セキュアコーディングガイド (TP )

Size: px
Start display at page:

Download "セキュアコーディングガイド (TP40002415 0.0.0)"

Transcription

1 セキュア コーディング ガイド

2 目 次 セキュリティに 配 慮 したコーディングのための 指 針 7 はじめに 7 ハッカ クラッカ 攻 撃 者 7 安 全 なプラットフォームはない 8 この 文 書 の 使 い 方 9 関 連 項 目 10 脆 弱 性 の 類 型 11 バッファオーバーフロー 11 入 力 の 検 証 漏 れ 12 競 合 状 態 13 プロセス 間 通 信 13 危 険 なファイル 操 作 13 アクセス 制 御 に 関 する 問 題 14 安 全 なストレージと 暗 号 化 15 ソーシャルエンジニアリング 16 バッファのオーバーフローやアンダーフローの 回 避 18 スタックオーバーフロー 19 ヒープオーバーフロー 21 文 字 列 の 操 作 23 バッファ 長 の 計 算 25 整 数 のオーバーフロー/アンダーフローの 回 避 27 バッファオーバーフローの 検 出 29 バッファアンダーフローの 回 避 30 有 用 なセキュリティ 機 能 33 アドレス 空 間 レイアウトのランダム 化 33 実 行 不 可 能 なスタック/ヒープ 33 ヒープが 破 損 する 状 況 のデバッグ 34 入 力 の 検 証 とプロセス 間 通 信 35 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 35 バッファオーバーフローの 引 き 金 35 書 式 文 字 列 攻 撃 36 2

3 目 次 URLやファイルの 操 作 38 インジェクション 攻 撃 39 ソーシャルエンジニアリング 40 アーカイブ 済 みデータの 改 竄 40 ファジング(Fuzzing) 42 プロセス 間 通 信 とネットワーク 処 理 43 競 合 状 態 と 安 全 なファイル 操 作 46 競 合 状 態 の 回 避 46 検 査 と 実 行 の 時 間 差 46 シグナル 処 理 49 シグナルハンドラの 安 全 な 使 い 方 49 ファイル 操 作 の 安 全 性 確 保 50 結 果 コードの 確 認 50 ハードリンクに 関 する 注 意 点 51 シンボリックリンクに 関 する 注 意 点 51 ファイルシステムにおける 大 文 字 と 小 文 字 の 区 別 とセキュリティモデルに 対 する 悪 影 響 52 一 時 ファイルの 適 切 な 生 成 53 誰 でも 書 き 出 し 可 能 なディレクトリに 置 いたファイルの 危 険 性 について 54 その 他 のヒント 60 安 全 な 権 限 昇 格 62 昇 格 した 権 限 を 要 する 状 況 62 危 険 がある 環 境 と 最 小 権 限 の 原 則 63 新 規 プロセスの 起 動 64 コマンドライン 引 数 の 操 作 64 ファイル 記 述 子 の 継 承 65 環 境 変 数 の 悪 用 65 プロセス 制 限 の 改 変 66 ファイル 操 作 に 対 する 干 渉 66 権 限 昇 格 の 回 避 66 昇 格 した 権 限 での 実 行 67 特 権 レベルを 変 更 する 関 数 67 特 権 プロセスのフォークの 回 避 69 authopen 69 launchd 69 他 の 機 構 の 制 限 と 危 険 71 特 権 ヘルパの 作 成 72 例 : 事 前 認 可 73 ヘルパツールに 関 する 警 告 75 3

4 目 次 認 可 (Authorization)と 信 頼 (Trust)に 関 するポリシー 75 カーネル 拡 張 におけるセキュリティ 76 安 全 なユーザインターフェイスの 設 計 77 デフォルト 設 定 を 安 全 なものにする 77 セキュリティに 関 するユーザの 期 待 に 合 わせること 78 あらゆるインターフェイスの 安 全 性 確 保 79 ファイルの 安 全 な 保 存 場 所 79 セキュリティに 関 する 選 択 肢 の 明 確 化 80 ソーシャルエンジニアリング 攻 撃 への 対 抗 82 セキュリティ 処 理 用 のAPI 83 安 全 なヘルパやデーモンの 設 計 85 アプリケーションサンドボックスの 活 用 85 傀 儡 化 の 回 避 86 ホワイトリストの 利 用 86 抽 象 識 別 子 とデータ 構 造 体 の 利 用 87 マジック 検 査 の 活 用 87 アプリケーションもヘルパも 潜 在 的 に 危 険 があるものとして 扱 うこと 88 デーモンを 専 用 UIDで 実 行 89 他 のプロセスの 安 全 な 起 動 89 インジェクション 攻 撃 やXSSの 回 避 91 インジェクション 攻 撃 の 回 避 91 混 成 データにひそむ 危 険 92 SQLインジェクション 94 Cのコマンド 実 行 とシェルスクリプト 95 URLのエスケープ 処 理 97 HTMLやXMLのエスケープ 処 理 97 クロスサイトスクリプティングの 回 避 98 セキュリティに 関 する 開 発 者 向 けのチェックリスト 99 特 権 の 使 い 方 99 データファイル 設 定 ファイル 一 時 ファイル 101 ネットワークポートの 使 い 方 103 ログの 監 視 105 クライアント-サーバ 認 証 106 整 数 やバッファのオーバーフロー 110 暗 号 処 理 関 数 の 使 い 方 111 インストールとロード 処 理 112 4

5 目 次 外 部 ツールやライブラリの 利 用 113 カーネルのセキュリティ 115 バンドル 提 供 するソフトウェアのセキュリティに 関 する 考 慮 事 項 117 プライバシーの 尊 重 117 アップグレード 情 報 の 提 供 117 情 報 の 適 切 な 保 存 場 所 117 昇 格 した 権 限 を 要 する 処 理 の 回 避 118 実 装 工 程 で 常 に 安 全 性 に 配 慮 すること 118 セキュリティの 観 点 からのテスト 119 参 考 になる 情 報 源 119 書 類 の 改 訂 履 歴 120 用 語 解 説 121 索 引 124 5

6 図 表 リスト バッファのオーバーフローやアンダーフローの 回 避 18 図 2-1 スタック 配 置 の 概 念 図 20 図 2-2 バッファオーバーフロー 発 生 後 のスタックの 様 子 21 図 2-3 ヒープオーバーフロー 22 図 2-4 Cの 文 字 列 操 作 関 数 とバッファオーバーフロー 23 図 2-5 バッファオーバーフロー 時 のクラッシュログ 29 表 2-1 使 用 を 避 けるべき 文 字 列 操 作 関 数 とその 代 替 24 表 2-2 バッファ 長 のハードコーディングを 避 ける 例 25 表 2-3 安 全 でない 文 字 列 連 結 を 避 ける 例 26 競 合 状 態 と 安 全 なファイル 操 作 46 表 4-1 使 用 を 避 けるべき 関 数 と それに 代 わる 関 数 58 安 全 な 権 限 昇 格 62 リスト 5-1 非 特 権 プロセス 73 リスト 5-2 特 権 プロセス 74 6

7 セキュリティに 配 慮 したコーディングのため の 指 針 セキュリティに 配 慮 したコーディング とは 悪 意 ある 人 物 やプログラムによる 攻 撃 に 対 する 耐 性 をもったプログラムを 記 述 する 手 法 のことです ユーザデータの 盗 用 や 破 損 を 防 止 するのが 目 的 で す この 配 慮 がないと 攻 撃 者 がサーバや 各 ユーザのコンピュータを 思 うがままに 制 御 する 結 果 個 々のユーザに 本 来 のサービスを 提 供 できなくなるばかりでなく 数 千 数 万 のユーザに 関 する 機 密 情 報 が 漏 洩 し サービスが 停 止 し システムが 破 壊 される 恐 れがあります セキュリティに 配 慮 したコーディング はあらゆるソフトウェアにとって 重 要 です Mac 用 かiOS 用 か 自 分 だけが 使 うスクリプトか 商 用 のアプリケーションかによらず この 資 料 で 説 明 する 事 項 は 頭 に 入 れておいてください はじめに あらゆるプログラムに 攻 撃 の 標 的 となる 可 能 性 があります 攻 撃 者 はアプリケーションやサーバに ひそむ セキュリティ 上 の 脆 弱 性 を 見 つけようと 試 みます 見 つかれば その 脆 弱 性 を 突 いて 機 密 事 項 を 盗 用 し プログラムやデータを 破 壊 し コンピュータシステムやネットワークを 思 うがままに 制 御 します その 結 果 顧 客 の 情 報 資 産 や 運 営 会 社 の 信 用 は 危 機 に 瀕 することになります セキュリティ 対 策 は 開 発 済 みのソフトウェアに 後 から 施 せるものではありません 段 ボールで 作 った 小 屋 の 扉 に 南 京 錠 を 取 り 付 けても 意 味 がないように セキュリティの 配 慮 なしに 開 発 したツー ルやアプリケーションは 大 幅 に 設 計 し 直 さなければ 安 全 にはならないのです ソフトウェアにはど のような 脅 威 があるか 性 質 を 見 極 めた 上 で 計 画 から 開 発 まで 一 貫 して セキュリティに 配 慮 しな ければなりません この 章 では どのような 種 類 の 脅 威 がありうるか 簡 単 に 説 明 します 次 章 以 降 個 々の 脆 弱 性 について 詳 しく 説 明 し 対 処 法 を 述 べていきます ハッカ クラッカ 攻 撃 者 コンピュータ 業 界 では 一 般 のマスコミと 違 い ハッカ という 言 葉 を 複 雑 なコードやオペレー ティングシステムに 精 通 した 優 れたプログラマという 意 味 で 使 います 必 ずしも 悪 事 を 企 むわけで はありません 脆 弱 性 を 見 つけた 場 合 そのソフトウェアに 携 わる 会 社 や 組 織 に 警 告 して 対 処 でき るよう 支 援 します なかなか 対 処 してもらえない 場 合 などには 脆 弱 性 がある 旨 を 公 表 し あるいは エクスプロイト( 脆 弱 性 の 実 証 コード)を 作 成 公 開 することもあります 7

8 セキュリティに 配 慮 したコーディングのための 指 針 はじめに 悪 意 ある 者 すなわち プログラムやシステムの 脆 弱 性 を 突 いて 何 かを 破 壊 し あるいは 盗 用 しよ うとする 者 のことは クラッカ 攻 撃 者 あるいは ブラックハット と 呼 びます 多 くの 攻 撃 者 は 高 度 な 技 術 を 備 えておらず 公 開 されているエクスプロイト( 攻 撃 コード)や 既 知 の 攻 撃 手 法 を 真 似 て 使 います 公 開 されているコード(スクリプト)を 使 ってソフトウェアやコンピュータ システムを 攻 撃 する 者 ( 多 くは 年 少 者 )のことを スクリプトキディー といいます 攻 撃 者 は お 金 や 個 人 情 報 などの 機 密 事 項 を 個 人 的 利 益 のために 盗 み 出 そうとして 攻 撃 を 仕 掛 けま す 企 業 の 利 益 のため あるいは 個 人 的 に 利 用 するために 他 社 の 機 密 情 報 を 狙 うこともあります さらに 政 府 機 関 やテロリスト 組 織 が 敵 国 の 情 報 を 奪 おうとするかも 知 れません クラッカの 中 に は 自 分 の 能 力 を 誇 示 するだけのために アプリケーションやオペレーションシステムに 侵 入 する 者 もいます とはいえ その 結 果 多 大 な 損 害 につながることもあるでしょう 攻 撃 は 自 動 化 して 何 度 でも 繰 り 返 すことができるので どんなに 些 細 な 弱 点 でも 狙 われる 恐 れがあります 内 部 関 係 者 の 中 にもシステムの 攻 撃 を 試 みる 者 が 多 数 いるので セキュリティ 設 計 の 際 にきちんと 検 討 する 必 要 があります 悪 意 あるハッカやスクリプトキディーは 遠 隔 アクセスの 仕 組 みを 利 用 する ことが 多 いのに 対 し 内 部 関 係 者 は 攻 撃 対 象 に 物 理 的 にアクセスできるからです ソフトウェア は ネットワーク 経 由 の 攻 撃 コンピュータの 前 に 坐 ってキーボードを 操 作 する 者 の 攻 撃 の どちら も 防 御 しなければなりません ファイアウォールやサーバのパスワードだけでは 対 策 として 不 充 分 な のです 安 全 なプラットフォームはない OS Xは 今 のところ MyDoomウィルスのような 大 規 模 かつ 自 動 化 された 攻 撃 の 餌 食 になったことは ありません これにはいくつか 理 由 があります ひとつは OS XがBSDなどオープンソースのソフト ウェアを 基 盤 としていることです 多 くのハッカが 長 年 にわたり セキュリティ 上 の 脆 弱 性 がないか 目 を 皿 のようにして 調 べ 尽 くしたので 今 ではほとんど 残 っていないのです さらに 経 路 制 御 用 の ネットワークサービスはすべて デフォルト 状 態 では 無 効 です 電 子 メールなど 広 く 利 用 されている インターネットクライアントも オペレーティングシステムに 対 する 特 権 的 なアクセス 権 限 を 与 えら れていないので 他 の 一 般 的 なOSに 比 べ 攻 撃 に 対 する 脆 弱 性 は 少 なくなっています 最 後 に Apple は 積 極 的 に OSやアプリケーションに 脆 弱 性 がないか 調 査 し セキュリティ 更 新 プログラムを 頻 繁 に 公 開 して 誰 もがダウンロードできるようにしています iosはos Xを 基 盤 としており セキュリティ 上 の 特 性 の 多 くも 共 通 です これに 加 え 各 アプリケー ションがアクセス 可 能 なファイルやシステムリソースを 制 限 して より 安 全 性 を 高 めています Mac アプリケーションにも v10.7 以 降 同 様 の 保 護 を 適 用 できるようになりました 以 上 はよい 話 ですが 残 念 ながらアプリケーションもオペレーティングシステムも 常 に 攻 撃 にさら されています ブラックハットのハッカが 毎 日 のように 新 たな 脆 弱 性 を 見 つけ これを 突 くコード を 公 開 しています 犯 罪 者 やスクリプトキディーはこれを 使 って 実 際 に 攻 撃 を 仕 掛 けます セキュ リティ 研 究 者 もさまざまなシステム 上 で 多 くの 脆 弱 性 を 見 つけており これが 悪 用 されれば データ が 破 損 し 機 密 情 報 が 漏 洩 し 他 人 のコンピュータ 上 で 勝 手 にコードを 実 行 される 恐 れがあります 8

9 セキュリティに 配 慮 したコーディングのための 指 針 この 文 書 の 使 い 方 大 規 模 かつ 広 範 な 攻 撃 を 仕 掛 けられなくても システムに 価 値 ある 情 報 があれば 1 回 侵 入 されるだ けで 経 済 的 その 他 の 損 害 を 被 ることは 充 分 にありえます ウィルスやウォームによる 大 規 模 な 攻 撃 が あればマスコミの 注 目 を 集 めますが 1 台 のコンピュータ 上 のデータが 破 損 するだけでも 多 くのユー ザにとっては 重 大 な 事 態 です したがって ユーザの 安 全 のためにも セキュリティ 上 の 脆 弱 性 を 真 剣 に 受 け 止 め 問 題 が 見 つかっ たら 迅 速 に 対 処 しなければなりません Macintosh/iOS 用 システムの 開 発 者 が この 資 料 をはじめ セ キュリティに 関 する 書 籍 を 充 分 に 咀 嚼 するとともに Macintoshの 各 ユーザが 強 力 なパスワードや 重 要 なデータの 暗 号 化 に 関 する 予 備 知 識 を 備 えていれば OS XやiOSは 安 全 で 信 頼 に 足 るオペレーティ ングシステムであるとの 評 価 が 高 まり この 上 で 動 作 する 製 品 にとっても 恩 恵 があるでしょう この 文 書 の 使 い 方 この 資 料 は 既 に Security Overview を 読 んでいる 方 を 想 定 して 記 述 しています まず 脆 弱 性 の 類 型 (11 ページ)では セキュリティ 上 の 主 な 脆 弱 性 を 類 別 し 性 質 を 簡 単 に 説 明 します それ 以 降 の 章 を 読 み 進 めるための 背 景 知 識 を 与 えるのが 目 的 です たとえば 競 合 状 態 と は 何 か なぜ 危 険 なのか 知 りたければ まずこの 章 に 目 を 通 してください 以 降 の 章 では 脆 弱 性 の 類 型 ごとに さらに 詳 しく 説 明 します どのような 順 序 で 読 んでも 構 いませ んし 開 発 の 際 に 従 うべきチェックリスト( セキュリティに 関 する 開 発 者 向 けのチェックリス ト (99 ページ)を 参 照 )に 沿 って 読 み 進 めてもよいでしょう バッファのオーバーフローやアンダーフローの 回 避 (18 ページ)では バッファオーバーフ ローのさまざまな 類 型 と その 回 避 方 法 を 説 明 します 入 力 の 検 証 とプロセス 間 通 信 (35 ページ)では 信 頼 できない 情 報 源 からの 入 力 を 受 け 付 け る 場 合 に その 内 容 を 検 証 するべき 理 由 や 方 法 を 解 説 します 競 合 状 態 と 安 全 なファイル 操 作 (46 ページ)では 競 合 状 態 が 発 生 する 仕 組 みとその 回 避 方 法 を 説 明 するほか 安 全 な/ 危 険 なファイル 操 作 についても 述 べます 安 全 な 権 限 昇 格 (62 ページ)では 昇 格 した 権 限 にしないでコードを 実 行 する 方 法 と それ が 不 可 能 である 場 合 の 対 処 法 を 説 明 します 安 全 なユーザインターフェイスの 設 計 (77 ページ)では プログラムのユーザインターフェ イスがセキュリティに 及 ぼすよい 影 響 悪 い 影 響 を 説 明 します さらに セキュリティの 改 善 に 結 びつくUIの 開 発 方 法 について いくつか 指 針 を 示 します 安 全 なヘルパやデーモンの 設 計 (85 ページ)では 権 限 の 分 離 という 指 針 に 従 い ヘルパア プリケーションを 設 計 する 手 順 を 解 説 します 9

10 セキュリティに 配 慮 したコーディングのための 指 針 関 連 項 目 さらに 付 録 セキュリティに 関 する 開 発 者 向 けのチェックリスト (99 ページ)には アプリケー ションの 出 荷 前 に 実 施 するべき 事 項 をリストにまとめてあります 付 録 バンドル 提 供 するソフトウェ アのセキュリティに 関 する 考 慮 事 項 (117 ページ)では OS Xにバンドルして 提 供 するアプリケー ションを 開 発 する 場 合 の 指 針 を 示 します 関 連 項 目 この 資 料 は OS X/iOSアプリケーションの 開 発 者 を 対 象 に セキュリティ 上 の 脆 弱 性 や プログラム 開 発 に 際 しての 実 践 的 な 指 針 をまとめたものです セキュリティに 配 慮 したプログラム 開 発 に 関 し て あらゆる 開 発 者 が 知 っておくべき 事 項 は 次 の 書 籍 や 資 料 を 参 照 してください Building Secure Software (Viega McGraw Addison Wesley 2002)- セキュリティに 配 慮 した プログラム 開 発 に 関 する 一 般 論 特 にCでのプログラミングやスクリプト 記 述 に 関 する 話 題 Secure Programming for Linux and Unix HOWTO (Wheeler)- 入 手 可 いくつかの 種 類 の 脆 弱 性 について およびUNIXベースのオペレーティング システムに 関 するプログラミング 上 のヒント(その 多 くはOS Xにも 適 用 可 ) Security and Usability:Designing Secure Systems that People Can Use (Cranor Garfinkel O'Reilly 2005)- セキュリティ 向 上 に 資 するユーザインターフェイスの 開 発 に 関 する 情 報 セキュリティ 関 係 の OS X 用 (および その 旨 注 記 している 場 合 はiOS 用 )のAPI(アプリケーション プログラミングインターフェイス)については Appleが 公 開 している 以 下 の 資 料 を 参 照 してくださ い セキュリティに 関 するいくつかの 概 念 と OS Xが 備 えるセキュリティ 機 能 については Security Overview 安 全 なネットワーク 処 理 については Cryptographic Services Guide Secure Transport Reference CFNetwork Programming Guide OS X 用 の 認 可 / 認 証 処 理 APIについては Authentication, Authorization, and Permissions Guide Authorization Services Programming Guide Authorization Services C Reference Security Foundation Framework Reference ディジタル 証 明 書 を 用 いた 認 証 については Cryptographic Services Guide Certificate, Key, and Trust Services Reference (ios 版 もあり) Certificate, Key, and Trust Services Programming Guide パスワードその 他 の 機 密 事 項 を 保 存 する 安 全 なストレージについては Cryptographic Services Guide KeychainServicesReference (ios 版 もあり) KeychainServicesProgrammingGuide ウェブアプリケーション 設 計 におけるセキュリティについては 参 照 10

11 脆 弱 性 の 類 型 ソフトウェアに 関 するセキュリティ 上 の 脆 弱 性 の 多 くは 次 に 挙 げる 類 型 のいずれかに 当 てはまりま す バッファオーバーフロー 入 力 の 検 証 漏 れ 競 合 状 態 アクセス 制 御 に 関 する 問 題 認 証 認 可 暗 号 処 理 に 関 する 弱 点 以 下 それぞれの 類 型 について 性 質 を 簡 単 に 説 明 します バッファオーバーフロー バッファオーバーフローは アプリケーションがバッファの 末 尾 より 後 に( 場 合 によっては 先 頭 より も 前 に) データを 書 き 込 もうとするために 起 こります その 結 果 アプリケーションがクラッシュし データが 破 損 するほか 攻 撃 者 が 不 正 に 権 限 を 昇 格 さ せ 当 該 アプリケーションが 稼 働 しているシステムを 脅 かすこともありえます ソフトウェアセキュリティに 関 する 多 くの 書 籍 が 脆 弱 性 をもたらす 主 な 原 因 としてバッファオー バーフローを 挙 げています 正 確 な 数 字 を 示 すのは 困 難 ですが アメリカのコンピュータ 緊 急 事 態 対 策 チーム(US-CERT United States Computer Emergency Readiness Team)が2004 年 に 報 告 した 事 象 のう ち 約 20%がバッファオーバーフローに 関 係 するものでした アプリケーションやシステムソフトウェアは ユーザやファイルから あるいはネットワークを 介 し て 入 力 されたデータを 一 時 的 にせよ 保 存 する 必 要 があります 特 殊 な 例 外 を 除 き アプリケー ションメモリの 多 くは 次 のいずれかに 分 類 されます スタック - アプリケーションが 持 つアドレス 空 間 のうち 関 数 メソッド ブロックその 他 の 個 々の 呼 び 出 しごとに 確 保 される 領 域 ヒープ - アプリケーションが 確 保 する 汎 用 のストレージ 領 域 ここに 格 納 したデータは アプリ ケーションが 動 作 している 限 りなくなりません(アプリケーションが 明 示 的 に 不 要 になった 旨 をOSに 通 知 して 解 放 した 場 合 を 除 く) 11

12 脆 弱 性 の 類 型 入 力 の 検 証 漏 れ あるクラスから 生 成 したインスタンス mallocで 確 保 したデータ 領 域 Core Foundationのオブ ジェクト その 他 各 種 のアプリケーションデータは ヒープに 格 納 されます(ただし 当 該 デー タを 参 照 するローカル 変 数 はスタック 上 にあります) バッファオーバーフロー 攻 撃 は 一 般 に スタックとヒープのいずれか または 両 方 を 破 壊 します 詳 しくは バッファのオーバーフローやアンダーフローの 回 避 (18 ページ)を 参 照 してください 入 力 の 検 証 漏 れ 一 般 に プログラムが 受 け 付 けた 入 力 データはすべて 問 題 がないか 検 査 したうえで 処 理 しなければ なりません たとえばグラフィックスファイルに 収 容 されている 画 像 は ピクセルというような 大 きさに なっているはずです 200-1ということは 通 常 ありえません しかし このような 画 像 をファイルに 収 容 しようとしても ( 規 約 や 常 識 を 別 にすれば) 妨 げるものは 何 もないのです このようなファイ ルを 読 み 込 み 不 正 な 大 きさのバッファを 確 保 しようとすれば ヒープがオーバーフローしてしまう 恐 れがあります したがって 入 力 データが 適 正 であるかどうか 注 意 深 く 検 証 しなければなりませ ん この 処 理 を 一 般 に 入 力 の 検 証 (validation)あるいは 消 毒 (サニタイズ) (sanity check)と 呼 びます 信 頼 できない 情 報 源 からの 入 力 はすべて 悪 意 をもった 攻 撃 である 可 能 性 を 想 定 しなければなりませ ん(ここでは 一 般 ユーザも 信 頼 できない 情 報 源 に 当 たります) 具 体 的 には 次 のようなものがあ ります テキスト 欄 に 入 力 された 文 字 列 URLに 埋 め 込 まれたプログラム 起 動 コマンド 音 声 動 画 グラフィックスなどのファイルで ユーザや 他 のプロセスから 渡 され プログラム が 読 み 込 んで 再 生 するもの コマンドライン 入 力 信 頼 できないサーバからネットワーク 経 由 で 読 み 込 むあらゆるデータ 信 頼 できるサーバからネットワーク 経 由 で 読 み 込 む 信 頼 できないデータ(ユーザがBBS 経 由 で 登 録 したHTMLファイルや 写 真 など) ハッカはプログラムに 考 え 得 る 限 りのさまざまな 不 正 データを 与 えてみます その 結 果 プログラ ムがクラッシュするなど 異 常 な 動 作 になった 場 合 問 題 点 を 悪 用 する 方 法 を 見 出 そうとします 検 証 漏 れがあると オペレーティングシステムの 制 御 を 奪 う データを 盗 用 する ユーザのディスクを 破 損 させるなど さまざまに 悪 用 できるのです iphone 上 で Appleが 認 可 していないソフトウェアを 動 かす いわゆる 脱 獄 (jail break)に 利 用 されたこともあります 12

13 脆 弱 性 の 類 型 競 合 状 態 入 力 の 検 証 とプロセス 間 通 信 (35 ページ)では 検 証 漏 れによって 生 じる 主 な 脆 弱 性 と その 対 処 法 を 説 明 します 競 合 状 態 競 合 状 態 とは イベントの 発 生 順 序 が 変 わることにより 動 作 も 変 わってしまうことをいいます 所 定 の 順 序 でなければプログラムが 正 常 に 機 能 しない 場 合 これはバグであると 考 えなければなりませ ん 攻 撃 者 がこれを 悪 用 して 不 正 なコードを 注 入 する ファイル 名 を 変 更 するなど 正 常 な 動 作 を 妨 害 できる 場 合 競 合 状 態 はセキュリティ 上 の 脆 弱 性 になります また 一 連 の 処 理 の 間 隙 を 悪 用 し て 正 常 な 動 作 を 妨 げることもありえます 競 合 状 態 およびその 回 避 方 法 については 競 合 状 態 と 安 全 なファイル 操 作 (46 ページ)を 参 照 して ください プロセス 間 通 信 独 立 したプロセス( 同 じプログラム 内 あるいは 別 個 のプログラム)が 情 報 を 共 有 しなければなら ないことがあります 一 般 に オペレーティングシステムが 提 供 する 共 有 メモリやメッセージ 交 換 プロトコル(ソケットなど)の 仕 組 みを 利 用 して 実 装 することになるでしょう こういった プロセ ス 間 通 信 に 用 いるメッセージ 交 換 プロトコルも しばしば 攻 撃 に 対 する 脆 弱 性 になります したがっ て アプリケーションを 開 発 する 際 には 常 に 通 信 チャネルで 結 ばれた 相 手 のプロセスは 信 頼 できな いかも 知 れない と 想 定 しなければなりません 安 全 なプロセス 間 通 信 の 方 法 については 入 力 の 検 証 とプロセス 間 通 信 (35 ページ)を 参 照 して ください 危 険 なファイル 操 作 TOCTOU(Time Of Check, Time Of Use 検 査 と 実 行 の 時 間 差 )による 競 合 状 態 以 外 にも 危 険 なファイ ル 操 作 は 少 なくありません 開 発 者 は 通 常 ファイルの 所 有 者 保 存 場 所 属 性 が 想 定 どおりである として 処 理 を 記 述 しますが この 想 定 が 正 しくないこともありえます たとえば プログラム 自 身 が 生 成 したファイルは いつでも 書 き 出 し 可 能 と 考 えて 実 装 するでしょう しかし 当 該 ファイルの 操 作 権 限 や 各 種 フラグを 攻 撃 者 が 変 更 していても 書 き 出 し 処 理 の 結 果 コードを 検 査 していなければ 検 出 できません 危 険 なファイル 操 作 としては 次 のようなものがあります 他 のユーザが 書 き 出 し 可 能 な 場 所 にあるファイルの 読 み 書 き 13

14 脆 弱 性 の 類 型 アクセス 制 御 に 関 する 問 題 ファイルの 型 デバイスID リンクその 他 の 設 定 を 確 認 せずに 使 うこと ファイル 操 作 の 後 結 果 コードを 確 認 しないこと ファイルにローカルのパス 名 があれば それはローカルファイルであると 想 定 すること その 他 各 種 の 危 険 なファイル 操 作 については ファイル 操 作 の 安 全 性 確 保 (50 ページ)を 参 照 し てください アクセス 制 御 に 関 する 問 題 アクセス 制 御 とは 誰 に 何 をする 権 限 があるか を 制 御 することです コンピュータに 対 する 物 理 的 なアクセスの 制 御 (サーバが 置 いてある 部 屋 の 施 錠 など)から リソース(ファイルなど)に 対 して 誰 がアクセスできるか どのような 操 作 が 可 能 か( 読 み 込 みのみ 許 可 するなど) 制 御 することまで 広 い 範 囲 にわたります アクセス 制 御 機 構 には オペレーティングシステムが 強 制 するもの 個 々の アプリケーションやサーバが 適 用 するもの サービス(ネットワークプロトコルなど)が 行 うものが あります セキュリティ 上 の 脆 弱 性 の 多 くは アクセス 制 御 の 不 注 意 な/ 不 正 な 使 用 あるいは 制 御 の 仕 組 みをまったく 使 わないことによって 起 こります ソフトウェアに 関 する 脆 弱 性 を 問 題 にする 場 合 権 限 (privilege)という 言 葉 が 出 てきます 攻 撃 者 は 何 らかの 方 法 で 本 来 よりも 高 い 権 限 を 不 正 に 得 ようとします これは 操 作 権 限 (permission)と も 言 い オペレーティングシステムが 許 可 するアクセス 権 を 意 味 します ファイルやディレクトリの 読 み 書 きが 許 されるユーザ ファイルやディレクトリの 属 性 (ファイルに 対 する 操 作 権 限 など) プ ログラムを 実 行 できるユーザ その 他 の 制 限 された 操 作 (ハードウェアデバイスへのアクセス ネッ トワーク 設 定 の 変 更 など)を 実 施 できるユーザなどを 制 御 します OS Xにおけるファイルの 操 作 権 限 やアクセス 制 御 については File System Programming Guide を 参 照 してください 攻 撃 者 は 特 に システムを 無 制 限 に 操 作 できる ルート 権 限 を 獲 得 しようとします ルート 権 限 で 動 作 するアプリケーションは システムのあらゆる 箇 所 にアクセスし あらゆる 事 項 を 変 更 できます 脆 弱 性 の 中 には ルート 権 限 が 奪 われてしまうような 不 適 切 なプログラムが 多 数 あります バッ ファオーバーフローや 競 合 状 態 を 悪 用 し 本 来 よりも 高 い 権 限 に 昇 格 してしまう という 攻 撃 もあり ます あるいは 制 限 されるべきシステムファイルへのアクセスを 許 してしまう 既 にルート 権 限 で 動 作 しているプログラム(アプリケーションのインストーラなど)の 弱 点 を 悪 用 される などの 事 象 が 考 えられます したがってプログラムは できるだけ 小 さな 権 限 のみを 与 えて 実 行 することが 重 要 です どうしても 権 限 を 昇 格 する 必 要 があっても できるだけ 短 時 間 にとどめなければなりません アクセス 制 御 の 多 くはアプリケーションが 強 制 するもので あるユーザの 認 証 (authentication)をお こなった 上 で ある 操 作 の 実 行 を 認 可 (authorization)する 仕 組 みです 認 証 の 方 法 としては ユー ザ 名 とパスワードを 求 める スマートカードや 生 体 スキャンを 利 用 する などがあります アプリ ケーションは OS X Authorization ServicesのAPIを 利 用 することにより システムに 組 み 込 まれたさま ざまなユーザ 認 証 手 段 を 活 用 できます 独 自 に 認 証 の 仕 組 みを 開 発 しても 安 全 性 が 高 まるとは 限 り 14

15 脆 弱 性 の 類 型 安 全 なストレージと 暗 号 化 ません 認 証 機 構 を 迂 回 できるようなバグを 突 かれる 恐 れがありますし システム 標 準 の 認 証 機 構 に 比 べて 安 全 性 に 劣 る 可 能 性 もあります 認 証 と 認 可 について 詳 しくは Security Overview を 参 照 してください ディジタル 証 明 書 (digital certificate)は 電 子 メールをはじめ インターネットでは 広 く 利 用 されて いる 仕 組 みです ユーザやサーバを 認 証 し 通 信 内 容 を 暗 号 化 し データにディジタル 署 名 を 施 すこ とにより 改 竄 されていないこと 作 成 者 と 称 する 本 人 が 作 成 したものであることを 証 明 できます しかしこれを 不 正 に あるいは 不 注 意 に 使 えば セキュリティ 上 の 脆 弱 性 になりえます たとえば あるサーバ 管 理 プログラムは 自 己 署 名 証 明 書 を 添 付 して 販 売 されていました システム 管 理 者 が 適 切 な 証 明 書 に 差 し 替 えるものと 想 定 していたのです しかし 多 くのシステム 管 理 者 がこの 作 業 を 省 略 してしまった 結 果 攻 撃 者 は 容 易 に サーバとの 通 信 内 容 を 解 読 できたのでした [CVE ] 攻 撃 者 が 物 理 的 に コンピュータの 前 で 長 時 間 操 作 できれば どんなアクセス 制 御 機 構 があっても 意 味 がありません たとえばファイルの 操 作 権 限 をどのように 設 定 しても ディスクから 直 接 データを 読 み 込 もうという 行 為 に 対 して オペレーティングシステムの 保 護 機 構 は 無 力 です コンピュータへ の 物 理 的 アクセスを 制 限 し 高 度 な 暗 号 化 を 施 す 以 外 に データの 盗 用 や 改 竄 を 防 ぐことはできない でしょう アクセス 制 御 の 仕 組 みをプログラムに 組 み 込 む 方 法 については 安 全 な 権 限 昇 格 (62 ページ)を 参 照 してください 安 全 なストレージと 暗 号 化 暗 号 化 は 機 密 情 報 を 保 護 する 目 的 で データを 伝 送 する 際 あるいは 保 存 する 際 に 利 用 されます(ベ ンダーが 提 供 するデータの 不 正 な 複 製 や 無 権 限 者 による 利 用 の 防 止 については ここでは 取 り 上 げ ません) OS Xには 暗 号 技 術 にもとづくさまざまなセキュリティ 機 構 が 組 み 込 まれています FileVault 暗 号 化 したディスクイメージの 作 成 キーチェーン 証 明 書 を 用 いたディジタル 署 名 電 子 メールの 暗 号 化 SSL/TLSによる 安 全 なネットワーク 通 信 Kerberos 認 証 iosには 次 のようなセキュリティ 機 能 があります パスコード( 認 可 なしのデバイス 利 用 を 防 止 ) データの 暗 号 化 15

16 脆 弱 性 の 類 型 ソーシャルエンジニアリング データブロックにディジタル 署 名 を 施 す 機 能 キーチェーン SSL/TLSによる 安 全 なネットワーク 通 信 サービスにはそれぞれ 適 切 な 用 途 と 制 限 があります たとえばFileVaultは ユーザのルートボリュー ム 全 体 (OS X v10.7 以 降 )またはホームディレクトリ(それより 前 の 版 )を 暗 号 化 する 仕 組 みで 何 人 かが 共 有 するコンピュータや 攻 撃 者 の 手 に 渡 る 可 能 性 があるラップトップ 機 などでは 非 常 に 重 要 なセキュリティ 機 能 です しかし 物 理 的 にアクセスされる 恐 れは 小 さい 一 方 使 用 中 にネット ワーク 経 由 で 攻 撃 されうる 状 況 では あまり 役 に 立 ちません その 場 合 ホームディレクトリの 中 身 は 暗 号 化 されていない 状 態 であり 脅 威 は 安 全 でないネットワークや 共 有 ファイルの 側 にあるからで す さらに FileVaultの 安 全 性 は ユーザが 設 定 したパスワード 次 第 です 容 易 に 推 測 できるパスワー ドであったり 目 につきやすい 場 所 に 書 いてあったりした 場 合 暗 号 化 を 施 しても 無 意 味 です 独 自 の 暗 号 化 技 法 を 開 発 し あるいはよく 知 られている 暗 号 化 アルゴリズムを 独 自 に 実 装 すれば 安 全 性 が 高 まると 思 われるかも 知 れませんが この 分 野 の 専 門 家 でない 限 り これはまったくの 誤 りで す 安 全 かつ 頑 健 で 決 して 解 読 されない 暗 号 文 を 生 成 するコードの 記 述 は 非 常 に 難 しく ほぼ 間 違 いなく 脆 弱 性 がひそんでいると 言 ってよいでしょう OS Xのユーザインターフェイスや 高 レベルAPI の 形 で 提 供 されている 暗 号 サービスでは 不 充 分 であれば オープンソースとして 公 開 されているCSSM Cryptographic Services Managerが 有 用 です 詳 しくは オープンソースのセキュリティ 処 理 コードに 付 属 の 資 料 を 参 照 してください(http://developer.apple.com/darwin/projects/security/からダウンロード 可 ) iosであれば 開 発 用 APIを 介 して 必 要 なサービスはすべて 得 られます OS XおよびiOSのセキュリティ 機 能 について 詳 しくは Authentication, Authorization, and Permissions Guide を 参 照 してください ソーシャルエンジニアリング ユーザデータやソフトウェアを 保 護 する 数 々の 機 能 の 中 で 最 も 弱 いのは 多 くの 場 合 ユーザ 自 身 で す バッファオーバーフロー 競 合 状 態 などの 脆 弱 性 に 対 する 取 り 組 みが 進 むにつれ 攻 撃 者 はユー ザを 巧 みに 騙 して 不 正 なコードを 実 行 し あるいはパスワード クレジットカード 番 号 などの 個 人 情 報 を 盗 用 しようと 試 みるようになりました 攻 撃 者 がユーザに 罠 をしかけて 機 密 情 報 を 入 手 し あ るいはコンピュータにアクセスする 行 為 を ソーシャルエンジニアリングと 言 います たとえば2005 年 2 月 事 実 上 すべてのアメリカ 国 民 の 信 用 情 報 や 社 会 保 障 番 号 をはじめとする 個 人 情 報 を 管 理 していた 大 企 業 が 少 なくとも15 万 人 分 の 情 報 を まっとうなビジネスマンを 装 った 詐 欺 師 に 盗 まれたと 発 表 しました ガートナ(www.gartner.com)によると フィッシング 攻 撃 による 銀 行 やクレジットカード 会 社 の 被 害 は 2003 年 約 12 億 ドルに 及 び しかも 年 を 追 って 増 え 続 けていま す 2004 年 5 月 から2005 年 5 月 の 間 に 全 米 で 約 120 万 人 のコンピュータユーザが フィッシングによ る 被 害 を 受 けた という 見 積 もりもあります 16

17 脆 弱 性 の 類 型 ソーシャルエンジニアリング ソフトウェア 開 発 者 はこのような 攻 撃 に 対 処 するため ユーザの 意 識 向 上 を 図 るとともに ユーザイ ンターフェイス 設 計 を 改 善 して 意 思 決 定 に 必 要 な 情 報 をきちんと 提 供 するよう 努 めています セキュリティ 向 上 に 資 するユーザインターフェイス 設 計 については 安 全 なユーザインターフェイ スの 設 計 (77 ページ)を 参 照 してください 17

18 バッファのオーバーフローやアンダーフロー の 回 避 バッファオーバーフローは スタックとヒープのどちらでも 起 こりうる 現 象 で C Objective-C C++ のコードには 数 多 く 存 在 する 脆 弱 性 の 原 因 です この 章 では バッファのオーバーフローやアンダー フローを 回 避 するためのコーディング 技 法 を 説 明 するとともに これを 検 出 するツールを 挙 げ 安 全 なコードの 例 を 示 します プログラムが(ユーザやファイルから ネットワーク 経 由 で その 他 ) 何 らかの 入 力 を 受 け 付 ける 箇 所 では 常 に 適 切 でないデータを 受 け 取 る 可 能 性 があります たとえば メモリ 上 に 確 保 した 領 域 の 長 さを 超 えているかも 知 れません その 場 合 意 識 的 に 切 り 詰 めなければ 他 のデータ 領 域 を 上 書 きしてしまうことになります このよ うな 状 態 をバッファオーバーフローと 言 います 上 書 きされてしまった 領 域 に プログラムの 動 作 に 不 可 欠 なデータがあった 場 合 条 件 によって 顕 在 化 したりしなかったりする 見 極 めが 難 しいバグに なります 他 の 実 行 コードのアドレスを 格 納 していた 領 域 を 上 書 きしてしまうと これが 指 し 示 す 不 正 なコードを 実 行 する 恐 れがあります 同 様 に ( 想 定 の 誤 り 長 さの 値 の 誤 り 生 のデータをCの 文 字 列 として 複 製 した 場 合 など) 入 力 デー タの 長 さが 確 保 しておいた 領 域 よりも 短 い という 現 象 をバッファアンダーフローと 言 います その 結 果 誤 動 作 が 発 生 したり スタックやヒープに 置 かれたデータが 漏 洩 したりする 可 能 性 がありま す プログラミング 言 語 の 多 くは 入 力 データとストレージを 検 査 し オーバーフローやアンダーフロー を 防 ぐ 仕 組 みを 備 えていますが C Objective-C C++にはその 仕 組 みがありません 多 くのプログラ ムはCのライブラリをリンクするので 標 準 ライブラリに 脆 弱 性 があれば 安 全 な 言 語 で 記 述 し たプログラムでも 問 題 が 生 じえます したがって 自 分 が 記 述 したコードにバッファオーバーフロー の 問 題 がないとしても できるだけ 小 さな 権 限 のみを 与 えて 実 行 するべきでしょう 詳 しくは 安 全 な 権 限 昇 格 (62 ページ)を 参 照 してください ダイアログボックスを 介 して 渡 される 文 字 列 のように 問 題 が 誰 の 目 にも 明 らかな 入 力 ばかりではあ りません 次 のような 事 例 もあります 1. あるオペレーティングシステムのヘルプ 機 能 で 起 こったバッファオーバーフローは 攻 撃 者 が 巧 みに 作 成 した 埋 め 込 み 画 像 が 原 因 でした 2. 広 く 使 われているメディアプレイヤーは 特 定 の 型 の 音 声 ファイルをうまく 検 証 できないという 問 題 がありました そこで 攻 撃 者 は 音 声 ファイルに 仕 掛 けを 施 してバッファオーバーフローを 引 き 起 こし 不 正 なコードを 実 行 できたのです 18

19 バッファのオーバーフローやアンダーフローの 回 避 スタックオーバーフロー [ 1 CVE CVE ] オーバーフローは 大 きく スタックで 起 こるものとヒープで 起 こるものの2つに 分 かれます それぞ れについて 以 下 詳 しく 説 明 します スタックオーバーフロー 多 くのオペレーティングシステムは 各 アプリケーションに(マルチスレッド 型 であれば 各 スレッド に)スタックを 割 り 当 てます ローカルスコープのデータはここに 格 納 します これをスタックフレームと 呼 ばれる 単 位 に 分 割 します 各 スタックフレームには ある 関 数 の 呼 び 出 し 単 位 に 対 応 するデータが 格 納 されます 具 体 的 には 関 数 に 渡 される 引 数 当 該 関 数 のローカル 変 数 リンケージ 情 報 ( 呼 び 出 し 元 のアドレス すなわち 関 数 処 理 終 了 後 の 戻 り 先 )などのデータで す コンパイラに 指 定 したフラグによっては 次 のスタックフレームの 先 頭 アドレスも 格 納 すること があります 実 際 の 内 容 やその 順 序 は オペレーティングシステムやCPUのアーキテクチャによって 異 なります 関 数 呼 び 出 しの 都 度 新 しいスタックフレームを スタックの 一 番 上 に 追 加 します 呼 び 出 し 元 に 制 御 を 戻 す 際 には 一 番 上 のスタックフレームを 除 去 します 実 行 中 のある 時 点 でアプリケーションが 直 接 アクセスできるのは 一 番 上 のスタックフレームにあるデータだけです(ポインタを 使 って 回 避 することも 可 能 ですが 一 般 にはお 勧 めできません) この 設 計 には 再 帰 呼 び 出 しを 可 能 にする 目 的 もあります 関 数 呼 び 出 しが 入 れ 子 になっていても それぞれのローカル 変 数 や 引 数 を 格 納 する 領 域 を 確 保 できるのです 19

20 バッファのオーバーフローやアンダーフローの 回 避 スタックオーバーフロー 図 2-1にスタックの 編 成 例 を 示 します もっとも これは 考 え 方 を 示 しただけで 実 際 の 内 容 や 順 序 はCPUのアーキテクチャによって 異 なります OS X ABI Function Call Guide には OS Xが 動 作 する すべてのアーキテクチャについて 関 数 呼 び 出 し 規 約 の 説 明 が 載 っています 図 2-1 スタック 配 置 の 概 念 図 Function A data Parameters for call to function B Function A Function A return address Function B data Parameters for call to function C Function B Function B return address Function C data Space for parameters for next subroutine call Function C Function C return address アプリケーションは 一 般 に 入 力 データがすべて 意 図 する 目 的 に 合 っていること(たとえばファイ ル 名 であれば 合 理 的 な 長 さであり 不 正 な 文 字 を 含 んでいないこと)を 検 査 するべきです 残 念 な がら ユーザは 不 合 理 なことをしない という 想 定 の 下 検 査 を 省 略 してしまう 開 発 者 も 少 なくあり ません その 結 果 固 定 長 のバッファに 収 まりきらないデータを 格 納 しようとして 問 題 が 発 生 することがあ ります ユーザに 悪 意 があれば(あるいは 悪 意 ある 者 が 作 成 したデータファイルを 開 こうとすれ ば) バッファ 長 を 超 えるデータを 渡 すこともありうるのです 関 数 はこのデータを 格 納 するために 限 られた 空 間 しか 確 保 していないので スタック 上 の 他 のデータを 上 書 きしてしまうことになりま す 図 2-2のように 悪 賢 い 攻 撃 者 は 関 数 の 戻 りアドレスの 箇 所 を 不 正 なコードのアドレスで 上 書 きし ます すると 関 数 Cの 実 行 が 終 了 したとき 本 来 の 関 数 Bではなく 攻 撃 者 が 用 意 した 不 正 なコード に 制 御 が 渡 ってしまいます 20

21 バッファのオーバーフローやアンダーフローの 回 避 ヒープオーバーフロー 攻 撃 者 のコードを 実 行 するのはアプリケーション 自 身 なので その 操 作 権 限 で 動 作 することになりま す ユーザが 管 理 者 としてログインしていれば(OS Xの 場 合 はデフォルトの 設 定 ) 攻 撃 者 はコン ピュータの 完 全 な 制 御 権 を 手 にし ディスクからデータを 読 み 込 む 電 子 メールを 送 信 するなど 何 でもできてしまいます(iOSアプリケーションは 制 限 された 権 限 の 下 で 動 作 するので デバイスを 完 全 に 制 御 される 危 険 は 若 干 小 さくなります) 図 2-2 バッファオーバーフロー 発 生 後 のスタックの 様 子 Function A data Parameters for call to function B Function A Function A return address Function B data Address of attackerʼs code Parameters for call Parameter to function overflow C Function B Function B return address Function C data Space for parameters for next subroutine call Function C Function C return address リンケージ 情 報 に 対 する 攻 撃 だけでなく スタック 上 のローカル 変 数 や 引 数 の 値 を 変 更 し プログラ ムの 動 作 を 変 える 攻 撃 もあります たとえば 所 定 のホストに 接 続 するところで データ 構 造 体 を 改 竄 することにより 別 の( 不 正 な)ホストに 接 続 させることが 考 えられます ヒープオーバーフロー ヒープは 先 に 説 明 したように 動 的 に 確 保 するメモリ 領 域 として 使 われます malloc 関 数 やC++の new 演 算 子 あるいはこれと 同 等 の 関 数 で メモリブロックを 確 保 しあるいはオブジェクトのインス タンスを 生 成 すると ヒープ 上 の 領 域 を 指 すポインタが 返 されます 21

22 バッファのオーバーフローやアンダーフローの 回 避 ヒープオーバーフロー ヒープに 関 数 やメソッドの 戻 りアドレスが 保 存 されているわけではないし ヒープ 上 のデータを 改 変 したときの 効 果 が( 攻 撃 者 にとって) 明 らかとは 限 らないので バッファオーバーフローを 起 こす 攻 撃 は 多 少 困 難 です 攻 撃 者 の 興 味 を 惹 く 度 合 いが 若 干 小 さいので スタックオーバーフローほど 心 配 する 必 要 はないかも 知 れません 図 2-1に ヒープのオーバーフローを 悪 用 してポインタを 上 書 きする 様 子 を 示 します 図 2-3 ヒープオーバーフロー Data Data Pointer Data Data Data Buffer overflow Buffer Data 一 般 にヒープは スタックに 比 べて オーバーフローの 悪 用 が 困 難 です それでも 成 功 した 例 は 少 な くありません これにはデータの 改 竄 とオブジェクトの 改 竄 という2つの 方 法 があります 攻 撃 者 はヒープのオーバーフローを 悪 用 して 重 要 なデータを 上 書 きし プログラムをクラッシュさせ たり 後 で 不 正 な 操 作 ができるよう ある 値 を 変 更 (たとえば ユーザIDを 変 更 してアクセス 権 を 獲 得 )したりします このデータの 変 更 を 非 制 御 データ(non-control-data) 攻 撃 と 言 います ヒープ 上 のデータの 多 くは ユーザ 入 力 の 単 なる 複 製 ではなく プログラムが 内 部 的 に 生 成 したものです このようなデータは アプリケーションが 領 域 を 確 保 する 方 法 や 時 期 にもよりますが メモリ 上 の 同 じ 位 置 にとどまり 続 ける 傾 向 があります ヒープ 上 のバッファのオーバーフローを 悪 用 し ポインタを 上 書 きする 形 の 攻 撃 もあります C++ Objective-Cなど 多 くの 言 語 で ヒープ 上 に 確 保 するオブジェクトには 関 数 やデータポインタの 表 が 付 随 しています 攻 撃 者 は オーバーフローを 悪 用 してポインタを 書 き 換 えることにより データを 置 き 換 えたり インスタンスメソッドを 差 し 替 えたりするのです 22

23 バッファのオーバーフローやアンダーフローの 回 避 文 字 列 の 操 作 ヒープ 上 のバッファのオーバーフローを 悪 用 した 攻 撃 は 複 雑 で 難 しいものですが クラッカは 困 難 へ の 挑 戦 それ 自 体 を 目 的 として 次 のような 攻 撃 をしかけることがあります 1. ビットマップ 画 像 をデコードするコードのヒープオーバーフローを 利 用 して 遠 隔 操 作 により 任 意 のコードを 実 行 する 2. ネットワークサーバのヒープオーバーフロー 脆 弱 性 を 利 用 して Content-Length ヘッダに 負 の 値 を 指 定 したTTP POST 要 求 を 送 りつけ 任 意 のコードを 実 行 する [ 1 CVE CVE ] 文 字 列 の 操 作 入 力 の 形 式 が 文 字 列 であることは 珍 しくありません 多 くの 文 字 列 操 作 関 数 には 長 さを 検 査 する 機 能 が 組 み 込 まれていないので しばしばバッファオーバーフローの 原 因 になります 図 2-4に 3 種 類 の 文 字 列 複 製 関 数 が 想 定 よりも 長 い 文 字 列 を 扱 う 方 法 を 示 します 図 2-4 Cの 文 字 列 操 作 関 数 とバッファオーバーフロー Char destination[5]; char *source = LARGER ; strcpy(destination, source); L A R G E R \0 strncpy(destination, source, sizeof(destination)); L A R G E strlcpy(destination, source, sizeof(destination)); L A R G \0 図 のように strcpy 関 数 は 複 製 元 の 文 字 列 をそのまま 書 き 込 むため 領 域 を 超 えて 上 書 きしてしま います strncpy 関 数 は 正 しい 長 さに 切 り 詰 めますが 末 尾 にヌル 文 字 が 入 りません したがって この 文 字 列 を 読 み 込 もうとすると 領 域 を 超 え 次 に 現 れるヌル 文 字 まですべてを 文 字 列 として 扱 ってしまい ます この 関 数 自 体 は 安 全 でも 誤 用 を 招 きやすいという 点 で それほど 安 全 ではないと 考 えるべき でしょう strncpyを 安 全 に 使 うためには strncpy 実 行 後 末 尾 バイトに 明 示 的 にヌルを 埋 めるか あらかじめヌルを 埋 めておき バッファ 長 よりも1バイト 短 い 値 を 最 大 長 として 渡 す 必 要 があります 完 全 に 安 全 なのはstrlcpy 関 数 だけです 文 字 列 をバッファ 長 より1バイト 短 い 長 さに 切 り 詰 め 末 尾 にヌル 文 字 を 埋 めます 23

24 バッファのオーバーフローやアンダーフローの 回 避 文 字 列 の 操 作 表 2-1に Cの 一 般 的 な 文 字 列 操 作 関 数 のうち 使 用 を 避 けるべきものとその 代 替 を 示 します 表 2-1 使 用 を 避 けるべき 文 字 列 操 作 関 数 とその 代 替 使 用 を 避 けるべき 関 数 strcat strcpy strncat strncpy sprintf vsprintf gets その 代 替 strlcat strlcpy strlcat strlcpy snprintf( 注 を 参 照 )またはasprintf vsnprintf( 注 を 参 照 )またはvasprintf fgets( 注 を 参 照 )またはCore FoundationやFoundationのAPIを 使 用 snprintfおよびvsnprintfのセキュリティに 関 する 注 : snprintfやvsnprintf およびその 変 種 は 正 しく 使 わないと 危 険 です strlcatと 同 様 に 最 大 でn-1バイトまでを 複 製 しますが 関 数 の 戻 り 値 は 充 分 に 大 きなnを 指 定 して 印 字 した 場 合 の 長 さになります したがって 戻 り 値 を 調 べて 末 尾 のヌルの 位 置 や 実 際 に 複 製 されたバイト 数 を 判 断 すること はできません fgetsのセキュリティに 関 する 注 : fgets 関 数 は 所 定 の 長 さのデータを 読 み 込 めますが 使 用 に 当 たっては 注 意 が 必 要 です その 代 替 欄 に 挙 げた 他 の 関 数 と 同 様 fgetsも 末 尾 にヌ ルを 埋 めます しかしほかと 違 って バッファ 長 ではなく 読 み 込 むべき 最 大 のバイト 数 を 引 数 として 指 定 します したがって バッファ 長 より1バイト 小 さい 値 を 渡 して ヌルを 埋 める 余 地 を 残 しておかな ければなりません そうしないと fgets 関 数 は 末 尾 の 次 の 位 置 にヌルを 置 いて 文 字 列 を 終 端 しようとするため バッファを 外 れた 場 所 を 上 書 きしてしまう 可 能 性 があるのです より 高 レベルの 文 字 列 操 作 インターフェイスを 用 いて オーバーフローを 防 止 することも 可 能 です C++の 場 合 :ANSI C++のstringクラスを 用 いればオーバーフローを 回 避 できます ただしASCII 以 外 のエンコーディング(UTF-8など)を 扱 うことはできません Objective-Cの 場 合 :NSStringクラスを 使 ってください なお NSStringをCの 文 字 列 に 変 換 し て POSIX 関 数 などCのルーチンに 渡 すことも 可 能 です 24

25 バッファのオーバーフローやアンダーフローの 回 避 バッファ 長 の 計 算 Cの 場 合 :Core Foundationの 文 字 列 表 現 であるCFStringと CFString APIに 属 する 文 字 列 操 作 関 数 を 使 ってください Core FoundationのCFStringと Core FoundationのNSStringとは 相 互 乗 り 入 れ が 可 能 です すな わち Core Foundationの 型 は 同 等 のFoundationオブジェクトと 区 別 せずに 関 数 やメソッドを 介 し てやり 取 りできるのです したがって あるメソッドの 引 数 がNSString *である 場 合 CFStringRef 型 の 値 を 渡 してもよいことになります 同 様 に 引 数 型 がCFStringRefであれば NSStringのイン スタンスを 渡 しても 構 いません これはNSStringの 具 象 サブクラスにも 成 り 立 ちます この 文 字 列 表 現 の 使 い 方 や CFStringオブジェクトとNSStringオブジェクトの 相 互 変 換 については CFString Reference Foundation Framework Reference Carbon-Cocoa Integration Guide を 参 照 してください バッファ 長 の 計 算 固 定 長 のバッファを 扱 う 場 合 その 長 さをsizeof 演 算 子 で 数 え それ 以 上 のデータは 収 容 しないよ うにしてください 固 定 長 のバッファを 割 り 当 てるコードを 記 述 しても 将 来 のコード 保 守 作 業 で バッファ 長 を 変 更 した 時 関 係 箇 所 をすべて 間 違 いなく 修 正 できるとは 限 りません まず 表 2-2に 1024バイトの 文 字 列 バッファを 確 保 し 入 力 文 字 列 の 長 さを 調 べて 複 製 する 2つの 方 法 を 示 します 表 2-2 コード 例 バッファ 長 のハードコーディングを 避 ける 例 適 切 な 書 き 方 char buf[1024];... if (size <= 1023) {... } #define BUF_SIZE char buf[buf_size];... if (size < BUF_SIZE) {... } char buf[1024];... if (size < 1024) {... } char buf[1024];... if (size < sizeof(buf)) {... } 25

26 バッファのオーバーフローやアンダーフローの 回 避 バッファ 長 の 計 算 左 欄 に 示 す2つのコードも 宣 言 に 現 れるバッファ 長 が 将 来 にわたって 変 わらないのであれば 安 全 で す しかし 新 しい 版 でバッファ 長 のみを 変 更 し if 文 の 条 件 を 修 正 しなかった 場 合 オーバーフロー が 起 こりえます 右 欄 に より 安 全 な 書 き 方 を 示 します ひとつ 目 は バッファ 長 を 定 数 (マクロ)として 設 定 し if 文 にも 同 じ 定 数 を 記 述 する という 方 法 です もうひとつ バッファの 宣 言 にはそのまま 1024 と 記 述 し if 文 には 実 際 のバッファ 長 を 求 める 演 算 子 を 記 述 する というやり 方 もあります どちらも バッファ 長 を 変 更 してもif 文 の 検 査 は 正 しく 機 能 します 表 2-3に ファイル 名 に 拡 張 子.ext を 付 加 する 関 数 の 例 を 示 します 表 2-3 コード 例 { 安 全 でない 文 字 列 連 結 を 避 ける 例 適 切 な 書 き 方 { char file[max_path];... addsfx(file);... } static *suffix = ".ext"; char *addsfx(char *buf) { return strcat(buf, suffix); } char file[max_path];... addsfx(file, sizeof(file));... } static *suffix = ".ext"; size_t addsfx(char *buf, uint size) { size_t ret = strlcat(buf, suffix, size); if (ret >= size) { fprintf(stderr, "Buffer too small...\n"); } return ret; } いずれも パス 長 の 最 大 値 をバッファ 長 として 使 っています 左 欄 のコードは ファイル 名 がこの 長 さを 超 えることはないと 想 定 し 文 字 列 長 を 確 認 することなく 拡 張 子 を 付 加 しています より 安 全 な 右 欄 の 版 では strlcat 関 数 を 使 って バッファ 長 を 超 えてしまった 場 合 は 切 り 詰 めるようにしてい ます 26

27 バッファのオーバーフローやアンダーフローの 回 避 整 数 のオーバーフロー/アンダーフローの 回 避 Important: バッファ 長 や 収 容 するデータ 長 を 計 算 する 際 には 符 号 なしの 変 数 (size_t 型 など) を 使 わなければなりません 負 の 数 値 は 符 号 なし 変 数 では 大 きな 値 の 正 数 として 扱 われるので 符 号 ありの 変 数 を 使 った 場 合 攻 撃 者 は 大 きな 値 をプログラムに 書 き 込 むことにより バッファ 長 やデータ 長 の 誤 計 算 を 引 き 起 こす 可 能 性 があります 整 数 演 算 に 関 連 して 起 こりうる 問 題 につ いて 詳 しくは 整 数 のオーバーフロー/アンダーフローの 回 避 (27 ページ)を 参 照 してくださ い この 問 題 の 詳 細 や 問 題 を 起 こしうる 他 の 関 数 については Secure Programming for Linux and Unix HOWTO (Wheeler 入 手 可 )を 参 照 してください 整 数 のオーバーフロー/アンダーフローの 回 避 ユーザが 指 定 したデータをもとにバッファ 長 を 計 算 する 場 合 悪 意 あるユーザが 整 数 型 で 表 現 でき る 範 囲 を 超 える 大 きな 数 値 を 与 えることにより プログラムのクラッシュその 他 の 問 題 を 引 き 起 こす 恐 れがあります 2の 補 数 を 用 いる 算 術 演 算 ( 最 近 の 多 くのCPUが 符 号 つき 整 数 演 算 に 採 用 している 方 式 )では 負 の 数 値 を その 絶 対 値 を 表 す2 進 表 現 のビットをすべて 反 転 して1を 加 える という 方 法 で 表 します 最 上 位 ビットが1ならば それは 負 数 です したがって 4バイト 符 号 つき 整 数 の 場 合 0x7fffffff = ですが 0x = となります すなわち 次 のような 計 算 が 成 り 立 つのです int = 符 号 なしの 数 しか 渡 されないと 想 定 しているところに 悪 意 あるユーザが 負 数 を 指 定 すれば プログ ラムはこれを 非 常 に 大 きな 数 値 と 解 釈 します 数 値 の 用 途 にもよりますが 仮 にその 長 さのバッファ を 確 保 しようとすれば メモリ 割 り 当 てに 失 敗 し あるいは 成 功 しても ヒープがオーバーフローを 起 こす 恐 れがあります たとえば 広 く 普 及 しているウェブブラウザの 旧 版 では 長 さとして 負 数 を 指 定 して 確 保 したJavaScriptの 配 列 にオブジェクトを 格 納 しようとすると メモリの 上 書 きが 起 こりまし た [CVE ] 別 の 例 を 挙 げましょう バッファ 長 を 符 号 つきで 計 算 している 場 合 データブロックが 非 常 に 大 きけ れば 負 の 長 さとして 扱 われてしまいます したがって データがバッファ 長 を 超 えないことを 確 認 し ているとしても オーバーフローを 検 出 できないことがあるのです バッファ 長 の 計 算 方 法 によっては 負 と 看 做 される 値 を 指 定 したとき 本 来 よりも 小 さな 値 が 得 られ ます たとえば 最 低 でも1024バイトのバッファが 必 要 で ユーザが 指 定 した 値 に1024バイトを 加 え て 長 さを 計 算 しているとしましょう すると 攻 撃 者 が 非 常 に 大 きな 正 数 を 指 定 した 場 合 次 のよう に1024よりも 小 さな 値 が 得 られてしまいます 27

28 バッファのオーバーフローやアンダーフローの 回 避 整 数 のオーバーフロー/アンダーフローの 回 避 = 512 0x xFFFFFE00 = 0x200 さらに 整 数 型 変 数 ( 符 号 つきか 符 号 なしかを 問 わず)がオーバーフローを 起 こした 場 合 あふれた ビットは 無 視 されます たとえば32ビット 整 数 を 使 って 計 算 すると 2**32 == 0となります 長 さ が0のバッファも 確 保 することは 可 能 で malloc(0)を 実 行 すると 小 さなブロックを 指 すポインタが 得 られます したがって 攻 撃 者 が 巧 みに バッファ 長 として2**32の 倍 数 が 得 られるような 計 算 を 誘 導 しても この 時 点 ではエラーになりません すなわち nとmに (n * m) mod 2**32 == 0とな るような 値 を 与 えた 場 合 n*mバイトのバッファを 確 保 しようとすると 非 常 に 小 さな 長 さ(アーキ テクチャに 依 存 )のバッファを 指 す 有 効 なポインタが 得 られます その 結 果 確 実 にバッファの オーバーフローが 起 こるでしょう これを 回 避 するためには バッファ 長 を 計 算 する 際 必 ず 数 値 範 囲 の 検 査 を 行 い 整 数 のオーバーフ ローが 起 こらないようにしなければなりません よくある 誤 りとして オーバーフローを 考 慮 せずに 乗 算 その 他 の 演 算 結 果 を 検 査 する というもの があります size_t bytes = n * m; if (bytes < n bytes < m) { /* 不 正 不 正 不 正 */... /* bytesで 表 される 長 さのバッファを 確 保 */ } 残 念 ながらCの 仕 様 では このような 検 査 コードをコンパイラが 最 適 化 してもよいことになっていま す [CWE-733, CERT VU#162289] したがって 整 数 のオーバーフローが 起 こっていないか 確 かめるため には 取 りうる 最 大 値 を 乗 数 で 割 ってその 結 果 を 被 乗 数 と 比 べる(あるいは 乗 数 と 被 乗 数 の 役 割 を 入 れ 替 える)しかありません 除 算 結 果 が 被 乗 数 よりも 小 さければ 2つの 値 を 掛 け 合 わせるとオーバー フローが 発 生 することになります コード 例 を 示 します size_t bytes = n * m; if (n > 0 && m > 0 && SIZE_MAX/n >= m) {... /* bytesで 表 される 長 さのバッファを 確 保 */ } 28

29 バッファのオーバーフローやアンダーフローの 回 避 バッファオーバーフローの 検 出 バッファオーバーフローの 検 出 バッファオーバーフローが 起 こらないか 確 認 するためには プログラムが 入 力 を 受 け 付 ける 箇 所 それ ぞれについて 本 来 よりも 大 量 のデータを 投 入 してみるとよいでしょう また グラフィックスや 音 声 データなど 標 準 的 な 形 式 のデータを 受 け 付 けるプログラムには 不 正 な 形 式 のデータを 渡 してみ てください このテスト 手 法 をファジングと 言 います オーバーフローが 発 生 すれば 最 終 的 にプログラムはクラッシュします( 残 念 ながら 上 書 きされた データを 実 際 に 使 う 時 点 まで しばらくは 生 き 延 びます) クラッシュログには オーバーフローが 原 因 であったという 痕 跡 が 見 つかるかも 知 れません たとえば 大 文 字 の A を 含 む 文 字 列 をたて 続 けに 入 力 した 場 合 クラッシュログには そのASCIIコードである41が 繰 り 返 し 現 れるブロックが あるでしょう( 図 2-2を 参 照 ) プログラムがある 場 所 にジャンプしようとして そのアドレスが 実 際 にはASCII 文 字 列 であった 場 合 オーバーフローがクラッシュの 原 因 であると 推 測 できます 図 2-5 バッファオーバーフロー 時 のクラッシュログ Exception: EXC_BAD_ACCESS (0x0001) Codes: KERN_INVALID_ADDRESS (0x0001) at 0x Thread 0 Crashed: Thread 0 crashed with PPC Thread State 64: srr0: 0x srr1: 0x f030 vrsave: 0x cr: 0x xer: 0x r: 0x ctr: 0x c r0: 0x r1: 0x bfffe660 r2: 0x r3: r4: 0x r5: 0x bfffdd50 r6: 0x r7: 0x bfffe638 r8: 0x r9: 0x bfffddd8 r10: 0x bfffe380 r11: 0x r12: 0x c r13: 0x a365c7c0 r14: 0x r15: 0x r16: 0x a364c75c r17: 0x a365c75c r18: 0x a365c75c r19: 0x a366c75c r20: 0x r21: 0x r22: 0x a365c75c r23: 0x f5b0 r24: 0x a3662aa4 r25: 0x c840 r26: 0x a3662aa4 r27: 0x f44 r28: 0x c840 r29: 0x r30: 0x r31: 0x オーバーフローが 起 こりうる 箇 所 があれば 攻 撃 の 標 的 になりうると 判 断 し 修 正 しなければなりま せん そうはならないと 証 明 するよりも バグを 修 正 する 方 がはるかに 容 易 です さらに オーバー フローが 起 こることは 確 認 できても 決 して 起 こらないと 証 明 することは 不 可 能 です したがって 必 要 ならば 入 力 データやバッファ 長 の 計 算 コードを 注 意 深 く 検 査 してください ファジングについて 詳 しくは 入 力 の 検 証 とプロセス 間 通 信 (35 ページ)の ファジング (Fuzzing) (42 ページ)を 参 照 してください 29

30 バッファのオーバーフローやアンダーフローの 回 避 バッファアンダーフローの 回 避 バッファアンダーフローの 回 避 バッファアンダーフローが 発 生 するのは 基 本 的 に バッファ 長 やそのデータに 関 して コード 中 の 2つの 箇 所 に 齟 齬 がある 場 合 です たとえば Cの 固 定 長 文 字 列 変 数 に256バイト 分 の 領 域 があるのに 実 際 には12バイト 分 の 文 字 列 しか 入 っていない という 状 況 です バッファがアンダーフロー 状 態 であっても それだけで 危 険 であるとは 限 りません データの 操 作 コードが 一 貫 していなければ 正 しく 処 理 できない という 状 況 が 危 険 なのです よく 現 れるのは バッファに 読 み 込 んで 別 のメモリブロックに 複 製 する ネットワーク 接 続 を 介 して 送 信 する といっ た 場 合 です バッファアンダーフローに 関 する 脆 弱 性 は 大 きく 書 き 出 し 不 足 と 読 み 込 み 不 足 の2つに 分 類 できます 書 き 出 し 不 足 脆 弱 性 は バッファ 長 に 比 べて 書 き 出 すデータが 短 く バッファ 全 体 を 埋 め 尽 くさ ない 場 合 に 発 生 します その 結 果 旧 データの 一 部 が 書 き 出 し 後 にも 残 ってしまいます その 後 バッファ 全 体 に 対 する 処 理 (ディスクに 保 存 する ネットワーク 経 由 で 送 信 する など)をおこなう と 残 っていたデータも 対 象 となるのです 単 なる ごみ データなら 問 題 ありませんが 場 合 に よっては 情 報 漏 洩 につながるかも 知 れません さらに このような 形 のアンダーフローが 起 こったとき その 値 がプログラムの 流 れに 影 響 を 与 える ならば 不 正 な 動 作 を 招 く 恐 れがあります たとえばスタックに 過 去 の( 他 のユーザやアプリケー ションが 渡 した) 認 可 データが 残 っていた 場 合 認 証 や 認 可 の 手 続 きが 抜 けてしまうかも 知 れないの です 30

31 バッファのオーバーフローやアンダーフローの 回 避 バッファアンダーフローの 回 避 書 き 出 し 不 足 の 例 (システムコール): たとえば コマンドデータ 構 造 体 を 引 数 とす る UNIXのシステムコールを 考 えてみましょう この 構 造 体 には 認 可 トークンが 収 容 され るものとします この 構 造 体 には 長 さの 異 なる 複 数 の 版 があるため システムコールにはそ の 長 さも 引 数 として 指 定 します 認 可 データは 構 造 体 の 中 でもかなり 後 ろの 方 にあるとしま しょう 悪 意 あるアプリケーションは この 構 造 体 を 渡 してシステムコールを 実 行 する 際 認 可 トー クンの 直 前 までの 長 さを 指 定 します カーネルのシステムコールハンドラは copyinを 実 行 して アプリケーションから 渡 された 所 定 のバイト 数 のデータを カーネルのアドレス 空 間 にあるデータ 構 造 体 に 複 製 します カーネルがこのデータ 構 造 体 にあらかじめ0を 充 塡 せ ず 長 さの 確 認 もしていなければ カーネル 側 メモリの 同 じアドレスに 前 回 のシステム コール 呼 び 出 し 時 に 渡 された 認 可 トークンが 残 っている 可 能 性 がわずかながらあります し たがって 攻 撃 者 は 本 来 ならば 許 されないはずの 処 理 を 実 行 できてしまうのです 読 み 込 み 不 足 脆 弱 性 は バッファの 一 部 しか 読 み 込 まなかった 場 合 に 発 生 します 読 み 込 んだ 内 容 をもとにプログラムが 何 らかの 判 断 をするならば あらゆる 誤 動 作 が 起 こりえます よくあるの は Cの 文 字 列 関 数 でバッファから 読 み 込 む 際 実 際 にはCの 有 効 な 文 字 列 が 入 っていなかった とい う 状 況 です Cの 文 字 列 とは 一 連 のバイト 並 びで ヌルで 終 端 するもののことです その 定 義 上 本 来 の 末 尾 よ り 前 にヌルのバイトを 入 れることはできません strlen strlcpy strdupなどcの 文 字 列 操 作 関 数 は 最 初 に 見 つかったヌルまでの 部 分 を 処 理 対 象 にします 本 来 のバッファ 長 は 関 知 しません これに 対 し CFStringRefオブジェクト Pascalの 文 字 列 CFDataRefで 表 されるBLOB(Binary Large OBject)などで 表 される 文 字 列 は 明 示 的 な 長 さ 情 報 を 持 つため 途 中 にヌルがあっても 構 いません これをCの 文 字 列 に 変 換 した 上 で 処 理 しようとすると 最 初 に 見 つかったヌルを 末 尾 と 判 断 するため 誤 動 作 になります 31

32 バッファのオーバーフローやアンダーフローの 回 避 バッファアンダーフローの 回 避 読 み 込 み 不 足 の 例 (SSLの 検 証 ): 数 年 前 多 くのSSLスタックで 読 み 込 み 不 足 に よる 脆 弱 性 が 見 つかりました 本 来 のドメイン 以 下 に 巧 妙 にサブドメインを 設 定 し これ に 対 してSSL 証 明 書 を 適 用 することにより 任 意 のドメインに 対 して 有 効 な 証 明 書 を 生 成 で きてしまったのです targetdomain.tld[null_byte].yourdomain.tld という 形 のサブドメインを 考 えてみま しょう 証 明 書 署 名 要 求 に 含 まれる 文 字 列 はPascal 形 式 なので 認 証 機 関 がこれを 素 直 に 解 釈 するな らば yourdomain.tld というドメインの 所 有 者 に 証 明 書 を 配 送 してよいか 確 認 を 取 るはずです 実 際 にドメインを 所 有 しているので これには 同 意 するでしょう その 結 果 件 の 少 々 不 自 然 なサブドメインに 対 して 有 効 な 証 明 書 が 手 に 入 ります しかし この 証 明 書 の 有 効 性 を 確 認 する 際 多 くのSSLスタックは 正 当 性 を 確 認 すること なく Pascal 文 字 列 をCの 文 字 列 に 変 換 します その 結 果 得 られる 文 字 列 には targetdomain.tld の 部 分 しかありません SSLスタックはこの 文 字 列 を ユーザが 要 求 したドメイン 名 と 比 較 するため targetdomain.tldというドメインに 対 して 有 効 な 証 明 書 と 判 断 します 場 合 によっては ブラウザが 扱 うあらゆるドメインに 対 して 有 効 な ワイルドカード 証 明 書 さえも 生 成 できます(たとえば *.com[null].yourdomain.tld はあらゆる.com ア ドレスに 合 致 ) 以 下 の 規 則 に 従 えば 多 くのアンダーフロー 攻 撃 は 防 御 可 能 です バッファはすべて 使 用 前 に0 充 塡 を 施 す こうすれば 以 前 の 重 要 な 情 報 が 残 ることはありま せん 常 に 戻 り 値 を 検 査 し 適 切 にエラー 処 理 を 施 す メモリ 確 保 や 初 期 化 の 関 数 (たとえばAuthorizationCopyRights)が 処 理 に 失 敗 した 場 合 得 られたデータを 評 価 しない( 前 回 のデータが 残 っているかも 知 れない) readその 他 のシステムコールは 戻 り 値 を 調 べて 実 際 に 読 み 込 んだバイト 数 を 判 断 する その 上 で: 定 義 済 みの 定 数 ではなく 実 際 に 読 み 込 んだ 長 さにもとづいて 処 理 するか または 想 定 どおりの 長 さでなければエラーとして 処 理 する write printfなどの 出 力 関 数 が データをすべて 書 き 出 さなかった 場 合 エラーメッセージを 表 示 する( 後 でこのデータを 読 み 戻 す 場 合 は 特 に 要 注 意 ) 長 さ 情 報 を 含 むデータ 構 造 体 を 扱 う 際 には 想 定 どおりの 長 さであることを 必 ず 確 認 する Cの 形 式 以 外 の 文 字 列 (CFStringRefオブジェクト NSStringオブジェクト CFDataRefオブジェ クト Pascal 文 字 列 など)は 可 能 な 限 りC 文 字 列 に 変 換 せず 元 の 形 式 のままで 処 理 する 32

33 バッファのオーバーフローやアンダーフローの 回 避 有 用 なセキュリティ 機 能 不 可 能 であれば 変 換 後 のC 文 字 列 の 長 さを 検 査 し あるいは 変 換 元 のデータにヌルが 含 まれて いないか 確 認 する バッファ 操 作 と 文 字 列 操 作 を 混 合 しない 不 可 能 であれば 変 換 後 のC 文 字 列 の 長 さを 検 査 し あるいは 変 換 元 のデータにヌルが 含 まれていないか 確 認 する 不 正 な 改 竄 や 切 り 詰 めを 防 止 できるような 形 でファイルを 保 存 する( 詳 しくは 競 合 状 態 と 安 全 な ファイル 操 作 (46 ページ)を 参 照 ) 整 数 のオーバーフロー/アンダーフローを 避 ける( 詳 しくは バッファ 長 の 計 算 (25 ページ)を 参 照 ) 有 用 なセキュリティ 機 能 OS XやiOSには スタックやバッファのオーバーフローが 起 こりにくいようにする 機 能 として アド レス 空 間 レイアウトのランダム 化 (ASLR Address Space Layout Randomization)と 実 行 不 可 能 なス タック/ヒープの 機 能 があります 以 下 この2つについて 簡 単 に 説 明 します アドレス 空 間 レイアウトのランダム 化 OS XやiOSの 最 近 の 版 では 可 能 な 限 り スタック ヒープ ライブラリ フレームワーク 実 行 コー ドを ソフトウェアを 実 行 する 都 度 異 なる 場 所 に 配 置 するようになっています これはバッファ オーバーフローを 悪 用 しにくくするための 措 置 です メモリ 中 のどの 位 置 にバッファがあるのか 推 測 が 困 難 になりますし ライブラリやその 他 のコードの 位 置 も 同 様 です アドレス 空 間 レイアウトのランダム 化 を 実 現 するためには コンパイラの 協 力 すなわち 位 置 非 依 存 コードの 生 成 が 必 要 です ターゲットがOS X v10.7 以 降 (-macosx_version_min)またはios v4.3 以 降 (-ios_version_min) であれば そのために 必 要 なフラグははじめからオンになっています -no_pie フラグを 指 定 することによりこの 機 能 を 解 除 できますが セキュリティ 向 上 のためにも どうしても 必 要 な 場 合 に 限 定 してください 上 記 以 前 のOSをターゲットとする 場 合 は -pie フラグで 位 置 非 依 存 コードを 生 成 するよう 明 示 的 に 指 定 します 実 行 不 可 能 なスタック/ヒープ 最 近 のプロセッサは オペレーティングシステムがNXビットを 設 定 することにより メモリ 中 のある 部 分 に 実 行 不 可 という 印 をつけられるようになっています 該 当 するメモリページ 上 のコードを 実 行 しようとすると 当 該 プログラムはクラッシュします 33

34 バッファのオーバーフローやアンダーフローの 回 避 有 用 なセキュリティ 機 能 OS XやiOSはこの 機 能 を 活 用 し スタックやヒープに 実 行 不 可 という 印 をつけます その 結 果 バッ ファオーバーフロー 攻 撃 は 難 しくなります 実 行 コードをスタックやヒープに 置 き これを 実 行 しよ うとしてもうまくいかないからです 注 意 : v10.7 以 前 でも 動 作 する32ビットOS Xアプリケーションの 場 合 実 行 不 可 の 印 をつけ るのはスタックだけです 多 くの 場 合 この 方 式 で 問 題 は 生 じないでしょう しかし JIT(Just-In-Time)コンパイラのように この 動 作 では 具 合 が 悪 い 場 合 が 稀 にあります スタック/ヒープ 上 のコードを 実 行 可 能 にする 手 段 は2つあります コンパイラに -allow_stack_execute フラグを 指 定 する 方 法 スタックが 実 行 可 能 になりま す(ヒープは 不 可 ) システムコールmprotectで 特 定 のメモリページに 実 行 可 能 である 旨 の 印 をつける 方 法 この 資 料 では これ 以 上 の 詳 細 には 触 れません 詳 しくはmprotectのマニュアルページを 参 照 して ください ヒープが 破 損 する 状 況 のデバッグ ヒープが 破 損 する というバグを 調 査 する 際 には libgmallocライブラリが 役 に 立 つでしょう ガー ドページその 他 の 技 法 により オーバーフローの 検 出 能 力 を 高 めます このライブラリを 組 み 込 む 際 には ターミナル(Terminal) で 次 のコマンドを 実 行 してください export DYLD_INSERT_LIBRARIES=/usr/lib/libgmalloc.dylib その 上 で ターミナル(Terminal) からソフトウェアを 実 行 します( 実 行 形 式 ファイル 自 身 を 起 動 す るか またはopenコマンドを 使 う) 詳 しくはlibgmallocのマニュアルページを 参 照 してください 34

35 入 力 の 検 証 とプロセス 間 通 信 セキュリティ 上 の 脆 弱 性 が 発 生 する 主 な 原 因 として プログラム 外 (ユーザ ファイル ネットワー ク 他 のプロセスなど)からの 入 力 をすべて 検 証 していない というものがあり これはますます 増 え 続 けています この 章 では 入 力 を 検 証 しないことにより 起 こりうる 問 題 と それを 回 避 するため のコーディング 技 法 を 説 明 します 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 自 ら 制 御 するのではない 情 報 源 からの 入 力 を 受 け 付 けるプログラムには 想 定 外 のデータが 渡 される 可 能 性 があります 入 力 を 検 証 していなければ プログラムがクラッシュし あるいは 攻 撃 者 が 注 入 したコードの 実 行 を 許 すなど さまざまな 問 題 が 起 こりえます 攻 撃 者 はこの 脆 弱 性 を 悪 用 して 次 のような 現 象 を 引 き 起 こします バッファオーバーフロー 書 式 文 字 列 の 脆 弱 性 URLコマンド コード 注 入 ソーシャルエンジニアリング Appleが 公 開 するセキュリティ 更 新 プログラムの 中 には 入 力 の 検 証 に 関 する 脆 弱 性 を 解 消 するもの が 数 多 くありました iphone 上 で Appleが 認 可 していないソフトウェアを 動 かす いわゆる 脱 獄 (jail break) 行 為 を 防 止 するものも 数 件 あります この 種 の 脆 弱 性 は 頻 繁 に 見 つかり 容 易 に 攻 撃 で きることが 多 い 代 わり 通 常 は 修 正 も 簡 単 です バッファオーバーフローの 引 き 金 ユーザその 他 信 頼 できない 情 報 源 からの 入 力 を 受 け 付 けるアプリケーションは 固 定 長 バッファに データを 複 製 する 場 合 常 に 長 さを 検 査 し 必 要 ならば 切 り 詰 めなければなりません これを 怠 る と 攻 撃 者 は 入 力 欄 を 悪 用 して バッファオーバーフローを 引 き 起 こしてしまいます 詳 しくは バッ ファのオーバーフローやアンダーフローの 回 避 (18 ページ)を 参 照 してください 35

36 入 力 の 検 証 とプロセス 間 通 信 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 書 式 文 字 列 攻 撃 ユーザその 他 信 頼 できない 情 報 源 からの 入 力 を 受 け 付 けて 表 示 する 場 合 表 示 ルーチンがこの 入 力 を そのまま 書 式 文 字 列 として 処 理 することのないよう 注 意 しなければなりません たとえば 次 の コードでは syslog 用 の 標 準 Cライブラリ 関 数 を 使 って 受 信 したHTTP 要 求 をシステムログに 出 力 し ています syslog 関 数 は 引 数 として 書 式 文 字 列 を 受 け 付 ける 仕 様 になっているので 入 力 パケット (pktbuf)に 任 意 の 書 式 文 字 列 を 与 え 処 理 させることができます /* HTTPパケットの 受 信 */ int size = recv(fd, pktbuf, sizeof(pktbuf), 0); if (size) { syslog(log_info, "Received new HTTP request!"); syslog(log_info, pktbuf); } 問 題 を 起 こしうる 書 式 文 字 列 が 多 数 あります たとえば 攻 撃 者 が 入 力 パケットに 次 のような 文 字 列 を 与 えたとしましょう "AAAA%08x.%08x.%08x.%08x.%08x.%08x.%08x.%08x.%n" するとsyslogは この 書 式 文 字 列 にもとづき スタックから 値 を8つ 取 り 出 そうとします 書 式 文 字 列 自 身 もスタックに 格 納 されているとすると スタックの 構 成 によっては 実 質 的 にスタックポインタ を 書 式 文 字 列 の 先 頭 に 戻 すように 動 作 します 文 字 列 中 に %n というトークンがあるので この 箇 所 までに 出 力 したバイト 数 を 調 べ 次 の 引 数 に 格 納 されたアドレス 位 置 に 書 き 出 そうとします した がって 32ビットアーキテクチャであれば 書 式 文 字 列 の AAAA という 部 分 を0x という ポインタ 値 として 扱 い このアドレス 位 置 に76という 数 値 を 上 書 きすることになります 通 常 は 次 にシステムが 当 該 メモリ 位 置 にアクセスした 時 点 でクラッシュするだけですが デバイスや OSに 応 じて 巧 妙 に 文 字 列 をあやつれば 攻 撃 者 は 任 意 のアドレス 位 置 に 任 意 のデータを 書 き 出 せま す 書 式 文 字 列 の 構 文 について 詳 しくは printfのマニュアルページを 参 照 してください 書 式 文 字 列 攻 撃 を 回 避 するため 入 力 データをそのまま 書 式 文 字 列 の 一 部 として 扱 わないようにして ください これは 該 当 する 引 数 に 入 力 データではなく 別 途 用 意 した 書 式 文 字 列 を 渡 すことにより 行 います たとえば printf(buffer) という 関 数 呼 び 出 しは 標 的 になりえますが printf("%s", buffer) 36

37 入 力 の 検 証 とプロセス 間 通 信 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 と 記 述 すれば 解 決 します この 場 合 引 数 buffer 内 の 文 字 はパーセント 記 号 (%)を 含 めてすべて 書 式 トークンとは 解 釈 されず そのまま 出 力 されます 誤 って 書 式 文 字 列 による 整 形 処 理 を2 回 以 上 適 用 すると 厄 介 な 状 態 になります 次 の 例 は NSString のstringWithFormat:メソッドの 戻 り 値 を NSAlertの alertwithmessagetext:defaultbutton:alternatebutton:otherbutton:informativetextwithformat: メソッドに 引 数 informativetextwithformatとして 渡 す という 誤 りを 犯 しています その 結 果 整 形 処 理 が 重 複 しています インポートした 証 明 書 からデータを 取 得 し それを 埋 め 込 んだ 文 字 列 を 改 めてNSAlertメソッドに 書 式 文 字 列 として 渡 しているのです alert = [NSAlert alertwithmessagetext:"certificate Import Succeeded" defaultbutton:"ok" alternatebutton:nil otherbutton:nil informativetextwithformat:[nsstring stringwithformat: /* 不 正 不 正 不 正 imported certificate has been selected in the certificate pop-up.", [selectedcert identifier]]]; [alert setalertstyle:nsinformationalalertstyle]; [alert runmodal]; 正 しくは 次 のように 1 回 だけ 整 形 するようにしなければなりません alert = [NSAlert alertwithmessagetext:"certificate Import Succeeded" defaultbutton:"ok" alternatebutton:nil otherbutton:nil imported certificate has been selected in the certificate pop-up.",... [selectedcert identifier]]; 書 式 文 字 列 攻 撃 の 標 的 になりうる 主 な 関 数 やメソッドとして 次 のようなものがあります 標 準 C printfおよびprintf(3)のマニュアルページに 挙 げられている 関 数 群 sscanfおよびscanf(3)のマニュアルページに 挙 げられている 関 数 群 37

38 入 力 の 検 証 とプロセス 間 通 信 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 syslogおよびvsyslog Carbon AEBuildDescおよびvAEBuildDesc AEBuildParametersおよびvAEBuildParameters AEBuildAppleEventおよびvAEBuildAppleEvent Core Foundation CFStringCreateWithFormat CFStringCreateWithFormatAndArguments CFStringAppendFormat CFStringAppendFormatAndArguments Cocoa stringwithformat: initwithformat:をはじめとするnsstringのメソッドで 書 式 文 字 列 を 引 数 として 取 るもの NSMutableStringクラスのappendFormat:メソッド NSAlertの alertwithmessagetext:defaultbutton:alternatebutton:otherbutton:informativetextwithformat: メソッド NSPredicateクラスの predicatewithformat: predicatewithformat:arguments: predicatewithformat:argumentarray:の 各 メソッド NSExceptionクラスの raise:format:およびraise:format:arguments:メソッド NSRunAlertPanelをはじめとするApplication Kitの 関 数 で パネルやシートを 生 成 し あるい は 返 すもの URLやファイルの 操 作 アプリケーションがURLスキームを 登 録 している 場 合 URL 文 字 列 の 形 で 送 信 されてくるコマンドは 慎 重 に 処 理 しなければなりません コマンドの 仕 様 が 非 公 開 であったとしても ハッカは 仕 様 を 推 測 し 不 正 なコマンドを 送 信 しようと 試 みます たとえば ウェブサイトからアプリケーションを 起 動 するリンクが 提 供 されていれば どのようなコマンドを 送 信 しているか 観 察 し 考 えうるさまざまな 変 種 を 試 してみるでしょう アプリケーションに 送 信 される 可 能 性 があるコマンドはすべて 適 切 に 処 理 するか 却 下 する 必 要 があります 正 常 なコマンドとして 想 定 しているものだけ 扱 うのでは 不 充 分 です 38

39 入 力 の 検 証 とプロセス 間 通 信 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 たとえば 証 明 書 をウェブサーバに 返 す というコマンドを 受 け 付 ける 場 合 URLに 埋 め 込 まれた 返 送 先 ウェブサーバを 攻 撃 者 が 好 きなように 書 き 換 えることのないよう 過 度 に 汎 用 性 の 高 いハンドラ にすることは 避 けてください 受 け 付 けるべきではないコマンドの 例 を 示 します myapp://cmd/run?program=/path/to/program/to/run myapp://cmd/set_preference?use_ssl=false myapp://cmd/delete?data_to_delete=my_document_ive_been_working_on myapp://cmd/login_to?server_to_send_credentials=some.malicious.webserver.com 一 般 に 任 意 のURLや 完 全 パス 名 を 記 述 したコマンドは 受 け 付 けないようにしてください URLコマンドに 埋 め 込 まれたテキストその 他 のデータを 関 数 やメソッドの 引 数 として 使 うと 書 式 文 字 列 攻 撃 ( 書 式 文 字 列 攻 撃 (36 ページ)を 参 照 )やバッファオーバーフロー 攻 撃 ( バッファ オーバーフローの 引 き 金 (35 ページ)を 参 照 )の 標 的 になる 恐 れがあります パス 名 を 受 け 付 ける 場 合 次 のように 他 のディレクトリの 参 照 を 許 すような 文 字 列 に 対 しては 慎 重 に 対 処 してくださ い myapp://use_template?template=/../../../../../../../../some/other/file インジェクション 攻 撃 URLコマンドやテキスト 文 字 列 を 検 証 せずに 使 うと 攻 撃 者 が 悪 意 あるコードをプログラムに 注 入 し それを 実 行 するという 攻 撃 の 標 的 になりえます 厳 格 に 構 造 化 されていないデータを 扱 うコードで さまざまな 型 のデータが 混 在 しうる 場 合 インジェクション 攻 撃 の 危 険 があります たとえば 関 係 データベースに 対 するクエリ(SQL)を 渡 すアプリケーションの 場 合 クエリには2 種 類 のデータが 含 まれます コマンド 自 身 ( 実 行 内 容 の 指 示 )と コマンドに 埋 め 込 むデータです データとコマンドとは 通 常 引 用 符 で 区 切 られています しかし データ 文 字 列 中 に 引 用 符 がある 場 合 これを 適 切 に 処 理 して データの 末 尾 と 解 釈 されないようにしなければなりません 悪 意 ある 攻 撃 者 は 引 用 符 の 後 にセミコロンを 置 いてコマンドを 終 結 させ その 後 に 第 2の 不 正 なコマンドを 記 述 します するとデータベース 処 理 系 は この 注 入 されたコードを 実 行 してしまうのです インジェクション 攻 撃 を 回 避 するためには 単 なる 入 力 の 検 証 だけでは 不 充 分 です 詳 しくは 章 を 改 め インジェクション 攻 撃 やXSSの 回 避 (91 ページ)の インジェクション 攻 撃 の 回 避 (91 ペー ジ)で 解 説 します 39

40 入 力 の 検 証 とプロセス 間 通 信 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 ソーシャルエンジニアリング ソーシャルエンジニアリングとは 要 するにユーザを 欺 く 行 為 ですが 入 力 の 検 証 漏 れという 脆 弱 性 があると ちょっとした 迷 惑 行 為 の 範 疇 にとどまらず 大 きな 問 題 に 発 展 することがあります たと えば ファイルを 削 除 する というURLコマンドを 受 け 付 けるけれども 実 際 に 削 除 する 前 にダイア ログを 出 して 確 認 するようになっているとします 非 常 に 長 い 名 前 のファイルの 場 合 ダイアログ 画 面 をスクロールしなければ 末 尾 まで 確 認 できません このとき 巧 妙 な 技 を 使 って 不 要 になった キャッシュ 済 みデータなど 削 除 しても 問 題 ないファイルと 錯 覚 させることができます たとえば 次 のようなコマンドを 考 えてみましょう myapp://cmd/delete?file=cached data that is slowing down your system.,realfile ダイアログには Are you sure you want to delete cached data that is slowing down your system. と 表 示 されます しかし realfile というファイルは ずっと 下 までスクロールしないと 見 えません しか し うっかり OK ボタンを 押 すと 実 際 には 必 要 なファイルが 削 除 されてしまうのです もうひとつの 例 として にせのウェブサイトに 誘 導 するリンクを 押 させる という 攻 撃 も 考 えられま す ソーシャルエンジニアリングについて 詳 しくは 安 全 なユーザインターフェイスの 設 計 (77 ペー ジ)を 参 照 してください アーカイブ 済 みデータの 改 竄 データのアーカイブ 化 (あるいはオブジェクトグラフのシリアル 化 )とは 相 互 に 関 連 するオブジェ クト 群 を 特 定 のアーキテクチャに 依 存 しないバイトストリームに 変 換 する 処 理 のことです もちろ ん オブジェクトや 値 の 同 一 性 や 関 係 は 保 存 しなければなりません データをファイルに 書 き 出 す 他 のプロセスに 渡 す ネットワーク 経 由 で 送 信 するなど さまざまなデータ 保 存 データ 交 換 の 手 段 として 使 われます たとえばCocoaでは コーダ オブジェクトを 使 ってアーカイブを 生 成 し あるいは 既 存 のアーカ イブを 展 開 して 読 み 込 むことができます これは 抽 象 クラスであるNSCoderから 派 生 した 具 象 サブ クラスのインスタンスです オブジェクトのアーカイブには セキュリティの 観 点 でいくつか 問 題 があります まず アーカイブを 展 開 すると いくつものオブジェクトが 相 互 に 連 結 し グラフ 構 造 を 成 して います ここにはどのようなクラスのどんなインスタンスでも 入 りえます 攻 撃 者 があるオブジェク トを アプリケーションが 想 定 していないクラスのインスタンスで 置 き 換 えれば 予 期 しない 動 作 に なる 恐 れがあります 40

41 入 力 の 検 証 とプロセス 間 通 信 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 第 2に アーカイブを 展 開 して 元 の 状 態 にするためには 収 容 されているデータの 型 を アプリケー ションが 知 っていなければなりません 開 発 者 は 通 常 値 のデコード 処 理 を 記 述 する 際 データの 型 や 長 さがアーカイブ 作 成 時 から 変 わっていないと 想 定 します しかし アーカイブの 保 存 方 法 が 安 全 でなければ この 想 定 は 危 険 です 攻 撃 者 が 中 身 を 改 竄 している 可 能 性 があるからです initwithcoder:メソッドでは デコードしようとするデータが 正 しい 形 式 であること 確 保 したメ モリ 空 間 からあふれないことを きちんと 検 証 する 必 要 があります これを 怠 っている 場 合 攻 撃 者 はアーカイブを 巧 妙 に 改 竄 して バッファオーバーフローその 他 の 脆 弱 性 を 突 き システムの 制 御 権 を 奪 ってしまうかも 知 れません さらに initwithcoder:メソッドの 内 部 でdecodeObjectForKey:を 呼 び 出 していれば このメソッ ドから 制 御 が 返 された 時 点 で 既 に 誤 動 作 が 避 けられない 状 態 になっている 恐 れがあります アーカ イブを 安 全 でない 方 法 で 保 存 / 送 信 し あるいは 信 頼 できない 情 報 源 から 届 いたアーカイブを 使 う 可 能 性 があるならば 代 わりにdecodeObjectOfClass:forKey:を 使 うとともに NSSecureCodingプ ロトコルを 実 装 したクラスのみに アーカイブの 中 身 を 制 限 する 必 要 があります 第 3に アーカイブを 展 開 する 際 (NSKeyedUnarchiverDelegateのunarchiver:didDecodeObject: メソッドを 参 照 ) あるいはメッセージawakeAfterUsingCoder:を 受 け 取 る 際 に 別 のオブジェク トを 返 すオブジェクトがあります たとえばNSImageクラスがこれに 当 たります アーカイブを 展 開 する 際 自 分 自 身 をある 名 前 で 登 録 するので アプリケーションがそれまで 使 っていた 画 像 が これ で 置 き 換 わってしまう 可 能 性 があるのです 攻 撃 者 はこれを 悪 用 して 故 意 に 破 損 した 画 像 ファイル をアプリケーションに 送 り 込 むことができます 自 分 自 身 が 記 述 したコードは 安 全 でも 内 部 で 呼 び 出 しているライブラリに 脆 弱 性 があるかも 知 れな いことに 留 意 してください 特 に あるクラスを 独 自 に 実 装 したとき そのスーパークラスの initwithcoder:メソッドも アーカイブの 展 開 処 理 に 関 与 します 注 意 : nibファイルの 実 体 はアーカイブなので ここで 説 明 したのと 同 じ 注 意 が 必 要 です 署 名 済 みアプリケーションバンドルからロードしたnibファイルは 信 頼 できますが 安 全 で ない 場 所 に 保 存 されていた 場 合 は 信 頼 できません 入 力 の 検 証 漏 れによる 危 険 については 入 力 の 検 証 を 怠 ったために 起 こりうる 危 険 (35 ページ) アーカイブファイルの 安 全 性 を 確 保 するための 技 法 については ファイル 操 作 の 安 全 性 確 保 (50 ペー ジ) 入 力 の 検 証 についてはこの 章 の 関 連 する 節 を 参 照 してください 41

- 2-

- 2- 不 正 アクセス 禁 止 法 改 正 Q&A 平 成 24 年 3 月 第 180 回 国 会 において 不 正 アクセス 禁 止 法 が 改 正 され 同 年 5 月 1 日 から 改 正 法 が 施 行 されますが 改 正 内 容 等 に 関 してよくある 御 質 問 とそれに 対 する 回 答 を 一 問 一 答 形 式 で 掲 載 いたします Q1 今 回 の 改 正 の 背 景 と 改 正

More information

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~ エヌシーアイ Webアプリケーション 脆 弱 性 診 断 について ~WebSiteScan~ エヌシーアイ 株 式 会 社 の Webアプリケーション 脆 弱 性 診 断 とは? エヌシーアイ 株 式 会 社 のWebアプリケーション 診 断 とは WEBサイト 新 設 もしくはリニューア ル 時 のセキュリティ 診 断 として 広 くご 利 用 頂 いております SaaS 型 サービスの 為 お

More information

F-Secure Anti-Virus for Mac 2014

F-Secure Anti-Virus for Mac 2014 F-Secure Anti-Virus for Mac 2014 目 次 2 目 次 第 1 章 : 製 品 を 使 用 するには...3 1.1 インストールした 後 に...4 1.1.1 ライセンスの 管 理...4 1.1.2 本 製 品 を 起 動 する...4 1.2 コンピュータの 保 護 状 況 を 確 認 するには...4 1.2.1 全 体 の 保 護 ステータスを 表 示 する...4

More information

1.Web 履 修 登 録 とは 大 学 では 同 じ 学 科 の 学 生 であっても 全 員 が 同 じ 科 目 を 受 けるわけではなく 各 自 が 選 択 した 科 目 を 履 修 しますので 学 生 ごとに 履 修 科 目 が 異 なります 学 生 は 毎 学 期 の 始 めに その 学 期

1.Web 履 修 登 録 とは 大 学 では 同 じ 学 科 の 学 生 であっても 全 員 が 同 じ 科 目 を 受 けるわけではなく 各 自 が 選 択 した 科 目 を 履 修 しますので 学 生 ごとに 履 修 科 目 が 異 なります 学 生 は 毎 学 期 の 始 めに その 学 期 東 北 工 業 大 学 ( 注 ) 各 種 問 い 合 わせ 窓 口 統 合 認 証 システムのパスワードを 忘 れた 場 合 の 再 発 行 について 情 報 サービスセンター 演 習 システム 管 理 室 八 木 山 ( 八 木 山 キャンパス8 号 館 1 階 ) 長 町 ( 長 町 キャンパス2 号 館 3 階 ) 統 合 認 証 システムのユーザID パスワードとは 本 学 情 報 サービスセンターが

More information

学校ホームページ管理ツール導入委託提案要求仕様書

学校ホームページ管理ツール導入委託提案要求仕様書 ... 1... 1... 1... 1 CMS... 1... 1... 2 PC... 2 CMS... 3... 3... 3... 4... 5... 6... 6... 6... 7... 7... 8... 8... 8... 9... 9... 9... 11... 11... 12... 13... 13... 14... 14... 14... 15... 15... 15...

More information

CEAS/Sakai 困ったときのヘルプ集20150401

CEAS/Sakai 困ったときのヘルプ集20150401 CEAS/Sakai 連 携 システム 困 ったときのヘルプ 集 (version 1.1) 2015.4.1. 本 書 では 問 い 合 わせ 口 に 寄 せられる 問 い 合 わせの 内 頻 度 の 高 い 物 を 中 心 にリスト アップし 主 な 対 処 法 をまとめて 掲 載 しています エラー 画 面 が 表 示 されたり 問 題 が 発 生 した 際 に 参 考 にしてください なお

More information

いということか 特 定 個 人 情 報 の 利 用, 提 供 の 制 限 について,どのようなことに 注 意 し 見 直 しをするのか 激 甚 災 害 時 等 の 速 やかな 対 応 のた め, 番 号 法 第 9 条 第 4 項 に 基 づく 目 的 外 利 用 を 追 加 すべきではないか 条

いということか 特 定 個 人 情 報 の 利 用, 提 供 の 制 限 について,どのようなことに 注 意 し 見 直 しをするのか 激 甚 災 害 時 等 の 速 やかな 対 応 のた め, 番 号 法 第 9 条 第 4 項 に 基 づく 目 的 外 利 用 を 追 加 すべきではないか 条 御 意 見 の 要 旨 と 1 総 括 的 意 見 (18 件 ) 個 人 情 報 の 保 護 をより 厳 しく 徹 底 する 内 容 になっており, 見 直 しに より 良 い 条 例 になることを 期 待 し ている 個 人 情 報 の 取 扱 いに 関 しては, 引 条 例 では, 個 人 情 報 の 収 集 の 制 限, 利 用, き 続 き 慎 重 にしてほしい 提 供 の 制 限, 電

More information

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i -

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - ( 事 業 者 向 け) 1.0 版 2015 年 3 月 31 日 改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - 目 次 1. はじめに... 1 2. システム 動 作 環 境... 1 2.1. 動 作 の 条 件 注 意 事 項... 1 2.1.1. JAVA スクリプトの 設 定... 1 2.1.2.

More information

ビジネス化がさらに加速するサイバー攻撃

ビジネス化がさらに加速するサイバー攻撃 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 株 式 会 社 ラック サイバーリスク 総 合 研 究 所 コンピュータセキュリティ 研 究 所 CSL Report August 2008 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 進 化 し 続 けるアンダーグラウンドビジネス 1. はじめに... 3 2. 概 要... 3 3. コードインジェクション... 4 3-1 中

More information

GMOクラウド VPSサービス利用約款

GMOクラウド VPSサービス利用約款 GMOクラウド VPSサービス 利 用 約 款 目 次 GMOクラウド 株 式 会 社 第 1 章 総 則 第 1 条 ( 本 利 用 約 款 の 目 的 ) 第 2 章 利 用 契 約 の 成 立 第 2 条 ( 申 込 の 方 法 ) 第 3 条 ( 利 用 契 約 の 成 立 ) 第 4 条 ( 本 サービスのトライアル 利 用 ) 第 5 条 ( 本 サービスの 正 式 利 用 の 開 始

More information

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074>

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074> 付 録 アプリケーションへの 代 表 的 攻 撃 (SQL)インジェクション データベースを 利 用 するアプリケーションに 対 して 外 部 からの 入 力 で 不 正 に データベースを 操 作 参 照 する 手 法 入 力 がSQL 以 外 のシステムのコマンド 等 として 処 理 される 場 合 に それらを 利 用 する コマンドインジェクションなども 類 似 の 攻 撃 パラメータ 改

More information

3G Watcher の 終 了 3G Watcher を 終 了 するには 次 の 手 順 に 従 ってください 1. 3G Watcher ツールバーから [3G Watcher] > [3G Watcher を 終 了 ] を 選 択 します 3G Watcherに 表 示 されるアイコン と

3G Watcher の 終 了 3G Watcher を 終 了 するには 次 の 手 順 に 従 ってください 1. 3G Watcher ツールバーから [3G Watcher] > [3G Watcher を 終 了 ] を 選 択 します 3G Watcherに 表 示 されるアイコン と SoftBank 3G Watcherのヘルプ (Mac OS X 用 ) 3G Watcher は 以 下 のような C01SW USB モデムとネット ワーク 間 の 接 続 状 態 を 確 認 できます 電 波 の 強 さ ローミングサービス 3G 無 線 通 信 サービス その 他 のネットワークサービスの 状 態 ネットワークへの 接 続 および 切 断 3G Watcher のアンインストール

More information

真のフィッシング対策について

真のフィッシング対策について フィッシング 対 策 協 議 会 平 成 19 年 度 第 2 回 技 術 制 度 検 討 ワーキンググループ 2007 年 9 月 20 日 後 日 配 布 版 正 しいフィッシング 対 策 について 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 高 木 浩 光 http://staff.aist.go.jp/takagi.hiromitsu/

More information

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 Active! mail 6.54 ユーザーズマニュアル(スマートフォン 版 ) Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 権 の 侵 害 とな

More information

(6)パスワード 正 当 な 利 用 者 であることを 識 別 認 証 するために 使 用 される 文 字 列 情 報 をいう (7)アクセス コンピュータ ネットワーク 及 び 情 報 システムを 通 じて データの 検 索 入 力 更 新 消 去 等 を 行 うことをいう (8) 不 正 アクセ

(6)パスワード 正 当 な 利 用 者 であることを 識 別 認 証 するために 使 用 される 文 字 列 情 報 をいう (7)アクセス コンピュータ ネットワーク 及 び 情 報 システムを 通 じて データの 検 索 入 力 更 新 消 去 等 を 行 うことをいう (8) 不 正 アクセ 情 報 セキュリティ 対 策 基 準 1. 目 的 この 基 準 は 草 加 市 の 情 報 資 産 に 関 するセキュリティ 対 策 の 考 え 方 を 示 した 草 加 市 情 報 セキュリティ 基 本 方 針 ( 平 成 27 年 3 月 25 日 制 定 以 下 基 本 方 針 という )に 基 づき 当 該 セキュリティ 対 策 の 有 効 性 効 率 性 の 確 保 を 目 的 として

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 28 年 3 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 25 年 4 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

Microsoft Word - Gmailの基本操作.docx

Microsoft Word - Gmailの基本操作.docx Gmail の 基 本 操 作 目 次. Google Apps の Gmail の 基 本 操 作..... メールを 読 む/ 受 信 する...... 受 信 トレイとメールの 表 示...... メールのスレッド..... メールを 作 成 / 送 信 する... 3... メールを 送 信 する 前 に... 3... 新 規 にメールを 作 成 送 信... 4..3. 連 絡 先 からメールを

More information

28年オンライン調査システム操作説明書

28年オンライン調査システム操作説明書 平 成 28 年 科 学 技 術 研 究 調 査 オ ン ラ イ ン 調 査 シ ス テ ム 操 作 説 明 書 科 学 技 術 研 究 調 査 では 郵 送 に 加 えてオンライン 調 査 システムを 利 用 した インターネットによるご 回 答 も 可 能 となっています オンライン 調 査 システムの 利 用 には フリーソフトである AdobeReader の 所 定 バージョン 等 の 利

More information

教 務 Webシステム( 学 生 用 ) 操 作 説 明 書 目 次. 概 要 2 2. 注 意 事 項 3 2-. 利 用 全 般 の 注 意 事 項 3 2-2. 学 習 申 告 上 の 注 意 事 項 4 3. 日 程 について 5 4. ログイン 6 5. トップページ 7 6. 学 部 -

教 務 Webシステム( 学 生 用 ) 操 作 説 明 書 目 次. 概 要 2 2. 注 意 事 項 3 2-. 利 用 全 般 の 注 意 事 項 3 2-2. 学 習 申 告 上 の 注 意 事 項 4 3. 日 程 について 5 4. ログイン 6 5. トップページ 7 6. 学 部 - 教 務 Webシステム ( 学 生 用 ) 操 作 説 明 書 修 正 版 更 新 日 :204//07 表 紙 国 立 大 学 法 人 東 京 工 業 大 学 204 年 月 教 務 Webシステム( 学 生 用 ) 操 作 説 明 書 目 次. 概 要 2 2. 注 意 事 項 3 2-. 利 用 全 般 の 注 意 事 項 3 2-2. 学 習 申 告 上 の 注 意 事 項 4 3. 日 程

More information

請求マニュアル(横浜市移動支援等)

請求マニュアル(横浜市移動支援等) Ver.3 横 浜 市 健 康 福 祉 局 障 害 福 祉 課 平 成 27 年 4 月 横 浜 市 の 移 動 支 援 事 業 訪 問 入 浴 施 設 入 浴 事 業 の 請 求 にご 活 用 ください 他 都 市 他 サービスとは 取 扱 いが 異 なりますので ご 注 意 ください 問 合 せ 先 横 浜 市 健 康 福 祉 局 障 害 福 祉 課 移 動 支 援 事 業 移 動 支 援 係

More information

<4D6963726F736F667420576F7264202D20817989E6919C8EE68D9E817A979897708ED2837D836A83858341838B2E646F63>

<4D6963726F736F667420576F7264202D20817989E6919C8EE68D9E817A979897708ED2837D836A83858341838B2E646F63> 住 My Note お 客 様 マ ニ ュ ア ル ID パスワード 情 報 お 名 前 お 客 様 I D パスワード1 パスワード2 更 新 日 ID パスワード 情 報 を 忘 れないよう システム 利 用 時 に 記 入 してください ID パスワード 情 報 は 紛 失 しないよう 管 理 してください 平 成 27 年 6 月 住 宅 金 融 支 援 機 構 目 次 1.ご 利 用 案

More information

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 Active! mail 6.52 ユーザーズマニュアル(スマートフォン 版 ) Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 権 の 侵 害 とな

More information

正しいフィッシング対策について

正しいフィッシング対策について フィッシング 対 策 協 議 会 平 成 19 年 度 第 2 回 技 術 制 度 検 討 ワーキンググループ 2007 年 9 月 20 日 後 日 配 布 版 対 策 の 方 向 性 正 しいフィッシング 対 策 について 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 高 木 浩 光 http://staff.aist.go.jp/takagi.hiromitsu/

More information

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co 情 報 セキュリティ10 大 脅 威 2015 ~ 被 害 に 遭 わないために 実 施 すべき 対 策 は?~ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 技 術 本 部 セキュリティセンター 2015 年 3 月 本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF

More information

e-Gov電子申請システムを利用した

e-Gov電子申請システムを利用した e-gov 電 子 申 請 システムを 利 用 した RPS 法 に 係 る 申 請 書 提 出 マニュアル -ITEM2000 形 式 のファイルを 利 用 した 申 請 方 法 について- 平 成 22 年 4 月 資 源 エネルギー 庁 省 エネルギー 新 エネルギー 部 新 エネルギー 等 電 気 利 用 推 進 室 電 子 政 府 の 実 現 に 向 けた 政 府 全 体 の 取 組 みの

More information

2012 FileMaker, Inc. All rights reserved. FileMaker ファイルメーカー 及 びファイルフォルダロゴは 米 国 及 び その 他 の 国 において 登 録 された FileMaker, Inc. の 商 標 です その 他 の 商 標 はすべて それぞ

2012 FileMaker, Inc. All rights reserved. FileMaker ファイルメーカー 及 びファイルフォルダロゴは 米 国 及 び その 他 の 国 において 登 録 された FileMaker, Inc. の 商 標 です その 他 の 商 標 はすべて それぞ FileMaker Pro 10 以 前 の バージョンから FileMaker Pro 11 に バージョンアップするときの 注 意 点 FileMaker Customer Support 2012 FileMaker, Inc. All rights reserved. FileMaker ファイルメーカー 及 びファイルフォルダロゴは 米 国 及 び その 他 の 国 において 登 録 された

More information

<4D6963726F736F667420576F7264202D20819B93FC97CD835683588365838082CC91808DEC95FB964081693230313589FC92F994C5816A>

<4D6963726F736F667420576F7264202D20819B93FC97CD835683588365838082CC91808DEC95FB964081693230313589FC92F994C5816A> 岡 山 大 学 情 報 データベースシステムの 操 作 方 法 1 インターネットブラウザの 設 定 まず ご 利 用 のブラウザ 環 境 に 応 じて 以 下 URL に 記 載 されている 設 定 を 行 ってください この 設 定 をしていない 場 合 岡 山 大 学 情 報 データベースシステムを 利 用 できない 場 合 があります Windows の Internet Explorer7.0

More information

YCU Mail 設定手順

YCU Mail 設定手順 初 回 使 用 時 の 設 定 YCU Mail(Office365)に,はじめてサインインすると, 以 下 のようなイメージで, 言 語 と タ イムゾーン の 設 定 を 要 求 されるので, 確 認 して( 必 要 に 応 じて 適 切 なものに 変 更 して) 保 存 して おく 訂 正 する 場 合 は,クリックし て 日 本 語 ( 日 本 ) に 切 り 換 えておく 訂 正 する 場

More information

Microsoft Word - (20070728)化審法3条.doc

Microsoft Word - (20070728)化審法3条.doc e-gov 電 子 申 請 システムを 使 用 した 少 量 新 規 化 学 物 質 製 造 輸 入 申 出 提 出 マニュアル 平 成 19 年 7 月 経 済 産 業 省 製 造 産 業 局 化 学 物 質 管 理 課 化 学 物 質 安 全 室 e-gov 電 子 申 請 システムを 使 用 した 少 量 新 規 化 学 物 質 製 造 輸 入 申 出 の 提 出 マニュアル 目 次 1. 提

More information

<8250814493648E7190BF8B818EF39574835683588365838082C98AD682B782E94641512E786C73>

<8250814493648E7190BF8B818EF39574835683588365838082C98AD682B782E94641512E786C73> 障 害 者 自 立 支 援 給 付 支 払 等 システム に 関 するFAQ に 関 するFAQ 1 簡 易 入 力 システム 導 入 作 業 環 境 以 前 簡 易 入 力 ソフトの 仕 様 はMicrosoft Office Excel 2003(Service Pack2 以 降 )となっ ていましたが この 点 について 現 状 でも 変 更 はないのでしょうか Excel 2007 2002

More information

Associate Guide to Secure Messaging

Associate Guide to Secure Messaging セキュア 電 子 メール 受 信 者 ガイド 目 次 初 めての 暗 号 化 されたメッセージを 開 封 する... 3 初 めてのエンベロープを 開 く 為 の 手 順... 3 手 順 1:... 3 手 順 2:... 3 手 順 3:... 4 手 順 4:... 4 手 順 5:... 5 セキュアな 返 信 をする... 6 手 順 1:... 6 手 順 2:... 6 手 順 3:...

More information

Untitled

Untitled VPN 接 続 の 設 定 AnyConnect 設 定 の 概 要, 1 ページ AnyConnect 接 続 エントリについて, 2 ページ ハイパーリンクによる 接 続 エントリの 追 加, 2 ページ 手 動 での 接 続 エントリの 追 加, 3 ページ ユーザ 証 明 書 について, 4 ページ ハイパーリンクによる 証 明 書 のインポート, 5 ページ 手 動 での 証 明 書 のインポート,

More information

Microsoft Word - Gmailユーザ向け利用マニュアル_20131105v6.docx

Microsoft Word - Gmailユーザ向け利用マニュアル_20131105v6.docx 目 次 1. Gmail のログイン ログアウト 方 法... 1 1.1. ログイン 方 法... 1 1.2. ログアウト 方 法... 4 2. Gmail 作 成 方 法... 5 2.1. 新 規 メールの 作 成... 5 3. メールデータの 移 行... 8 3.1. GraceMail のデータをバックアップ( 保 存 )する... 8 3.2. Thunderbird の 入 手

More information

Microsoft Word - 150410_e-Gov提出マニュアル(化審法3条).doc

Microsoft Word - 150410_e-Gov提出マニュアル(化審法3条).doc e-gov 電 子 申 請 システムを 使 用 した 少 量 新 規 化 学 物 質 製 造 輸 入 申 出 提 出 マニュアル 平 成 27 年 4 月 経 済 産 業 省 製 造 産 業 局 化 学 物 質 管 理 課 化 学 物 質 安 全 室 e-gov 電 子 申 請 システムを 使 用 した 少 量 新 規 化 学 物 質 製 造 輸 入 申 出 の 提 出 マニュアル 目 次 提 出

More information

サイバー攻撃対策ソリューションのご紹介

サイバー攻撃対策ソリューションのご紹介 Prowise Business Forum サイバー 攻 撃 対 策 ソリューションのご 紹 介 株 式 会 社 日 立 ソリューションズ セキュリティソリューション 部 坂 本 篤 郎 C o n t e n t s 1 APT 対 策 についての 考 察 2 出 口 対 策 ソリューション 3 入 口 対 策 ソリューション 1 APT( 新 しいタイプの 攻 撃 )とは? Advanced

More information

Biz eスケジューラ よくあるご質問(FAQ)

Biz eスケジューラ よくあるご質問(FAQ) Biz e スケジューラ よくあるご 質 問 (FAQ) NTT Communications ( 第 3.0 版 ) 改 版 履 歴 改 版 履 歴 版 数 日 付 項 番 主 な 更 新 内 容 1.0 版 2013/10/21 - 新 規 作 成 2.0 版 2014/07/28 - Q1-8 Q1-9/Q2-7 グローバル 対 応 に 伴 い FAQ を 追 加 スケジュール 管 理 機 能

More information

返還金同意書作成支援ツール_操作説明書

返還金同意書作成支援ツール_操作説明書 20131101_ 東 北 厚 生 局 返 還 金 同 意 書 等 作 成 支 援 ツール 操 作 説 明 書 平 成 25 年 12 月 東 北 厚 生 局 1. はじめに 返 還 金 同 意 書 作 成 支 援 ツールは 保 険 医 療 機 関 及 び 保 険 薬 局 において 診 療 報 酬 を 誤 って 請 求 したこと 等 により 保 険 者 に 診 療 報 酬 を 返 還 する 場 合

More information

1-2 時 間 の 経 過 に 伴 って 変 化 するメディアに 関 するガイドライン 音 声 や 画 像 によって 提 供 されている 情 報 が どの 利 用 者 にも 確 実 に 伝 わるような 配 慮 します 音 声 / 映 像 情 報 はテキストを 用 意 します 1-2-1 1-2-2

1-2 時 間 の 経 過 に 伴 って 変 化 するメディアに 関 するガイドライン 音 声 や 画 像 によって 提 供 されている 情 報 が どの 利 用 者 にも 確 実 に 伝 わるような 配 慮 します 音 声 / 映 像 情 報 はテキストを 用 意 します 1-2-1 1-2-2 高 島 市 ウェブアクセシビリティガイドライン (1) データ 作 成 上 の 技 術 的 な 注 意 事 項 高 島 市 HPから 情 報 を 発 信 しようとする 作 成 者 は ウェブが 全 ての 人 にとって 重 要 な 情 報 源 として 利 用 されていることを 充 分 認 識 し 作 成 されたデー タが 以 下 の 事 項 に 適 合 するよう 努 めなければならない 項 番 内 容

More information

PDFとは 【Portable Document Format】 ─ 意味・解説 : IT用語辞典 e-Words

PDFとは 【Portable Document Format】 ─ 意味・解説 : IT用語辞典 e-Words 1 / 18 NAA 福 岡 WEBマニュアル インターネット 不 在 応 札 サービス インターネット 不 在 応 札 サービスに 入 会 することで 次 のようなサービスを 利 用 することがで きます 1.インターネットからの 不 在 応 札 受 付 インターネットを 利 用 して 不 在 応 札 を 登 録 することができます 出 品 車 輌 を 検 索 し 指 値 を 入 力 することで

More information

正 アクセスを 行 う 者 )により 捜 査 を 免 れるための 抜 け 穴 として 利 用 されることになってしまう しかる に 不 正 アクセスを 禁 止 する 法 律 がないのは G7 諸 国 の 中 ではわが 国 のみ ( 警 察 庁 ハイテク 犯 罪 対 策 重 点 推 進 プログラム 平

正 アクセスを 行 う 者 )により 捜 査 を 免 れるための 抜 け 穴 として 利 用 されることになってしまう しかる に 不 正 アクセスを 禁 止 する 法 律 がないのは G7 諸 国 の 中 ではわが 国 のみ ( 警 察 庁 ハイテク 犯 罪 対 策 重 点 推 進 プログラム 平 不 正 アクセス 禁 止 法 の 実 効 性 と 課 題 TheEfectivenesandtheSubjectofActagainstUnauthorizedAccess 木 田 良 弘 情 報 システム 監 査 株 式 会 社 キーワード: 不 正 アクセス 禁 止 法 検 挙 事 例 罰 則 防 御 側 の 対 策 の 二 面 性 高 度 情 報 通 信 社 会 の 健 全 な 発 展 1.はじめに

More information

システム設計書

システム設計書 二 松 學 舍 大 学 二 松 メール(Gmail) 利 用 マニュアル バージョン 2.00 発 効 日 改 訂 日 2016 年 04 月 06 日 二 松 学 舎 大 学 情 報 センター i 目 次 1. はじめに...1 2. 二 松 メール(Gmail)ログイン ログアウト 方 法...1 2.1. 二 松 メール(Gmail)ログイン 方 法... 1 2.2. 二 松 メール(Gmail)ログアウト

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 10 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 徳 島 市 は 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 における 特 定 個 人 情 報 ファイルの

More information

サイオスマニュアル

サイオスマニュアル Gmail 利 用 者 向 け 操 作 マニュアル 2013/11/7 版 目 次 1. Google Apps の Gmail へのアクセス... 1 1.1. Google Apps の Gmail へのログイン 方 法... 1 2. Google Apps の Gmail の 基 本 操 作... 2 2.1. メールを 読 む/ 受 信 する... 2 2.1.1. 受 信 トレイとメールの

More information

1. 事 業 名 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 2. 目 的 近 年 インターネットを 経 由 した 不 正 アクセスが 続 発 しており 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 ( 以 下

1. 事 業 名 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 2. 目 的 近 年 インターネットを 経 由 した 不 正 アクセスが 続 発 しており 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 ( 以 下 独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 調 達 仕 様 書 平 成 25 年 1 月 独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構 1. 事 業 名 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 2. 目 的 近 年 インターネットを 経 由 した

More information

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 等 に 基 づく 公 安 委 員 会 による 援 助 等 の 措 置 に 関 する 訓 令 平 成 12 年 7 月 1 日 警 察 本 部 訓 令 第 25 号 改 正 平 成 14 年 11 月 22 日 本 部 訓 令 第 29 号 平 成 16 年 3 月 25 日 本 部 訓 令 第 6 号 平 成 24 年 5 月 1 日

More information

GMOクラウドパブリックサービス利用約款

GMOクラウドパブリックサービス利用約款 パブリッククラウド サービス 利 用 約 款 GMOクラウド 株 式 会 社 目 次 第 1 章 総 則 第 1 条 ( 本 利 用 約 款 の 目 的 ) 第 2 章 利 用 契 約 の 成 立 第 2 条 ( 申 込 の 方 法 ) 第 3 条 ( 契 約 の 成 立 ) 第 3 章 本 サービスの 内 容 第 4 条 ( 本 サービスの 内 容 ) 第 5 条 (サポート) 第 6 条 (APIの

More information

目 次 本 書 では GP-Webシステムの 購 入 先 操 作 方 法 を 説 明 します 1 1. GP-Webを 活 用 した 化 学 物 質 情 報 収 集 の 流 れ 2. GP-Webへログインする 3. 調 査 依 頼 情 報 を 確 認 する 4. 製 品 情 報 を 登 録 する

目 次 本 書 では GP-Webシステムの 購 入 先 操 作 方 法 を 説 明 します 1 1. GP-Webを 活 用 した 化 学 物 質 情 報 収 集 の 流 れ 2. GP-Webへログインする 3. 調 査 依 頼 情 報 を 確 認 する 4. 製 品 情 報 を 登 録 する GP-Webシステム 購 入 先 様 用 基 本 操 作 説 明 書 2011 年 12 月 29 日 パナソニック 株 式 会 社 コーポレート 情 報 システム 社 0 目 次 本 書 では GP-Webシステムの 購 入 先 操 作 方 法 を 説 明 します 1 1. GP-Webを 活 用 した 化 学 物 質 情 報 収 集 の 流 れ 2. GP-Webへログインする 3. 調 査 依

More information

特 徴 と 注 意 点 決 済 の 接 続 方 式 クレジットカード 決 済 コンビニ 決 済 いずれも 外 部 リンク 型 (Air-Web) になります 内 容 確 認 画 面 にて 上 記 内 容 で 注 文 する をクリックすると 決 済 代 行 会 社 の 画 面 に 遷 移 します コン

特 徴 と 注 意 点 決 済 の 接 続 方 式 クレジットカード 決 済 コンビニ 決 済 いずれも 外 部 リンク 型 (Air-Web) になります 内 容 確 認 画 面 にて 上 記 内 容 で 注 文 する をクリックすると 決 済 代 行 会 社 の 画 面 に 遷 移 します コン ベリトランス 決 済 サービス W elcart クレジット 決 済 運 用 マニュアル Ver.1.0.0 2016 年 7 月 1 日 コルネ 株 式 会 社 目 次 特 徴 と 注 意 点... 2 申 込 方 法... 3 設 定 方 法... 4 ベリトランス 決 済 の 設 定... 4 クレジットカード 決 済... 5 コンビニ 決 済... 5 支 払 方 法 登 録... 6 接

More information

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx)

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx) マイナンバーに 対 応 した 情 報 システム 設 計 と セキュリティ 対 策 立 命 館 大 学 情 報 理 工 学 部 上 原 哲 太 郎 情 報 システムと 法 情 報 システムが 法 的 義 務 を 満 たす 必 要 がある 例 が 増 えてきている 特 定 電 子 メール 法 や 特 定 商 取 引 法 における 表 示 義 務 割 賦 販 売 法 におけるクレジット 番 号 の 安 全

More information

2 定 義 (1)アクセス 管 理 者 ( 第 2 条 第 1 項 関 係 ) アクセス 管 理 者 とは 電 気 通 信 回 線 に 接 続 している 電 子 計 算 機 ( 以 下 特 定 電 子 計 算 機 といいます )の 利 用 ( 電 気 通 信 回 線 を 通 じて 行 うものに 限

2 定 義 (1)アクセス 管 理 者 ( 第 2 条 第 1 項 関 係 ) アクセス 管 理 者 とは 電 気 通 信 回 線 に 接 続 している 電 子 計 算 機 ( 以 下 特 定 電 子 計 算 機 といいます )の 利 用 ( 電 気 通 信 回 線 を 通 じて 行 うものに 限 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 の 解 説 1 法 の 目 的 基 本 構 成 ( 第 1 条 関 係 ) (1) 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 ( 以 下 本 法 といいます )は 不 正 ア クセス 行 為 を 禁 止 するとともに これについての 罰 則 及 びその 再 発 防 止 のため 不 正 アクセス 行 為 を 受 けたアクセス

More information

目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7.

目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7. Web メール 操 作 説 明 書 京 都 与 謝 野 町 有 線 テレビ 0 目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7. メール 一 覧 画 面...

More information

( 受 信 したメッセージの 確 認 検 索 ) ( 申 請 届 出 書 類 や 説 明 会 資 料 等 の 確 認 ダウンロード) (スケジュール/ToDo の 登 録 確 認 更 新 削 除 ) (ブックマークの 登 録 確 認 更 新 削 除 ) ( 受 信 したメッセージの 転 送 設 定

( 受 信 したメッセージの 確 認 検 索 ) ( 申 請 届 出 書 類 や 説 明 会 資 料 等 の 確 認 ダウンロード) (スケジュール/ToDo の 登 録 確 認 更 新 削 除 ) (ブックマークの 登 録 確 認 更 新 削 除 ) ( 受 信 したメッセージの 転 送 設 定 F-Station パソコン 版 マニュアル ( 受 信 したメッセージの 確 認 検 索 ) ( 申 請 届 出 書 類 や 説 明 会 資 料 等 の 確 認 ダウンロード) (スケジュール/ToDo の 登 録 確 認 更 新 削 除 ) (ブックマークの 登 録 確 認 更 新 削 除 ) ( 受 信 したメッセージの 転 送 設 定 ) ( 講 義 に 関 するお 知 らせの 確 認 )

More information

しても Internet Explorer が 起 動 してしまい Firefox で 読 み 込 むことはできませんので 次 の いずれかの 操 作 でファイルを 読 み 込 みます 1Firefox を 起 動 し メニューバーからファイル(F) ファイルを 開 く(O)とクリックし ファ イル

しても Internet Explorer が 起 動 してしまい Firefox で 読 み 込 むことはできませんので 次 の いずれかの 操 作 でファイルを 読 み 込 みます 1Firefox を 起 動 し メニューバーからファイル(F) ファイルを 開 く(O)とクリックし ファ イル 申 請 書 やオンライン 申 請 受 領 書 の 右 端 が 切 れないように 印 刷 するには 申 請 書 やオンライン 申 請 受 領 書 は Internet Explorer から 印 刷 することができますが この 方 法 で 印 刷 すると 抵 当 権 設 定 登 記 の 登 記 原 因 など 長 い 行 では 右 端 が 切 れてしまうことがあ ります この 障 害 は 文 面 全 体

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Excel Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Excel Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 EDINET 概 要 書 平 成 25 年 8 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Excel Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録

More information

<4D F736F F D2088E28EB895A88EE688B582A282CC82B582A882E85F F2E646F63>

<4D F736F F D2088E28EB895A88EE688B582A282CC82B582A882E85F F2E646F63> 遺 失 物 取 扱 いのしおり ( 施 設 占 有 者 の 皆 様 方 へ) 愛 知 県 警 察 は じ め に 皆 様 方 が 管 理 している 建 物 などの 施 設 内 で お 客 様 が 落 とし 物 を 拾 って 届 出 があっても 手 続 が 分 からないために 警 察 に 提 出 せ ず そのままにされているようなことはないでしょうか そのままでは その 落 とし 物 が 持 ち 主

More information

<83568389836F835832372020288FEE95F1292E786C7378>

<83568389836F835832372020288FEE95F1292E786C7378> 情 報 工 学 概 論 系 基 礎 学 科 一 年 次 第 一 期 20 コンピュータシステムに 関 する 知 識 の 習 得 ( 情 報 処 理 技 術 者 試 験 の 午 前 科 目 の 知 識 ) 情 報 処 理 に 関 する 基 礎 知 識 を 習 得 する 1 コンピュータの 歴 史 2 コンピュータの 五 大 装 置 3 データの 表 現 4 2 10 16 進 数 と 基 数 変 換

More information

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基 ( 別 紙 ) 志 摩 市 ホームページ 構 築 業 務 CMS 機 能 調 査 表 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1-1 1.システム 基 本 要 件

More information

安否確認サービスユーザーマニュアル

安否確認サービスユーザーマニュアル ユーザーマニュアル Ver.6.6.1 目 次 1 章 はじめに... 1 1.1 本 書 の 利 用 について... 1 1.2 ユーザーの 役 割 別 名 称 について... 1 1.3 ユーザーが 利 用 できる 機 能 について... 1 1.4 WEB ブラウザーについて... 2 1.4.1 Internet Explorer のセキュリティ 設 定 について... 2 1.5 携 帯

More information

端末堅牢化ガイドライン

端末堅牢化ガイドライン スマートデバイスの 堅 牢 化 ガイド β 版 2012 年 6 月 5 日 日 本 スマートフォンセキュリティ 協 会 技 術 部 会 デバイスワークグループ デバイス 堅 牢 化 タスクフォース 本 書 では OS の 設 計 方 針 に 反 する 不 正 なアプリケーションが 実 行 された 場 合 において も OS やアプリケーションが 設 計 意 図 通 りに 動 作 するために 配 慮

More information

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 委 託 仕 様 書 1 業 務 名 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 2 目 的 福 島 県 環 境 創 造 センター( 以 下 環 境 創 造 センター という )は 県 土 の 環 境 を 回 復 創 造 に 取 り 組 むための 調 査 研 究 及 び 情 報 発 信 教 育 等 を 行

More information

クレジットカードなどの 情 報 および 個 人 情 報 と 一 体 となった 嗜 好 情 報 家 族 構 成 生 年 月 日 その 他 の 個 人 に 関 する 属 性 情 報 であると 認 識 しています 4.クッキー IPアドレス 情 報 携 帯 識 別 番 号 クッキー IPアドレス 情 報

クレジットカードなどの 情 報 および 個 人 情 報 と 一 体 となった 嗜 好 情 報 家 族 構 成 生 年 月 日 その 他 の 個 人 に 関 する 属 性 情 報 であると 認 識 しています 4.クッキー IPアドレス 情 報 携 帯 識 別 番 号 クッキー IPアドレス 情 報 予 約 トップ 10 プライバシーポリシー 1. 個 人 情 報 の 取 得 株 式 会 社 アドウェイズ( 以 下 当 社 と 記 します)は 当 社 が 提 供 するサービスを 提 供 するために 必 要 な 範 囲 でお 客 様 の 個 人 情 報 を 取 得 いたします 当 社 は 適 正 に 個 人 情 報 を 取 得 し 偽 りおよびその 他 不 正 な 手 段 等 により 個 人 情

More information

android 版 ユーザ 用 安 危 情 報 送 信 アプリの 利 用 法 1.アプリのインストール Google Play にアクセスして HYO-GO と 検 索 すると HYO-GO 安 否 確 認 アプリ が 表 示 される ので これをダウンロードしてインストールして 下 さい 図 1

android 版 ユーザ 用 安 危 情 報 送 信 アプリの 利 用 法 1.アプリのインストール Google Play にアクセスして HYO-GO と 検 索 すると HYO-GO 安 否 確 認 アプリ が 表 示 される ので これをダウンロードしてインストールして 下 さい 図 1 防 災 アプリ HYO-GO (hazard(ハザード)と Yukue( 行 方 )の Oshirase(お 知 らせ)へ Go) (Hazard and Your Own safety or danger information notifying application - GO) 利 用 の 手 引 き 兵 庫 県 立 大 学 応 用 情 報 科 学 研 究 科 有 馬 昌 宏 川 向 肇 力

More information

intra-mart Accel GroupMail 2016 Spring — リリースノート   初版 2016-04-01  

intra-mart Accel GroupMail 2016 Spring — リリースノート   初版 2016-04-01   intra-mart Accel GroupMail 2016 Spring リリースノート 初 版 2016-04-01 Copyright 2016 NTT DATA INTRAMART CORPORATION 1 Top 目 次 intra-mart Accel GroupMail 2016 Spring リリースノート 初 版 2016-04-01 1. 改 訂 情 報 2. はじめに 3.

More information

DIACERTサービス利用規約

DIACERTサービス利用規約 DIACERT サービス 利 用 規 約 ( 利 用 者 同 意 書 ) 2015 年 12 月 8 日 版 第 1 条 ( 総 則 ) 1. DIACERT サービス 利 用 規 約 ( 以 下 本 規 約 という )は ジャパンネット 株 式 会 社 ( 以 下 当 社 という )が 提 供 する DIACERT サービス ( 以 下 本 サービス という )の 利 用 に 関 し て 定 めたものです

More information

スライド 1

スライド 1 Hos-CanR 3.0 運 用 マニュアル Hos-CanR 3.0 運 用 マニュアル 登 録 作 業 者 用 Ver. 2 バージョン 改 訂 日 付 改 訂 内 容 Ver. 1 2010/3/15 初 版 Ver. 2 2010/8/9 ファイル 取 り 込 み 時 の 同 一 レコードの 判 定 についての 記 載 を 追 記 Hos-CanR 3.0 運 用 マニュアル 目 次 1.

More information

--------------------------------------------------------------------------------

-------------------------------------------------------------------------------- 21JEITA-CP 第 42 号 パソコンの 廃 棄 譲 渡 時 におけるハードディスク 上 のデータ 消 去 に 関 するガイドライン を パソコンの 廃 棄 譲 渡 時 におけるハードディスク 上 のデータ 消 去 に 関 する 留 意 事 項 に 名 称 変 更 したものである パソコンの 廃 棄 譲 渡 時 における ハードディスク 上 のデータ 消 去 に 関 する 留 意 事 項 2010

More information

平 成 27 年 給 与 大 臣 年 末 調 整 の 流 れとQ&A 年 末 調 整 の 際 に 是 非 ご 活 用 ください 応 研 株 式 会 社 平 成 27 年 給 与 大 臣 年 末 調 整 の 流 れとQ&A 目 次 第 1 章 年 末 調 整 の 流 れと 前 準 備 1. 年 末 調 整 処 理 方 法...2 2. 年 末 調 整 の 前 準 備...4 第 2 章 年 末 調

More information

目 次 1 はじめに...4 1.1 本 マニュアルで 記 載 する 内 容...4 1.2 システム 要 件...4 1.2.1 対 応 OS(オペレーティングシステム) 要 件...4 1.2.2 対 応 Web ブラウザ 要 件...7 1.2.3 ディスプレイ 解 像 度 要 件...9 1

目 次 1 はじめに...4 1.1 本 マニュアルで 記 載 する 内 容...4 1.2 システム 要 件...4 1.2.1 対 応 OS(オペレーティングシステム) 要 件...4 1.2.2 対 応 Web ブラウザ 要 件...7 1.2.3 ディスプレイ 解 像 度 要 件...9 1 商 工 中 金 外 為 Web 為 替 予 約 サービス ご 利 用 マニュアル 1ログイン 編 Ver.1.2 2015 年 3 月 - 1 - 目 次 1 はじめに...4 1.1 本 マニュアルで 記 載 する 内 容...4 1.2 システム 要 件...4 1.2.1 対 応 OS(オペレーティングシステム) 要 件...4 1.2.2 対 応 Web ブラウザ 要 件...7 1.2.3

More information

SystemSelector2.book

SystemSelector2.book 2.2 パーティションマネージャ ここでは System Selector 2 のパーティション 操 作 の 方 法 をご 説 明 いたします 実 際 にパーティション 編 集 の 事 例 を 交 え 各 機 能 をご 説 明 いたしますので よくお 読 み 頂 き 十 分 ご 理 解 の 上 慎 重 に 操 作 を 行 ってください 2.2.1 パーティションを 操 作 しよう 事 例 :C ドライブを

More information

WebARENA Suite2

WebARENA Suite2 WebARENA 共 通 利 用 規 約 2015 年 5 月 13 日 改 定 株 式 会 社 NTTPCコミュニケーションズ WebARENA 共 通 利 用 規 約 2015 年 5 月 13 日 改 定 株 式 会 社 NTTPC コミュニケーションズ 第 1 章 総 則... 3 第 1 条 ( 利 用 規 約 の 適 用 )... 3 第 2 条 ( 利 用 規 約 の 変 更 )...

More information

Microsoft Word - Office365マニュアル(メール)2015_3.docx

Microsoft Word - Office365マニュアル(メール)2015_3.docx Office365 Outlook マニュアル 目 次 1.Office365 の 利 用 準 備... 2 (1) 電 子 メールとは... 2 (2)Office365 へのアクセス... 2 (3)Office365 へのサインイン... 3 (4)Office365 のサインアウト... 6 2.Office365 の 使 い 方 ( 基 礎 )... 7 (1)Office365 ウィンドウの

More information

2007年度版

2007年度版 4.ネットワーク 犯 罪 に 巻 き 込 まれないために 二 十 年 前 には 大 学 や 研 究 機 関 でしか 利 用 できなかったインターネットに 今 では 携 帯 電 話 やパソコン を 通 じて 誰 もがアクセスできるようになりました インターネットのおかげで 私 たちの 生 活 は 便 利 にな りましたが その 反 面 知 らない 間 に 犯 罪 の 被 害 者 や 加 害 者 になる

More information

第 6 条 ( 利 用 停 止 ) 1. 当 組 合 は 会 員 が 次 の 各 号 の 一 に 該 当 する 場 合 には 何 ら 責 任 を 負 うことなく 当 該 会 員 による 本 サービスの 利 用 を 停 止 することがあります 1 会 員 契 約 の 申 込 時 もしくは 変 更 の

第 6 条 ( 利 用 停 止 ) 1. 当 組 合 は 会 員 が 次 の 各 号 の 一 に 該 当 する 場 合 には 何 ら 責 任 を 負 うことなく 当 該 会 員 による 本 サービスの 利 用 を 停 止 することがあります 1 会 員 契 約 の 申 込 時 もしくは 変 更 の サンロード 青 森 Web 会 員 規 約 第 1 条 ( 本 規 約 の 目 的 ) 1.この 規 約 は 協 同 組 合 サンロード 青 森 ( 以 下 当 組 合 と 称 します)の 運 営 する website( 以 下 ウェブサイト と 称 します)を 利 用 する Web 会 員 ( 以 下 会 員 と 称 します)へ 提 供 す るサービス( 以 下 本 サービス と 称 します)の

More information

必 要 に 応 じて,システムのチューニング,リソースの 追 加 等 の 提 案 及 び 対 策 の 実 施 を 行 う テレビ 等 の 影 響 によりアクセスが 急 激 に 集 中 した 場 合 でも,サーバがダウンすることのな いよう 留 意 する 6バグフィクス,セキュリティパッチ 等 の 適

必 要 に 応 じて,システムのチューニング,リソースの 追 加 等 の 提 案 及 び 対 策 の 実 施 を 行 う テレビ 等 の 影 響 によりアクセスが 急 激 に 集 中 した 場 合 でも,サーバがダウンすることのな いよう 留 意 する 6バグフィクス,セキュリティパッチ 等 の 適 平 成 28 年 度 観 光 いばらき ホームページ 保 守 等 に 関 する 業 務 委 託 仕 様 書 1 業 務 の 名 称 平 成 28 年 度 観 光 いばらき ホームページ 保 守 等 に 関 する 業 務 委 託 2 業 務 の 目 的 インターネットによる 情 報 発 信 の 重 要 性 に 鑑 み, 本 県 の 豊 かな 観 光 資 源 や 県 産 品 を 広 く 県 内 外 に

More information

特 徴 と 注 意 点 決 済 の 接 続 方 式 ソフトバンク ペイメント サービスで 利 用 できるすべての 決 済 サービスは 外 部 リンク 型 にな ります 内 容 確 認 画 面 にて 上 記 内 容 で 注 文 する をクリックすると 決 済 代 行 会 社 の 画 面 に 遷 移 し

特 徴 と 注 意 点 決 済 の 接 続 方 式 ソフトバンク ペイメント サービスで 利 用 できるすべての 決 済 サービスは 外 部 リンク 型 にな ります 内 容 確 認 画 面 にて 上 記 内 容 で 注 文 する をクリックすると 決 済 代 行 会 社 の 画 面 に 遷 移 し ソフトバンク ペイメント サービス W elcart クレジット 決 済 運 用 マニュアル Ver.1.0.0 2016 年 7 月 1 日 コルネ 株 式 会 社 目 次 特 徴 と 注 意 点... 2 申 込 方 法... 4 設 定 方 法... 5 ソフトバンク ペイメント サービスの 設 定... 5 支 払 方 法 登 録... 8 接 続 テスト... 10 クレジットカード 決

More information

(1) SNS 間 のサービス 連 携 例 SNS 間 における 典 型 的 なサービス 連 携 の 例 を 示 します Twitpic と Twitter の 連 携 Twitpic によってアップロードした 画 像 を Twitter のツイートを 通 じて 簡 単 に 共 有 することが でき

(1) SNS 間 のサービス 連 携 例 SNS 間 における 典 型 的 なサービス 連 携 の 例 を 示 します Twitpic と Twitter の 連 携 Twitpic によってアップロードした 画 像 を Twitter のツイートを 通 じて 簡 単 に 共 有 することが でき 第 12-26-261 号 2012 年 10 月 1 日 独 立 行 政 法 人 情 報 処 理 推 進 機 構 今 月 の 呼 びかけ SNS におけるサービス 連 携 に 注 意! ~ あなたの 名 前 で 勝 手 に 使 われてしまいます ~ はじめに (ご 案 内 ) 2012 年 9 月 まで 毎 月 公 表 しておりました コンピュータウイルス 不 正 アクセスの 届 出 状 況 につ

More information

産 農 産 物 の 地 産 地 消 の 推 進 と 置 賜 産 農 産 物 の 愛 用 運 動 を 実 施 することにより 置 賜 地 域 における 農 業 の 活 性 化 並 びに 地 域 の 活 性 化 を 図 ることを 目 的 に 平 成 年 度 に 設 立 したものである 設 立 以 降 生

産 農 産 物 の 地 産 地 消 の 推 進 と 置 賜 産 農 産 物 の 愛 用 運 動 を 実 施 することにより 置 賜 地 域 における 農 業 の 活 性 化 並 びに 地 域 の 活 性 化 を 図 ることを 目 的 に 平 成 年 度 に 設 立 したものである 設 立 以 降 生 おきたま 食 の 応 援 団 ウェブサイトの 作 成 及 び 運 用 仕 様 書 委 託 業 務 の 名 称 置 賜 産 農 産 物 愛 用 運 動 推 進 事 業 業 務 委 託 委 託 業 務 の 概 要 () 委 託 業 務 の 目 的 平 成 年 度 に 設 立 した おきたま 食 の 応 援 団 活 動 を 充 実 させるため おき たま 食 の 応 援 団 ウェブサイト( 以 下 本 サイト

More information

Office 365 のセキュリティ 保 護 Microsoft Office 365 は 企 業 の 注 目 を 集 めて いますが そのセキュリティ 機 能 は 十 分 な コンテンツ スキャンを 提 供 していると 言 える でしょうか 既 にマイクロソフトの Office 365 クラウド

Office 365 のセキュリティ 保 護 Microsoft Office 365 は 企 業 の 注 目 を 集 めて いますが そのセキュリティ 機 能 は 十 分 な コンテンツ スキャンを 提 供 していると 言 える でしょうか 既 にマイクロソフトの Office 365 クラウド Office 365 のセキュリティ 保 護 ホスト 型 電 子 メール サービスの コンテンツ フィルタリング Microsoft Office 365 は 企 業 の 注 目 を 集 めていますが そのセキュリティ 機 能 は 十 分 な コンテンツ スキャンを 提 供 していると 言 えるでしょうか Office 365 のセキュリティ 保 護 Microsoft Office 365 は 企

More information

FOCUSシステムへのSSL-VPNによるログイン手順

FOCUSシステムへのSSL-VPNによるログイン手順 FOCUS システム SSL-VPN 利 用 者 マニュアル 第 1.05 版 (2013 年 1 月 版 ) SSL-VPN を 利 用 する 際 の 動 作 環 境 - 1 - ( 第 1.05 版 ) FOCUS システムへの SSL-VPN 接 続 では Java によるポートフォワーディング 方 式 を 用 いて FOCUS 内 のサーバと 接 続 します その 際 に 使 用 する 利

More information

電子メールソフトのセキュリティ設定について 第1分冊

電子メールソフトのセキュリティ設定について 第1分冊 電 子 メールソフトのセキュリティ 設 定 について 第 1 分 冊 - はじめに - 本 文 書 がカバーする 電 子 メールソフト - 電 子 メールソフトの 設 定 に 関 する 説 明 一 般 社 団 法 人 JPCERTコーディネーションセンター 2011 年 2 月 1 日 本 資 料 は 一 般 社 団 法 人 JPCERT コーディネーションセンターのウエブサイトにて 公 開 している

More information

Microsoft PowerPoint - webmail_manual-estore_482.ppt

Microsoft PowerPoint - webmail_manual-estore_482.ppt 店 舗 メール 利 用 マニュアル 2013.04 04.08 08 ver.2.3 1 1. 目 次 表 紙... 1 1. 目 次... 2 2.ログイン(PC)... 3 3. 受 信... 4 4.メール 閲 覧,,,,,... 5 5.メール 削 除... 6 6.メール 作 成... 7 7.メール 作 成 ( 添 付 ファイル)... 12 8.メール 返 信... 13 9.フォルダ

More information

Microsoft Word - セキュアMyNUMBER_詳細マニュアル_20151208.docx

Microsoft Word - セキュアMyNUMBER_詳細マニュアル_20151208.docx 管 理 者 向 け 詳 細 マニュアル Ver.1.0 目 次 1. 管 理 画 面... - 3-1.1. ご 利 用 環 境 について... - 3-1.2. ログイン... - 4-1.3. ログアウト... - 4-1.4. 管 理 画 面 について... - 5-1.4.1. 管 理 画 面 の 表 示 項 目... - 5-1.5. 始 めにご 確 認 頂 く 事 項 と 初 期 設 定

More information

特 徴 と 注 意 点 決 済 の 接 続 方 式 クレジットカード 決 済 コンビニ 電 子 マネー 決 済 いずれも 外 部 リンク 型 (Web 連 携 接 続 ) に なります 内 容 確 認 画 面 にて 上 記 内 容 で 注 文 する をクリックすると 決 済 代 行 会 社 の 画

特 徴 と 注 意 点 決 済 の 接 続 方 式 クレジットカード 決 済 コンビニ 電 子 マネー 決 済 いずれも 外 部 リンク 型 (Web 連 携 接 続 ) に なります 内 容 確 認 画 面 にて 上 記 内 容 で 注 文 する をクリックすると 決 済 代 行 会 社 の 画 ルミーズ 決 済 サービス W elcart クレジット 決 済 運 用 マニュアル Ver.1.0.0 2016 年 7 月 1 日 コルネ 株 式 会 社 目 次 特 徴 と 注 意 点... 2 申 込 方 法... 3 設 定 方 法... 4 ルミーズ 決 済 の 設 定... 4 クレジットカード 決 済... 5 コンビニ 電 子 マネー 決 済... 6 支 払 方 法 登 録...

More information

日本システムウエア株式会社

日本システムウエア株式会社 ファイル 共 有 サービス AppNow! AppNow! 以 下 の 試 用 の 流 れ および 試 用 条 件 AppNow!サービス 試 用 規 約 をご 確 認 の 上 お 申 込 みください お 申 込 みをもって 試 用 条 件 および 試 用 規 約 に 同 意 いただいたものとみなし 試 用 環 境 のご 用 意 を 行 います 急 遽 キャンセル 等 が 必 要 になりましたら お

More information

staff_man

staff_man Webポータルシステム 学 務 部 教 務 課 学 生 課 平 成 8 年 4 月 日 目 次 はじめに ページ.ログイン ~4 ページ 接 続 方 法 ログイン ポータルトップ 画 面 4 アカウントについて.Webシステムの 構 成 5 ページ.シラバス シラバス 登 録 6 ページ 他 授 業 科 目 のコピー 8 ページ 4. 授 業 関 連 シラバス 照 会 8 ページ 担 当 科 目 時

More information

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に < 別 添 資 料 Ⅱ>ネットワークセキュリティ 基 礎 カリキュラム 情 報 セキュリティ 全 般 の 動 向 および 必 要 な 対 策 の 基 礎 知 識 について 習 得 し ます NISMコース 体 系 全 体 の 概 要 を 学 びます また 最 新 のセキュリティ 技 術 の 概 要 を 解 説 し 専 門 コースへの 足 がかりになる ようにします 1. ネットワークセキュリティとは

More information

29条の2

29条の2 電 磁 的 方 法 による 交 付 に 係 るQ&A( 平 成 26 年 11 月 版 ) 平 成 26 年 11 月 21 日 日 本 証 券 業 協 会 法 律 施 行 令 関 係 1 書 面 を 電 磁 的 に 交 付 することについての 顧 客 の 承 諾 ( 目 論 見 書 にあっては 同 意 以 下 承 諾 等 という )は 書 面 の 交 付 毎 ではなく 包 括 的 に 得 る ことも

More information

目 次 1.システムの 動 作 環 境 2.セットアップ 手 順 3.マクロのセキュリティレベルについて 4.システムの 操 作 説 明 5.システムの 基 本 構 成 6. 基 本 情 報 設 定 7.マスタ 設 定 8.バックアップ 復 元 9.データ 削 除 エラーリセット 10. 需 要 数

目 次 1.システムの 動 作 環 境 2.セットアップ 手 順 3.マクロのセキュリティレベルについて 4.システムの 操 作 説 明 5.システムの 基 本 構 成 6. 基 本 情 報 設 定 7.マスタ 設 定 8.バックアップ 復 元 9.データ 削 除 エラーリセット 10. 需 要 数 教 科 書 事 務 執 行 管 理 システム( 学 校 用 ) システム 操 作 マニュアル Ver.1.6.1 平 成 28 年 5 月 11 日 1 / 232 目 次 1.システムの 動 作 環 境 2.セットアップ 手 順 3.マクロのセキュリティレベルについて 4.システムの 操 作 説 明 5.システムの 基 本 構 成 6. 基 本 情 報 設 定 7.マスタ 設 定 8.バックアップ

More information

Ⅰ 1 整 理 解 雇 の 判 断 と 問 題 点 整 理 解 雇 の 効 果 過 剰 雇 用 が 発 生 し しかも 経 営 の 先 行 きが 不 透 明 であるときは 会 社 としては 過 剰 雇 用 を 速 やかに 解 消 することが 求 められます 過 剰 雇 用 の 状 態 を 放 置 し

Ⅰ 1 整 理 解 雇 の 判 断 と 問 題 点 整 理 解 雇 の 効 果 過 剰 雇 用 が 発 生 し しかも 経 営 の 先 行 きが 不 透 明 であるときは 会 社 としては 過 剰 雇 用 を 速 やかに 解 消 することが 求 められます 過 剰 雇 用 の 状 態 を 放 置 し 整 理 解 雇 の 実 務 労 務 管 理 Ⅰ 整 理 解 雇 の 判 断 と 問 題 点 1. 整 理 解 雇 の 効 果 2. 整 理 解 雇 の 問 題 点 Ⅱ 整 理 解 雇 の 実 施 手 順 1. 解 雇 基 準 の 決 定 2. 解 雇 実 施 の 発 表 3. 解 雇 者 の 人 選 4. 解 雇 の 予 告 5. 解 雇 辞 令 の 交 付 Ⅲ 労 働 組 合 との 関 係 1.

More information

Gmail 利用者向け      操作マニュアル

Gmail 利用者向け      操作マニュアル Gmail 利 用 者 向 け 操 作 マニュアル 宮 崎 大 学 医 学 部 2013 目 次 1.はじめに... 1 1.1 Gmail のすべての 機 能 を 利 用 できるブラウザ... 1 1.2 Gmail の 対 応 最 新 情 報... 1 1.3 本 手 順 について... 1 2. Google Apps の Gmail へのアクセス... 2 2.1 Google Apps の

More information

1. 本 事 案 の 概 要 1. 遠 隔 ウィルスによるトラブル 発 生 概 要 2012 年 ( 平 成 24 年 )の 初 夏 から 秋 にかけて 日 本 において 犯 人 がネットの 掲 示 板 を 介 して 他 者 のパソコンを 遠 隔 操 作 し これを 踏 み 台 としてウェブサイ ト

1. 本 事 案 の 概 要 1. 遠 隔 ウィルスによるトラブル 発 生 概 要 2012 年 ( 平 成 24 年 )の 初 夏 から 秋 にかけて 日 本 において 犯 人 がネットの 掲 示 板 を 介 して 他 者 のパソコンを 遠 隔 操 作 し これを 踏 み 台 としてウェブサイ ト D-Case 適 用 事 例 2 2012 年 のPC 遠 隔 操 作 による 誤 認 逮 捕 DEOSプロジェクト 2013 年 7 月 19 日 DEOS 研 究 開 発 センター JST-CREST 1. 本 事 案 の 概 要 1. 遠 隔 ウィルスによるトラブル 発 生 概 要 2012 年 ( 平 成 24 年 )の 初 夏 から 秋 にかけて 日 本 において 犯 人 がネットの 掲

More information

言 うまでもなく こうした 行 為 は 現 行 法 制 においても 違 法 なもの である そして このようなコンピュータ 技 術 や 電 気 通 信 技 術 を 利 用 した ハイテク 犯 罪 は 本 来 ネットワークの 使 用 権 限 を 持 たない 者 が 故 意 に 防 御 システムを 突

言 うまでもなく こうした 行 為 は 現 行 法 制 においても 違 法 なもの である そして このようなコンピュータ 技 術 や 電 気 通 信 技 術 を 利 用 した ハイテク 犯 罪 は 本 来 ネットワークの 使 用 権 限 を 持 たない 者 が 故 意 に 防 御 システムを 突 ネットワークへの 不 正 アクセス はじめに に 関 する 緊 急 提 言 今 まさに 情 報 ネットワ-ク 社 会 が 我 々の 目 の 前 に 到 来 しつつあ る 全 世 界 では 約 1 億 人 がインタ-ネットを 使 っており 2005 年 には 10 倍 の 10 億 人 に 達 すると 予 想 されている そして 我 が 国 に おいても 現 在 1000 万 人 のインタ-ネットユ-ザ-が

More information

サイバー 犯 罪 とは 警 察 庁 では コンピュータ 技 術 や 電 気 通 信 技 術 を 悪 用 した 犯 罪 を ハイテク 犯 罪 と 表 していました が 国 際 的 動 向 等 を 踏 まえ 現 在 は サイバー 犯 罪 と 表 しています サイバー 犯 罪 の 種 類 1 ネットワーク

サイバー 犯 罪 とは 警 察 庁 では コンピュータ 技 術 や 電 気 通 信 技 術 を 悪 用 した 犯 罪 を ハイテク 犯 罪 と 表 していました が 国 際 的 動 向 等 を 踏 まえ 現 在 は サイバー 犯 罪 と 表 しています サイバー 犯 罪 の 種 類 1 ネットワーク 第 16 回 メディアアカデミー 研 究 会 平 成 16 年 11 月 19 日 サイバー 犯 罪 の 現 状 と 対 策 愛 知 県 警 察 本 部 生 活 安 全 部 生 活 安 全 総 務 課 情 報 セキュリティ 対 策 調 査 官 河 崎 裕 二 サイバー 犯 罪 とは 警 察 庁 では コンピュータ 技 術 や 電 気 通 信 技 術 を 悪 用 した 犯 罪 を ハイテク 犯 罪 と

More information

<4D F736F F D208B9E91A B838B B E646F6378>

<4D F736F F D208B9E91A B838B B E646F6378> 京 造 メール 利 用 ガイド 京 都 造 形 芸 術 大 学 情 報 システム 課 2016/1/25 更 新 目 次 1. はじめに... 3 2. 初 期 設 定... 3 2-1. スマートフォンでメールを 受 信 する 設 定... 3 2-2. パソコンでメールを 受 信 する 設 定... 5 2-3. 携 帯 電 話 へメールを 転 送 する 設 定... 6 3. メール 送 信

More information

H24年度_科研費電子申請システム操作方法等説明会資料

H24年度_科研費電子申請システム操作方法等説明会資料 平 成 25 年 2 月 1 日 ( 金 ) 4 日 ( 月 ) 独 立 行 政 法 人 日 本 学 術 振 興 会 1 本 資 料 の 目 次 Ⅰ.はじめに スライド3 Ⅱ. 研 究 分 担 者 変 更 承 認 申 請 手 続 き( 基 金 分 ) スライド34 Ⅲ. 研 究 代 表 者 所 属 研 究 機 関 変 更 手 続 き( 基 金 分 ) スライド56 Ⅳ. 実 績 報 告 手 続 き(

More information

脆弱性の種類を分類するための「CWE」

脆弱性の種類を分類するための「CWE」 脆 弱 性 の 種 類 を 分 類 するための CWE(Common Weakness Enumeration) ~その 脆 弱 性 とこの 脆 弱 性 は 本 当 に 同 じですか?~ 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) セキュリティセンター 情 報 セキュリティ 技 術 ラボラトリー 2010 年 8 月 6 日 公 開 1 アジェンダ 1. CWEを 見 たことありますか?

More information

給料らくだプロ7 年末調整サポートガイド(平成26年版)

給料らくだプロ7 年末調整サポートガイド(平成26年版) 目 次 1 昨 年 からの 変 更 点... 2 年 末 調 整 関 連 の 入 力 機 能 を 強 化... 2 平 成 27 年 1 月 以 降 に 適 用 される 給 与 所 得 の 源 泉 徴 収 税 額 表 ( 月 額 表 ) および 賞 与 に 対 する 源 泉 徴 収 税 額 の 算 出 率 の 表 への 対 応 と 所 得 税 の 電 算 機 計 算 の 特 例 に 対 応... 2

More information

「機構内情報共有システム(Withシステム)の運用業務の調達」の実施要項(案)

「機構内情報共有システム(Withシステム)の運用業務の調達」の実施要項(案) 別 添 (2) 機 構 からの 指 示 により 端 末 の 設 置 異 動 又 は 廃 止 等 ( 人 事 異 動 端 末 の 増 設 又 は 廃 止 等 )を 行 う 場 合 には 端 末 のセットアップ 設 定 変 更 等 の 作 業 を 行 う また 機 器 管 理 台 帳 をその 都 度 更 新 すること (3) 代 替 機 ( 予 備 機 )についても 台 数 及 び 保 管 場 所 を

More information

Pervasive PSQL Xtreme I/O

Pervasive PSQL Xtreme I/O Pervasive PSQL Xtreme I/O 32 ビット アプリケーションのパフォーマンス 向 上 Pervasive Software ホワイト ペーパー 2009 年 12 月 目 次 技 術 的 な 概 要.... 1 XIO の 概 要.. 1 キャッシング... 1 インテリジェント 圧 縮.. 2 データの 書 き 込 み. 2 対 称 型 マルチプロセッシング(SMP)...

More information