テーマ:セキュリティTIP

セキュリティ対策の「盲点」を突く、ソーシャルエンジニアリング

こんにちわ、ネットワークセキュリティのマツジローです。 情報セキュリティの意識があり、多少の資金のある企業であれば、 セキュリティポリシーを策定して、さまざまな施策を実施しているはずだ。 まず、人的な施策 ・従業員のセキュリティ教育 ・いろいろなルール作り ・チェックリストの作成 次ぎに、物理的な施策 ・入退…
トラックバック:1
コメント:0

続きを読むread more

MS Security Essentials は、Windows Update 設定を上書きする?

こんにちわ、ネットワークセキュリティのマツジローです。 とばっちりを避けるために、Windows Update 設定を x 更新プログラムを自動的にインストールする(推奨) ではなく、意図的に o 更新プログラムをダウンロードするが、インストールを行うかどうかは選択する または o 更新プログラムを確認するが、…
トラックバック:1
コメント:1

続きを読むread more

「Google セキュリティ懸念で Windows を捨て?」は嘘とアナリスト

こんにちわ、ネットワークセキュリティのマツジローです。 「Google セキュリティ懸念で Windows を捨て?」は嘘とアナリストが分析しています。 o Windows を捨てるなら、OS はなにを使うのか? Chrome OS は、仕事で使うほど成熟していないので、必然的に、MAC OS X か Linux にな…
トラックバック:2
コメント:0

続きを読むread more

Microsoft Security Essentials を Proxy 環境で動かす

こんにちわ、ネットワークセキュリティのマツジローです。 ゲートウェイにプロキシを導入してあるネットワーク環境だと、Microsoft Security Essentials のウイルス定義のアップデートが出来ないんです。 こまったー、と言うことで、プロキシのログを調べると port80 にアクセスしてるんですね。 IE の…
トラックバック:2
コメント:0

続きを読むread more

クラウドコンピューティングの暗黒面に備えよ

こんにちわ、ネットワークセキュリティのマツジローです。 半月前に、米 CA( http://ca.com )のクラウドセキュリティ調査レポートの紹介で クラウドクラウドコンピューティングは、IT管理を骨抜きにしてしまう 実態をお伝えしました。 -> http://matzjiro.at.webry.info/20100…
トラックバック:1
コメント:0

続きを読むread more

「遅いとは言わせない」 Adobe パッチスケジュールを、毎月に

こんにちわ、ネットワークセキュリティのマツジローです。 少し振り返ると、2009 年 ~ 2010 年の第一四半期くらいまでは、Adobe にとって本当に辛かった。 ・ハッカーが、 Flash や Adobe Reader をターゲットにしたゼロディ攻撃を徹底的に仕掛けた。 ・マイクロソフト やモジラなどのブラウザメーカー…
トラックバック:1
コメント:0

続きを読むread more

iPhone のデータ暗号機能に重大な不具合。 Apple も追試で確認。

こんにちわ、ネットワークセキュリティのマツジローです。 iPhone のような、デバイスのデータは、普通 256-bit AES などで、暗号化されている。 そして、認証を経てはじめて データを読んだり、書いたり出来るようになっている。 なぜか? このような、小さなデバイスには、紛失のリスクが常にあるので、…
トラックバック:2
コメント:0

続きを読むread more

Apple 2年前に Windows 版 Safari で対応済みの脆弱性を未だ「放置プレー!」

こんにちわ、ネットワークセキュリティのマツジローです。 著名なセキュリティ研究者の Nitesh Dhanjani が2年前に指摘して、マイクロソフトの圧力もあって対応済みの脆弱性が、MAC OS X の Safari では、未対応だ。 指摘されている脆弱性は Safari が認識しない MIME をユーザーの許可無くダウ…
トラックバック:2
コメント:0

続きを読むread more

Google App Engine に ssl モジュールの場所を教えて、安全にディプロイするぜ!

こんにちわ、ネットワークセキュリティのマツジローです。 Leopard で Google App Engine の アプリをディプロイすると、下のように「 ssl モジュールがない」と警告がでる。 http://pypi.python.org/pypi/ssl でインストールしろと うるさい。 server:ch02 ?…
トラックバック:1
コメント:0

続きを読むread more

法人ダメ? Microsoft Security Essentials の日本語独自ライセンス?

こんにちわ、ネットワークセキュリティのマツジローです。 私の知るかぎり、マイクロソフト製品のライセンスは、全世界で共通のはずなのだが、 Microsoft Security Essentials については、どうやら異なるようだ。 日本でだけは、ビジネス利用は出来ないと言うことなのか。 「argument switch …
トラックバック:1
コメント:0

続きを読むread more

やー、感心しました。恐れ入りました。偽アンチウイルスソフト詐欺ビジネス

こんにちわ、ネットワークセキュリティのマツジローです。 やー、感心しました。恐れ入りました。 o はやりのキーワードで、誘い出す。検索で、上位にランキングさせるのって結構難しいのですが・・ o このビデオをみるには、コーデックのインストールが必要です。 インストールされるのは、コーデックではなくて、偽のウイル…
トラックバック:1
コメント:0

続きを読むread more

「クラウドはIT管理を骨抜きに。セキュリティは、ヤバイ!」CA クラウドセキュリティ調査レポート

こんにちわ、ネットワークセキュリティのマツジローです。 “Security of Cloud Computing Users”というCA( www.ca.com )が作らせた、エンドユーザーのクラウドコンピューティングにおけるセキュリティ調査レポートが出た。 レポートは、米国 600 人・ヨーロッパ 200 人の IT プロへの…
トラックバック:1
コメント:0

続きを読むread more

XP を「argument switch attack」から守る方法は、これだ!

こんにちわ、ネットワークセキュリティのマツジローです。 セキュリティソフトを誤魔化す攻撃手法「argument switch attack」が出たー で、Windows XP と SP1 未適用の VISTA には、カーネルを保護する機能 PatchGuard が無いので、危険です。と書きました。 VISTA は、最新の SP…
トラックバック:2
コメント:0

続きを読むread more

セキュリティソフトを誤魔化す攻撃手法「argument switch attack」が出たー

こんにちわ、ネットワークセキュリティのマツジローです。 アンチウイルスソフトが無いと、この危険なインターネットで、安心して、Web やメール何て出来ません。Web やメールができるのも、まさにアンチウイルスソフトのおかげなんです。 アンチウイルスなどのセキュリティ対策ソフトは、カーネルがコードを実行する手前で、“OK”とか“…
トラックバック:2
コメント:0

続きを読むread more

Windows でわざわざ Safari をご利用の大変に変わった方、しばらく他のブラウザーをどうぞ

こんにちわ、ネットワークセキュリティのマツジローです。 o MAC OS のシェアは、5.32%。 最近、MAC は、元気があるようで、 Operating System Market Share先日の調査によると、MAC のシェアは、5.32%。 o Safari のシェアは、4.72%。 4 月のブラウザシェア。つ…
トラックバック:2
コメント:0

続きを読むread more

iPad の一挙手一投足をログして、ビジネスに投入だ!

こんにちわ、ネットワークセキュリティのマツジローです。 iPad が 100 万台を突破! iPad 向けの業務/ビジネス・アプリが続々と登場 と言うことで、iPad 大変な勢いがあります。 昨日は、 モバイル端末紛失時に、情報漏洩を防止する Google Apps のクッキーリセット機能について、書きましたけど、 …
トラックバック:2
コメント:0

続きを読むread more

紛失しても情報漏洩は無い? Google Apps にクッキーリセット機能がついたぞ!

こんにちわ、ネットワークセキュリティのマツジローです。 iPhone や iPad のビジネス用途のセキュリティ機能については、いろいろな意見がある。わたしも書いてますますが アップル iPad を既知のセキュリティホール未対応で出荷! ・・・ でも、どんなにセキュリティ機能を強化したところで、紛失するリスクをゼロには出来…
トラックバック:3
コメント:0

続きを読むread more

グーグルのセキュア Web アプリ学習教材 Jarlsberg をセットアップ!

こんにちわ、ネットワークセキュリティのマツジローです。 グーグルが、典型的な Web アプリケーションに対する攻撃とその防御の学習教材 Jarlsberg を Google App Engine に公開した。 ことを、昨日お伝えした。 今日は、Jarlsberg セットアップだ。 o ローカル環境にセットアップ …
トラックバック:1
コメント:0

続きを読むread more

グーグルの答え!銀の弾丸は、無い。Web アプリケーションの安全性は、コーディングなのだ。

こんにちわ、ネットワークセキュリティのマツジローです。 グーグルが、典型的な Web アプリケーションに対する攻撃とその防御の学習教材 Jarlsberg を Google App Engine に公開した。 安全な Web アプリケーションを Google App Engine に開発してもらうことは、将来の収益におおきく影響…
トラックバック:1
コメント:0

続きを読むread more

ブラウザ・プラグインの脆弱性の26%は、Oracle Java

こんにちわ、ネットワークセキュリティのマツジローです。 HTML5 の動画の話になると “ともかく、Flash はダメ”とか言う人とか。 “On2 の VP8”だ!とか いやいやまだまだ、“ H.264 ”で大丈夫などと言う方もいて、まあ、いろいろと、もめるんです。 でも、もめるとか・話題になる、というのは、いいもので…
トラックバック:0
コメント:0

続きを読むread more

Ruby on Rails でセキュアなアプリを作る:CSS/XSS 対策

こんにちわ、ネットワークセキュリティのマツジローです。 今日は、クロスサイトスクリプティング (Cross Site Scripting) 対策です。 まず、クロスサイトスクリプティングとは? “動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスク…
トラックバック:1
コメント:0

続きを読むread more

Ruby on Rails でセキュアなアプリを作る:SQL インジェクション 対策

こんにちわ、ネットワークセキュリティのマツジローです。 Ruby on Rails でセキュアなアプリを作る近道は、Rails を知ることなのです。と言ったので、 今日は、具体的な“SQL インジェクション”対策についてです。 “SQL インジェクション”は、Web アプリケーションの脆弱性ナンバーワンで、Web アプリケ…
トラックバック:1
コメント:0

続きを読むread more

買い物をソーシャルにするサービス Blippy でカード番号漏洩

こんにちわ、ネットワークセキュリティのマツジローです。 Twitter が「今の私」をソーシャルにするメディアなら、 Blippy は、「買い物」をソーシャルにするメディアだ。 誰が・何を・いくらで ということをシェアして盛り上がろうというのだが クレジットカード番号まで、シェアするのは、ちとやり過ぎだ! …
トラックバック:2
コメント:0

続きを読むread more

Ruby on Rails でセキュアなアプリを作る近道は、Rails を知ることなのです。

こんにちわ、ネットワークセキュリティのマツジローです。 現在 Ruby on Rails でアプリケーションを開発をしているので、そのセキュアなアプリケーション実装について書きます。 そのまえに o Ruby on Rails についての個人的な見解 ・MVC:良くできた実装 ・フルスタック:ともかくすべて揃ってい…
トラックバック:3
コメント:0

続きを読むread more

スタンフォード大学、アプリをプライバシー・公開性・セキュリティ面から評価するサービスをスタート

こんにちわ、ネットワークセキュリティのマツジローです。 アプリケーションやサービスを選ぶとき、機能・価格・使いやすさ・評判に、ついつい気を取られてしまいますが、プライバシーやセキュリティは大丈夫か?と不安になることありませんか? たとえば、ツイッターだと、この画面が出たとき このな時に、役に立つサービスができま…
トラックバック:1
コメント:0

続きを読むread more