2018年12月21日10:00過ぎに内閣サイバーセキュリティセンター(NISC)からサイバー攻撃に関する注意喚起が発出されました。 https://www.nisc.go.jp/pdf/policy/kokusai/press-1221.pdf 個人、職場において様々な手口によるサイバー攻撃の被害に遭わないためにも、基本的なセキュリティ対策を漏れなく、確実に実施する必要があります。 IPAでは昨日「年末年始における情報セキュリティに関する注意喚起」を公表しています。ここでは、1. 組織のシステム管理者向け 2. 組織の利用者向け 3. 家庭の利用者向けに「日常的に実施すべき情報セキュリティ対策」について説明しています。この機会に改めて確認し、対策の一層の強化を行ってください。 日常的に実施すべき情報セキュリティ対策 https://www.ipa.go.jp/security/measu
情報処理推進機構(IPA)は2015年9月15日、経済産業省所管の国家試験「情報処理技術者試験」の新たな試験区分として、「情報セキュリティマネジメント試験」が創設されたことを明らかにした。2016年4月に第1回を実施する。 情報セキュリティマネジメント試験が対象にするのは、「ユーザー企業において、一定の技術知識を持ちつつ、自社内で情報セキュリティ対策の実務をリードできるマネジメント人材」としている。「企業にとって、日常の情報セキュリティをどのように管理するかが重要になってきている」(IPAの田中久也 理事、写真)。 情報セキュリティマネジメント試験の内容は次の通り。 (1)情報セキュリティマネジメントの計画、情報セキュリティ要求事項に関すること。 (2)情報セキュリティマネジメントの運用・継続的改善に関すること。 (3)外部委託、コンプライアンスに関すること。 (4)上記(1)~(3)の前
情報処理推進機構(IPA)は6月12日、「家庭内における無線LANのセキュリティ設定の確認を」と題する注意喚起情報を公開した。 IPAでは、一般家庭の無線LAN環境が不正に利用される恐れがあるとして、その危険性や対策について過去にも注意喚起を行ってきた。 不正利用を防ぐ対策の一つとして通信の暗号化があるが、IPAが2014年10月に実施した意識調査では、自宅の無線LANの暗号化について「通信の暗号化を行っているかどうかわからない(32.7%)」「通信の暗号化を行っていない(19.1%)」と、全体の半数以上が不明または設定なしという状況であることがわかり、類似被害の増加が懸念されている。 家庭内に設置した無線LANルータなどのアクセスポイントへ不正に接続された際の脅威として、「通信内容の盗み見」「迷惑メール送信や不正アクセス、違法ダウンロードなどの不正行為の身元詐称」「家庭内の無線LAN環境
インターネットのパスワードを使い回すことによるIDの乗っ取り被害が相次いでいますが、こうしたセキュリティーの意識が低いとされる10代の男女に向けて、恋愛漫画で注意を呼びかける巨大な看板が、3日、JR原宿駅に設置されました。 それぞれの面には、恋愛ストーリー仕立ての漫画が描かれ、そのうちの1つには、制服姿の男子高校生が彼女に、「お前にそんな単純なパスワードは似合わないよ」と語りかけ、彼女が顔を赤らめる様子が描かれています。また、別の面には、男子高校生が、彼女の背後にある壁にドンと手をつき「本当にお前を守れるのはパスワードだけだぜ」と語りかけています。 看板を見た女子高校生は「サービスごとにパスワードを変えると分からなくなるので変えていませんでした。なんとなく危険だとは思っていました」と話していました。 パスワードを使い回すことによるIDの乗っ取り被害は、インターネット上で相次いでいますが、情
STIX(Structured Threat Information eXpression) ~サイバー攻撃活動を記述するための仕様~ サイバー攻撃活動を鳥瞰するには、攻撃者(サイバー攻撃に関与している人/組織)、攻撃者の行動や手口、狙っているシステムの脆弱性など、攻撃者側の側面から状況をまとめたり、サイバー攻撃を検知するための兆候、サイバー攻撃によって引き起こされる問題、サイバー攻撃に対処するために取るべき措置などを防護側の側面から状況をまとめたりする必要があります。STIX(Structured Threat Information eXpression)(*1)は、これら関連する情報を標準化された方法で記述し、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されました。 サイバー攻撃
JVNDB-2014-000133 iLogScanner におけるクロスサイトスクリプティングの脆弱性 IPAはソフトウェアやウェブアプリケーションの脆弱性関連情報の届け出を受け付けている。 IPAがiLogScannerというツールを出していることを知った。 Apacheとかのログを入力すると攻撃の兆候を検出してくれるという便利そうなツール。 IPAのソフトに脆弱性があったら面白いと思い、探すことにした。 とりあえず、まずは動かしてみようと、ksnctfのログを食わせてみた。 何もしていないけど、終了。 脆弱性の詳細 iLogScannerは攻撃と思われるログを出力するけど、その際エスケープが行われていなかった。ブラウザのURLに<や>などを入力してもURLエンコードされてしまうが、telnetなどで直接書き込むとApacheのログにも<や>が残る。 脆弱性の悪用方法 攻撃者がターゲッ
2014年4月29日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江一正)では、CBT方式(*1)で実施している国家試験「ITパスポート試験」システムにおいて、セキュリティ上の欠陥(脆弱性)が見つかりました。 つきましては、同システムの緊急システムメンテナンスを行うため、2014年4月29日(火)及び4月30日(水)開催予定の試験は中止とさせていただきたく、両日受験を予定されている方々には大変ご迷惑をお掛けすることとなり謹んでお詫び申し上げます。 なお、両日受験を予定されている方々に対しては、応募時に登録された電子メールアドレスに個別に連絡をいたしました。 また、当該システムのメンテナンスは、4月30日(水)16時の終了を予定しており、5月1日(木)からは、試験を通常どおり再開する予定です。 脚注 (*1)CBT方式(Computer Based Test
本報告書は、情報セキュリティ対策を実行する「個人のふるまい」に着目し、対策を実施するための要因を探求するために実施した「リスク認知と実行に関する調査」の事業報告をまとめたものである。情報セキュリティ対策は、ふたつのアプローチ、すなわち技術的アプローチとセキュリティマネジメントなどの組織的アプローチから推進されてきたが、一方で個人による対策実行がそれほど進んでいないと思われる状況もある。そこで、社会心理学分野の知見を援用し、情報セキュリティ対策を迫られた個人が、対策実行へと態度を変えるための要因を、アンケート調査と実験室実験によって明らかにする試みを実施した。調査、実験の結果について、統計分析を実施し、科学的に根拠ある事実を探究している。報告書は、概要文書と詳細な結果を含む報告書からなる。 本事業は、以下の有識者各位との議論のうえ進めた。
3月28日 農業は地球の環境悪化の緩和に重要な役割を果たす フランス農学・獣医学・林学研究院 アグリニウム会長 マリオン・ギュー 氏 3月8日 近未来SF漫画で描かれるテクノロジーの未来 漫画家 山田胡瓜さん 12月28日 「世界中の望遠鏡が協力して中性子星合体を観測 ―重力波と光の同時観測『マルチメッセンジャー天文学』の幕開けは、何を意味するのか?」 理化学研究所仁科加速器研究センター 玉川 徹 氏 4月13日 《JST共催》『ひかり×ひと』-『情報ひろばサイエンスカフェ』で大学院生と中高生らが語り合う 「科学と社会」推進部 4月10日 「持続可能な食の未来へ」をテーマに「ノーベル・プライズ・ダイアログ東京2018」開催 世界中からの食の専門家が集結 「科学と社会」推進部 4月2日 《JST主催》「トップサイエンスによる社会変革への挑戦」―JSTの第2回ACCELシンポジウム開催 サイエ
近年、標的型攻撃はやり取り型や水飲み場型の出現、使われるマルウェアの高機能化などますます多様化しており、被害が後を絶ちません。原因の1つには、ウイルス対策ソフト等の入口対策を突破して侵入を果たした攻撃が情報システム内部で密かに活動しているのを検知できず、情報流出等の実害が発覚するまで攻撃に気付かないことが多いことが挙げられます。 IPAでは2010年12月に「脅威と対策研究会」を設置し、標的型攻撃から組織の情報システムを守るためのシステム設計ガイドを公開してきており、本書はその最新改訂版となります。本版では、システム内部に深く侵入してくる高度な標的型攻撃を対象に、システム内部での攻撃プロセスの分析と内部対策をまとめています。 また、前版に対するヒアリング結果や意見を基に、よりシステム設計・運用現場が利用しやすいよう、改訂ポイントの1つとして、対策を以下のように整理しました。 <統制目標の明
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、近年増加傾向にある、情報窃取を目的として特定の組織や個人に送られる「標的型攻撃メール」について、メール受信者をだますテクニックとIPAに届けられた標的型攻撃メールの分析結果を紹介するとともに、標的型攻撃の被害に遭わないための対策をまとめ、技術レポート(IPA テクニカルウォッチ 第4回)として公開しました。 近年、組織における機密情報や個人情報を狙ったサイバー攻撃事件が増加しており、中でも標的型攻撃メールにおいては、ソフトウェア等の脆弱性を狙った攻撃も多く、情報漏えいなどの被害の発生原因となっています。昨今では、金融業や重工業を狙った攻撃が顕在化しています。 本レポートでは、これら標的型攻撃メールのうち、IPAが実際に受信した標的型攻撃メールや、IPAに届出・相談のあった標的型攻撃メール事例から、メール受信者をだますためにどのよ
IPAから情報セキュリティ技術動向調査(2011 年上期) のひとつとして「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」という報告が公開されていますので、ちょっと読んでみた感想などを…。 まずは些末なツッコミから。 (5.2. Ajaxの登場と進化) JavaScriptの中からのWebサーバとの間の非同期の通信を可能にしたAPIは、XMLHttpRequestという組み込みオブジェクトであるXMLHttpRequest として最初に実装されたIEのそれは、ActiveX Object であり「組み込みオブジェクト」ではありません。 (5.5. 「同一源泉」の制約) 「同一源泉」の制約「同一源泉」なんていう独自用語使わずに、"Same Origin Policy" そのままか、あるいは「同一生成元ポリシー」と書けばいいのに。 (5.9. XHRレベル2) 例えば、次のよ
第11-11-212号 最終更新日:2011年4月4日 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 2011年3月11日に発生した「東日本大震災」に関する災害情報を装った日本語のウイルスメールが多数確認されています。 当該メールは、政府機関や災害対策に関係ありそうな組織名やメールアドレスを詐称し、一見怪しくなさそうなタイトルや本文、マイクロソフトワード文書やエクセルファイルなどの一見ウイルスと思えないファイルの添付などによって、メール受信者を騙そうとし、添付ファイルを開くと、パソコンがコンピュータウイルスに感染する可能性があります。 パソコンがこれらのコンピュータウイルスに感染した場合、第三者がそのパソコンから情報を盗んだり、そのパソコンを踏み台にして組織内の他のコンピュータから情報を盗んだり、ネットワークに接続されている他のコンピュータにウイルスを感染させる
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方」のダウンロード件数が累計250万件を突破したことを発表します。 URL: http://www.ipa.go.jp/security/vuln/websecurity.html 「安全なウェブサイトの作り方」は、脆弱性届出制度(*1)によってIPAに届出られた脆弱性情報を基に、ウェブサイトの開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための情報をまとめた資料です。攻撃による影響が大きい、または数多くのウェブサイトに存在している脆弱性を作り込まないよう、脆弱性の原因を根本から作らない方法について説明しています。また、脆弱性届出において実在した誤った対策例についての解説および修正例を示しています。 本資料は、2006年1月からI
公開: 2010年11月27日20時0分頃 IPAの事業が事業仕分けの対象となって議論されたそうで。Ustreamに録画があるというので見てみました……「行政刷新会議 事業仕分け WG-B B-26 (独)情報処理推進機構 経済産業省 (www.ustream.tv)」。 まず吹いたのが29分過ぎあたりからのシーン、ウィルス対策事業の効果についての議論でGumblarの名前が出ているところです。私はこの前のCSS Nite in Ginza, Vol.52 (cssnite.jp)で「ガンプラーじゃないよ」というネタをやったわけですが……この録画では、勝間和代さんと思われる方が……何度聞き直しても「ガンプラー」と言っているように聞こえるのですよね……。他の人は「ガンブラー」と言っているのに、何度も何度も「ガンプラー」と連呼しているという光景が、あまりにも衝撃的でした。 CSS Nite i
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2009年度の情報セキュリティの状況の把握と今後の対策に役立つ情報を提供するために「情報セキュリティ白書2010」を編集、発行しました。 「情報セキュリティ白書」は、ITの利用者や運用者に現状の情報セキュリティを広く知ってもらうとともに、情報セキュリティの関係者に今後の対策に役立つ情報を提供することを目的に、毎年発行しています。今回発行した「情報セキュリティ白書2010」では、2009年度の1年間に情報セキュリティ分野で起きた注目すべき出来事を10大トピックスとして分かりやすく概説するとともに、ITの利用者・供給者それぞれの視点からの情報セキュリティ対策の動向と展望を述べ、情報セキュリティを支える法制度、人材、技術等の国際標準化の動向、企業の情報セキュリティ対策とガバナンス状況等についても概説しています。加えて、近年注目されてい
CCE(Common Configuration Enumeration) ~セキュリティ設定項目を識別するための共通の識別子~ ENGLISH パスワード編 共通セキュリティ設定一覧CCE概説 (パスワード編) 共通セキュリティ設定一覧CCE(Common Configuration Enumeration)(*1)は、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号(設定項目識別子)を付与する仕様です。 CCEは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*2)の構成要素のひとつです。米国政府の支援を受けた非営利団体のMITRE社(*3)が中心となり仕様策定を進めており、2007年8月に、Windows 200
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「情報窃取を目的として特定の組織に送られる不審なメール(標的型攻撃)」の実態の把握と対策を促進するための調査レポートとして「脆弱性を狙った脅威の分析と対策について Vol.3」をまとめ、2010年6月2日(水)から、IPAのウェブサイトで公開しました。 近年、ソーシャルエンジニアリング(*1)やマルウェア(*2)などを利用した、脆弱性を狙った攻撃による被害が発生しています。IPAセキュリティセンターでは、それら攻撃への対策促進のため、「脆弱性を狙った脅威の分析と対策について」(*3)を公開しています。今回、2009年12月に「不審メール110番」(*4)に相談があった標的型攻撃の詳細を明らかにするとともに、近年の標的型攻撃の特徴と対策方法をまとめ、「脆弱性を狙った脅威の分析と対策について Vol.3」として公開しました。 攻撃に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
