最新記事一覧
ポートスキャンツールNmapの最新版「Nmap 7.96」がリリースされた。今回のアップデートでは、DNS処理の並列化によりスキャン速度が大幅に向上し、従来49時間かかっていた100万件のドメイン名の名前解決がが約1時間で完了するようになったという。
()
OpenSSLに重大な脆弱性が存在することが分かった。中間者攻撃が実行される可能性があり、TLS/DTLS通信の傍受が懸念される。ユーザーは速やかに修正済みの最新バージョンにアップデートすることが望まれる。
()
2024年もそろそろおしまいです。IPAは本年も「年末年始における情報セキュリティに関する注意喚起」を公開しました。注意喚起の中でもスルーされがちですが。実は重要なポイントについてこのコラムで解説します。
()
カスペルスキーはセキュリティ専門家向けオンライントレーニングシリーズ「Kaspersky Expert Training」の販路を拡大し、パートナー経由での提供を開始する。4つのカテゴリーで11種類のトレーニングメニューを提供する。
()
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、cert-managerを利用したIngressによる自己署名証明書とLet's Encryptで発行した証明書の利用方法を解説し、Gateway APIでcert-managerを利用する方法を紹介する。
()
第12回からは、第11回までで作成した投稿アプリの延長として、Rust and WebAssemblyでTODOアプリを開発します。第12回では、プロジェクトの構築やさまざまな準備のためのコードを通じて、Rust and WebAssemblyの基本的な利用方法を理解します。
()
電子証明書やSSL/TLSのための標準的なツールキット「OpenSSL Ver.3(バージョン3)」。しかしWindows OSには標準でインストールされていない。Windows OSでOpenSSL Ver.3を利用するのに必要なインストール手順と注意点を解説する。
()
runZeroが企業の資産セキュリティに関する調査を報告した。ネットワークセグメンテーションの崩壊や攻撃対象領域の管理課題、ダークマターの増加などが明らかにされ、未管理デバイスや旧式システムの問題が取り上げられている。
()
イリノイ大学アーバナ・シャンペーン校やテキサス大学オースティン校などに所属する米研究チームは、AppleのMシリーズチップなどの脆弱性を用いて秘密鍵を復元するサイドチャネル攻撃を提案した研究報告を発表した。
()
重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。
()
Cloudflareは、RustフレームワークPingoraのオープンソース化を発表した。Pingoraは、Cloudflareが開発したHTTPプロキシサービスの構築を支援するRustの非同期マルチスレッドフレームワークだ。
()
Python Software Foundationは、Pythonのレファレンス実装である「CPython」において、SPDXフォーマットのSBOMドキュメントを公開した。
()
OpenSSL Projectは、クライアント側QUICやTLSハンドシェイクにおける証明書圧縮に対応した「OpenSSL 3.2.0」を公開した。
()
チェック・ポイント・リサーチは、「Linux」と「Windows」に対するランサムウェア攻撃の調査結果を発表した。Linux特化型ランサムウェアは、中、大規模組織向けに戦略的に調整され、システムの破損を防ぐために重要なディレクトリを避けるなど巧妙に作られているという。
()
Macのストレージ暗号化機能FileVaultは、企業のセキュリティを強固にしてくれる。以前はFileVaultの管理にコマンドラインツールを使う必要があったが、Appleはその方法を推奨していない。より適切な方法とは。
()
「CentOS 7」のサポートが2024年6月末に終了する。別のOSに切り替えるのか、システムを構築し直すのか。決断と対応が求められる今、新たな選択肢として浮上する「CentOSサポートの延長サービス」とは。
()
小型ボードコンピュータ「Raspberry Pi(ラズパイ)」を使って、低コストかつ現場レベルでIoT(モノのインターネット)を活用する手法について解説する本連載。第14回は、ラズパイのセキュリティとして暗号化通信を導入する方法を紹介します。併せて、不良実績入力の品質管理での応用も取り上げます。
()
Googleは、同社の大規模言語モデルを利用して、オープンソースソフトウェア向けファジングサービス「OSS-Fuzz」の対象プロジェクトのコードカバレッジを高めることに成功した。
()
ランサムウェア攻撃は企業にとって危険なサイバー攻撃の一つだ。守りを固めるには自社環境の攻撃されやすい部分を見つけ出す必要がある。ところがこの基本ができていない日本企業が多いのだという。サイバー攻撃者が狙うのは「管理者も把握していない資産」だ。見えない資産を可視化して防御するにはどうすればよいのだろうか。
()
AWSが、同社の各種サービスや開発ツールに最適化されたLinuxディストリビューション「Amazon Linux 2023」を正式リリース。今後5年間無料サポートを提供し、2年ごとにバージョンアップする。
()
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2023 オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。
()
今年後半によく読まれた記事から、2022年のIT業界事情を振り返ります。
()
The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。
()
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。
()
OpenSSLプロジェクトは「OpenSSL 3.0.7」を公開した。当初の発表からは深刻度は下がったが、2つの脆弱性に対処しており、該当製品を使用している場合は迅速なアップデートが求められる。
()
オープンソースライブラリ「OpenSSL」に脅威度「HIGH」の脆弱性が見つかった。悪用されると、OpenSSLを使うシステムをクラッシュさせられる可能性がある。開発チームは早急なアップグレードを推奨している。
()
サイバートラストは、「MIRACLE LINUX 9」の提供を開始した。「Red Hat Enterprise Linux 9」との互換性を備えたLinuxディストリビューションで、2032年11月までパッケージアップデートやセキュリティパッチを提供する。
()
OpenSSLプロジェクトは2022年11月1日にセキュリティアップデートバージョン「OpenSSL 3.0.7」を公開すると発表した。深刻度「緊急」(CRITICAL)の脆弱性に対処するとされており、リリース後には迅速なアップデートの適用が求められる。
()
OpenSSLに複数の脆弱性が見つかった。そのうち1つはRCE(リモートコード実行)を引き起こす可能性がある深刻度「重要」(High)に分類されている。該当バージョンを使用している場合、迅速にアップデートを適用してほしい。
()
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決! OSSコンプライアンス」。5回目は、「ライセンスって1つじゃないの?」「OSSを配布するってどういうこと?」という2つのエピソードと解決策を紹介する。
()
5月の大型連休が近づいてきました。Emotetやサポート詐欺といった脅威が活発化していますが、連休前のセキュリティチェックは十分でしょうか。今回は「十分ではないがどうしよう」という企業に向けて、注意すべきたった一つのことを紹介します。
()
QNAP製NASがOpenSSLにおける無限ループの脆弱性の影響を受けることが判明した。現時点ではアップデートが提供されていないため、今後の続報が待たれる。
()
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Istioのセキュリティ機能に焦点を当て、通信の暗号化、認証/認可の機能を紹介する。
()
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。
()
Microsoftは2021年11月の累積更新プログラムを配信した。深刻度が緊急(Critical)に分類される脆弱性が修正されており、該当プロダクトを使っている場合には迅速な対応が望まれる。
()
US-CERTは、広く利用されるSSL/TSLライブラリ「OpenSSL」に脆弱性が発見されたと伝えた。脆弱性を利用されるとサービス運用妨害(DoS:Denial of Service)が引き起こされる危険性がある。
()
Bashで開発されたランサムウェアが発見された。Red HatやDebianをベースとしたLinuxディストリビューションが標的だ。攻撃に必要なツールがなければ自分でインストールし、自身を隠蔽し、Telegram API経由でサイバー攻撃者と通信をして、OpenSSLでファイルを暗号化する。
()
「ブロックチェーン」とは、工学的プロセスによって生成される「人工信用」である――。私は今回、この結論を導き出しました。ブロックチェーンとは、つまりは与信システムだと考えられますが、では、この日本における「最高峰のブロックチェーン」とは何だと思いますか?
()
さまざまなシステムで広く利用されるOpenSSLに新たな脆弱性が見つかった。DoS攻撃につながりかねないリスクがあるあため、アップグレードや修正バージョンの入手を急ぎたい。
()
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について。
()
LinuxもWindowsと同様に、セキュリティの確保が重要になる。これまでWindowsデスクトップを中心に管理してきたIT担当者のために、Linuxデスクトップのセキュリティに関して注意すべき項目を確認しておこう。
()
レッドハットは2019年6月21日、グローバルでは5月初めに発表された「Red Hat OpenShift Container Platform 4」と「Red Hat Enterprise Linux 8」について、日本国内で説明した。いずれも従来同様、企業における利用に焦点を合わせた上で、普遍的な存在になることを目指しており、新バージョンでもそのための機能強化が図られている。
()
AWSが、オープンソースの高速な検索エンジンとして活用されている「Elasticsearch」の独自ディストリビューション「Open Distro for Elasticsearch」を公開。
()
スマートフォン向けアプリケーションを開発する際にもセキュリティ対策は欠かせない。DeNAの舟久保氏は内製ツールと自作アプリを利用して模擬的に改ざん行為を行い、アプリ開発時にどういった対策が有効になるかを解説した。
()
DigiCertは2018年1月31日に開催した年次カンファレンスにおいて、Microsoft Researchらと共に進めている耐量子コンピュータ暗号研究の背景と状況を紹介した。
()
グローバルで高いシェアを誇るオープンソースソフトウェアのMySQL。2018年4月、バージョン8.0が提供されてから、多数の情報が各種メディアで公開されてきたが、DX(デジタルトランスフォーメーション)の文脈では何がポイントになるのか、今あらためて、開発陣にアップデートの意図を聞いた。
()
脆弱性はIntelのCPU「Skylake」「Kaby Lake」で確認され、研究チームはこの問題を突いて、TLSサーバからOpenSSL秘密鍵を盗むことに成功したという。
()
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。
()
サーバレスインフラの管理を成功させるには、IT運用部門の協力が欠かせない。だが運用のプロフェッショナルも、システムエンジニアリングのスキルやインフラをコードで表現するスキルを磨く必要がある。
()
インフィニオンテクノロジーズは、「TPM2.0用オープンソースソフトウェアスタック」を発表した。新しいESAPIレイヤーを含むため、産業向けアプリケーションやネットワーク機器の組み込みシステムに、TPMを容易に実装できるようになる。
()