Foreword Sir Jeremy Heywood: Cabinet Secretary and Chair of the Official Committee on Security (SO) As Cabinet Secretary, I have a good overview of the many excellent services the Civil Service is responsible for, and of course the wide range of challenges that we need to manage to deliver them. The right security, appropriately tailored to take proper account of the very wide range of different j

ZDNet Japan ビジネスセミナー／認証セキュリティ 開催日時：2014年9月25日（木）13:00～会場：ベルサール神保町アネックス Tweet ログイン認証、電子証明書、ネットワーク認証、認証基盤 --求められる、新たな利用者保護のあり方とは--？ もはや旧来のIDとパスワードによる認証は限界に達した格好だ。 例えば、当初は信頼性は万全と謳われていたインターネットバンキングにおいて、パスワードを盗み取る巧妙な不正送金事件が横行。銀行をはじめとする各種金融機関はいま、ウェブサイトで大々的な注意喚起をしているが、根本的な対策が見いだせない緊迫感や切実感が、逆に伝わってくる状況となっている。 こうした現状は、独立行政法人 情報処理推進機構も「2014年のセキュリティ10大脅威」において、緊急度の高い脅威として警告している。金融機関に限らず、もはやSNSや各種ウェブサービスのアカウント乗

不正な証明書はMicrosoftのルート証明書プログラムで認定され、Internet Explorer（IE）やChromeなどWindows向けプログラムの大多数で信頼できる証明書として扱われていたという。 米Googleは7月8日、Googleドメイン用の不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させる措置を取ったと発表した。 同社のブログによると、不正な証明書はインドの当局が承認するNational Informatics Centre（NIC）傘下の中間認証局から発行されていた。Microsoftのルート証明書プログラムで認定され、Internet Explorer（IE）やChromeなどWindows向けプログラムの大多数で信頼できる証明書として扱われていたという。 一方、Firefoxが使っている独自のルート証明では問題の証明書を認定していないため、

Flash Player更新版ではJSONPコールバックAPIの脆弱性に起因する問題など、3件の脆弱性を修正した。 米Adobe Systemsは7月8日、Adobe Flash Playerの深刻な脆弱性に対処する更新版を公開した。 同社のセキュリティ情報によると、今回のアップデートではJSONPコールバックAPIの脆弱性に起因する問題など、3件の脆弱性を修正した。悪用された場合、システムを制御される恐れがあり、ユーザーに対して最新版に更新するよう呼び掛けている。 脆弱性は、Flash Player最新版の14.0.0.145（WindowsとMac向け）、11.2.202.394（Linux向け）でそれぞれ修正された。最新版に更新できないユーザーのために13.0.0.231（WindowsとMac向け）もリリースしている。 Google ChromeとMicrosoftのInterne

警察庁は、従来と異なる手法でビル管理システムを探索する不審パケットの増加を観測したとして、システム管理者へ注意を呼びかけている。 これまでも同庁では、ビル制御の通信プロトコル「BACnet」で使用する47808番ポートへのアクセスを断続的に観測しており、注意を呼びかけてきたが、6月26日と7月1日に増加を確認した不審パケットは、従来とは異なる手法を用いた探索活動だったという。 具体的には、3月後半から確認されている情報収集を目的とした「ReadProperty」のパケットではなく、今回のアクセス増加は、接続された複数機器の情報を1度に確認できる「ReadPropertyMultiple」によるもので、同庁が設置した複数のセンサーで確認した。 同庁では、「BACnet」に限らず、ビル管理システムを対象とした調査や攻撃が行われる可能性があるとして、製品のアップデートを実施し、不用意にシステムを

従来型決済、スマート決済のいずれにとっても、不正送金、不正決済対策は喫緊の課題だ。問題解決の近道は、決済する本人を識別する認証セキュリティーの強化だ。銀行や決済事業者は、旧来の認証を見切って新技術の導入に踏み出した。利便性と安全性を両立する認証システムの先端事例として参考になる点が多い。安全な決済を支える認証セキュリティーに、相次ぎほころびが見つかっている。それを如実に示したのが、2014年3

無料メッセアプリLINEのアカウント乗っ取りが最近問題となっています。ユーザーが乗っ取り被害を防ぐためには、LINEのパスワード変更が有効です。 LINEは7月3日よりパスワードを変更した人を対象に、LINEキャラの特製スタンプを無料でプレゼントするキャンペーンを開始しました。 パスワードの変更をするには、メニューの“設定”→“アカウント”→“メールアドレス変更”→“パスワード変更”と選択していきます。 LINEのアカウント乗っ取りはLINEから個人情報が流出しているわけではなく、LINEユーザーがほかのサービスと同じメールアドレスとパスワードの組み合わせを利用している場合に、ほかのサービスからの情報流出によりアカウントが脅かされているというもの。 パスワードを変更することで、乗っ取り被害を未然に防ぐことが可能です。スタンプキャンペーンで多くのユーザーが対策をとれば乗っ取り被害は激減するか

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは先週末、OpenSSLのコードベースをフォークし、「BoringSSL」という名称のプロジェクトを新たに立ち上げたと発表した。 同社はこれまで、OpenSSLのコードに対するカスタムパッチをOpenSSLのリリースごとにリベースしてきたが、今後同社のパッチはBoringSSLにポートされるOpenSSLのアップデートとともにBoringSSLのコードベースに統合されていくことになる。 GoogleのシニアソフトウェアエンジニアAdam Langley氏はブログへの投稿で「われわれは何年にもわたってOpenSSLに対してパッチを適用してきた。それらの中にはOpenSSLのリポジトリに取り込まれたものもあるが、多くはOpenS

Why Trellix? Platform Services Partners Resources About

ミクシィは6月17日、SNS「mixi」で第三者による不正ログインがあったと発表した。なお、6月2日に攻撃を把握してから利用者に対して注意喚起を行なっているが、攻撃は依然として継続中だという。 不正にログインを受けたアカウント数は16日24時時点で26万3596件で、不正ログインの試行回数は約430万回に及んだ。 同社が事態を確認したのは6月2日で、ユーザーからの問い合わせを受けて詳細な調査を行なったところ、特定のIPアドレスからの攻撃が5月30日より続いていることがわかったという。 この不正ログインは、「アカウントリスト型攻撃」によるもので、ミクシィは3月にも攻撃を受けていたほか、直近ではニコニコ動画も攻撃被害を受けている。いずれのサービスも他社サービスのID/パスワード流出による被害だ。 なお、現時点で課金やmixiポイントの不正利用は確認されておらず、クレジットカード情報につ

世界最大の航空・宇宙機器メーカーである米ボーイング。事業の性格上、同社は常にサイバー攻撃を受けているが、堅牢なセキュリティシステムを構築し、月40万件近くのコンピューターウイルスの侵入をブロックしているという。世界最高水準とされるセキュリティシステムの構築・運用ノウハウを生かし、サイバーセキュリティソリューション事業を手掛ける。米国では国防総省をはじめとする政府機関に、日本でも官公庁や大企業などへのソリューション提供実績がある。ボーイングのセキュリティソリューション事業を統括するデューイ・フック氏に事業の状況を聞いた。 ボーイングがサイバーセキュリティソリューション事業に乗り出した理由は何ですか。 フック　手掛ける事業の性格上、非常に機密性の高いデータを業務で扱っています。このため我々は、社内に世界最高水準のセキュリティシステムを構築し、運用しています。ここで培ったノウハウは、高度なセキュ

マイクロソフトが自社の社内ネットワークで実施しているセキュリティ対策について、紹介・解説する一冊だ。「Windowsの堅牢性を自慢する」という本ではない。あまり公開されることのない、ユーザー事例としてのセキュリティ対策を詳細に解説している。 タイトルの「なぜマイクロソフトはサイバー攻撃に強いのか？」。一言で結論をまとめてしまうと、「一貫した対策を徹底するから」という点に尽きる。本書で紹介されている対策は奇をてらったものではない。雑誌やWebサイトで何年も前から紹介されているような対策ばかりだ。だからといって、目新しさが皆無ということはない。対策を徹底するための方法論というのは、ほかに類を見ないものがある。 教科書的な対策を徹底するための教科書、と位置付けると分かりやすいだろう。基礎から解説しているので、ネットワーク管理者1～2年生でも読みこなせるはずだ。

概要 2014年4月、Heartbeatメッセージの処理において境界チェックの問題がありOpenSSLが動作しているマシンのメモリ情報を取得可能な状態にあったことが公表されました。最初にエンバグしてから2年が経過していること、メモリ情報を窃取された際にログが残らないことから早急な対応が必要であると認識されました。大量にメモリアクセスすることで実際にメモリ上から秘密鍵が復元できることがコンペティションの開催により実験的に示されたことから、RSA鍵ペアの再作成が推奨され、多くのサーバ証明書が失効・再発行される事態になりました。 本発表では，この事例を起点にいくつかの考察を行ないます。利用しているアプリケーションやプロトコルにおける「枯れた技術は安全」神話について取り上げた後、暗号アルゴリズム危殆化と現在のSSL/TLSにおける利用状況、さらにNSAによる通信傍受に関する一連の報道から注目を集め

ミクシィが運営するSNS「mixi」において、何者かにより、不特定多数を狙った不正なログインが試みられていることが取材により明らかとなった。 ミクシィによると、5月31日から現在でも行われているとされ、不正ログインが行われた可能性のあるアカウントは約4万件。現時点で、課金やアカウント情報の変更などの被害を受けたという報告は受けていないという。なお、実際に不正にログインされた件数は調査中とのことだ。 mixi運営事務局では、不正ログインが行われたアカウントに対し、mixi内のメッセージ機能を使って、登録メールアドレスとパスワードの再発行を促している。現在は不正ログインが試みられたユーザーにのみ通知しているが、今後、mixiトップページでも注意喚起する予定だという。 ミクシィは「サーバに対して不正アクセスがあったわけではない」とし、サーバからユーザー情報などが奪われていないことを強調。この一連