欧州連合(EU)が1月7日より、フリー/オープンソースソフトウェアのバグ発見に対して報酬を払うバグ発見報酬プログラムを開始する。Filezilla、Apache Kafkaなど15のプロジェクトが対象で、EU以外の人も参加できる。 ニュース オープンソース デベロッパー 末岡洋子 関連記事米国土安全保障省がFOSSのバグ除去に向けた研究に注力
Mozilla、オープンソースのセキュリティ問題に取り組む「Secure Open Source」プログラムを発表
Mozillaがオープンソースプロジェクト報
セキュリティソフトウェア企業のSplashDataは米国時間12月13日、毎年恒例となっている「最悪のパスワード」ランキング上位100のリストを公開した。
報道によると、世界中のプリンタがまたしても乗っ取られ、有名なビデオブロガーのチャンネルへの登録を促すようになったという。この攻撃は、大規模なセキュリティ問題も浮き彫りにした。
アマゾンは、「Alexa Guard」のプレビュー版をはじめとする新たなホームセキュリティ機能をリリースした。
分散バージョン管理システムのGit開発チームは12月9日、最新バージョンとなる「Git 2.20.0」を公開した。さまざまな強化や変更が加わっている。 ニュース オープンソース デベロッパー プログラミング 開発ツール 末岡洋子 関連記事Gitリポジトリベースのプロジェクト管理ツール「GitLab 11.5」発表
「Git 2.19」リリース
セキュリティ問題を修正した「Git 2.17.1」公開
Apache Kafka開発チームは11月20日、分散ストリーミングプラットフォームの最新安定版となる「Apache Kafka 2.1」を公開した。 ニュース オープンソース デベロッパー Java フレームワーク 末岡洋子 Apache 関連記事分散型ストリーミングプラットフォーム「Apache Kafka 2.0」リリース
分散データストリーミングプラットフォーム「Apache Kafka 1.0.0」リリース
セキュリティを強化、「Kafka Connect」を導入した「Apache Kafk
米Dockerは11月8日、コンテナプラットフォームサービス「Docker Enterprise 2.1」を発表した。Windows Serverのサポートを拡大したほか、セキュリティも強化した。 ニュース オープンソース デベロッパー グリッド/クラウド 末岡洋子 コンテナ 関連記事Red Hat、OCI準拠コンテナイメージを簡単に作成できる「Buildah 1.0.0」をリリース
「Red Hat OpenShift Container Platform 3.7」登場、AWSとの統合機能を実装
米
2018-10のC++標準化委員会の文書集が公開されていたので、興味深い新機能の提案に限って紹介する。
secure_val
セキュリティ上の理由でメモリの内容を破棄したい場合、コンパイラーの最適化によって意図通りのコードが吐かれないことがある。
void decrypt()
{
char password[64] ;
// パスワードを取得
get_password(password) ;
// 複合処理
// パスワードをメモリから破棄
セキュリティ業者ならば、同意なくなんでも収集して良い世界をトレンドマイクロは望んでいる
あるセキュリティ研究者が、TwitterにWindowsのゼロデイ脆弱性を公開した。この研究者がTwitter上でWindowsのゼロデイ脆弱性を公開するのは、この2カ月間でこれが2回目だ。
コンテナクラスタ管理ツールのKubernetes開発チームは9月27日、最新安定版となる「Kubernetes 1.12」公開を発表した。セキュリティ関連の強化などが特徴となる。 ニュース オープンソース デベロッパー グリッド/クラウド 仮想化 開発ツール 末岡洋子 コンテナ 関連記事「OpenStack Rocky」登場、ベアメタルを強化、サーバーレスにも取り組みを拡大
Kubernetesと連携するサービスメッシュ化技術「Istio 1.0」リリース
「Kubernetes 1.11」リリース
TLS/SSLプロトコルを実装したライブラリおよび関連ツール集であるOpenSSL開発チームは9月11日、最新版となる「OpenSSL 1.1.1」をリリースした。長期サポート版(LTS)として最低5年のサポートを約束するバージョンとなる。 ニュース オープンソース セキュリティ デベロッパー 末岡洋子 ライブラリ 関連記事「OpenSSL 1.1.0」がリリース
「OpenSSH 7.8」リリース
開発版LibreSSLの新バージョン「LibreSSL 2.5」リリース、iOSを新たにサポート
8月のセキュリティクラスタをにぎわせた大きな話題は3つありました。「東京オリンピック開催時のサマータイム」「DEFCONやBlack Hat USAなどのサイバーセキュリティ関連のカンファレンス」「Apache Struts 2で見つかった新たな脆弱(ぜいじゃく)性」です。
分散型バージョン管理システムGitの開発チームは9月10日、最新版となる「Git 2.19」を公開した。 ニュース オープンソース デベロッパー 開発ツール 末岡洋子 Git 関連記事「Git 2.17」が公開
セキュリティ問題を修正した「Git 2.17.1」公開
Gitを使いこなすための20のコマンド
「Git 2.16」リリース
Subversionリポジトリと連携できるgit-svn
Googleは8月30日、暗号ライブラリ「Tink」を発表した。多言語・マルチプラットフォーム対応などが特徴で、Google社内では「Google Pay」などの製品のデータ保護に使われているという。 ニュース オープンソース デベロッパー 末岡洋子 ライブラリ 関連記事Google、Gmailメール暗号化のためのChromeアプリケーション「E2EMail」をオープンソースで公開
Googleのセキュリティチーム、暗号化ソフトウェアの脆弱性テストセット「Project Wycheproof」を発表
3Dプリンターを使って「銃」を出力できるようになったことで、アメリカでは追跡不能の銃が大量に出回ってしまうことからセキュリティ面で憂慮されています。そんな中、3Dプリント銃の3Dデータをインターネット上で公開していたコーディ・ウィルソン氏に対して、「データの『公開』を禁じる」との裁判所命令が出されたのですが、ウィルソン氏はネットなどを通じて3Dデータの「販売」を始めてしまいました。
IBM Researchのジェームズ・ボトムリー氏は、コンテナや仮想マシンのセキュリティを定量的に測定するための垂直型攻撃プロファイル(VAP)と水平型攻撃プロファイル(HAP)という概念を定義した。本記事ではその内容を解説する。
Avastは、5万台近いMQTTサーバがインターネットに公開されているのを発見した。設定の不備も多く、スマートホームへの不正アクセスにつながると警鐘を鳴らす。
NECの顔認証技術が2020年の東京オリンピック・パラリンピックのセキュリティ対策として採用されることになった。その発表会見を聞いて感じたのは、最も有効なのは“抑止効果”ではないか、と。ならば、大いに喧伝すべきである。
保安検査が無く危険だから航空機を利用する時代がくるのか?
Google Chromeには、危険なWebサイトを警告したり、フィッシング詐欺を取り除いたりしてくれるセキュリティが付いていますが、さらに安全にブラウジングするための対策を ...
Black Duck Software(Synopsys)は5月15日、オープンソースのセキュリティに関する年次報告書「2018 Open Source Security and Risk Analysis Report(OSSRA)」を ...
以前からセキュリティの懸念があるUniversal Plug and Play(UPnP)ネットワークプロトコルにおける脆弱性を利用したDDoS攻撃が報告された。
NECは、IoTシステムを構成するエッジやデバイスにおいて、不正な接続や通信を見える化し、遮断できる「IoT Device Security Manager」の提供を開始した。IoTシステムのセキュリティ管理や運用を簡便にし、省力化にも貢献する。
NECは、IoTシステムを構成するエッジやデバイスにおいて、不正な接続や通信を見える化し、遮断できる「IoT Device Security Manager」の提供を開始した。IoTシステムのセキュリティ管理や運用を簡便にし、省力化にも貢献する。
経済産業省の予測では、2020年に約37万人のIT人材が不足するという。デジタル変革やサイバーセキュリティなどのニーズが高まる中で、IT人材の課題と将来に関する記事とまとめた。
今日(米国時間4/16)サンフランシスコで行われた小規模なプレスイベントでMicrosoft は、マイコンを使用するデバイスを対象とする、安全なエンドツーエンドIoTプロダクトのローンチを発表した。それらは、小型で消費電力の少ないマイコン(micro control unit, MCU)を使って最小限のコントロールやネットへの接続を行うデバイスだ。そのようなデバイスは、玩具や家庭用品、産業向けアプリケーションなど、さまざまなところで使われているが、頻繁なアップデートは行われず、セキュリティに不安のあるもの
米Googleは5月10日(現地時間)、年次開発者会議「Google I/O」で、AndroidスマートフォンのOEMとの契約で、セキュリティパッチの提供を義務付けると発表した。 「What's new in Android security」というセッションで、Androidプラットフォームのセキュリティ責任者、デイブ・クライダーマッカー氏は「これにより、定例セキュリティパッチを受けられる端末数が激増するだろう」と語った。 Androidのセキュリティ責任者、デイブ・クライダーマッカー氏 Googleは
二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。 KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそ
by Ellen Macdonald IBMが社内でUSBメモリ、SDカード、フラッシュドライブを含むポータブル・ストレージデバイスによるデータ転送を全面的に禁止したと、IT系メディアのThe Registerが伝えています。 IBM bans all removable storage, for all staff, everywhere • The Register https
ニュース 「Google Chrome 66」に4件の脆弱性、修正版のv66.0.3359.170が公開 うち1件は深刻度“Critical” - 樽井 秀人 2018年5月11日 11
Firefox 60では新しいセキュリティ機能として、パスワードに依存しない認証方法の「Web Authentication(WebAuthn)」をサポートした。
個人のインターネットアクセスの履歴などのプライバシー情報を利用者とインターネットの橋渡しをしているISPに見られないようにするため、DNSとの通信を暗号化する動きが出てきています。
アメリカ合衆国大統領の警護を行う執行機関であり、アクション映画やスパイ映画などでも度々名前のあがるあの「シークレットサービス」が、金融機関に対してICチップ付きのデビットカードに関する新しい手口の詐欺が横行している、と注意喚起しています。
マイクロソフトは「Office 365」のセキュリティ機能を強化する。消費者向け「OneDrive」のファイル復元機能、パスワード保護リンク、「Outlook.com」の保護機能などが発表された。
JR東日本は、車内セキュリティ向上のため、今後新たに製造するすべての旅客車両に社内防犯カメラを標準的に設置すると発表した。
アズジェントは2018年4月3日、主にモバイルアプリケーションを対象に、難読化によってアプリケーションをリバースエンジニアリングから守るソフトや、アプリケーションが保有する暗号鍵を秘匿して暗号鍵の漏えいを防ぐソフト、アプリケーションを安全に配信するクラウドサービス、などを発表した。2018年4月中旬から販売する。価格はオープンで、アプリケーション配信基盤はエントリー構成(1000ユーザー)で1000万円程度から。開発会社は、米Arxan Technologies。
Linus Torvalds氏は4月1日、Linuxカーネル4.16を公開した。VirtualBox Guestドライバのマージ、セキュリティの継続的な強化などが特徴となる。 ニュース オープンソース デベロッパー Linux 末岡洋子 関連記事Linuxカーネル4.15リリース、Meltdown/Spectreへの対処が組み込まれる
Linuxカーネル4.14リリース、x86_64環境でのメモリ上限が拡大される
Linuxカーネル4.13リリース
過去最大規模のリリースという「Linuxカーネル4
Microsoftが2018年後半に正式リリースする「Windows Server 2019」は、ハイブリッドクラウド、セキュリティ、アプリケーションプラットフォーム、ハイパーコンバージドインフラといった分野をはじめとした多くの新機能を提供する。
聞こえるかな? 世界中のハッカーや諜報員たちが大声で一斉に叫んでいるよ。Internet Engineers Task Force(IETF)が今日、全会一致で、Web上の暗号化されている接続を高速化し、盗聴しづらくするセキュリティフレームワークを承認した。
それはTransport Layer Security version 1.3と呼ばれ、派手な話題ではないけど、至るところに悪いやつがいるようになったWebの、安全強化策のひとつだ。IETFは、世界中のエンジニアたちの集まりで、このようなスタンダード
CTS-Labsが行った発表は、セキュリティ企業による誇大宣伝だったのではないかという声が相次いでいる。AMD株の取引にかかわる組織が価格操作を狙ったという説も浮上した。
オージス総研は16日、高速分散処理技術を提供するオープンソースソフトApache Sparkを活用した不正アクセス監視業務効率化サービス「PCセキュリティログ分析サービス」の提供を開始した。
楽天コミュニケーションズは、民泊運営支援サービス「あんしんステイIoT」を導入した民泊施設の見学会を実施した。IoT提供機器を披露したほか、民泊運営で重要視される個人情報取り扱い時における高度なセキュリティシステムなどを紹介した。
AMDチップに見つかった一連の脆弱性は大きな波風を立てているが、それは事態が重大だからではない。自らの発見を公表した研究者らの、性急で一般うけを狙ったやり方のせいだ。プロの撮影したビデオと広報担当者のいるバグなど見たことがあるだろうか —— しかしAMDが警告を受けたのはわずか24時間前だ。欠陥は本物だとしてもこうしたやり方は不穏当だ。
問題の不具合を見つけたのはイスラエルのサイバーセキュリティー調査会社のCTS Labsで、欠陥にはRyzenfall、Masterkey、Fall
イスラエルのセキュリティ企業CTS-Labsによると、AMDのプロセッサ「Ryzen」と「EPYC」に13件の重大な脆弱性が存在する。
Google Chrome同士がブックマークやパスワード、履歴などを同期する際、そのデータはGoogleのサーバ上で暗号化され、Googleアカウントの認証情報で保護されます。それが不安な場合は、暗号化キー(同期パスフレーズ)を自分で設定し、セキュリティレベルを上げることができます。
3つ目は、米GoogleのGmail、米Yahoo!、豪FastMailといったメールサービス事業者が、顧客向けのセキュリティ対策を維持する目的から、それぞれのメールホスティングサービスでSPF/DKIM/DMARCに対応したこと。4つ目は、一定の水準を満たすセキュリティ製品やSaaS製品を利用してSPF/DKIM/DMARCを導入できることだ。米ValiMail、米Agari、米Barracuda Networksといったベンダーが勢いを増しつつある。
はじめまして。ユービーセキュアの長田です。普段はWebアプリケーションのセキュリティ診断ツールの開発を行っています。ニュースで報道されるようなセキュリティ事件・事故が相変わらず多く発生しており、セキュリティ対策の重要性は増すばかりです。しかし、セキュリティ対策が必要なことは分かっていても、アプリケーションの開発スピードが落ちるのではないかと、二の足を踏んでいる人や、そもそも、どうやってセキュリティ対策を進めたらいいのか分からないという人も多いのではないでしょうか。
セキュリティ技術が高度化した現在においても、本人認証の核として使われているのは、旧来からのパスワードである。どんなに強固なセキュリティ対策を施していたとしても、パスワードが漏れてしまえば、悪意のある第三者が大手を振って侵入してきてしまう。そうした脆弱なパスワード認証に代わる認証方式として注目を集めているのが、FIDO(ファイド)認証である。本稿では、FIDO認証の成り立ちと技術的概要、現在の普及状況について解説しよう。
セキュリティ企業のマカフィーは、アマゾンの音声アシスタント「Alexa」向けの「McAfee Secure Home Platform」スキルを発表した。ユーザーは音声操作で自宅のネットワークセキュリティを管理できるようになる。
オランダGitLabは2月22日、Gitリポジトリを中心としたプロジェクト管理ツール「GitLab 10.5」を公開した。Let’s Encryptのサポートが加わり、容易にHTTPS通信を利用できるようになった。 ニュース オープンソース デベロッパー 開発ツール 末岡洋子 関連記事「GitLab 10.4」リリース、ダイナミックセキュリティテストを導入
DevOpsの自動化支援機能が追加された「GitLab 10」リリース
「Git 2.16」リリース
ESETは2月22日(米国時間)、公式ブログにおいて、誤ったパスワードに関する慣習がセキュリティリスクを高める結果につながっていると指摘し、適切なパスワードの運用を行うように注意喚起を行った。誤った慣習とはどんなものか?
CSSは、使用するフォントやパーツの色合いなどウェブページのスタイルを指定するファイルですが、そのCSSだけを用いてパスワードを盗み取るコードがGitHub上で公開されています。
現在、Google内ではセキュリティ専門家は750人。ソフトウェアエンジニアリングとオペレーション担当部門に在籍し、会社の防御システムを維持。近年ではAIを用いた不正検知なども行っているという。メディア向けの会見でGoogle Cloudカスタマーエンジニア 小林直史氏がGoogleのセキュリティに関する施策やセキュリティ管理のためのG Suiteセキュリティセンターについて説明した。
グーグルのセキュリティチーム「Project Zero」が、「Windows 10」に影響する未修正の脆弱性を新たに公表している。
「Meltdown」「Spectre」CPU脆弱マイクロコードアップデート
「Kaby Lake」「Coffee Lake」「Skylake」向け
アップルは米国時間2月19日、インドで使われている特定の文字を表示するとアプリがクラッシュするバグに対応するため、同社の複数のOS向けにセキュリティアップデートをリリースした。
本日「iOS 11.2.6」がリリースされました。不具合修正が入っており、ここ最近話題になっていた特定のテルグ語の文字を表示させるとクラッシュする…という問題も修正されているようです。
関連記事
Cisco Talosのサイバーセキュリティ専門家チームは、「Google AdWords」を悪用して数千万ドル相当の「Bitcoin」を盗み出したサイバー犯罪組織を発見した。
コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。
セキュリティを強化した途端に、全国300自治体でトラブル続出。業者と自治体のどっちを向いて仕事をしているのか。「国産ソフトが死んじゃう」
「市民のお問い合わせやご意見の投稿メールが1カ月の間、受け取れませんでした……」
昨年4月、京都府宇治市の木村幸人副市長が市議会で頭を下げると、議場からどよめきが起こった。宇治市は同年3月、市町村がインターネットに接続する「出入り口」を京都府に集約し、セキュリティ対策を強化する「自治体情報セキュリティクラウド」に参加した。都道府県ごとに構築するセキュリティクラウドは、
Canonicalは2月13日、Skypeがソフトウェアパッケージの形式としてSnapを採用した理由などを伝えた。Snapには、メンテナンスコストの低さ、自動アップデート機能の存在、セキュリティの高さなどで利点があるという。
高いデータセキュリティ機能を備えたセンチュリー製のUSBメモリ「Lock U」の16GBモデル(CSUL16G)が発売された。
トレジャーデータ株式会社は14日、同社が提供するカスタマーデータプラットフォーム「Treasure CDP」にマシンラーニング(機械学習)機能を追加、あわせてエンタープライズ向けにセキュリティ機能を強化したことを発表した。
The Document Foundationは1月31日、オープンソースのオフィススイート「LibreOffice 6.0」を発表した。ユーザーインターフェイス(UI)やセキュリティ、相互運用性などさまざまな部分が強化された大規模なリリースとなっている。 デスクトップ ニュース オープンソース 末岡洋子 関連記事「LibreOffice 5.4」リリース、相互運用性の改善や細かな強化が行われる
「LibreOffice 5.3」公開、UIプロジェクト「MUFFIN」を初導入
「LibreOffice 5
企業はソフトウエアの活用なしに時代を生き抜くことはできない。生き抜くために、速いペースでソフト開発とアップデートを繰り返し、デリバリしている。アップデートが毎月、毎週になるのは珍しくない。
Thales e-Securityの調査によれば、日本はデータ保護に関心を持ちながら、実際にはネットワークセキュリティに支出しているという。
最新バージョンの「Chrome 58.0.3029.81」では不具合の修正や機能向上を行ったほか、29件のセキュリティ問題に対処した。
ネットセキュリティ大手のシマンテックが、スマートフォン・タブレットのネットセキュリティに関する調査を実施した。そこから見えてきたものは……?
47都道府県は「自治体情報セキュリティクラウド」の構築業務などの入札を、2016年度に実施した。日経コンピュータの調べで、落札した主な企業が判明した。目立つのは通信事業者系ベンダーや地域の計算センター事業者などだ。
パナソニック システムネットワークスは、プラットフォームを刷新したネットワークセキュリティシステム「i-PRO EXTREME」シリーズのネットワークカメラ、ネットワークレコーダー、映像監視ソフトウェアを3月より順次発売する。価格はオープンプライス。
アップルは4月3日(現地時間)、iOS端末向けに「iOS 10.3.1」の配信を開始した。iPhone 7でのファイルサイズは31.1MB。
PCに偽の警告画面の動画を表示し、偽のサポート窓口に電話で連絡させる詐欺の新たな手口について、独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンターが注意を喚起している。
ここ2、3年に「無害化」をうたうセキュリティ対策の製品やサービスが増え、多くの注目を集めている。無害化とは、ユーザーが攻撃者によって細工されたWebサイトにアクセスしたり、攻撃者が送り付けたメールを受け取ったりしても、ウイルスに感染しないようにするセキュリティ対策だ。
NTTデータ、PwCあらた、富士ソフトがAWSを政府機関で利用するためのセキュリティリファレンスを無償提供。
特集は、ライセンス監査でユーザー企業が主導権を握るための方法を解説。ライセンス契約書の意外な秘密とは? 他に、Microsoftが推進するオープンソースハードウェア開発モデル、企業利用が進むオープンソースストレージの現状、Spotifyのクラウド戦略、AWSのデータセンターセキュリティ体制の解説をお届けする。
Stroboは3月14日、LINEのチャットボット機能を活用して、外出先からでも家の戸締りを確認できるサービス「leafee Premium」を発表した。
「サマーレッスン」開発者の原田勝弘さんが、政府のサイバーセキュリティ啓発イベントでVR技術に潜むリスクを説明。ユーザーを嘔吐させたり、洗脳したりできる可能性があるという。
サイバーセキュリティ分野における初の国家資格「情報処理安全確保支援士」制度が始まりました。資格試験の受験を検討している人も、そうでない人も過去問題にチャレンジしてみましょう。今回は、システム開発とテストの組み合わせについての問題です。
