2010年11月11日

目には目を、歯には歯を

二要素認証によるログイン処理がウィルスによって突破される事が確認されたそうです。

■トレンドマイクロ:「ZBOT」の新亜種、「二要素認証」を突破!
 http://jp.trendmicro.com/jp/threat/securityheadlines/article/20101108063647.html

犯罪者との戦いは常にイタチゴッコですね。
二要素認証のために携帯電話向けのウィルスまで作成してくるとは、、、


今後、スマートフォンなどの持ち運べる簡易PCの利用増加やフリーの無線アクセスポイント
の増加により今まで想像しなかったリスクが顕在化しそうですね。

ジェール・ヴェルヌの言葉ですが「人が想像できることは 必ず人が実現できる」の言葉の通り
吉事も悪事も実現されていくのでしょう。

2010年11月08日

第5回東北情報セキュリティ勉強会

すっかり忘れていましたが、今週末は仙台で東北情報セキュリティ勉強会があります。

以下、告知。
第5回目となる東北情報セキュリティ勉強会は、東北大学青葉山キャンパスにて開催します。
今回のテーマは、NoSQLの話、クラウドプラットフォームとして重要となるコア技術でもあるNoSQLの基礎からのお話をお伺いします。

勉強会には、ITに興味のある全ての方に参加してほしく思っております。
少し技術的に離れている方でも、是非遊びに来てください!

テーマ:「MongoDBやHadoopといったNoSQLは適材適所で使おう、的な話」
 講師:ささたつさん(@sasata299)

 日時: 2010年11月13日 (土曜日) 13時00分〜18時00分
 場所:東北大学 青葉山キャンパス 情報科学研究科

 
 この勉強会の情報は、以下の短縮URLでも提供しています。
  http://bit.ly/THKITS-5th


開発系ネタなので参加したいが、今回は無理かもなー。

2010年07月21日

Windowsショートカット脆弱性

Windowsの全てのバージョンに影響するゼロディ・エクスプロイトコードが公開されました。
Windows7 や Vistaは比較的安全と思われていたかも知れませんが、もう過去の事です。

この脆弱性で、厄介な事にショートカットのアイコンが“表示しただけ”で悪意あるコードが実行されるという点です。

ユーザによるクリックなどのアクションが不要で、メールに添付したり、USBメモリへ潜ませるだけでOKという手軽さで脆弱性を突くことができる。

Microsoftおよびパートナー各社が鋭意、更新プログラムを開発中ですが、パッチが提供されるまでは、以下の方法で回避する必要があるそうです。

・ショートカット用アイコンの表示を無効にする
・WebClient サービスを無効にする
・インターネットの LNK および PIF ファイルのダウンロードをブロックする


■マイクロソフト セキュリティ アドバイザリ (2286198)
 Windows シェルの脆弱性により、リモートでコードが実行される
 http://www.microsoft.com/japan/technet/security/advisory/2286198.mspx


■エフセキュアブログ
 ショートカット・ゼロデイ・エクスプロイトのコードが公開
 http://blog.f-secure.jp/archives/50427676.html

2010年07月05日

Windows 2000シリーズへの注意喚起

IPAから注意喚起が出ましたね。


マイクロソフトのベストセラーである Windows 2000 は

まだまだ現役で現場で動いている個所が多いと思います。


地方だと、PosレジのOSとして動いていたりもしますね。

たとえクローズドなLAN環境で動かしているとはいえ

一度、ウィルス侵入を許せば、事業停止を招くので

IPAの注意喚起を含め、啓蒙していきたいと思います。


■IPA:サポートが終了するWindowsを利用しているシステム管理者への注意喚起
 http://www.ipa.go.jp/about/press/20100705.html

2010年06月18日

NISCがIE6からの移行を指示

内閣官房情報セキュリティセンター(NISC)から各省庁の推奨ブラウザをIE6からIE8にするように指示がでているそうです。

確かに葬儀まで執り行われたのでIE6については退場していただきたいというのが、エンジニアからも強く思います。
先日もIE6では正しく表示されるのに、IE8でレイアウトが崩れてしまうということがあり馬鹿にならない工数がかかります。

本当はIE6が特殊というより、IE8が特殊なので…
できれば、IE8と明言せずCSSやHTML、JavaScript解釈が素直なFireFoxやchromeの最新版を使用していただきたい。


もちろんセキュリティ面からも最新版を使うことで古い脆弱性の悪用低減にもなりますので政府機関として推進してほしいですね。

■内閣官房情報セキュリティセンター(NISC)
 http://www.nisc.go.jp/
 プレスリリース
 http://www.nisc.go.jp/press/pdf/browser_transition_press.pdf