久々にセキュリティ関連ネタをまとめて

ちょっと……いや、かなり乗り遅れた感はありますが……。


SQLインジェクション攻撃を検出する簡易ツール、IPAが公開 - ITMedia
ツールの入り口はココ。「過去ログの中からそれらしい記録を検出する」「ログは一旦IPA側のサーバにアップロードする必要がある」という2点に注意する必要はあります(※1)が、上手に使えば……って感じでしょうかね。

迷惑メール、法改正で送信全面禁止へ - ITMedia
ようやく「原則オプトアウト」から「原則オプトイン」に変わる模様。尤も実効性があるかと言われれば「？」なんでしょうけれど……。

放置される「SQLインジェクション」の脆弱性、100件以上が未対策 - ITPro
IPA発表資料はココ。そう言えば先日事件の経緯と謝罪が公開されたサウンドハウス社の個人情報漏洩事件もSQL Injectionが原因の1つですねぇ。
そもそも「SQL Injectionって何、うまいの?」というような開発者や開発案件として発注する側もまだまだ多いですしね。
某所を読む限りでは色々意見はあるみたいですが、個人的には今回のあの資料は、上層部に読ませて「ほら、何かあった時はこんなに大変なんだよ～」と洗脳意識付けさせるには良い「生きた」資料かなぁ……と思っています。

「4人に1人はセキュリティ対策ソフトを使っていない」――IPAの調査 - ITPro
IPAの発表資料はココ。読めば読むほど「orz」な気分になってきますが……とは言え「セキュリティ対策なんてやりたくてやっている訳じゃない(仕方なくやっている)」というユーザ側の意識は分からないでもないです(尤もそれが良くない事も分かってはいますが)。

メールの92％は「迷惑メール」、「迷惑サイト」は3秒ごとに出現 - ITPro
一次リソースはココ。結局のところそれだけ多量な迷惑メール/サイトが日々生まれて流れているのは、それだけ「ウマウマな商売(※2)」って事を如実に現しているって事なんでしょうな。
---
(※1)ログの中に個人情報や機密に関わる情報が含まれているケースも考えられるので、お仕事絡みで使いたいという方は、事前に使っても大丈夫か関係者に確認を取るのがベターではないかと……。
(※2)コレを「商売」と呼ぶのは御幣があるかもしれませんが(汗)。

o... rz

先日、ようやく某Aというツールを使ってのWebアプリ脆弱性調査ができるようになったので、実査してきました。

……ドルオンのチャット風に結果を表現するなら……

きゃー×3
たすけてー×3
しくしくわーん

……という有様 o... rz
いやね、シーラカンスが沢山居過ぎてサバに見えてくるから、もう不思議^2(ヲ

とりあえず仮版とは言え、レポートは投げたので、後は相手の反応待ちだったりします。

テクニカルエンジニア(情報セキュリティ)を受験してきた

昨日(4/21)は春季情報処理技術者試験の日という事で、西の方に未練を残しつつ(※1)「テクニカルエンジニア(情報セキュリティ)(SV)」受験してきました。

一言感想を挙げるならば……「これって(初期の頃の)セキュアド???」というような問題のオンパレードだった事。

有り体に言うと、過去必ず出題されていた「プログラミング系」の問題は殆ど出題されず(午後IIの問1のみ、しかもPerlのソースが少し出ただけ)、ネットワーク系の問題や要求仕様の策定に関する問題が多く出たというのが、今までとの大きな違いかも……。

まぁ、個人的には結構有難い事だったりしますが。
---
(※1)言うまでもなく、前日(4/19)開催のまっちゃ139勉強会の事。