[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底
突然,一部のユーザーが米グーグルの動画サイト「YouTube」にアクセスできなくなる──。こんな事件が2008年2月24日に発生した。この事件の背景には,インターネットのバックボーンを支えるプロトコルの一つ,BGPの仕様上の弱点があった。 BGPは主にISPなどの大規模ネットワーク同士で経路情報をやり取りする際に使うルーティング・プロトコル。BGPで不正な経路情報を流されてしまうと,ユーザーは誤った経路に誘導される。BGPもDNSと同様,認証部分に弱みを抱えているのだ。 「来る経路は拒まず」の仕様が“アダ”になる BGPでは,経路情報をやり取りする大規模ネットワークをASという単位でとらえ,「AS番号」と呼ばれる一意の番号を振っている。大抵のISPやデータ・センター,一部の大企業などはAS番号を持っている。 AS同士はBGPを使って,「どのASの先にどんなアドレスのネットワークがあるか」と
![[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底](https://cdn-ak-scissors.b.st-hatena.com/image/square/3d9a1b2a19db5f4932072b1264886632957cceed/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Farticle%2FCOLUMN%2F20090225%2F325481%2Ftopm.jpg%3F20220512)
IEとスクリプトの“危険な関係”(下)
本文中で述べた脅威は,そもそもInternet Explorer(IE)がローカルのActiveXコンポーネントを呼び出し,その機能を利用できることが原因となっている。 ActiveXはインターネットに関連する技術の総称だったが,現在ではCOM(Common Object Model)を使って構築された技術をActiveXと呼び,ほぼCOMと同義のように使われている。ActiveXコンポーネントとは機能単位にまとまったプログラムの部品である。プログラマはこれらコンポーネントを呼び出すことで,OSの機能を簡単に利用できる。レジストリを書き換える場合を例にすると,「レジストリのこの部分のこのキーの値を『A』という値にする」ということをActiveXコンポーネントに依頼するだけである。 WindowsはActiveXコンポーネントの塊である。例えば,本文中で述べたスクリプト実行環境WSH(Win
総務省、「トラストサービス」の法制度化に向けた中間取りまとめを公表
総務省は2019年8月9日、有識者やITベンダー関係者で構成する「トラストサービス検討ワーキンググループ」の中間取りまとめを公表した。データの改ざん防止や電子的に利用者を本人確認できる「トラストサービス」の法制度化に向けて、2019年12月までに最終報告書をまとめる。 報告書は、紙への押印や対面のやりとりからデータのやりとりに移行するためには、トラストサービスが必要だと指摘した。電子署名のほか、法人が作成したデータの正当性やWebサイトを認証する仕組みに加え、データの存在証明や改ざんされていないことを保証するタイムスタンプなど、5つのサービスについて検討した。 欧州連合(EU)は2016年7月にトラストサービスを規定した「eIDAS規則」を発効した。同規則では、一定の要件を満たした電子署名やタイムスタンプ、法人が作成した電子文書が改ざんされていないと保証する「eシール」などをトラストサービ
EU水準のトラストを目指す日本、法制化に高い壁
日本企業の社員が国内にいながらインターネットで海外企業と公的に効力のある電子契約を瞬時に結ぶ。重要文書も電子的にやり取りできる。内容が改ざんされる恐れはない──。こんな未来の実現に向けて、総務省が動き始めた。2019年1月、有識者やITベンダー関係者からなる「トラストサービス検討ワーキンググループ」を立ち上げた。 ワーキンググループは電子文書の信頼確保に向けた法制度のあり方を検討していく。データの作成時刻を証明するタイムスタンプや、電子文書の正当性などを証明する電子署名、個人や組織だけでなくデータも電子的に認証する仕組みなどを対象とする。 様々な電子文書を安全にやり取りできる「トラストサービス」が実現できれば、国や企業、さらに個人にとってもメリットは大きい。だが法制度化への道は険しそうだ。 トラストサービスで先行するEU 総務省がワーキンググループを立ち上げたきっかけは欧州連合(EU)の動
[1]なぜブロックチェーンはIT技術者を惹きつけるのか
「ブロックチェーンの銀行業務向け実証実験を開始」「ブロックチェーン実験環境を無償提供へ」「ブロックチェーン国際送金運営企業に出資」……。2015年の11月ごろから、国内でブロックチェーン技術に関わるニュースやリリースが格段に増えた。 これまで日本では、米国や欧州などと比較して、ブロックチェーン技術への関心が薄い印象があった。潮目が変わったきっかけの一つは、2015年9月末、三菱UFJフィナンシャル・グループ(MUFG)が、ブロックチェーン技術のスタートアップ企業である米R3が主催するコンソーシアムへの参加を表明したことだろう。 これをきっかけに、MTGOX事件で植え込まれたブロックチェーンの負のイメージが払拭され、FinTechの本命技術としての認知度が高まった。 それに伴い、国内でブロックチェーン技術を開発するスタートアップ企業への注目度も高まっている。特に12月に入ってからは、ブロック
![[1]なぜブロックチェーンはIT技術者を惹きつけるのか](https://cdn-ak-scissors.b.st-hatena.com/image/square/d6ae08fdfca176b1d9b01ca97b525ae96135f5ca/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F121700288%2F121700001%2F1.jpg%3F20220512)
スマートフォン向けプロセッサの現状とARM 2016年はどう変わる
ARMのプロセッサは、現在、性能を重視するbigコア用、消費電力を重視するLITTLEコア用の2種類がある。それぞれ単独で動作できるプロセッサだが、ハイエンドのシステムでbigコアとLITTLEコアを組み合わせ、電力消費を考慮したスケジューリング機能を組み込んだOSを利用することで、ピーク性能を高くしたまま、平均的な消費電力を抑える「big.LITTLE」構成を使うことができる。 これはコア自体に特別な仕組みがあるわけではなく、性能の違う同種のコアを混在させたスケジューリングが可能なソフトウエア(OS)で実現する構成だ。これを使うと、アイドル時やさほど負荷の高くない場合には、bigコアをオフにし、低消費電力のLITTLEコアのみで動作させる。処理負荷が高くなると高性能なコアで実行し、短時間で処理を終了させて、またアイドル状態へ戻る。 このような動作を行うことで、大半の時間を低消費電力コアで
低価格帯スマホも64ビットに、IoT向けはセキュリティ強化
英ARMは2015年11月10日、米国サンタクララ市で開発者向けのイベント「TechCon 2015」を開催した。同イベントでは、新しいアプリケーションプロセッサの「Cortex-A35」や、IoT向けの新アーキテクチャーとなる「ARMv8-M」などが発表された。 ARMのプレスリリースによると、イベント期間中には以下の製品などが発表された。 アプリケーションプロセッサCortex-A35 組み込み向けプロセッサの新アーキテクチャーARMv8-M mbed Device Connector mbed OS 3.0テクニカルプレビューとmbedレファレンスデザイン Cortex-A35がスマートフォン(スマホ)などに利用されるプロセッサで、あとの3つは、IoT関連のものになる。 Cortex-A35は低価格スマホ向けの低消費電力プロセッサ Cortex-A35は、低消費電力、低価格帯を狙う6
ISMS認証が2016年度から拡充へ、企業トップに「セキュリティ経営」求める
情報セキュリティマネジメントシステム認証(ISMS認証)の位置づけが、2016年度から大きく変わりそうだ。経営者が、標的型攻撃などサイバー攻撃の経営リスクを正しく見積もっているか、対策に十分な投資を振り向けているかなど、企業トップの「セキュリティ経営」を評価、認証する機能が新たに加わる見通しだ。 経済産業省 大臣官房審議官の石川正樹氏は、同省と情報処理推進機構(IPA)が2015年7月2日に開催したイベント「サイバーセキュリティイニシアティブ2015」で、この新たな第三者認証制度を説明した。 新認証制度は、経産省とIPAが2015年1月から主催する「サイバーセキュリティリスクと企業経営に関する研究会」を通じて検討が進んでいたもの。2015年6月30日に政府が閣議決定した成長戦略「日本再興戦略2015年」に盛り込まれた。 経産省は2015年度中に、企業の経営者を対象としたセキュリティ指針「サ
ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を
ベネッセコーポレーションによる個人情報漏洩事件では、容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。 一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPD(Windows Porta
電力系統に取り込む
原子力や火力に替わる代替エネルギーの開発に異を唱える人はいないだろう。代替エネルギーの有力な候補は、太陽や風力による変動型電力である。莫大なエネルギーをもたらし得る変動型電力を電力系統に取り込むことは可能なのか。その際の問題点は何か。その問題はICT技術で解決可能なのだろうか。 再生可能エネルギーにはいろいろな種類があるが、ここでは近未来に発電量が増加すると予想される太陽光と風力発電を取り上げる。新エネルギー・産業技術総合開発機構(NEDO)は、これらに加えてバイオマスを今後の再生エネルギーの重大なソースとしているが、バイオマスは変動型電源でないため性格が少し異なる。ここでは変動型の二つに注目する。 これらの発電源で生成された電力を既存の電力系統に組み入れる際の問題点とその解決方法を解説する。前回、変動型再生可能エネルギー源である太陽と風は基幹電源になる要求を満たすのが困難だと述べたが、I
「IPAexフォント」が無償公開、IPAフォントの等幅とプロポーショナルを統合
独立行政法人 情報処理推進機構(IPA)は2010年2月26日、「IPAexフォント」を無償公開した。公開中の「IPAフォント」の「等幅(固定幅)」と「プロポーショナル(変動幅)」を一つに統合した。IPAフォントも新版Ver.003.02を公開した。 「従来のIPAフォントは、過去のシステムとの互換性の観点から、固定幅と変動幅のフォントを分離していた。しかし、一般的な日本語の慣例に従った文書を作成する場合、欧文文字の部分には変動幅の『IPA P明朝』、和文文字の部分には固定幅の『IPA明朝』、といった使い分けを、一つの文書の中で行う必要があった。IPAexフォントは、固定幅と変動幅を一つのフォントに統合することで、このようなわずらわしさの解消を狙った」(IPA)。 IPAフォントの新版Ver.003.02では、利用者から指摘があった不具合の修正をするとともに、欧文と数字の判別が容易となるよ
第5回 PKIや暗号化の応用が進む
独Escrypt社のCTOであるLars Wolleschensky氏(写真1)が、自動車セキュリティー関連のシンポジウム「escar Asia 2014」の2日目(2014年4月18日)に登壇。「Security and Privacy of Connected Vehicles」と題するセッションで、米Department of Transportation(DOT), National Highway Traffic Safety Administrationが開発を進めているvehicle-to-vehicle(V2V)システムにおける、セキュリティやプライバシーを守る仕組みについて講演した。 PKIで車両間警告システムの信頼性とプライバシーを確保
デジノター事件の重大性
オランダの認証局デジノター(DigiNotar)の不正SSL証明書発行事件が、大きな波紋を呼んでいる。セキュリティベンダーをはじめ、あちこちで話題として取り上げられている。 ロシアのカスペルスキーラボもブログで、この事件について振り返った。オランダ政府はデジノターの信用を取り消すことを発表している。 デジノターは基本的に二つの部門で構成されていた。一つは通常の業務を行う認証局、もう一つは政府関連に特化した「PKIoverheid」という部門だった。デジノターのシステムを監査した結果、PKIoverheidの権限の完全性は保証できなかった。つまり、完全性は侵害されていると考えられる。 8月末にオランダ政府はPKIoverheidの信用性を断言していた。このためブラウザーベンダーはPKIoverheidではない部門だけをブラックリストに移したが、次回はそう簡単には信用しないだろう。 デジノター
パーソナルデータ活用「セーフとアウトの明暗がはっきり」、産総研の高木氏
産業技術総合研究所の高木浩光主任研究員は2013年11月8日、「関西オープンフォーラム2013」で基調講演し、2013年7月以降にパーソナルデータの活用を巡ってインターネットで議論となったJR東日本やNTTドコモ、KDDIなどの4件について、それぞれの違いを指摘し、現行の個人情報保護法で「セーフとアウトの明暗がはっきりした」と述べた(写真1)。 高木氏は、JR東日本が交通系ICカード「Suica」の乗降履歴を第三者に譲渡しようとした事例について、個人情報保護法23条の委託であれば、第三者提供に当たらず適法だったと指摘。政府の「パーソナルデータに関する検討会」(座長=堀部政男・一橋大学名誉教授)でFTC3要件が議論されていることは「現行法でもできる委託方式だと、全体を統括する技術力と管理力が必要になる。IT会社に全部分析をやってほしいので売ってしまいたい事業者もいるので、ある程度は規制緩和し
ID戦略で「領域を超えて情報流通や連携を」 JICS2014に延べ1200人が参加
ビッグデータとアイデンティティをテーマにした「Japan Identity & Cloud Summit 2014 (JICS2014) 」(国立情報学研究所と一般社団法人OpenIDファウンデーション・ジャパン主催)が2014年1月14日、15日両日にわたって開催された。JICSは今回が2013年に続き2回目。延べ1200人を超える参加者が集まったという。 このうち、基調セッションで「ID連携の必要性とセキュリティ」と題して講演した谷脇康彦・内閣審議官兼内閣官房情報セキュリティセンター副センター長(写真1)は、「これまでのICTの利活用はインフラの整備に力点が置かれてきた」と指摘。その上で、「もう1つ足りないものは、領域を超えた情報の流通や連携や利活用。情報を流すためのプラットフォーム作りの上で重要」と述べ、ID連携で情報流通や連携の基盤構築を議論するために必要な課題を語った。 大量のパ
「不足するセキュリティ人材は社内で育成」、NRIセキュア調査
NRIセキュアテクノロジーズは2014年1月27日、アンケート調査「企業における情報セキュリティ実態調査2013」の結果を公開した。 この調査は2002年から毎年実施しており、今回で12回目。2013年度の調査結果からは、「情報セキュリティ関連の投資意欲がリーマンショック以前の水準まで回復しつつあること、セキュリティ人材の育成や社内CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の立ち上げに注力する企業が増えていること」(NRIセキュアテクノロジーズでセキュリティコンサルタントを務める赤坂雄大氏)などが明らかになった(写真1)。調査は8月29日から10月4日にかけて郵送で実施し、685社(回収率22.8%)の回答を得た。 調査結果から同社は、大きく5つの傾向を説明した。 1.情報セキュリティに関する投資が増加傾向 2.社外人材の調達よりも社内人材のスキル向上で、増
日本を守る「七人の侍」
セキュリティエンジニア──。サイバー攻撃の脅威にさらされる日本の企業にとって、いざという時の守り神といえる。だが、機密性が高い仕事を担い、さらに緊急の時しか注目が集まらないだけに、ユーザー企業にとっては謎に包まれた存在でもある。そこで本誌は、日本で活躍する35歳以下の若手セキュリティエンジニアの素顔に迫った。サイバー攻撃対策は、彼らを身近に感じるところから始まる。(以下、敬称略) (浅川 直輝) 本記事は日経コンピュータ10月3日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集」の全文は、日経BPストアの【無料】特別編集版(電子版)で、PCやスマートフォンにて、10月9日よりお読みいただけます。なお本号のご購入はバックナンバーをご利用ください。 最高峰ハッカーコンテスト6位に貢献 脆弱性を突き止める正義の技術者(ホワイトハッカー) 2013年8月
実は他社でも起こっている! OCNを襲った不正アクセス事件にISP各社はどう対処すべきか
NTTコミュニケーションズ(NTTコム)のインターネット接続サービス「OCN」において、2013年6月に発生した接続パスワードの不正変更事件。メール送受信や契約者情報の確認・変更には別のID/パスワードが必要なため、決済情報を含む個人情報の漏洩はなかったが、インターネットサービスプロバイダー(ISP)業界で大きな話題となっている。 NTTコムの6月26日の発表によると、不正変更されたパスワードの数は756件。6月24日の午後5時に異変に気付いた。ログを詳細に分析した結果、特定のIPアドレスから多数のIDに対してパスワードの変更を試みた形跡があったという。悪用されたIDによる接続を一時的に遮断して対処した。 その後も調査を続けると、原因はどうやらロジテック製の無線LANブロードバンドルーター(「LAN-W300N/R」「LAN-W300N/RS」「LAN-W300N/RU2」)の脆弱性にある
まだ続く「Googleグループ」での情報漏洩
2013年7月上旬、米グーグルが提供するメール共有サービス「Googleグループ」で、政府や企業が意図せず情報を漏洩していることが明らかになった。一般紙などが大々的に報じたものの、問題に気づいていない企業は少なくない。Googleグループを利用する一部の企業では、顧客の氏名や住所などを第三者が検索・閲覧できる状態が続いている。 2013年7月11日、内閣官房情報セキュリティセンター(NISC)が開催した省庁間会合で示された資料によれば、Googleグループで情報を漏洩していたのは、環境省、復興庁、農林水産省、国土交通省、厚生労働省である。これらの省庁では、複数の職員でメールを共有するためにGoogleグループを利用していた。 ところが、第三者にも内容を公開する初期設定の状態で利用していたため、環境省では条約交渉に関する状況報告などが、厚生労働省では患者の個人情報などが外部から閲覧できる状況
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
合理的な匿名化措置は可能なのか 「パーソナルデータに関する検討会」で議論されたこと