中島明日香のレビュー一覧

『Software Design 4月号』（技術評論社）で取り上げられていたので読んでみた。すごくわかりやすく書かれていて、私自身にも知識があるので決して難しくはなかったが、それでも一般的には難しいかもなあ。ざっと読んで、わからなかったところはあとでもう一度読む、がおすすめ。

情報工学を学んでいない人にも理解できるように書かれたサイバー攻撃の解説書です．
ターゲットの設定から技術的な内容は専門書の内容のさわり程度であるが, よく書かれています．
情報工学のセキュリティの分野を学んだことがある人にとっては, 技術的内容は既知のことばかりと思います．個人的には知識が技術よりに...続きを読む偏っているため, 社会的な取り組みやこれまでにあったサイバー攻撃, 脆弱性報告の実例の話題は初めて知る内容で大変面白かったです．

サイバー攻撃の入門書。サイバーとは広義にコンピュータ関連のこと。

著者はセキュリティ分野に長く従事しているプロであり、わかりやすく解説されてるので、IT知識がなくても読める。ただ、知識があるだけ、業務や仕事で携わっているだけなお面白い。

本書は具体例に富んでいる。過去の事例をベースに、バッファオ...続きを読むーバーフローやクロスサイトスクリプトなどを実際のコードとともに紹介しているので理解しやすくどういった経路・仕組みで発生させているかがわかる。

本書の意図としては、セキュリティに関して気をつけるべきことを事例(過去)から学ぶ、そして"適切な対策 はまず相手をすること"としている。

サイバー攻撃でつかれるソフトウェアの「脆弱性」とはどういう点なのか、初学者にもわかりやすいレベルのプログラムの例を紹介してくれているので非常によい。この方面は難しそうであるし、大多数の一般人の耳目を集める分野ではないだろうが、インターネットが電気ガス水道と同じレベルで普及している現在、自覚ないレベル...続きを読むで情報を盗まれたり、踏み台にされたりするリスクはインターネットを利用しているユーザー全員が対象となるという点で、その影響は世界的規模のインパクトとなる。本書に紹介されている基本的な攻撃手法を知っておくことだけでも、インターネットの利用するときの心構えも若干なりとも変わるのではないだろうか。
また、世界中の個人や組織が脆弱性を発見し、対処している、その一端を垣間見ることもできて大変興味深かった。

メジャーな攻撃手法をやさしく解説してある。
セキュリティ関連に携わっている人は知っていることが多いと思う。
セキュリティに興味を持ち始めた人が読んでみるといいと感じた。

本書は、ITに関係する間近におこる犯罪を、「サイバー攻撃　ネット世界の裏側で起きていること」と分かり易いタイトルで表している。注文した覚えのない商品の請求書がネットサイトから届いたり、大事な情報を小まめにアップしていたブログやTwitterなどが、いつのまにか書き換えられていたりなどは、身近でもおこ...続きを読むりうる「サイバー攻撃」の例である。それまでおおよその防御策は知っていたが、本書のおかげで、より深く知ることができた。
本書では、まずサイバー攻撃で悪用される「脆弱性」について説明している。そしてこれが防げるかどうかを論じ、プログラムの制御がどのようにして乗っ取られるのかを、とても分かり易く述べている。最後にはどのようにしてサイバー攻撃から身を守るかを、教えてくれている。
作者は情報セキュリティ社会に身を置くその道のプロ。攻撃手法の技術的説明の部分など分かりづらいところもあるが、ネット社会の裏側で起こっている攻防が良く分かった。犯罪者がどのようにしてシステムに侵入するのか、ずっと疑問に思っていたが、その謎も解消でき、すっきりした。
サイバー攻撃もさまざまな形や手法が生み出されつづけている。それを生み立つ知識と手腕があれば、悪の方面でなく、平和に役立つような方向へもってきて欲しいものだと思った。

脆弱性というものの基本的な事柄と攻撃手法が理解できた。
バッファオーバーフロー、書式指定文字列機能の悪用、クロスサイトスクリプティング、SQLインジェクションなど、ユーザーからの入力情報をそのまま取り込んでしまう設定の場合に、そこで悪意あるhtmlやSQL構文が入力され解釈実行されてしまうと不正が実...続きを読む現してしまうというもの。
最終章の、攻撃者側の不正なビジネスモデル（悪性webサイト構築キット、そのキットの使用料や悪性webサイトの使用料や感染までを請け負うサービス対価など多様な収入源）があることや、脆弱性報奨金制度や売買市場（正規、非正規）の存在なども興味深い話だった。

全体的には平易で読みやすいが、クロススクリプティングやSQLインジェクションの解説部分が妙に技術的で不思議な本でした。