クラウド時代に欠かせないITインフラを提供する「Cloudflare」が上場申請書類(Form S-1)を公開しました。 Cloudflareの原点は、2004年に立ち上がったサイバーセキュリティ・プロジェクトにあります。 スパムメール排除システムを開発する「Project Honey Pot」が世界185カ国で展開され、創業トリオであるマシュー・プリンス、リー・ホロウェイ、ミチェル・ザトリンがプロジェクトに携わります。 マシュー氏はその後ハーバード・ビジネス・スクールへ進み、インターネット・サービスのクラウドシフトが加速する中で「クラウドのためのファイアウォール」というアイディアに行き着くことに。元プロジェクトメンバーの2人に声をかけて新たに「Project Web Wall」が発足します。3人の事業プランはMBAスクールのビジネスコンテストで優勝し、2009年にCloudflareを創
はじめまして、朝日ネットでISPのインフラ保守を行っているa-fujisakiと申します。セキュリティ担当の一人としてお客様の所有されている機器がインターネット越しに悪用される事を防ぐ仕事をしています。 本記事では、インターネットが遅い、調べてみるとネットに接続した機器がアップロードを何百ギガと繰り返している、一旦電源を落として再接続すると復旧するがすぐ元に戻る、といった症状が発生している場合の理由と対策について解説します。 各種の症状について頻度を★マークで示しております。 時刻同期(NTP)サービスの公開による踏み台被害 DNSサービスの外部公開による踏み台被害 LDAPサービスの外部公開による踏み台被害 UPnPサービスの外部公開による踏み台被害 このような被害にあわないために 採用情報 時刻同期(NTP)サービスの公開による踏み台被害 NTP monlistの脆弱性を悪用したリフレ
中国の国営電気通信企業が「欧米諸国の重要なインターネットバックボーンを乗っ取っている」と、米海軍大学とテルアビブ大学の研究者らが米国時間10月21日に公開した学術論文で報告した。 その国営電気通信企業とは、中国電信(チャイナテレコム)のことだ。チャイナテレコムは2000年代初めに同社初のPoP(Point of Presence)を設置して以来、北米のネットワーク内で存在感を発揮している。 トラフィックはBorder Gateway Protocol(BGP)を使ってASネットワーク間を移動する。これを利用したBGPハイジャックと呼ばれる攻撃は、不正なBGP経路情報を流して、自分のネットワークに向けられたものではないトラフィックを受信するというものだ。 研究者らは論文の中で、チャイナテレコムがインターネットで最も確信的なBGPハイジャッカーの1つだとしている。 研究者らの指摘によると、中国
アップルバウム氏はかつてイスラエル軍情報機関のテクノロジー部隊に所属、現在は米メリーランド州に本拠を構えるセピオ・システムズの共同最高経営責任者(CEO)を務める。同社はハードウエアのセキュリティーを専門とし、通信会社の大型データセンター数カ所の調査に起用された。アップルバウム氏は顧客と秘密保持契約を結んでいるため、ブルームバーグは問題が見つかった企業の名称を明かさない方針。 アップルバウム氏によると、スーパーマイクロ製サーバーで異常な通信が見つかり、サーバーを綿密に調査した結果、ネットワークケーブルをコンピューターに接続するサーバーのイーサネットコネクタに問題のチップが埋め込まれているのを発見した。 同氏は別の複数企業が中国の下請け業者を使って製造したハードウエアの中にも、同じように手が加えられているのを見たことがあるとし、スーパーマイクロの製品だけではないと述べた。「スーパーマイクロは
最終更新日付: 2019年5月29日 「https通信は暗号化された通信である。」 これは有名ですが、httpsはどこまで暗号化されてわからないものなのでしょうか? 例えば、URLのパスは暗号化されていて見えないのでしょうか? 結論、httpsではURLパスも暗号化されてProxyサーバーログにも残らない。サーバー名(FQDN)は見える Proxyサーバーのアクセスログを確認したところ、 httpアクセスは、URLパスまで表示されていましたが、 httpsアクセスは、サーバー名までしかわかりませんでした。 つまり、URLパスは暗号化されていてログにも残らないという結論です。 ※ SSLに対応したProxyも存在します。その場合、クライアント側でSSL証明書を確認すると、URLとは異なる証明書になっています。 https通信がProxyサーバーで見れる仕組みは、proxy指定がある場合はブラ
欧州刑事警察機構(Europol)のプレスリリースにて、ISP等で運用されるCGN(Carrier Grade NAT/大規模NAT)が犯罪捜査の妨げになっていると述べられています。 Europol: Are you sharing the same IP address as a criminal? Law enforcement call for the end of Carrier Grade NAT (CGN) to increase accountability online Europolのプレスリリースによると、欧州連合理事会(EU Council)の今期議長国であるエストニアとEuropolが共同でCGNの問題に関するワークショップを開催したとあります。 ワークショップには、EUのポリシーメーカーや法執行機関当局者35名が参加しました。 さらに、Europolの技術的なパー
企業ネットワークや学術ネットワークなどでキャッシュDNSサーバーを運用しており、DNSSECを有効にしているのなら、KSK(Key Signing Key)という暗号鍵の更新が必要になる。その暗号鍵の更新処理が確実に実行されるように準備しておくことが極めて重要だ。 DNSSECを有効にしていないキャッシュDNSサーバーでは、暗号鍵の更新前後で何も変わらず、DNSのルックアップは問題なくできる。ただ当然ながらDNSSECを有効にしていないので、DNSSECによる保護は受けられない。 どの組織がDNSSECを有効にしているかを外部から判断するのは難しい。日本レジストリサービス(JPRS)によると、日本におけるDNSSECの普及率は12%くらい(「JP DNSサーバー」への名前解決の問い合わせに対する割合)だという。 影響を受けないようにするため注意が必要なのは、どのような企業か。 私が最も懸念
443ポート以外が絶滅しそうです あちこちでポートは閉じられています。ssh や sftp もプロキシ利用も、各種ポートでは、全く外部に出れず、接続できないネットワークが多いです。 TCP/IPなのにIPとポートを使った通信ができない、壊れたネットワークが当然になりました。 これらの接続制限にとても不便を感じることが多いです。 サーバー管理者の気分一つでポートが空いたり閉じたり、私が触ってたネットワークではポリシーが統一されず、クソネットワーク管理者に振り回されて、動くはずのものが動かず、不便なことが多かったのです。そこで仕方なく443を使っています。 私達が利用する端末では80/443 のポートの外部接続が閉じられることは少なく、443であれば通信できます。 そのため、443ポートに様々なアプリケーションを起動していると思います。 443 ポートとIPアドレスが枯渇する・・・ よほどのG
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「SMSでシークレットコードを送信するのはやめてください。安全ではありません」――。これは、米国立標準技術研究所(NIST)が2016年の夏前に発信したメッセージの内容ですが、この件についてさまざまな意見や疑問、戸惑いの声があがりました。この件に関する問題を整理してみたいと思います。 まず、事の経緯についてですが、NISTは「Digital Authentication Guideline」(デジタル認証ガイドライン)の草案を公開し、一般からの意見を募集しました。このガイドラインの最終版は2017年9月に発行の予定です。 ガイドラインの「Section 5.1.3.2」では「Out-of-Band verifiers」(帯域外検証者)に
久しぶりにブログ再開&記事を投稿したので、アクセス解析を眺めていたら、記事を全く表示していなかった期間にも微妙にアクセスがある。 どこからのアクセスだあ?とがリファラ取れている参照元のドメインを確認してみたところ、、 おろ?lifehackerの米国本家さん?? いやいや、俺もとうとうlifehackerさんに取り上げられるくらいメジャーになったかあ。。 って、そんなわけはあるわけない。 ということで、もう一度よーく見てみると、、 ん? んん? あー、、、。 皆さん、以下の二つのドメインをよーくみてください。 わかりますか? わかりますよね。 そうです。 lifehackerの「k」が拡張ラテン文字のクラーの小文字「ĸ」になっているのです。 ※ほかにkに近い文字でキリル文字の「к」がある。 画面上、特にアドレスバー上の文字ポイント数だとほとんどわかりません。 というわけで、リファラースパム
Miraiボットネットとは Miraiは、2016年9月13日夜、米国のセキュリティジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」に対して行われた大規模なDDoS攻撃に使用されたとして話題になったボットネットです(関連記事)。Miraiは主にWebカメラやルーター、デジタルビデオレコーダーなどのIoTデバイスを踏み台としてDDoS攻撃を仕掛けます。 参考:セキュリティ用語事典:DDoS攻撃 攻撃を受けた後に投稿されたKrebs氏のブログ記事によれば、同サイトを保護していたAkamaiが、ピーク時にはそれまでに経験した最大規模の攻撃の2倍近いトラフィックを観測したそうです。 また、2016年10月21日にTwitterやNetflixなどが利用するDNSサービスへ行われたDDoS攻撃でも、Miraiボットネットが利用されていたのではないかと推定され
「Black Hat USA 2016」レポートの第1回記事では、NetBIOSの「BadTunnel」脆弱性を悪用する攻撃例として「WPAD(Web Proxy Auto-Discovery)」を組み合わせた手法が登場した。だが実は、このWPAD自体にも、未だ修正されていない別の脆弱性が存在する。 8月5日、Black Hatの講演で登壇した元トレンドマイクロのマキシム・ゴンチャロフ氏が、「badWPAD」と名付けられたこの脆弱性の実態調査結果を発表した。これを悪用すれば、ターゲットを攻撃者のプロキシサーバーに接続させることができ、フィッシングサイトへの誘導、偽の認証画面を使ったログイン情報詐取(中間者攻撃)、通信内容の監視など、幅広い攻撃が可能になる。 しかもゴンチャロフ氏の調査では、東京都が使っている多数のクライアントPCが、現在進行形でそのリスクを抱えていることも具体的に明らかにさ
IT&ビジネス 業界ウォッチ IT業界で話題の新サービス・新製品のニュース、これから話題になりそうな新ツール、知っておきたい各種の統計調査……などなど、経営効率化に寄与するIT業界の今のうごきをレポートします。 バックナンバー一覧 三菱東京UFJ銀行、三井住友銀行のオンラインバンキングサービスが、今年6~7月から相次いで乱数表暗証カードの使用を中止し、すべてワンタイムパスワード発生機またはスマートフォンアプリに切り替えると、相次いで発表した。乱数表の数字全部を盗み取るような詐欺の手口も明らかになり、銀行側も対策に追われている。 日本では、依然として猛威を振るう振り込め詐欺の陰に隠れているが、オンラインバンキングを狙った犯罪被害も拡大している。 金融機関のセキュアな取引システムを構築しているジェムアルトは、フランスに本社を構え、世界140ヵ国以上で事業を行っている。同社のフィリップ・レニエ
「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法:川口洋のセキュリティ・プライベート・アイズ(58)(1/2 ページ) 2016年2月1日にラックがDNSプロトコルを悪用した攻撃に関する注意喚起を行いました。本稿ではこれを受け、万一の事態に備えたDNSのクエリログの取得方法について解説します。 連載目次 DNS通信を悪用したマルウェアの存在 2016年2月1日~3月18日は「サイバーセキュリティ月間」ということで、「コラムの1本でも」と思っていたのですが、何とか間に合わせることができました。もう終了してしまいましたが、2月から3月にかけて、「@IT セキュリティセミナー」が開催されました。筆者も、毎年恒例となっている辻伸弘氏、根岸征史氏とのトークセッションに登壇しました。読者の皆さんは、ご参加いただけたでしょうか? 参加できなかったという方はレポート記事を楽しみに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く