今日のリンク

日経平均144円安、安値引けに1万1300円割れ=27日後場(モーニングスター) – ニュース・コラム – Yahoo!ファイナンス

“誤認逮捕”を防ぐWebセキュリティ強化術 – [3]HTTPヘッダーインジェクションとクリックジャッキング:ITpro  HTTPヘッダーインジェクションの対策は、Cookie出力、リダイレクトに専用のAPIやライブラリ関数を用いることに加えて、以下を行う。

Cookieの値はパーセントエンコードする(言語によっては自動的にエンコードされる)
レスポンスヘッダーを出力する際に、改行文字の有無をチェックして、もしあればエラーにする

 クリックジャッキング攻撃のアプリケーション側での対策は従来困難だった。しかし米Microsoft社が提唱したX-FRAME-OPTIONSというHTTPレスポンスヘッダーにより、frame/iframeの利用を制限する仕様が各ブラウザーに採用され、現在では標準的な対策となっている。だだしInternet Explorerでは、対策可能なバージョンが8以降に限られる。

ニュース – NTTコムとGMOクラウドのデータセンター障害が復旧:ITproNTTコミュニケーションズ(NTTコム)とGMOクラウドは2013年2月26日、25日から発生していた台湾でのデータセンター(DC)障害が復旧したと発表した。台湾のDC事業者、eASPNet Taiwanが台北市で運営するDCで火災が発生し、同DCを使用するNTTコムやGMOクラウドのサービスで障害が発生していた。

インタビュー – 原子力発電所にもサイバー攻撃、施設が一時停止に追い込まれたケースも:ITpro  米国では今、電力網や天然ガスパイプライン、水道設備といった重要な社会インフラへのサイバー攻撃が急増している。米国土安全保障省(Department of Homeland Security:DHS)は2013年1月、重要インフラに対して2012年中に198件のサイバー攻撃が確認されたことを明らかにした。これは前年の約1.5倍に当たり、しかもいくつかの事例では攻撃を防ぎきれなかったという。

 社会インフラを狙うサイバー攻撃の実態と、攻撃による被害を最小限に抑えるための方策を、2011年まで米国土安全保障省 制御システムセキュリティプログラム ディレクタを務めていたシーン・マガーク氏に聞いた(現職は米ベライゾン 制御システムサイバーセキュリティ マネージングプリンシパル)。

 社会インフラを担うシステムでは、インターネット接続環境がある企業内ネットワーク(IT)と、制御システムのネットワーク(OT)を分離するのが原則だ。だが、私はこれまでに視察した約400のインフラ施設では、ITとOTを完全に分離できていたケースはなく、11の施設は制御ネットワークからインターネットに接続できる状態だった。

 最も厳格なセキュリティ標準を持つ原子力発電所も、残念ながらサイバー攻撃の被害に遭っている。私が知る限り、ウイルスが制御システムに侵入した結果、施設が一時停止(shut down)に追い込まれたインシデントが3件あった。直近の事例は2年前だ。

近藤邦昭のインターネット奮闘日記 – アドレス枯渇後をじっくり考えたJANOG31:ITpro 2013年1月24日~25日、東京の六本木の「東京ミッドタウン」でインターネット関連技術の議論の場である「JANOG31」が開催されました。JANOGはJApan Network Operators’ Groupの略です。JANOGミーティングの東京開催は、Interimミーティング(定期的なJANOGの間に開催される小さな会合)を除くと、3回前に同じく東京の日本橋で開催したJANOG28以来です。
 昨年の6月に世界的な流れとなったWorld IPv6 Launch▼以来、IPv6のトラフィックは上昇傾向にあります。KDDIや中部テレコミュニケーション、ソフトバンクBBなどは世界のIPv6トラフィックランキングでトップ10に並んでいます。そろそろ、自社のホームページから順次IPv6化を進めるなどの検討が必要な時期だと思います。

警視庁、ハッキング競技会でリクルーティング活動を行う | スラッシュドット・ジャパン セキュリティ警視庁が学生向けのハッキング競技会「SECCON」にて、リクルーティング活動を行ったそうだ(毎日新聞)。警視庁ではすでにセキュリティ関連企業で勤務した経験のある人を採用しているそうだが、IT技術の進化にともない、今後もより知識のある人材が必要になるということで、こういったイベントでのPRや勧誘活動を行うことになっているそうだ。

Javaにまた未解決の脆弱性が発見される | スラッシュドット・ジャパン IT 2月19日に「Java 7 Update 15」がリリースされたばかりだが、ポーランドのセキュリティ企業がJavaにおける未解決の脆弱性2件を発見したという(ITmedia)。

相次ぐ脆弱性の発見を受け、「Javaはどうしても実行する必要がない限りは無効にした方がよい」という声も挙がっている。

そんな中、米調査会社Enderle Group主席アナリストのロブ・エンダール氏は「OracleはJavaをGoogleに売るべきだ」と発言している(TechTargetの記事)。

カナダで Bluetooth を使った交通情報システムが稼働中 | スラッシュドット・ジャパン カナダのカルガリーで Bluetooth を使った交通情報システムが実用化されているとのこと (Telescope Magazine の記事、昨年 11 月末の本家 /. 記事より) 。

記事によれば、道沿いに 15 箇所の Bluetooth センサーと、7 つの電光掲示板を設置。設置されたセンサーが車側の Bluetooth デバイスの MAC アドレスを拾って、これを元に渋滞状況が計算されて所要時間を電光掲示板に表示すると言う仕組みらしい。Bluetooth デバイスを使うドライバーが多いほど精度も上がるとのこと。ドライバーは掲示板に表示される所要時間を見て、リアルタイムに最適な経路を選べるとしている。

なお、プライバシー保護のため収集されるのはあくまでも MAC アドレスのみとのこと。

PENTAX K-5 IIs【第2回】 先のライブハウスオーナーの質問には、「ペンタックスのK-5という世界一静かな一眼レフカメラです。もうすぐK-5 IIsっていうのが発売されます。それはもっと静かできれいに写りますよ」と売り込んでおいたから、たぶんあのライブハウスの出入りのカメラマンはK-5 IIsを買うように強く勧められたのではないだろうか。来月またお邪魔する予定があるので、後日談を楽しみにしている。

東京-パリ、シニア向けスマートフォンで世界に飛び立つ富士通

「フェルディナント、かく戦えり」~東京マラソン2013:日経ビジネスオンライン ちなみに大会をサポートしているのは、スターツやら山崎製パンやらアシックスやらBMWやら……。拠出する金額の多寡によりランク付けされています。参加費用は一人1万円ですから、参加者から集められるお金は3億5500万円。もちろんそんな端金で運営費用が賄えるはずはありません。一説には、東京マラソンの大会運営には選手一人あたり5万円以上の経費が掛かっているとか……。協賛企業からの多額のマネーがあればこそ、大東京を封鎖して行うダイナミックな大会が実現可能なのです。

解放軍ハッカー説と米国防予算:日経ビジネスオンラインサイバー攻撃に関与――の真実度はいかほど?
 中国人民解放軍が、(1)中国のドメインと明らかにわかるIPアドレスを持つ、(2)中国語OSを搭載したパソコンから米国を攻撃する、という構図も単純すぎて疑念がわく。ロシア担当の米国インテリジェンス関係者による次の指摘も想定内に置いておく必要があるだろう――ロシア政府によるサイバー攻撃は中国よりもさらに高度でより深く潜行しており注意が必要。

 このコラムではサイバー攻撃やサイバーインテリジェンスの総称としてサイバー攻撃という表現を採用した。ただし、マンディアント社の報告書は、「中国人民解放軍によるコンピュータ・ネットワーク・オペレーション(OCN)」と表現している。OCNとは米国をはじめとする西側陣営のサイバー軍がサイバー戦争を戦う上での軍事作戦を示す軍事用語である。

 OCNは、コンピュータ・ネットワーク・エクスプロイテーション(CNE)とコンピュータ・ネットワーク・ディフェンス(CND)、コンピュータ・ネットワーク・アタック(CNA)の3つの作戦行動で構成される。「OCN」と表現するということは、既に戦闘状態にあることを意味している。

 この3つの作戦行動の中で最も重要な作戦行動は言うまでもなくエクスプロイテーションである。エクスプロイテーションは「弱点探査活動」のこと。もともとハッカーが使用していた用語を軍が採用したと言われている。具体的には、標的となる組織や人が持つネットワークの構成やどのような弱点が存在するのか、どのサーバーを攻撃すればどのような事態に陥るのかを事前に探査することをいう。サイバー戦争の勝敗を決する最重要の作戦行動である。

 中国人民解放軍がサイバー分野に注力するようになったのは、このCNEを繰り返し行ううちに国家機密や先進国の知的財産がいともたやすく、しかもコストをかけることなく入手できることに気付いたからだとされている。この点を重視し、中国の行動は本来のCNEの目的から逸脱し、GDP(国内総生産)攻撃(GDP Attack)に至っていると指摘する専門家もいる。

謎多き解放軍サイバー部隊:日経ビジネスオンラインエリートハッカー集団か、民間の愛国的ハッカーか

福島 香織  【プロフィール】
 同じように、中国の愛国主義的ハクティビストたちをサイバー攻撃の先兵としてリクルートしたり、利用することはあるのではないか。ただ、そこに軍としての紀律や明確な命令系統が働いているかというとあやしい。2012年4月に起きた、中国とフィリピンがお互いの政府系サイトなどを攻撃しあった事件なども、ともに民間の愛国的ハッカーの仕業と見られているが、しかし両国の軍事的緊張が高じた結果勃発したサイバー戦争であることは間違いない。こうやって見ると、民間があたかも民間の意思のように展開するゲリラ戦をうまく利用する共産党軍の伝統を解放軍は受けついでいるといえる。

 国防部も解放軍も、今回の一連の報道が米国による中国のイメージを悪くするねつ造であると激しく非難している。中国側はこれをねつ造だと主張するなら、ぜひUglyGorillaやDOTAの正体をメンツをかけて突き止め、身の潔白を晴らさねばならないだろう。

 だが、きっと彼らが何者であるかは永遠に分からない。彼らが本当に解放軍が育て上げたサイバー戦士であるなら、それはまだよい。米軍にもサイバーコマンドはある。正式な諜報合戦といえる。最悪なのは、先兵として民間人を巻き込みながら、それに軍が無関係をよそおうやり方だ。

 子供の延長のような意識の若者に国家機密級の情報窃取を手伝わせ、「サイバー戦争」の先兵に利用しておきながら、尻尾をつかまれれば民間が勝手にやったふりをするなら、それは軍隊として「卑怯」な行為ではないか。

武道必修化1年目 柔道で北海道だけで中学生12人骨折 第一次安倍内閣教育基本法改悪の後遺症(宮武嶺) – BLOGOS(ブロゴス) たまたま、今は骨折事故で済んでいますが、いつ重大事故が起こるか全く予断を許さない状況です。
安倍晋三政権の後遺症 教育基本法改悪→今年から中学での武道必修化で学校死亡事故多発か

 ところが、フランスが誇る世界最大の柔道人口の75%は14歳未満の子どもたちだということですが、柔道人口は日本の3倍なのに、フランス柔道連盟の報告によると、フランスでは2005 年以降18 歳以下の死亡事故はゼロで、1年に4人以上の生徒たちが亡くなる日本と対照的な状況になっています。

PC不況で米Intelが失速、モバイル投資100億ドルで復活なるか - TechTargetジャパン スマートモバイル Intel製プロセッサを搭載するスマートフォンが現在7種類しかないことを考えると、競争の激しいモバイル市場でのシェア拡大は厳しい道のりになるだろう。だがIntelにとって本当の試練は、コストと電力消費量の削減だ。この問題は、クライアントPC向けにハイエンドのプロセッサを製造してきた同社にとって、優先度の低い課題だった。

KDDI、衛星携帯の1円入札繰り返す 林野庁の調達で – ITmedia ニュース林野庁が昨年12月から今年2月までに実施した競争入札4件すべてに1円で入札。正価で最大1000万円以上になる衛星携帯電話約150台の契約を、ただ同然で契約したケースもある。大手通信事業者の1円入札は市場競争を阻害しかねず、公正取引委員会も事態を重視している。

カテゴリー: リンク パーマリンク

コメントを残す