マカフィー、ソニー個人情報流出の教訓を解説
マカフィーは2011年6月2日、ソニー・コンピュータエンタテインメント(SCE)のネットワークゲームサービス「PlayStation Network(PSN)」から個人情報が流出した事案について緊急記者説明会を開催した。この背景にある情報セキュリティの課題と、同様の被害を防ぐために有効な対策について解説した。 同年4月19日に発生した今回の事案では、サイバー攻撃によってPSNと音楽配信サービス「Qriocity」からユーザーのオンラインIDや購入履歴、請求先住所、パスワード再設定用の質問に対する回答などが流出した。ソニーの発表によると、侵入者はアプリケーションサーバーのぜい弱性を突いて不正なプログラムを埋め込み、外部からの進入経路を確立。アプリケーションサーバーの管理者権限を乗っ取り、ユーザー情報を管理するデータベースに不正アクセスしたという。 マカフィー エンタープライズ営業本部 プロフ
IDS/IPS完全教本 基礎編 IDS/IPSを構成するシステムとテクノロジー : セキュリティ - TECH WORLD
IDS/IPSを構成するシステムとテクノロジー 当初のIDS(侵入検知システム)は攻撃検知を主な機能とし、防御はファイアウォールなどに依存していた。それからおよそ10年を経て、検知に加え防御までを可能とするIPS(侵入防御システム)が一般化し、その機能も格段に進化を遂げている。基礎編では、今やセキュリティ保護の定番ツールとなったIDS/IPSの基本的なシステム構成や検知メカニズムについて解説する。 (2008/05/12) 馬場敏文 印刷用ページ IDS/IPS完全教本 記事メニュー 基礎編 IDS/IPSを構成するシステムとテクノロジー 応用編1 IDS/IPS導入の事前確認事項 応用編2 IDS/IPSの設定と運用の鉄則 Point 1 IDS/IPSの基本的な概念を理解する IDS/IPSとファイアウォール その役割はどこが違う? IDSは「Intru
セキュリティ情報 - UTF-8を利用したIDS/IPS/WAFの検知回避技術
UTF-8を利用したIDS/IPS/WAFの検知回避技術 HASHコンサルティング株式会社 公開日:2009年3月23日 概要 本レポートでは、ASP.NET(1.1)をUTF-8文字エンコーディングにて利用しているサイトにおいて、不正な文字エンコーディングを利用したIDS/IPS/WAF回避の可能性について報告する。 背景 株式会社ラックが2008年10月に「【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~」と題するホワイトペーパーを発表した。いくつかの新種の攻撃手法が説明されている中で、不正なパーセントエンコードを利用した検知回避テクニックについて言及している。具体的には、以下のような方法だ。 Active Server Pages(ASP)では、「DEC%LARE」のようにパーセント記号に続く2文字が16進数でない場合、パーセント記号を
Webサイト防御のためにできること
2005年春、2007年春に猛威を振るったSQLインジェクション(※注1)の検知数が、2008年の3月上旬から当時の何倍もの規模にまで増えてきた(図1)。正直なところSQLインジェクションは「過去の遺物」であり、ほとんどのサイト運営者が何らかの手を打ち、もう絶滅したと思われていたが、現在も被害に遭うサイトは後を絶たない(図2)。 ※注1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法 図1●JSOC(ラックセキュリティ監視センター)で検知したSQLインジェクションの件数 図2●被害サイトは予想以上(Googleの検査結果)《クリックで拡大》 ここではWebアプリケーション(以下、Webアプリ)の脆弱性対策の話が中心であるため、攻撃の詳細にまでは触れないが、一連の攻撃で厄介だったのは、攻撃コードが難読化されていたことである(図
ScanNetSecurity - WAF導入の手引き
●WAFってなに? WAFとは、Web Application Firewallの略称である。 Webアプリの普及と高機能化に伴って、それらをターゲットとする攻撃は年々増加の傾向にあるが、従来型のネットワークファイアウォールでは、サービスを行っていないポートへの外部からの接続をブロックするといった、低いレベルでの対策しか行えない。 Webアプリの脆弱性を狙った攻撃を正確に検知し防御するためには、アプリケーション層における通信内容を理解し、その妥当性を判断できる仕組みが必要なのである。 また、クレジットカード情報取り扱いのセキュリティ標準であるPCIDSSの要件6.6にも、WAFの設置もしくはアプリケーションのコードレビューの実施が明記されており、2008年7月から必須要件となるため、今後のWebアプリのセキュリティを語る上で欠かせない存在になりつつある。 ●最近の攻撃傾
[セキュリティ編]すべての通信を暗号化してはいけない
プライバシー意識の高まりや,それに合わせた個人情報保護法の施行により,WebシステムではSSLによる暗号化が広く使われるようになっている。特に,利用者に個人情報を入力させるような画面では暗号化が必須となっている。 暗号化する経路も,インターネットを経由するクライアントとWebサーバー間のネットワーク部分だけでなく,Webサーバーとアプリケーション・サーバー,アプリケーション・サーバーとデータベース間といった社内インフラの通信経路まで拡張するケースもある。情報セキュリティ・ポリシーなど管理規定で「個人情報を取り扱う通信経路はすべて暗号化しなければならない」と定められている場合もある。 ただし,これにはデメリットもある。すべての通信を暗号化することで,かえってセキュリティを弱くする面があるのだ。 暗号化はIDS,IPSでの検知を妨げる 通信経路上のデータを暗号化すれば,盗聴による通信内容の漏え
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
