2021.12.28THU

2021年12月28 Vol7 メルマガを配信しました。

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■                  
           EGセキュアソリューションズからのお知らせ

               2021年12月配信
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

 こんにちは、EGセキュアソリューションズの屋舗です。

 早いもので本年も残すところ、あとわずかとなりました。

 新型コロナウィルス感染症については、依然として警戒が必要な状況ですが
 来年こそ、マスクや制限のない生活をおくりたいですね。

 TOPIX
 ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

  1. 年度内の脆弱性診断・コンサルティングのご相談はお早めに!

  2. Apache Log4jの深刻な脆弱性(CVE-2021-44228)と「SiteGuardシリーズ」の対応

  3. ウェブ・セキュリティ基礎試験のご紹介

  4. 【動画】今日こそ理解するCORS

  5. 今日のクイズ

  6. 【コラム】iモード公式サイトの終了を迎えて(徳丸 浩)

  7. 冬季休業のお知らせ

 ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

   
 +――――――――――――――――――――――――――――――――――――――+
  1. 年度内の脆弱性診断・コンサルティングのご相談はお早めに!
 +――――――――――――――――――――――――――――――――――――――+

 平素よりEGセキュアソリューションズをご利用いただき誠にありがとうございます。
 おかげ様で多くのご依頼をいただいており、ご希望のお日にちで承るのが難しい場合がございます。

 年度内に脆弱性診断・コンサルティングを検討されている方はお早めにご相談ください。

 弊社では、具体的な検証例とわかりやすい対策方法の提示を行っており、多くのお客さまからご好評いただいております。

 まだ具体的な診断内容が決まっていない方も、ぜひお早めに弊社にご相談ください。

  脆弱性診断
   https://www.eg-secure.co.jp/service/inspection/

  コンサルティング・支援
   https://www.eg-secure.co.jp/service/consultation/

  お問合せ
   https://www.eg-secure.co.jp/contact/

 +――――――――――――――――――――――――――――――――――――――+
  2. Apache Log4jの深刻な脆弱性(CVE-2021-44228)と
     「SiteGuardシリーズ」の対応
 +――――――――――――――――――――――――――――――――――――――+

  12月11日にJPCERT/CCよりJavaベースのログ出力ライブラリであるApache Log4jの深刻な脆弱性(CVE-2021-44228)に関する情報が公開されました。

  この脆弱性を悪用することで、リモートから任意のコマンドを実行される恐れがありますので、下記の情報などを参考に対策を実施することが推奨されます。

  ■JPCERT/CC
   Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
   https://www.jpcert.or.jp/at/2021/at210050.html

  なお、SiteGuard シリーズでは、2021年12月10日にリリース済みの最新のトラステッド・シグネチャで、該当の脆弱性を悪用した攻撃に利用されるパターンを検出します。

  追加情報が公開された場合は、随時対応状況を更新いたします。

  ■詳しくはこちらから
   https://siteguard.jp-secure.com/news/alert-20211211

 +――――――――――――――――――――――――――――――――――――――+
  3. ウェブ・セキュリティ基礎試験のご紹介
 +――――――――――――――――――――――――――――――――――――――+

  ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)をご存じでしょうか?

  近年、オンラインに軸をおいた事業やサービスが増加する一方で、個人情報の漏洩やシステム障害など、セキュリティの脆弱性を狙ったセキュリティインシデントが多発しており、以前にも増して強固なウェブ・セキュリティ対策が求められています。

  徳丸基礎試験は、情報セキュリティ業界全体のレベルアップ、人材の育成、より一層のウェブ・セキュリティに対する意識と知見を高めることを目的に2020年7月より提供開始いたしました。

  今回、個人のIT関連能力を職種や専門分野ごとに明確化・体系化している「ITSS(ITスキル標準)のキャリアフレームワークと認定試験・資格とのマップ」にウェブ・セキュリティ基礎試験が掲載されました。

  ウェブ・セキュリティに関する試験に興味のある方は、ぜひ、受験をご検討ください。

 ■お申し込み
  https://cbt.odyssey-com.co.jp/tokumaru.html

 ■ウェブセキュリティ基礎試験開始にあたり吉政忠志x徳丸浩バーチャル対談を実施
  https://youtu.be/Fp-TpV7suuU

 +――――――――――――――――――――――――――――――――――――――+
  4. 【動画】今日こそ理解するCORS
 +――――――――――――――――――――――――――――――――――――――+

  今回は弊社取締役CTO徳丸のYoutube「徳丸浩のウェブセキュリティ講座」より仕様が複雑なCORS(Cross-Origin Resource Sharing)についてご紹介いたします。

  CORS(Cross-Origin Resource Sharing)はややこしいですよね。
  逆転の発想で、理解しやすい方法を考えてみました。
  今日こそCORSを理解しましょう。原理からCORSの基本を丁寧に解説します。

  今日こそ理解するCORS
   https://youtu.be/yBcnonX8Eak

 +―――――――――――――――――――――――――――――――――――――+
  5. 今日のクイズ
 +―――――――――――――――――――――――――――――――――――――+

  Q.ウェブセキュリティにおけるCORSは何を目的とした仕組みでしょうか?

   1.SQLインジェクションを対策するための仕組み
   2.異なるドメイン間でのデータ交換をするための仕組み
   3.JavaScriptなどのクライアントスクリプトからサイトをまたがったアクセスを禁止するための仕組み
   4.デジタル上で非代替性を実現するための仕組み

   正解と解説
    **メール配信の際にご連絡しております**

 +―――――――――――――――――――――――――――――――――――――+
  6. 【コラム】iモード公式サイトの終了を迎えて(徳丸 浩)
 +―――――――――――――――――――――――――――――――――――――+
  
 11月30日、NTTドコモのiモード公式サイトがサービスを終了しました。
 iモード自体は2026年3月末までは使えますが、公式サイトの終了は、実質的にiモードというサービスの終了に等しいと思います。
 すでに「iモードって何?」という方も多いことでしょう。iモードはNTTドコモが1999年にサービス開始した携帯電話向けのインターネットサービスでして、携帯電話にブラウザが搭載されること自体が当時は画期的なことでしたが、加えて以下の特徴により爆発的に利用が広がりました。

  ・iモード自体が利用者認証とコンテンツ課金の仕組みを持つ
  ・コンテンツの利用料は携帯電話料金に含めて請求される

 この「コンテンツに課金する仕組み」は、当時から「インターネットのサービスは無料である」という感覚が強かったところに、「コンテンツは課金して購入するもの」というビジネスモデルを広めたことに大きな功績があったと思います。

 また、セキュリティという観点からは、パスワード認証ではなく端末認証を用いていたことから、パスワードに起因するセキュリティ事件、事故が起きていないことも特筆すべきです。

 一方、iモードを含めた携帯電話向けのウェブサービスには、セキュリティ上の実装上の問題もはらんでいました。私は、以下のような報告により、携帯ウェブのセキュリティ問題を報告してきました。

 iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
  https://www.eg-secure.co.jp/blog/20091124/

 また、携帯電話向けウェブのセキュリティ問題については以下の連載にまとめています。

 再考・ケータイWebのセキュリティ
  https://atmarkit.itmedia.co.jp/ait/series/2549/

 実は、iモードの端末認証機能は、セキュリティ面の強みでもあり、潜在的には弱点でも
 ありました。弱点の具体的な中身は上記の記事で説明していますが、iモードがスマート
 フォンのサービスに敗退した原因の一つは、このセキュリティ上の潜在的な弱点が関係
 していると私は考えています。iモード公式サイトの終了をきっかけとして、あらためて
 YouTubeチャンネル等で紹介したいと計画しております。お楽しみに。

 徳丸浩のウェブセキュリティ講座
  https://www.youtube.com/channel/UCLNW6Bo_YU3TxnzsII2gEDA

   
 +―――――――――――――――――――――――――――――――――――――+
  7. 冬季休業のお知らせ
 +―――――――――――――――――――――――――――――――――――――+

 EGセキュアソリューションズでは、誠に勝手ながら下記の期間を冬季休業とさせてい
 ただきます。

   ■休業期間
   2021年12月29日(水)~2022年1月3日(月)

 ※上記期間中にいただきましたご連絡については、2022年1月4日(火)以降、順次
  ご返答させていただきます。

       ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

  本年も、EGセキュアソリューションズをご愛顧いただきありがとうございました。
 よいお年をお迎えください。

Contact

お気軽にお問い合わせください。

Mail magazine

弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。