会期中は、多数の入場者が訪れたばかりか、その選りすぐられた講師陣が海外でも話題を呼び、ヨーロッパ等国外からの参加者も多数来日しました。
同会議には今年も昨年に引き続き、日頃SCANに寄稿いただいている専門技術者の方が、レポーターとして、参加しました。「Winny」「カーネル内でのWindowsフォレンジック分析」「イントラネットへの外部からの攻撃」「AJAXウェブアプリケーションへの攻撃」等、BHJ2006 のハイライトの一部を紹介します。
──────
●Ajaxでは攻撃も複雑化
従来のWebアプリケーションでは、殆どのプロセスがサーバ側で処理されていたが、Ajaxのアーキテクチャではサーバ側とクライアント側の双方で処理が行われる。つまり、攻撃者にとって標的が増えたことになるのである。Ajaxは、JavaScriptを利用した手法であるため、これらのプロセスの処理はブラウザ上で行われる。つまり、悪意のあるJavaScriptをダウンストリームに埋め込むことにより、容易に不正操作を行うことが可能となるといえる。
Alex氏は、攻撃例としてクロスサイトスクリプティング(以降、XSS)とクロスサイトリクエストフォージェリ(以降、XSRF)を例に挙げ、Web 1.0とWeb 2.0(Ajax)環境における攻撃方法の差異を説明した。
先ず、XSSの場合だが、Web 1.0の通信方式ではHTMLをブラウザにダウンロードしていたため、攻撃者はHTMLにスクリプトを挿入すれば良かった。例えば、入力フォームに
Scan PREMIUM 会員限定記事
もっと見る-
-
範を示す ~ MITRE がサイバー攻撃被害公表
「MITRE はこのインシデントを開示しました。これは当団体が公共の利益のために活動し、企業のセキュリティ強化のためのベストプラクティスを提唱し、業界の現在のサイバー防御体制強化に必要な措置を講ずると約束しているからです」
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
保険契約の申し込みや更新を処理するコストの低下を追求するあまり、保険会社は不正確な査定を行い、さらにはプライバシーを侵害するという最悪の方向に向かっているようだ。
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。