、機器の普及促進を図るのが狙い。

 スマートフォンは、業務効率化や生産性向上のためのツールとして、また、新たなビジネスを創出する基盤としても企業や団体から注目を集めている。だが、セキュリティ対策手法などが十分に整備されておらず、企業や団体が本格導入する上での大きな課題になっている。

 フォーラムでの具体的な活動としては、メンバー間で課題を共有し、解決策を検討するディスカッションを実施する。結果や成果物を随時公開するとしており、その他の活動は準備会を通じて決定する。

という活動を予定しているようです。

いろいろと期待したいですね。
多くの組織(特に、ICT関連以外の組織、ユーザー企業など)が、参加してくれるといいのですが。

<関連記事>
スマートフォンのセキュリティに関するフォーラム設立へ、準備会が発足しメンバーを募集~日経ITpro

| | コメント (0) | トラックバック (0)

2011年1月20日 (木)

ガジェットを保護する5つの対策

ITmeidaの記事「ガジェットを保護する5つの対策」からです。

ガジェットを保護するための、5つの対策が紹介されています。
その中でも、特に以下のあたりが重要なポイントかと。

携帯電話やスマートフォン、タブレットPC
 携帯電話やスマートフォン、タブレットPCを標的にする脅威が活発になることが予想される。パスワードやアカウント番号、クレジットカード情報など、個人情報や金融情報はできる限り携帯電話に保存すべきではない。可能であれば、情報のバックアップやリストアができる製品を使用し、リモート操作でロックしたり、端末内のデータを消去したりできるようにするなどの対策を行う。

USBデバイスや外付けHDD
 USBデバイスを使用する際は、必ず情報を暗号化する。紛失したり、盗まれたりしても、他人に情報を読まれないようにする必要がある。外付けHDDにはセキュリティソフトを導入すると同時に、パスワードを設定する。またリムーバブルメディアは小さくて盗難に遭いやすいため、デバイスを放置しないよう注意が必要である。

スマートフォンは、つまりタブレットPCなんだ、と言っといたほうが、個人的にはいいような気がします。

<参考記事>
マカフィー、スマートフォンやタブレットなど「最新ガジェットを守る5つのセキュリティアドバイス」 ~日経ITpro

| | コメント (0) | トラックバック (0)

2011年1月19日 (水)

なりすましブログに注意

RBB TODAYの記事「AKB48前田敦子のなりすましブログに注意!太田プロが呼びかけ」からです。

こちらが、ほんもののオフィシャル・ブログ

そして、こちらが偽物のなりすましブログ。

本当にそっくりです。(コンテンツもアドレスも)

見分けることも難しいですが、このような偽物を作成されることを防止するのも検出することも、さらに今後は難しくなると思います。
おそらく、他にも同様のサイトがあり、検出されていないだけ、ということもあるでしょう。
今までに見たあのサイトも偽物かもしれないし、自分の偽物がでているかもしれないということです。
もはやネットとは、そういう世界(偽物や地雷がたくさん埋まっている)になっているわけですよね。

| | コメント (0) | トラックバック (1)

2011年1月17日 (月)

2011年6月8日は「World IPv6 Day」

@ITの記事「GoogleがメインサービスをIPv6化、6月8日はWorld IPv6 Day」からです。

来る2011年6月8日に、Internet Society(ISOC)が世界中のインターネットサービスが24時間IPv6対応を行うイベント「World IPv6 Day」を実施することを発表しました。Google、Facebook、Yahooなどがすでに参加表明しています。

参加企業は、協定世界時(UTC)の6月8日0:00から、自社サービスのデュアルスタック(IPv4とIPv6の双方)化をすることになるようです。

これで、IPv6への移行が一気に加速していくのでしょうか。
かなり注目したいイベントです。

<参考URL>
World IPv6 Day

| | コメント (0) | トラックバック (0)

2011年1月14日 (金)

スパムメールの流通量が急増

日経ITproの記事「迷惑メールの流通量が急増、「送信者の休暇が終わったためか?」」からです。

2010年末に急減した迷惑メール(スパム)の流通量が、1月10日に急増したそうです。
この記事によると、

  迷惑メールの流通量は2010年12月25日に急減。大量の迷惑メールを送信していた複数のボットネットが、活動を停止したためと発表した。

 活動を停止したボットネットは、「Rustock」「Lethic」「Xarvester」の3種類。このうち最も規模が大きいのはRustockで、ピーク時は、全世界の迷惑メールの40%以上を送信していたという。

 これらが活動を停止した理由については不明。同社の公式ブログでは、冗談交じりに「迷惑メール送信者が休暇を取った可能性がある」とコメントしていた。

 ところが1月10日頃、これらのボットネットが活動を再開。それに伴い、迷惑メールの流通量が急増した。流通量の変化を見る限り、年末年始は迷惑メール送信者が休暇を取っていて、1月10日に休暇が終了したように思える。

とのこと。

冗談交じりのコメントが実はそうではなかったようだ、ということですね。
スパムの送信もビジネスでやってるわけですから、利益は上げなきゃいけないし、休暇も取るわけですよね。

| | コメント (0) | トラックバック (0)

2011年1月13日 (木)

2011年、最高の職業は

Publickeyの記事「2011年、最高の職業は「ソフトウェアエンジニア」米転職支援企業の調査」からです。

この記事によると、ソフトウェアエンジニアが2011年の最高の職業である、という調査結果がでています。
この結果は、米転職支援企業CareerCast.comが、、労働環境、肉体の酷使度、業界の見通し、収入、ストレスといった要素を総合して調査したもの。

その理由は、この記事によると、

なにがソフトウェアエンジニアという職業を「最高の職業(America's Best Job)」にしたのか? トップに押し上げた要因は多くあるが、特にこの2つの業種が大きい。Webアプリケーションとクラウドコンピューティングだ。

企業のあいだでスマートフォンとタブレットのアプリケーション開発が広がっており、同時にオンライン上で利用するクラウドソフトウェアの要求も高まっており、これらがソフトウェアエンジニアの転職市場を大きく広げている。

とのこと。

なるほど・・・。

しかし、こういう記事を読むと毎度のことなのですが、うなり声とため息しか出てきません。
「なんで、日本では・・・」と。

| | コメント (0) | トラックバック (0)

2011年1月12日 (水)

変化への対応から、変化の創造へ

いまさらですが、今日は今年の抱負らしきことを書きたいと思います。

今まで何度も「変化への対応」が重要、というようなことをいろんなところで言ってきました。(来週も2回ほど、そういう話をしますが・・・)
それは、いわば受動的な活動だと思っています。

今年はそのような受動的な活動ではなく、能動的に変化を作り出す活動をしたいと思っています。
どちらも難しいことなんですが、そうしたことに取り組んでいかないと、自分自身も関係している組織も何も変わっていきません。
変わっていかないということは、成長できないということですので・・・

| | コメント (0) | トラックバック (0)

2011年1月11日 (火)

無償のセキュリティ対策ツールお勧め10選

ZDNetの記事「マルウェアの感染を防ぐ--無償のセキュリティ対策ツールお勧め10選」からです。

この記事で紹介されているツールは、

#1:AVG Anti-Virus Free Edition 2011
#2:Comodo Antivirus
#3:PC Tools AntiVirus Free 2011
#4:アバスト!無料アンチウイルス
#5:Ad-Aware Freeアンチマルウェア
#6:HijackThis
#7:Microsoft Security Essentials
#8:Windows Defender
#9:Malicious Software Removal Tool
#10:McAfeeのウイルス削除ツール

の10種です。

使っていないツールがかなり多いなぁ。
機会があれば、使ってみたいんですけど。

個人的には、無償で使いたいのはAndroid版ですね。

| | コメント (0) | トラックバック (0)

2011年1月 7日 (金)

2011年に求められる人材--IT分野のスキルセット

cnet Japanの記事「2011年に求められる人材--高い需要が見込まれるIT分野のスキルセットとは」からです。

この記事は、調査レポート「Salary Guide 2011」からのもの。
高い需要が見込まれるIT分野のスキルセットとして、以下のものが挙げられています。

・プログラミング:特に.NETやJava、MySQL、PHP、Microsoft Silverlight、Flexの知識と、SharePointのようなポータル技術の知識が求められている。

・ビジネス感覚:このスキルセットに対するニーズは、数年前から衰えることなく持続している。具体的に言えば、より広範な経営目標を実現するうえで必要となるテクノロジの活用方法を理解しているだけでなく、そういったことを実現できるだけのマネジメントスキルを備えている人材に対するニーズが高いということだ。こういった人材は、どの企業も喉から手が出るほど欲しがっているのである。

・専門技術への精通:数多くの企業が、既存の情報システムを最大限に活用するための方法や、昨年に頓挫していたイニシアチブを再開させる道を模索しているため、1つ、あるいは複数の主要ERP製品に精通している人材に対する需要が高くなっている。

・セキュリティ:多くの企業において、自社の情報を安全かつセキュアにしておくことのできる人材が求められている。

・インフラに対するサポート:企業ではOSをアップグレードする際に、主にプロジェクト単位で、専門のサポート担当者やPC技術者が雇用されている。

・ネットワーク関連:仮想化やクラウドコンピューティングといった技術を実装する企業では、サーバやソフトウェア、ネットワーク関連のスキルを併せ持ったITプロフェッショナルが求められている。

・医療記録の電子化関連:全米のヘルスケア企業では、医療記録ソフトウェアのインストールやサポートに関する専門知識を有したITプロフェッショナルが必要とされている。

「ビジネス感覚」「専門技術への精通」あたりは、需要が高いというより、ここが欠けているとスキルとして高いとは言えない、生き残れない、という要素じゃないかな、と個人的には思ってます。

| | コメント (0) | トラックバック (0)

2011年1月 6日 (木)

「CompTIA人材育成サミット2011」

「CompTIA人材育成サミット2011」が開催されます。

今年で10周年なんですね。

私は、【グループディスカッション】「2011年の人材育成を考える~事業に貢献する人材を戦略的に育成する~」のセッションで登壇する予定です。

「CompTIA人材育成サミット2011」

主催:
CompTIA日本支局

日時:
2011年1月27日(木) 
13:30 ~ 17:00 (13:00 受付開始)

場所:
ホテルメトロポリタンエドモント 「春琴」 東京都千代田区飯田橋3-10-8  
(JR・東京メトロ・都営地下鉄飯田橋駅下車徒歩5分)
参加費:無料

定員:80名 ※定員になり次第締め切り。

| | コメント (0) | トラックバック (0)

2011年1月 5日 (水)

世界初の「Androidボット」出現

皆様、新年明けましておめでとうございます。
今年も、ぼちぼち更新していきますので、よろしくお願いいたします。

さて、日経BP PC online「世界初の「Androidボット」出現、スマートフォンを乗っ取る」
からです。

世界初の「Androidボット」が出現したようです。

このボットは、

 サーバー経由で攻撃者からの命令を受け取ると、その命令に従って動作する。例えば、携帯電話/スマートフォンの位置情報や、保存されている個人情報をサーバーに送信させることが可能。特定のアプリをダウンロードおよびインストールさせることもできる。

 そのほか、ウイルスのプログラムや通信を暗号化するなど、従来のAndroidウイルスと比較すると“洗練”されているとしている。

 今回のウイルスは、既存のゲームアプリに混入されて、非公式のアプリ配布サイトで配布されている。公式サイトの「Androidマーケット」には置かれていない。具体的には、「Monkey Jump 2」「President vs. Aliens」「City Defense」「Baseball Superstars 2010」といったゲームアプリに混入されていることを確認している。

とのこと。

私もAndroid端末(Xperia)ユーザーなので、注意したいと思います。

今年は、このテのねた(スマートフォン)は多くなりそうですね・・・

| | コメント (0) | トラックバック (0)

« 2010年12月 | トップページ | 2011年2月 »