会社でのUSBメモリー使用は禁止が基本，代替手段や利用時の選定/運用条件を明確に | 日経 xTECH（クロステック） USBメモリー使用は禁止が基本???: 情報セキュリティプロフェッショナルをめざそう！(Sec. Pro. Hacks) 元ネタはITproの記事から。著者の名前に…

Security Economics分野で著名な Ross Andersonさん他によるレポートが公開されている。 “Security Economics and the Internal Market” by Prof. Ross Anderson, Rainer Bohme, Richard Clayton, Tyler Moore 内容はヨーロッパにおける Security Economics…

スパムメール等で悪意のあるWebサイトにユーザーを誘導する受動型の攻撃で、最近は Fast-Fluxという手法が多く使われているようだ。ICANNからもアドバイザリが出ている。SAC 025 SSAC Advisory on Fast Flux Hosting and DNS Fast-FluxはサーバのIPアドレス…

これまであまりチェックしていなかったが、よく見るといろいろと興味深いネタがたくさんつまっていることに気が付いたサイト。最近はRSSでチェックしてます。 GNUCITIZEN GNUCITIZEN is a Cutting-edge Ethical Hacker Outfit. We hack things for a living.…

http://journal.mycom.co.jp/articles/2008/03/07/cuda/index.html GPUは、シンプルな演算ユニットを多数搭載しているため、並列演算処理を行う場合、同規模のCPUと比べて高い処理性能を達成することができる。そのため、近年グラフィックスを得意としていた…

安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構 今回の改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイト・スクリプティングの脆弱性に関して、具体的な…

著名な(?)サイバー犯罪組織であるRussian Business Network(RBN)。最近またいろいろと新しいリサーチペーパーが出ているようなので、情報をまとめておく。今後の動きにも注目していく必要あり。 RBNとは Wikipediaの説明から抜粋 The Russian Business Netwo…

EFS(Encrypting File System)はWindows2000(NTFS5)以降のOSに標準で実装されている暗号化ファイルシステムである。フォレンジック調査では時々EFSファイルを復号して調べることが必要になる。対象ファイルを利用しているユーザーが協力してくれてファイルの…

CAPTCHA(日本では画像認証と呼ぶこともある)について、江島さんがいいこと言ってる。CAPTCHAは愚策:Kenn's Clairvoyance - CNET Japan CAPTCHAの抱える問題とは、ようするに「強度を上げれば（読みにくくすれば）人間にも読みにくい」という単純かつ原理的な…

Sage 3 -- McAfee Acert Labs Report http://www.mcafee.com/us/research/sage/sage_2008_linkpage.html 最新のマルウェア情報 | McAfee Labs | マカフィーMcAfeeの研究レポート「Sage」の第3弾。各国(日本、中国、ロシア、ドイツ、ブラジル、米国)における…

New Research Result: Cold Boot Attacks on Disk Encryption Lest We Remember: Cold Boot Attacks on Encryption Keys » Center for Information Technology Policy Abstract Contrary to popular assumption, DRAMs used in most modern computers retain…

仕事中に、はてブとかやるなよ: やまもといちろうBLOG（ブログ） 目の前の仕事をしっかりこなして欲しい大組織の末端社員にまで創意工夫を建前にウェブを自由に見せてたら管理にならんでしょう。そりゃ縮こまってるんじゃなくて、社内にある情報の価値を軽視…

http://wiredvision.jp/blog/fujimoto/200802/200802191000.html 情報流出やコンプライアンス違反について、昨今の社会の反応は過激であり、経営者としては可能な限りリスクを減らす方向に力を入れる気持ちが強くなるのもわかる。しかしこうしたバランスを欠…

http://www.computerworld.jp/news/sec/98650.html この前のエントリに書いた Googleの調査結果についての解説記事。早く原文読まないと。 Googleでは、数十億のWebページを巡回する同社のWebクローリング・ソフトウェアを利用して、サイトを訪れたビジター…

スバム大国 http://www.computerworld.jp/news/sec/98190.html Sophosのレポートから。 英国のセキュリティ・ベンダーSophosは2月11日、2007年第4四半期（10−12月期）のスパム調査リポートを発表した。それによると、昨年1 年間でロシアからのスパム発信数が…

以前のエントリでSecuniaが提供しているアプリケーションの脆弱性チェックツールPSI(Personal Software Inspector)について書いた。そのときに書いた内容がちょっと間違っていたので訂正。 F-Secureのヘルスチェックでは黄色信号になっていて、安全ではない…

Adobe Reader exploit in the wild InfoSec Handlers Diary Blog - Adobe Reader exploit in the wild Adobe Readerの脆弱性を悪用するPDFファイルがすでに出回っているらしい。すぐに最新版にアップデートしたほうがいい。 DFRWS 2008 Forensics Challenge …

(IN)SECURE Magazine archive 今回も全132ページともりだくさん。なかでも "Free visualization tools for security analysis and network monitoring"の記事がおもしろそう。知らないツールが結構たくさんある。 紹介されているツールの一覧 Name Notes URL…

2月にはいってActiveX関連の脆弱性や攻撃についての情報をあちこちで見かけるので、状況を簡単にまとめておく。 脆弱性 Elazar Broadというセキュリティ研究者が、1/31と2/3にFull-Disclosure MLで脆弱性情報を公開したのがどうも発端らしい。 Full Disclosu…

1月の残りの分をまとめて。 CAPTCHAが破られる? Network Security Research and AI: Yahoo! CAPTCHA is broken CAPTCHA（Completely Automated Public Turing test to tell Computers and Humans Apart）はユーザー登録やコメントの登録などで利用されている…

http://digg.com/apple/18_84_58_A6_D1_50_34_DF_E3_86_F2_3B_61_D4_37_74_iPhone_Key Topic: apple articles on Engadget少し前のニュースから。真偽の程は定かではないが、どうも iPhoneのアプリに署名をするために Appleが管理しているキーが外部に流出し…

セキュリティ屋が自分の首を絞めるとき: 風見鶏のひとりごと ある意味で過剰反応ともいえるこんな風潮が出るのは、つまりはリスクに対して個別の議論抜きで、ばっさり網をかけるような対策に終始していることが原因だと思う。つまりは、一番高いリスクを念頭…

P2Pは悪！？: 風見鶏のひとりごと もういっちょ。 風見鶏さんのこのエントリを見ていて思いだした。本当にこの「性悪説」の誤用はやめてほしいものである。いつまで続くのか。誰が最初に使いだしたのかわからないが、少なくとも自分が10年前くらいにセキュリ…

先日オープンしたばかりの(ISC)2 メンバーズコミュニティーのサイトだが、今週事務局からメールで「システムに重大な不具合が見つかったため、いったん閉鎖させていただきます。」との連絡がきた。現在でもログインは可能だが、掲示板など主要な機能は使えな…

情報セキュリティ教育の指導者向け手引書（2007年版）長谷川さんのブログで知った。全132ページで、教育カリキュラムの例や、教育実践上の様々なポイントなど、なかなか盛りだくさん。最後には参考になるサンプル教材もついている。どうせだったら、そのまま…

JASA情報セキュリティ人材育成セミナー2007 in Winter 先週末の1/18にJASAの情報セキュリティ人材育成セミナーに参加してきた。途中までしか聞けなかったが、とても参考になる内容が多かったのでメモ。 セキュア・ジャパン、これからの情報セキュリティ人材…

情報セキュリティ対策ベンチマーク活用集 情報セキュリティ対策ベンチマーク活用集の発行について 「ISMS認証取得や情報セキュリティ監査の準備段階での活用を含む多彩な使い方を紹介」しているとのこと。全130ページでなかなか読みごたえがありそう。 HDDの…

2007年度 情報セキュリティ監査セミナー in TOKYO今さらですが、昨年末の12/19に参加したJASAセミナーのメモ。資料は上記URLからダウンロードできる。途中いくつか平凡な内容もあったが、全般的には非常に満足できる内容だった。それにしても参加者の数がハ…

似たようなツールがF-SecureとSecuniaから提供されているので使ってみた。 F-Secure Health Check https://psi.secunia.com/ どちらもコンセプトはそっくり。OSやブラウザなど常に最新のセキュリティアップデートが自動更新される仕組みがあるものは比較的安…

今週気になった記事の中からいくつかピックアップ。 UTF-7でXSS UTF-7でXSSを発生させる10の方法 - 葉っぱ日記 ブラウザによる文字コードの取り扱い方に問題があるため、UTF-7を使うとXSSを発生させることができる場合がある。特に文字コードの自動判別を行…