IIJ Technical WEEK 2012 Day3 #iij_tw2012
-
IIJ_doumae
- 6107
- 0
- 4
- 6
-
- いいね!6
発表資料・全日程プログラム
当日の発表資料がWebで公開されています。以下のblog記事をご覧下さい。3日分のTwitterのまとめへもリンクしています。
3日目の模様
堂前@IIJ
@IIJ_doumae
IIJ Technical WEEK2012 最終日。今日はセキュリティ事件、Anonymousの動向。動画のストリーミング配信の話題でお届けします。 #iij_tw2012 http://t.co/p3V6q3dq http://t.co/EPqGlkbu
2012-11-16 13:20:52
拡大
まつもとりー / Ryosuke Matsumoto
@matsumotory
ざっと資料を見た感じ今日はこの話もあるっぽい #iij_tw2012 / “nginxの優雅な再起動 « NAVER Engineers' Blog” http://t.co/ty6neY2f
2012-11-16 13:26:14セキュリティ動向 2012
IIJセキュリティ情報統括室 室長 齋藤 衛
本セッションでは、電子証明書の信用の問題や、DNS Changerマルウェアへの対応など、2012年に発生した数々のセキュリティ事件の概要を示すと共に、その対応についてご紹介します。
堂前@IIJ
@IIJ_doumae
まずはセキュリティ情報統括室 室長 齋藤より「セキュリティ動向2012」。こちらは毎年恒例のセッションです。今年のインターネット界隈で起きたセキュリティ事件の概要を振り返りつつ、その対応を紹介します。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:32:57
堂前@IIJ
@IIJ_doumae
今年のトピック。Anonymous・国外から日本に向けた攻撃・スマートフォン・クラウド・暗号技術利用上の問題・不正アクセス禁止法改正。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:34:34
堂前@IIJ
@IIJ_doumae
Anonymous。今までは国外の日系企業が攻撃を受けていた。今年はついに日本国内の企業・団体に直接攻撃が行われるようになった。#OpJapan で日本の複数の団体が攻撃を受けている。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:35:39
堂前@IIJ
@IIJ_doumae
数百人以上の人間がOpJapanのチャットに参加してた。攻撃参加者だけでなく観測者がかなり混じっていた。一方チャットに参加せずに勝手に攻撃している人も「いまやればAnonのせいにできるだろう」とか #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:37:25
まつもとりー / Ryosuke Matsumoto
@matsumotory
Anonymousの日本に向けた活動においては、参加方法はIRCに入って議論したりするみたい。ただ議論を見てるだけの人もいる。 #iij_tw2012
2012-11-16 13:38:03
堂前@IIJ
@IIJ_doumae
国外からの攻撃。歴史的な記念日、政治家の発言などがきっかけで、政府や企業のサイトが攻撃を受ける。DDoSや改ざん事件。IIRに攻撃を受けたケースを冊子にまとめている→ http://t.co/zMnliUyZ #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:38:58
堂前@IIJ
@IIJ_doumae
特定の期日に示し合わせて一斉に攻撃を行うという動きもあった。が、攻撃先が分散したため、ターゲットあたりの攻撃はさほど激しくなかった。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:39:47
堂前@IIJ
@IIJ_doumae
スマートフォン。PCでも携帯でもない中間の存在。携帯電話を守る手法ではスマホは守れない、PCを守る手法でもだめ。スマホに適した守り方を考えないといけない。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:40:50
堂前@IIJ
@IIJ_doumae
アプリケーションが取得する情報。産業構造の変化で、従来の規制の枠にはまらない事業者が参入してきた。たとえば位置情報。従来携帯事業者が管理していた、通信の秘密で保護される。スマホではそれ以外の立場でも利用可能。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:43:13
MORI Tomoya
@moritomoya
IIJ斎藤さん「スマートフォンはPCでも携帯でもなくその中間の何かである」→PCのセキュリティ対策や携帯電話のセキュリティ対策をスマートフォンに当てはめるのではなく、新しい何かが必要。 #iij_tw2012
2012-11-16 13:43:29
堂前@IIJ
@IIJ_doumae
スマートフォンではアプリとネットワークサービスが連携して利用される。顕著なのはスマホデータのバックアップ。端末を盗まなくてもクラウド上のデータをとるだけで端末を盗んだのと同じことになる。バックアップ側の安全確保は? #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:44:42
堂前@IIJ
@IIJ_doumae
暗号技術。従来言われていたこと、暗号アルゴリズムがだんだん弱くなる(CPU能力の向上、アルゴリズムのバグの発見)。利用方法の問題(鍵が適切に管理されていない、使い回されている) #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:46:14
まつもとりー / Ryosuke Matsumoto
@matsumotory
位置情報を自由に使ったスマートフォンサービスを各種企業が作れるようになってる。位置情報は本来通信事業者が通信の秘密として保護されていた情報であって、通信事業者にあてまはらない事業者が扱えるようになってきている。 #iij_tw2012
2012-11-16 13:47:21
堂前@IIJ
@IIJ_doumae
今年言われたこと。製品の実装ミスや、暗号を使うインフラの問題が。組み込み機器で起動後のタイマーで同じ時間に鍵を生成したため、同じ鍵が使われてしまう件。SSL証明書発行受付機関が侵入され、不正な証明書が発行された件。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:49:08
堂前@IIJ
@IIJ_doumae
本来利用不可能な用途に使えるフラグが立っていた証明書。用途外のコードサイニングに悪用された件。証明書が信用できない。PKI業界の信用が低下か。信頼回復のため中小の団体の安全性を底上げしようという動きも出てる。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:51:18
堂前@IIJ
@IIJ_doumae
単に暗号技術を使うだけでなく、どの実装をどのように使っているかを評価しないといけない時代になってきたかも。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:51:57
MORI Tomoya
@moritomoya
2012年暗号技術の課題: MSがRSA1024bit未満をブロックするパッチを配布(陳腐な暗号の淘汰が必要)、エントロピー不足の秘密鍵で実装されたSSL/TLS 、不適切なPKI実装やPKI運用による問題(ComodoHacker,署名済み不正コード) #iij_tw2012
2012-11-16 13:52:13