著者情報
-
脆弱性アナリスト
JPCERTコーディネーションセンター
慶応義塾大学環境情報学部卒。ソニーでデスクトップPCのソフトウェア開発に携わったのち、米国ダートマス大学にてオーディオ信号処理、電子音響音楽の研究を行い、電子音響音楽修士を取得。2005年4月よりJPCERTコーディネーションセンターにて、脆弱性ハンドリング業務に従事。2007年よりセキュアコーディングプロジェクトリードとして、教育マテリアルの開発や講義・講演活動などをこなす。GSSP-Cプログラマ。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
執筆記事
-
2014/06/26制御システム用ソフトウェアの脆弱性対策 ~CERTコーディングスタンダードの活用~
年度頭からOpenSSLの脆弱性が世間を賑わせていましたが、Webの世界だけでなく、社会インフラを支える制御システムソフトウェア(ICSソフトウェア)においても脆弱性対策を留意しておく必要があります。本稿では、米国のICS-CERTが公開している脆弱性アドバイザリから見えてきたICSソフトウェアの脆弱性の傾向に加え、セキュアコーディングに特に効果的なルールを厳選して紹介します。(編集部)
-
2011/12/16整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正
Java/Androidの世界では、バッファオーバーフローが問題になることはありませんが、整数オーバーフローには注意する必要があります。今回は整数オーバーフローとその対策について、Androidアプリケーションの実例を交えながら紹介します。
-
2010/10/05WindowsのDLLだけが危ないのか? DLL hijacking vulnerability概説(後編)
本連載では、最近話題のDLL hijacking vulnerabilityと呼ばれるプログラムのDLL読み込みに関する脆弱性について、前後編の2回に分けて解説します。後編では、DLL hijackingの脆弱性に対し攻撃を受けないアプリケーションを開発するため、Microsoftが開発者向けに公開している対策方法の一部を紹介します。
-
2010/09/27WindowsのDLLだけが危ないのか? DLL hijacking vulnerability概説(前編)
本連載では、最近話題のDLL hijacking vulnerabilityと呼ばれるプログラムのDLL読み込みに関する脆弱性について、前後編の2回に分けて解説します。前編では、DLL hijackingがどういった脆弱性なのか、その概要や関連するこれまでのイベントについて説明していきます。
-
2010/08/06TIFFライブラリに潜む脆弱性をつぶすパッチ(その2)
本連載では、脆弱性を含むサンプルコードを題材に、修正方法の例を解説していきます。今回は以前にも取り上げたオープンソースの画像処理ライブラリであるlibtiffに最近見つかった脆弱性を、セキュリティコードレビューを行いながら見てみましょう。
-
2010/07/06
Linuxのカーネルに潜む脆弱性をつぶすパッチ
本連載では、脆弱性を含むサンプルコードを題材に、修正方法の例を解説していきます。今回はLinuxカーネルのソースコードに注目してセキュリティコードレビューを行いたいと思います。
-
2010/06/15
画像処理ソフトウェア「ImageMagick」の脆弱性
本連載では、脆弱性を含むサンプルコードを題材に、修正方法の例を解説していきます。今回取り上げるコードは、C言語で書かれたオープンソースの画像処理ソフトウェア「ImageMagick」です。
