セキュリティ Archive

　最近IPod touchでWiFiなあれこれをやったり、モバイルPCを持ち歩いてよく気になるのが、SSIDがブロードキャストされまくってるってこと。

　セキュリティを向上させれば利便性が損なわれる、というのはよく言われる話だけれど、端末数の多い企業ネットワークならまだしも、家庭内の無線環境においては利便性も何も、そもそも台数もそんなにないだろうし、SSIDを隠すぐらいではたいした影響ないよね。ということで、できることならばSSIDは隠したほうがいい（簡単なので）。

　例えるなら、玄関のドアの場所が丸見えの家と、どこに玄関のドアがあるのかさえ分からない家とでは、前者のほうが侵入しやすいということ。

　設定はそれぞれの無線LANブロードバンドルータorアクセスポイントによってことなるけれど、SSIDブロードキャストを無効にするとか、SSIDステルス機能を有効にするとか、そんな書かれ方がしていたらおそらくそれが該当の値。

　あとWEPキーを使っている環境も、セキュリティ的にはWPAなどに変更したほうがいい。というのもWEPキーの64bit暗号はセキュリティ的には強固でないため。

　という上記の内容とほぼ同じことが以下にも書いてありました。

ココをおさえる！　ブロードバンド用語のツボ

• セキュリティ投資すごろく

　なんぞこれ、と思ってやってみたら、さすが天下のNTT（西）。意外と面白かった。システム関連のセキュリティ投資っていったい何のために必要なの？といったことをふと疑問に思われた方や、そもそもその必要性について認識のなかった方向け。非常にわかりやすく解説できていると思う。

　ゲーム性は、まあ、あれですよ。

• グーグル新入社員はコードを書く前にセキュリティ教育を受ける - @IT

　Webベースのサービスに対して、SQLインジェクションなど初歩的な脆弱性が突かれてきている。そんな中、後付ではなく、継ぎ接ぎでもなく、エンジニアに対してトレーニングを通じて基礎をしっかり学ばせるということが重要であるのは間違いない。

　この姿勢がgoogleならではのセキュリティの堅牢さを作っていってるんだろうね。

• グーグルを脆弱性スキャナにする新ツール － ＠IT
• Googleを脆弱性スキャナに。ハッカー集団が新ツール - ITmedia News

　Googleのクエリ約1,500種を利用して、もはや新たなプラットフォームとなっている「Web」を検索し、脆弱なWebサーバやWebサーバ上で動作するWebアプリケーションのセキュリティホール、さらには設定ミスや単に気づかずに放置されているID/Passといった情報を収集するツールらしい。

　Webアプリケーション側でのGoogleのAPI利用は色々とされているけれど、素晴らしきGoogleの検索技術や提供されているAPIは、その使い方によっては良いものにも悪いものにもなるという一例。

　以下にスクリーンショットあり。

• Cult of the Dead Cow turns Google into a vulnerability scanner - heise online UK

• セキュリティ研究者ら、「Second Life」でリンデンドルを盗む方法を披露:ニュース - CNET Japan

　脆弱性を突くということが単なる愉快犯目的などではなく、まさに金銭目的にシフトしていますよ、金銭を搾取されてしまいますよ、といったふうに実例を披露しユーザーに喚起している。

　でもシステムが人の手で作られ続ける限り、これからも脆弱性を狙う、脆弱性をふさぐといったイタチゴッコってずっと終わらないんだろうね。