Home > Archives > 2006年11月 Archive

2006年11月 Archive

ベクターに学ぶウイルス対策

ベクターがウイルス感染事故の再発防止策を完了、5つの問題点に対応

実は私もベクターでオンラインソフトを公開していたりするので、他人事ではなかったりします。
公開している関係で、ベクターより対策完了の通知が来ていたので、その中から対策内容を引用します。

> 【1】ウイルス検出能力の向上
> 【2】未知のウイルスへの対応
> 【3】公開サーバへのファイル転送処理
> 【4】公開準備サーバの独立性の確保
> 【5】ウイルス検出時の対応方法の整備

今回の事件があったのが9月27日、対策完了が11月15日なので実に1ヶ月半もの時間が掛かっています。
正直な感想として、あまり迅速な対応ではなかった印象があります。

そもそもウイルスの発生源が社内であったことを考えると、あれだけのソフトをダウンロードできるようにしていながら対策されていなかったことがありえないですね。
客観的に見て、
・リスクに対する検討が不足していた
・技術的な側面からの対策および確認が不足していた(単一のウイルス検査ソフトメーカーの製品に頼っていた等)
・社内のセキュリティ対策が徹底されていなかった
・事故発生時の対策マニュアルに不備があった
などの問題点があったように思います。

特に、単一のウイルス検査ソフトメーカーの製品に頼っていたというのは驚きですね。
セキュアドでもこの手の問題が出ることがありますが、未知のウイルスへの対策は極めて重要になります。
価格.COMのときも、確か同様の問題点が指摘されていたように思います。

URLを変更しました

  • Posted by:
  • 2006年11月15日 12:36
  • 雑談

個人的な都合により、サイトのURLをサブディレクトリ形式からサブドメイン形式に移行しました。

ブックマーク、リンクして頂いている皆様には、リンク先を「http://shiken.yaminabe.info/」に変更して頂けますよう、お願いいたします。

※ リンクは全て新しいURLとなりますが、従来のURLでアクセスしても中身は同じなので問題なくアクセスが可能です。

出題範囲の一部見直し

【情報処理技術者試験センター】出題範囲の一部見直しについて

来年春からの試験範囲が若干ですが、変更になったようです。
Webデザイン、オープンソース、オブジェクト指向プログラミング等が追加というか、明示的に書かれるようになったようです。
ただ、この辺は過去にも出題されているので、時代の流れに合わせた形で書き直しただけなのかもしれません。
特に慌てることなく、地道に過去問題を解くという従来のスタイルのままでいいと思います。

セキュリティ分野の午後は文言を少し変えた程度で、特に新しいのは無さそうですね。
暗号応用システムを署名技術に置き換えているので、電子署名あたりは要注意かもしれません。

【情報セキュリティ】クロスサイトスクリプティング

SQLインジェクションと並んで試験に出る頻度の高い「クロスサイトスクリプティング」もまとめておきます。

クロスサイトスクリプティング(Cross Site Scripting:略称 XSS)は別名ジャバスクリプトインジェクション(JavaScript Injection)とも言います。
不正なJavaScriptが実行されることにより、クッキー情報が漏洩する極めて単純な脆弱性です。
通常、この不正なJavaScriptは攻撃対象とは別のサイトになるため、クロスサイトスクリプティングと呼ばれています。

リスクとしては、クッキーを利用してセッション管理を行うサイトの場合にクッキーが漏洩することにより、セッションを乗っ取られることで他人へのなりすましが成立してしまうことです。
もう少し具体的に言うと、クッキーの中にセッションIDが保存されているとき、このセッションIDを盗むことができれば簡単に他人になりすますことができます。
別の例えをすると、他人の家の鍵を入手することと同じなので、鍵さえ持っていればいつでも入ることができますし、正面から鍵を使って侵入するため防犯システムでも感知されなくなります。
これと同様に、セッションIDを盗まれてなりすまされると、サーバサイドでは不正なアクセスなのかを判断することができなくなってしまいます。

脆弱性が存在するかどうかは、入力画面より
javascript: alert('Hoge')
あるいは
alert('Hoge');
のように入力し、その確認画面でダイアログが表示されるときに脆弱性が存在すると言えます。
ただし、セッション管理を行っていないサイトでは特に気にしなくて良い場合もあります。

この脆弱性を防ぐためには、基本的にはプログラムでの作りこみが必要となります。
(※ASP.NETの場合は不正なタグやスクリプトを入力するとシステムエラーにすることもできます)
一般的な方法は、表示する際にタグやJavaScriptを無効にする文字変換処理を加えることで、これをサニタイズと言います。
このサニタイズ処理は表示する直前に行うことが効果的です。
入力直後に変換した場合、文字数チェックが正常にできなくなったり、再入力時にサニタイズ前の状態に再変換しなければならなくなるからです。

Index of all entries

Home > Archives > 2006年11月 Archive

Search
Feeds
Tag Cloud
Recommend

SQLパズル 第2版 プログラミングが変わる書き方/考え方
SQLパズル 第2版 プログラミングが変わる書き方/考え方

2008 「午前」に出る情報技術
2008 「午前」に出る情報技術

2008春 基本情報技術者 予想問題集
2008春 基本情報技術者 予想問題集

2008春 ソフトウェア開発技術者 予想問題集
2008春 ソフトウェア開発技術者 予想問題集

2008 テクニカルエンジニア 情報セキュリティ予想問題集
2008 テクニカルエンジニア 情報セキュリティ予想問題集

2008 徹底解説 テクニカルエンジニア情報セキュリティ 本試験問題
2008 徹底解説 テクニカルエンジニア情報セキュリティ 本試験問題

2008 テクニカルエンジニア情報セキュリティ記述式・事例解析の重点 対策
2008 テクニカルエンジニア情報セキュリティ記述式・事例解析の重点対策

情報処理技術者試験 午前927問完全マスター
情報処理技術者試験 午前927問完全マスター

情報処理技術者試験すべてに対応!!計算問題徹底理解―直前必修・短期完全マスター
情報処理技術者試験すべてに対応!!計算問題徹底理解―直前必修・短期完全マスター

テクニカルセキュリティ技術
テクニカルセキュリティ技術

情報化と経営の基礎
情報化と経営の基礎

Webアプリセキュリティ対策入門 あなたのサイトは大丈夫?
Webアプリセキュリティ対策入門 あなたのサイトは大丈夫?

Return to page top