「CSRF」と「Session Fixation」の諸問題について
1 「CSRF」と「Session Fixation」 の諸問題について 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ 情報処理推進機構 ウェブアプリケーション 開発者向けセキュリティ実装講座 2006年2月28日, 4月4日 後日配布資料 2 目次 • 前提知識の確認 – Webアプリにおけるセッション追跡と認証の実装手段 – セッションハイジャック攻撃の原理と脅威 • CSRF (Cross-Site Request Forgeries) 別名: Session Riding – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 • Session Fixation – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 3 セッション追跡と認証の実装手段 • セッ
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報
IPA 独立行政法人 情報処理推進機構:国家資格「情報処理安全確保支援士」
情報処理安全確保支援士(登録セキスペ) 「令和6年能登半島地震」により被災された方の救済措置について 「令和6年能登半島地震」において被災された皆様に対し、心よりお見舞い申し上げます。 経済産業省告示により、災害救助法が適用された自治体に登録住所があり、かつ登録更新申請期限が2024年1月31日の情報処理安全確保支援士の方は、登録更新申請期限を2024年5月1日に延長します。更新期限は2024年3月31日→2024年6月30日に変更となります。 詳細は、対象の方へ別途ご案内します。 国家資格「情報処理安全確保支援士(登録セキスペ)」とは サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が
Symantec 製品の脆弱性対策について(CVE-2016-3647 等):IPA 独立行政法人 情報処理推進機構
Symantec 製品に関する脆弱性が複数公表されています。 これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。 本脆弱性を使用した攻撃コードが公開されているため、至急、製品開発者が提供する情報をもとに、最新版へアップデートしてください。 なお、企業向け製品においては、自動更新では修正されない場合があるため、アップデート方法についてベンダサイトをご確認ください。 以下の Symantec 製品が対象です。 企業向け製品 Advanced Threat Protection (ATP) Symantec Data Center Security:Server (SDCS:S) Symantec Web Security .Cloud Email Security Server .Cloud (E
【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を:IPA 独立行政法人 情報処理推進機構
攻撃は年々巧妙になっており、情報漏えいや金銭窃取の被害が後を絶ちません。その被害の多くは、メールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が原因であり、特定のセキュリティ対策製品を導入しただけでは被害を防ぐことができない場合があります。 個人情報や機密情報を扱う業務やその他重要な業務においては、ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策を多層で行う必要があります(多層防御)。 「多層防御」を考慮したセキュリティ対策と運用管理を継続的に実施してください。 ウイルス感染や内部不正が発生しても、被害を回避・低減にできるシステム設計や運用ルールになっているか、ルールが徹底されているか、PDCAサイクルに沿って見直していくことが重要です。 1. ウイルス感染リスクの低減 ウイルス感染の防止が
IT人材白書:IPA 独立行政法人 情報処理推進機構
IPAはIT社会の動向を調査・分析し、情報発信するため、2009年から「IT人材白書」、2017年から「AI白書」を発行してきましたが、昨今、DXの進展に伴い、ITとビジネスの関係がさらに密接となってきたことを背景に、人材、技術、そして戦略の要素を統合し、新たに「DX白書2021」を発刊しました。 DX白書2021 ◎従来の「IT人材白書」を統合した内容となっています。 IPAでは、「IT人材白書(IT人材動向調査)」の調査内容の一部を継承した下記の調査を行い、報告書を公開しています。併せて、ご利用ください。 2020年度「デジタル時代のスキル変革等に関する調査」 IT人材(※)の学び直しや流動実態の把握に加え、変革を推進するための組織や人材マネジメントのあり方などについて調査しました。 ※IT人材とは、従来のIT人材(IT企業や事業会社の情報システム部門等に所属している人)に加えて、IT
パスワード-もっと強くキミを守りたい- : IPA情報処理推進機構
出展期間・場所 MAP (1) 2015年4月3日(金)~ 4月9日(木)【終了しました】 JR原宿駅 線路側ボード(ホームからご覧いただけます) (2) 2015年4月10日(金)~ 現在 JR原宿駅 道路側ボード(駅を降りて竹下口に面した道路よりご覧いただけます) 共催:独立行政法人情報処理推進機構(IPA)/公益財団法人 日本交通文化協会 後援:サイバーセキュリティ戦略本部/経済産業省/国立研究開発法人情報通信研究機構(NICT) 陽だまり家族とパスワード ~自分を守る3つのポイント~ 仲良し5人家族をある日突然襲ったなりすましや不正送金の被害…。脅威が高まるパスワード漏えいへの対策についてホームドラマを通してわかりやすく解説します。(時間:約10分)
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
2014年8月の呼びかけ:IPA 独立行政法人 情報処理推進機構
「今月の呼びかけ」一覧を見る 第14-13-318号 掲載日:2014年 8月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) 前月の呼びかけ※1でも紹介しているように、インターネットバンキングにおける不正送金被害は増加傾向にあります。 また、全国銀行協会が発表したアンケート結果※2に基づく過去2年間の法人口座の不正送金被害の推移を見ると、平成26年に急増していることがわかります(図1参照)。 図1:法人口座の不正送金被害の推移(過去2年間) 被害額急増の理由の1つに電子証明書※3を窃取するウイルスによる新しい手口※4の出現があります。 今月の呼びかけでは、法人口座を狙う不正送金の新しい手口と、その対策方法について解説します。
プレス発表 システムメンテナンスに伴うITパスポート試験の中止について:IPA 独立行政法人 情報処理推進機構
2014年4月29日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江一正)では、CBT方式(*1)で実施している国家試験「ITパスポート試験」システムにおいて、セキュリティ上の欠陥(脆弱性)が見つかりました。 つきましては、同システムの緊急システムメンテナンスを行うため、2014年4月29日(火)及び4月30日(水)開催予定の試験は中止とさせていただきたく、両日受験を予定されている方々には大変ご迷惑をお掛けすることとなり謹んでお詫び申し上げます。 なお、両日受験を予定されている方々に対しては、応募時に登録された電子メールアドレスに個別に連絡をいたしました。 また、当該システムのメンテナンスは、4月30日(水)16時の終了を予定しており、5月1日(木)からは、試験を通常どおり再開する予定です。 脚注 (*1)CBT方式(Computer Based Test
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について:IPA 独立行政法人 情報処理推進機構
ウェブサイト上でのショッピングや金融取引における通信は一般に、SSL と呼ばれる方式で暗号化されています。この SSL を実現するソフトウェアの一つである OpenSSL に、情報漏えいの脆弱性が発見されました。https でアクセスできるウェブサイトは、この脆弱性の影響を受け、ウェブサイトから情報が漏えいする可能性があります。 図:脆弱性および、脆弱性から想定可能な影響のイメージ 漏えいした情報が悪用された結果、上図のような影響が生じる可能性があります。連鎖被害を防ぐために、下表のような対策をとることが推奨されます。 直接被害 派生(連鎖)被害 対策 ウェブサイト運営者 ウェブサイト利用者(一般ユーザ) 詳細は次節[ウェブサイト利用者(一般ユーザ)としての対応]参照 サイト秘密鍵の漏えい
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第8章 マッシュアップ:クライアントサイドマッシュアップ: #4 対策に利用できる技術
第8章 マッシュアップ クライアントサイドマッシュアップ: #5 対策に利用できる技術 Webクライアントにおけるセキュリティ対策対象レイヤ クライアントサイドマッシュアップにおけるセキュリティ確保については、アプリケーションコードレベル、ライブラリレベル、ブラウザ(JavaScriptエンジン)レベルの各階層に分けて説明する。 特に、ブラウザレベルの対策が充実すると、開発者の負担は軽くなることが期待される。 サーバからブラウザ宛のレスポンスヘッダ内に、セキュリティ対策のふるまいを指定する仕様が複数、存在している。 (1) セキュリティ対策機能をオンにするためのヘッダ サーバからロードされるコンテンツに添えられるレスポンスヘッダに、何らかのセキュリティポリシーの執行をブラウザへ要請する用途のものが増えてきた。例えば、次のレスポンスヘッダである。 X-XSS-ProtectionXSSフィル
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第8章 マッシュアップ:セキュリティトークンとOAuth 2.0
第8章 マッシュアップ セキュリティトークンとOAuth 2.0 OAuth 2.0は、アクセス認可の判断結果(誰々は、どこそこのリソースにアクセスしてよいということ)をネットワーク越しに安全に伝達することを目的としたプロトコル仕様である。このプロトコル仕様を公式に規定した RFC 6749,“The OAuth 2.0 Authorization Framework” が2012年10月に発行された。 マッシュアップに使われる素材サーバ中のリソースを、資格あるユーザに対してのみ開示するように保護して制御する案件において、OAuth 2.0は有用な手段となる。 セキュリティトークンと引き換えにリソースを得る構図 マッシュアップに組み入れるゲストリソースには、有償のものや守秘性の高いものもあり得る。このようなリソースを提供する素材サーバは、通常、アクセス制限を設け、これらを保護するようにする
アイデンティティ管理技術解説:IPA 独立行政法人 情報処理推進機構
背景と目的 今日のアイデンティティ管理技術は、人々に付す識別子(ID)のみを扱う技術ではなく、多様な属性情報を管理するものとなっています。属性情報をオンラインで利用する際にも複数の目的があり、人々を本人であると認証すること、人々の属性情報を交換することの他、人々の属性情報に基づいてアクセスを制御すること等が挙げられます。そして、それぞれの目的に利用できる技術仕様が複数、策定されています。 このようにアイデンティティ管理技術は多種多様性を増しています。 しかし、アイデンティティ管理技術を全体観をもって解説する取り組みがなされてこなかったので、情報処理技術者が体系的に把握して学習することが容易ではない状況にあります。今日、多種のアイデンティティ管理技術の中から自らのシステム構築に適するものを選択したり、他者が採用しているアイデンティティ管理技術との間で相互運用可能性を確保することを検討したりす
2013年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構
「今月の呼びかけ」一覧を見る 第13-25-293号 掲載日:2013年6月4日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) IPAセキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け付けています。特に不正アクセスの中の「ウェブ改ざん」に着目すると、4月1日から5月31日までの間に既に10件ものウェブ改ざんに関する届出が寄せられています。過去には、いわゆる「ガンブラー」の手口が流行した2010年第1四半期と、去年9月に近隣諸国からと思われる攻撃が多発した2012年第3四半期に、それぞれ16件のウェブ改ざんが届け出られていますが(図1参照)、それに匹敵する件数です。 図1:IPAに届け出られたウェブ改ざんの件数推移(直近4年間) 「ウェブ改ざん」というとサーバーの弱点を悪用されるものと思われがちですが、それ以外にも、ウェブページの
今月の呼びかけ:IPA 独立行政法人 情報処理推進機構
第12-30-265号 掲載日:2012年 11月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 便利なソフトウェアをダウンロードしたはずが、仕掛けられたウイルス感染し、自治体や掲示板サイトへの殺人予告や破壊予告などの投稿を勝手に実行された、という一連の事件が連日報道されています。この一連の事件は、自分のパソコンがウイルスに感染した場合、何かしらの犯罪に巻き込まれてしまう可能性があることを具体的に示すものでした。 IPAではこれまで様々な呼びかけを行ってきましたが、今回の事件をうけて、ウイルス感染から身を守るための対策を、原点に立ち返って改めて呼びかけます。 (1)IPAの届出制度により入手した遠隔操作ウイルスの概要 「一般利用者が遠隔操作ウイルスに感染するまで」と、ウイルス感染後の「攻撃者による遠隔操作」に分け、それぞれ図1と図2に示します。 ▼一般利用者がウイルス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
サイバーセキュリティのひみつ : IPA情報処理推進機構
IPA テクニカルウォッチ:「サーバソフトウェアが最新版に更新されにくい現状および対策」:IPA 独立行政法人 情報処理推進機構
情報処理推進機構:情報処理技術者試験:新着: