他人のパソコンのCPU(処理装置)を借用して、仮想通貨のマイニング(採掘)を手伝わせる「コインマイナー※」。仮想通貨ブームもあって話題になっているが、そのプログラムをサイトに設置している運営者たちが、不正指令電磁的記録(ウイルス)供用や保管などの容疑で相次いで摘発されている。コインマイナー用のプログラムが「ウイルス」と判断されたからだが、技術者からは疑問や反発の声も出ている。なぜなのか。 【用語解説】コインマイナー 仮想通貨取引の正しさを証明するための計算作業に参加し、対価として仮想通貨を入手することを金の採掘に例えてマイニングと呼ぶが、計算には高性能なコンピューターが必要だ。このため、他人のコンピューターの処理能力を借用して行おうとするのがコインマイナー。今回、捜査対象となっているのは、自分の運営サイトにコインマイナー用のプログラムを設置していたケースだが、このほか、第三者がサイトを改ざ
表題の通り、お恥ずかしい限りではありますが、人生ではじめて警察(神奈川県警!)のお世話になる運びとなりました。 罪状としては「不正指令電磁的記録 取得・保管罪」、通称ウイルス罪とのことで、まさに青天の霹靂の思いです。 以下ではこの度起こったことを可能な範囲でありのまま共有できればと思います。 この記事の目的まず、この記事を公開した目的は「他のクリエイターの人に同じ経験をして欲しくない」という一点に尽きます。 手前味噌ではありますが、私はこれまで多くの尊敬するクリエイターの方々と同じように「良いクリエイターであろう」と腐心し、できうるかぎりの努力をしてきたつもりです。 今回の件に関しても決して私利私欲のためではなく、あくまでユーザーのためにできることを、と模索した結果でした。 それがこのような形で取り沙汰されることとなり、残念という他ありません。 忸怩たる思いではありますが、この件から何かし
無料でSSL(Secure Sockets Layer)/TLS(Transport Layer Security)サーバー証明書を発行する「Let's Encrypt」が2015年12月4日(日本時間)にパブリックベータになった。いままでは招待制の限定ベータプログラムだったが、パブリックベータとなり、誰でも試すことができるようになった。 Let's EncryptはSSL/TLSサーバー証明書の取得・管理を簡単にできるようにすることで、HTTPSをWebの標準にすることを狙っている。専用のクライアントソフトウエアを利用すると、証明書の取得・更新作業を自動化できる点も特徴。クライアントソフトウエア自体も自動アップデート機能を備える。 Let's Encryptが発行するのはドメイン認証SSL/TLS証明書のみ。米国大手認証局(CA)である IdenTrustの証明書によって、中間証明書「L
[ゲストブロガー:矢倉眞隆氏 執筆] W3Cの年次イベント「W3C Technical Plenary / Advisory Committee Meeting Week」、通称「TPAC(ティーパック)」が2015年10月26日から10月30日まで、北海道札幌市で開催されました。 TPACは、毎年秋に一週間かけて行われる、W3Cの「技術総会」(Technical Plenary)と「諮問委員会」(Advisory Committee)の会合、そして仕様を策定する各ワーキンググループのミーティングを同時に行う、W3C最大のイベントです。通常はどのミーティングも各々が必要に応じて行うので、それらが同時に行われるTPACは、様々な観点から価値を共有できる貴重な機会です。 さて、諮問委員会の会合はW3Cの運営を、ワーキンググループのミーティングは仕様の策定をそれぞれ扱うと説明できますが、技術総会
朝日新聞社のニュースサイト「朝日新聞デジタル」の記事に見せかけた“偽”記事が、6月12日から14日にかけて、ウェブで閲覧できる状態にあった。ページURLが「http://shrturl.co/」で始まっていたことから偽装されたものと気付く人がいた一方で、それが一種の短縮URLに見えることもあり、中には信じ込んでしまった人もいたようだ。 既存のウェブページとそっくりな見た目のページを作り文章などを改変できるサービス「SHRTURL」を使用して作成されたもので、サービスの仕組みに則れば、ページ作成から48時間後に削除されたことになる。なお、同サービスは6月13日までに終了しているが、その48時間以内に作成されたページは、その後も一定時間を経るまで閲覧可能な状態にあったとみられる。 偽記事は「仁風林事件 竹中平蔵氏らを事情聴取」と題されたもの。6月12日13時42分に掲載したように見せかけていた
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
IPA、OSSの脆弱性検査ツールの使い方をまとめたレポート公開:Webアプリの脆弱性検査にお金を掛けられない中小企業や組織に 情報処理推進機構は2013年12月12日、オープンソースのWebアプリ脆弱性検査ツールの特徴をまとめた「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を公表した。 情報処理推進機構(IPA)は2013年12月12日、オープンソースのWebアプリ脆弱性検査ツールの特徴をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を公表した。 IPAは、「現在、Webサイトを持たない組織はまれである一方で、Webサイトの安全性を適切に確認できている組織は、それに必要な技術者やコストの確保の面で決して多くない」と指摘する。事実、2013年もまた、Webアプリケーションや、Webサイトを構成するCMS、あるいはApache Str
OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開:開発者にも、そして発注者にも安全なWebアプリの要件定義を OWASP Japanは2013年11月1日、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめた「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。 OWASP Japanは2013年11月1日、「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。安全なWebアプリケーションを実現するため、開発を依頼する発注者側と、実際に開発を担う受注者側の双方が留意すべき要件についてまとめている。 The Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体だ
In Visual Studio 2022 17.10 Preview 2, we’ve introduced some UX updates and usability improvements to the Connection Manager. With these updates we provide a more seamless experience when connecting to remote systems and/or debugging failed connections. Please install the latest Preview to try it out. Read on to learn what the Connection ...
「札幌ドームを爆破するぞ!!警察は必要ねぇよ」 インターネット掲示板「2ちゃんねる」に今月16日、こんな犯罪予告が書き込まれた。通報を受けた北海道警は敷地内を捜索。翌日にあったプロ野球パ・リーグのクライマックスシリーズでも、警備強化を余儀なくされた。 「またウイルスか」 「逮捕楽しみ」 予告に続くコメント欄には、騒動をおもしろがる言葉が並んだ。 「脅迫、書き放題だね。IPアドレスを根拠に追及されても『ウイルスのせいだ』と主張すれば済む」 一連の犯罪予告が冤罪(えんざい)の可能性が高いことが明らかになってから、こうした書き込みが急増した。実は、遠隔操作ウイルスの登場で警察当局が冤罪と並んで懸念を示しているのが、この「書き込み放題」になってしまうことだった。 ネットに投じられた遠隔操作ウイルスの一石は、早くも警察当局の懸念通り、サイバー空間の法秩序を崩壊に追い込みつつある。× × × ネットセ
Firefox web browser - Faster, more secure & customizable Webサイトへのログインに新しい流行を作るかもしれない興味深い技術がMozillaから発表された。Mozillaの見込みがうまくいけば、数年後にはこの方式でどのWebサイトにもログインできるようになる可能性がある。発表された技術は「BrowserID」と呼ばれている。 Webサイトにおけるログインというのは、利用するユーザにとっても、開発するエンジニアにとっても面倒なものだ。ユーザはサイトごとに異なるIDとパスワードを入力しなければならないし、開発側はログインシステムをプライバシーの保護にも考慮しながら開発する必要がある。 「BrowserID」はこの双方の問題を解決する。開発側は数行のコードをページに挟みこむだけでログイン処理が実装でき、ユーザはどのサイトでもまったく同じUI
2011/04/06 情報処理推進機構(IPA)は4月6日、Webサイトの開発者や運営者に向け、セキュリティを考慮したWebサイトを作成するための注意点をまとめた資料「安全なウェブサイトの作り方」の改訂第5版を公開した。IPAのWebサイトからダウンロードできる。 「安全なウェブサイトの作り方」は、Webサイトに起因するセキュリティ問題を解決することを目的とした文書で、2006年1月に第1版が公表された。Webサイト/Webアプリケーションの脆弱性の解決策のほか、フィッシング詐欺を助長しないための対策をはじめとするサイト全体の安全性を向上するための取り組み、さらに、ソースコードも含めた実際の失敗例などを紹介している。 過去の版では、クロスサイトスクリプティングやSQLインジェクション、OSインジェクションといった代表的な脆弱性を取り上げ、根本的な解決策や影響低減策についてまとめてきた。第5
2011/01/27 情報処理推進機構(IPA)は1月27日、安全なアプリケーション開発技法の学習ツール「AppGoat」を開発したことを発表した。ソフトウェア開発者やWebサイト運営者を対象に、同日からベクターで、1月28日からはIPAフォーラムのWebサイトで公開する。 アプリケーションに対する不正アクセスやマルウェアによる攻撃を防ぐには、設計/開発時から安全面を考慮し、なるべく脆弱性を作り込まない形で実装していくことが重要だ。だが、どうすれば脆弱性を発見でき、どのように修正すればよいかを学べるツールが十分に整備されておらず、脆弱性がなかなか減らない要因の1つになっていたという。 AppGoatはこの課題を踏まえて開発された体験型学習ツールだ。大きくWebアプリケーションとサーバ・デスクトップアプリケーションの2つに分けて、脆弱性の原理から検証手法、影響、対策方法を対話的に解説する。W
本連載では、セキュリティ診断の現場から、「Webサイト運営者と開発者に送る、今どきのセキュリティ対策」について、3回にわたって解説します。 第1回: 知らないから漏えいする! 経費節約時代のセキュリティ対策 発注時のちょっとした工夫でできる対策、お金をかけない対策のツボを解説。 第2回: やってみなけりゃ分からない? WAFの「活用メリット」と「落とし穴」 WAFは一歩間違えればただの箱。現場のみが知る活用術を解説。 第3回: 診断の現場からの提言! Webサイトに潜む脆弱性個所 リリース前に再チェックしたい、脆弱(ぜいじゃく)性が作り込まれる個所を指摘。 景気低迷の中、Webサイトのセキュリティ対策に十分な費用をかけることが難しい時期ですが、いまだにWebサイトの脆弱性を攻撃されて情報漏えいを起こした事件が絶えません。 限られた予算の中で最大限の効果が求められています。今回は、こうしたW
■ 岡崎図書館事件について その1 5月26日にこんな報道があった。 図書館HPにアクセス3万3000回 愛知県警 業務妨害容疑、38歳を逮捕, 朝日新聞2010年5月26日朝刊 県警生活経済課と岡崎署によると、容疑者は、4月2日から15日にかけて、岡崎市中央図書館のホームページに、計約33,000回のアクセスを繰り返し、ホームページを閲覧しにくい状態にしたという疑いがある。(略) 同課によると、容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。 図書館にサイバー攻撃, 読売新聞2010年5月26日朝刊 県警は25日、インターネット関連会社社長を偽計業務妨害容疑で逮捕した。(略) 調べに対し、アクセスしたことは認めているが、動機については話して
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は1月20日、ウェブサイト開発者、運営者向けの資料「安全なウェブサイトの作り方 改訂第4版」を公開した。脆弱性対策の普及促進のため「失敗例」の情報を拡充し、より安全にウェブサイトを作成できるように配慮した。同資料はPDF形式で配布されており、IPAのサイトからダウンロードできる。 同資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届け出件数の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、開発者や運営者がセキュリティに配慮したサイトを作成するため際に参考となる資料だ。 改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTP
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
