English お知らせ 2023年5月19日 富士通株式会社 情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて 当社および当社グループ会社の度重なる情報セキュリティインシデントやシステム品質に関する問題により、お客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることについて、あらためて深くお詫び申し上げます。 情報セキュリティに関しましては、2021年に検知したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスをはじめ、2022年に発覚したクラウドサービス「FJcloud-V/ニフクラ」や「FENICSインターネットサービス」等での情報セキュリティインシデントにより、多くのお客様や関係者の皆様に多大なるご迷惑をおかけいたしました。また、システムの品質に関しましては、今般の「Fujitsu MICJETコンビニ交付」に関連した一連
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
米Microsoftが1月に公開した「Meltdown」と呼ばれるCPUの脆弱性対策パッチが原因で、Windows 7とWindows Server 2008 R2に新たな権限昇格の脆弱性が発生していたことが分かり、Microsoftが3月29日に公開した臨時セキュリティ更新プログラムで対処した。 Microsoftや米セキュリティ機関NCCIC/US-CERTによると、Meltdownの脆弱性対策パッチをインストールしたWindows 7とWindows Server 2008 R2(いずれも64bit版)で、システムメモリのコンテンツが適切に保護されない問題が発生した。 この脆弱性は、Windowsカーネルでメモリ内のオブジェクトを処理する方法に存在しており、悪用されればカーネルモードで任意のコードを実行される恐れがある。脆弱性に関する情報は、セキュリティ研究家のブログなどで事前に公開
こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます CPUの脆弱性「Meltdown」と「Spectre」による影響を緩和するパッチは、WindowsマシンだけでなくLinuxマシンの性能にも影響を及ぼすことがRed Hatの検証で判明した。 脆弱性に対処するには、基本的にCPUベンダーから提供されるマイクロコードと、MicrosoftやRed Hatなどが提供しているOSやカーネルのパッチなどを適用する必要がある。対策を講じることで、情報窃取を狙う脆弱性悪用攻撃などの危険性を低減できる一方、ワークロード性能の低下という影響も伴う。Microsoftの検証では、プロセッサの世代やWindowsのバージョンによって影響は異なるが、古いCPU環境ではユーザーが影響に気が付く可能性を挙げている
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱(ぜいじゃく)性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。 今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。 脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモ
2024-10-23 知っておくとちょっと便利!パッケージマネージャについて2 ~Debian 系システム編~
Sambaの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-7494)に関する調査レポート 概要 書き込み可能な共有をもつ Samba に、リモートより任意のコードが実行可能な脆弱性(CVE-2017-7494)及び、その脆弱性を利用する攻撃コードが発見されました。 本脆弱性は、名前付きパイプ※を処理する際の不具合に起因する脆弱性で、この脆弱性を利用した攻撃が成立した場合、リモートから任意のコードを実行される危険性があります。なお、本脆弱性は対象の Samba に対して書き込み可能なユーザー権限を保持している場合にのみ有効な脆弱性です。 ※プログラム間でファイルの読み書きが可能となるよう、データを共有する仕組み。 本レポート作成(2017年5月31日)時点において、開発元である The Samba Team より脆弱性を修正するパッチおよび最新版がリリースされて
現在サポート期間中のWindowsのバージョンであるWindows 7とWindows 8.1にNTFSに関連した不具合が存在することが分かりました(Ars Technica、The Verge)。 不具合は、NTFSファイルシステムのメタデータを扱うために存在する特別なファイル"$MFT"に関連したもので、Windowsは通常、プログラムからこのファイルへのアクセスをブロックしていますが、"$MFT"がパスの一部に含まれる場合に取り扱いに失敗し、結果としてシステムが遅くなったり、最終的にクラッシュしたりする現象が発生するとのことです。 例えば"c:\$MFT\123"というようなファイルをInternet Explorerで開こうとするとこの不具合が発生することから、悪意を持ったWebサイトに含まれた、"$MFT"を含む不正リンクをクリックすることでシステムがクラッシュする可能性があるこ
StrutsからSpringへの移行サービスなどを提供している株式会社スタイルズは、4月24日、セミナーイベント「深刻化するStruts脆弱性にどう対処するか?」を開催した。JavaのWebアプリケーションフレームワーク「Struts」の、リモートから任意のコードを実行可能な脆弱性により、いくつかの重要なサイトで情報漏洩が流出したことを受けてのものだ。 イベントにはセキュリテイ専門家でHASHコンサルティング株式会社代表の徳丸浩氏が登壇して、Strutsの脆弱性の事件やその他のWeb脆弱性への対応について解説した。また、スタイルズはStrutsからの移行サービスについて詳しく紹介した。 基本施策、パッチ適用容易性、多層防御で守る 徳丸氏はまず、一連の事件のうち影響が大きいGMOペイメントゲートウェイの事件を取り上げた。同社の公式発表やメディアの報道内容から、対応内容を見て、「全体としてはス
2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。 ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。 インシデントタイムライン 以下は主に国内の関連事象を整理したもの。 日時 出来事 2016年9月16日 MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。 2017年1月16日 US-CERTがSMBv1
米Microsoftの旧バージョンのWindows脆弱性を悪用する「ランサムウェア攻撃」が5月12日、主に欧州やアジアの約100カ国で発生し、英国の国営医療機関が機能停止するなどの被害が出た。 セキュリティソフトベンダーのAvastによると、攻撃に使われたのは、米国家安全保障局(NSA)のハッキングツール流出にかかわったとされる集団「Shadow Brokers」が流出させた「WannaCry」とも呼ばれるランサムウェア、「WanaCrypt0r 2.0」という。 ランサムウェアとは、メール内のURLをクリックするなどして感染すると、PC内のデータが開けなくなり、解決のための“身代金”を支払うよう要求するというものだ。 Microsoftは3月に既にこの攻撃に使われる脆弱性に対処しているが、同日中に、既にサポート期間が終了している「Windows XP」「Windows 8」「Window
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
