IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAが脆弱性の届出を受けたウェブサイトそれぞれで使用されているウェブサーバ関連ソフトウェアのバージョン確認を実施し、その結果を踏まえ、ウェブサイト運営組織および管理者向けに「サーバソフトウェアが最新版に更新されにくい現状および対策」として2014年4月25日からIPAのウェブサイトで公開しました。 下記より「サーバソフトウェアが最新版に更新されにくい現状および対策」PDF版をダウンロードしてご利用いただけます。
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、昨今のウェブサイト改ざんの一因となっている、脆弱性が含まれる古いバージョンのCMS(*1)を使い続けているウェブサイトの届出が、6月からの累計で42件寄せられているのを受け、ウェブサイト運営者へ早急な対策を呼びかける為、注意喚起を発することとしました。 サイバー攻撃による被害を受けるリスクが高まっています。速やかな脆弱性対策の実施を! 1.概要 今年に入り、ウェブサイト改ざんの被害が急増しています(*2)。改ざんされてしまう要因の1つとして、CMSの脆弱性が悪用され、改ざんが行われる手口が報告されています。 IPAの脆弱性届出窓口(*3)には、攻撃に悪用された実例のあるCMS「WordPress」及び「Movable Type」について、古いバージョンがウェブサイトで使い続けられている旨の届出が、6月から9月上旬までの約3ヶ月間
公開日:2012年12月11日 最終更新日:2013年5月16日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 本ページの情報は2013年5月時点のものです。 SSLプロトコルが安全に機能していることを暗黙の前提としてインターネットを介したコンシューマ向け電子商取引市場が成り立っています。このような状況下においては、SSLプロトコルが安全に機能しているという前提が崩れた場合、多数の消費者が、無防備な状況下におかれていることにさえ気がつかずに、インターネットを介したサービスを利用し続ける可能性があります。 一方、SSLプロトコルは、技術的には相互接続を重視した汎用性をもつセキュリティプロトコルの一つであり、強固な暗号アルゴリズムから輸出規制に対応した弱い暗号アルゴリズムまでを包括しており、使用される暗号アルゴリズムの選択は、SSLサーバの設定により決定されることになっています
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、インターネットを利用した各種のサービス(以下、Webサービス)に対するサービス妨害攻撃に関して適切な対策実施を促すため、「サービス妨害攻撃の対策等調査」を実施し、その報告書を2010年12月16日(木)から、IPAのウェブサイトで公開しました。 http://www.ipa.go.jp/security/fy22/reports/isec-dos/index.html 近年、電子商取引や検索サービス、インターネットバンキング等、各種 Web サービスの提供が、さまざまな企業や公的機関等で広く行われています。このようなサービスは、普段から適切な対策を実施していなければ、悪意ある者によるサービス妨害攻撃(Denial of Service Attack、DoS 攻撃)により、サービスの継続を妨害される可能性があります。 2009年7
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、主催する「脅威と対策研究会」において「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の改訂第2版をまとめ、2011年11月30日(水)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/newattack.html ソフトウェアの脆弱(ぜいじゃく)性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や公的機関をねらい、対応が難しく執拗(しつよう)なサイバー攻撃を、IPA では「新しいタイプの攻撃」と呼んでいます。「新しいタイプの攻撃」は、「攻撃に気付けない」「バックドアが設置される」等の特徴があり、従来のセキュリティ対策では完全な防御が行えなくなっています。国外でこのような「新しいタイプの攻撃」が複数発生したことをうけ、IP
第11-25-223号 掲載日:2011年 7月 5日 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年6月および2011年上半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 2011年4月、ソニーの「PlayStation Network」からの大規模な個人情報の漏えいが報じられました。その後もサイバー攻撃による様々な組織の被害が立て続けに報じられており、犯行声明・犯行予告を出すグループ(「Anonymous〈アノニマス〉」「LulzSec〈ラルズセック〉」等)が注目を集めるなど、サイバー攻撃の脅威と対策への関心が高まっています。攻撃の標的となる可能性という点では、規模や業種に関わらず、国内のあらゆる組織や企業も同様の条件下にあります。
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ITの専門家や技術者だけでなく、一般の利用者にも情報セキュリティの現状を周知することを目的に、国内外の注目すべき情報セキュリティ事件・事故や、新しいサービス・情報機器の利用拡大による新たな脅威など、広く情報セキュリティに関する出来事や状況をまとめ、「情報セキュリティ白書2011」として、2011年6月6日から販売を開始しました。 「情報セキュリティ白書」は、公的機関としてのIPAが毎年発行する情報セキュリティに関する報告書です。企業のシステム開発者・運用者に対して情報セキュリティの現状や、今後の対策のために役立つ情報を提供するとともに、パソコンやスマートフォン等の情報機器を使用する一般の利用者にも情報セキュリティの概観や身近な話題を提供することを目的としています。 2010年度には、攻撃が企業や個人のみならず、イランの発電所の制
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、中小企業の情報セキュリティ対策を推進するための「中小企業のためのクラウドサービス安全利用の手引き」や報告書など、「中小企業の情報セキュリティ対策に関する研究会」の成果をとりまとめ、2011年5月30日から、IPAのウェブサイトで公開しました。 我が国の中小企業における情報セキュリティ対策状況は、大企業に比べて格差が拡大する傾向にあります。 IPAの「平成21-22年度中小企業の情報セキュリティ対策に関する研究会」では、情報セキュリティに関する情報を収集し、中小企業において実施が遅れている対策や、何らかの事情により実施できない内容について研究を進め、対策実践情報・対策手段の検討を行いました。これらの情報やツールの活用は、情報セキュリティ対策専任者を配置できない企業や、社内教育の実施ができていない企業等の問題解決に繋がることが期待さ
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年2月28日、WAFの導入・運用における要点を拡充し、実例を紹介した「Web Application Firewall(WAF)読本 改訂第2版」をIPAのウェブサイトにて公開しました。 URL: http://www.ipa.go.jp/security/vuln/waf.html IPAはウェブサイトの運用面での脆弱性対策の一つとしてWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)が有効と考えています。 しかし、IPAが企業に被害状況調査(*1)をおこなったところ、WAFを「導入済み」と回答した企業は全体の25.8%に留まるなど、WAFの導入が進んでいない状況が明らかになりました。この背景には、「WAFの導入に関する情報が少なく、WAFの導入における費用や工数がわ
第7章 エコーバック対策 スクリプト注入: #1 ふたつの攻撃 スクリプト注入を許してしまうWebサーバの挙動 スクリプト注入(Script injection)は、被害者のブラウザに悪意のスクリプト(大部分はJavaScriptのコード)が入り込み、ブラウザの内側からセキュリティ侵害が起こる問題である。 代表的な攻撃として、いわゆる「クロスサイトスクリプティング(XSS)」が挙げられることが多い。これは Webサーバのエコーバック(鸚鵡返し(おうむがえし))のロジックを悪用する攻撃である。もうひとつ、いわゆる「第二攻撃(Second-order XSS)」も挙げられる。 いずれの攻撃においても、スクリプト注入を許してしまう Webサーバは、HTML生成時のスクリプト除染が不備なものである。 参考: CWE-79: Improper Neutralization of Input Duri
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)オープンソフトウェア・センターは、クラウドコンピューティング構築へのオープンソースソフトウェア(OSS)1 およびオープンな標準2 の適用可能性調査を、4件のテーマにおいて実施しました。今般、そのうち以下2件の報告書がまとまりましたので、オープンソース情報データベース「OSS iPedia3(オーエスエス アイペディア)」から公開しました。 OSS仮想化機構KVMについての調査: http://ossipedia.ipa.go.jp/doc/207 アプリケーション実行基盤としてのOpenJDKの評価: http://ossipedia.ipa.go.jp/doc/208 IT投資効率の拡大への期待、ITシステムの省エネルギー化への期待などからクラウドコンピューティング技術に対する関心が高まりつつあります。また、先行している事例にお
企業や個人が運営しているウェブサイトを改ざんされる事例が継続的に発生しています。改ざんされたウェブサイトには、閲覧した利用者のパソコンをウイルスに感染させる仕掛けが組み込まれている場合があります。 改ざんされたウェブサイトの管理者は、被害者に留まらず、閲覧した利用者のパソコンにウイルスを感染させてしまう加害者となります。このような被害の拡大を防ぐため、ウェブサイトの管理者は、運営しているウェブサイトが改ざんされていないか確認し、ウイルスの "ばらまきサイト" に仕立て上げられないようにしてください。 利用者が多いウェブサイトほど、被害が拡大する傾向にあります。 最近では公共交通機関のウェブサイトなど、多くの利用者が信頼するウェブサイトについても、改ざんされる事例がありました。すべてのウェブサイト管理者が注意する必要がありますが、特に利用者が多いウェブサイトは注意してください。 (1) ウェ
ここでは、推奨されるパッチ適用手順を解説しているが、この手順は、システムやサービスのバージョンアップにも当てはまる。システムやサービスに変更を加えるような場合は、このような手順にしたがい実施することが望ましい。 ア) パッチの入手 前述した「1)セキュリティ情報収集」の各リンク先などから入手したセキュリティ情報に基づき、対象システムに必要なパッチがあるかを判断し、必要であれば対象のパッチを入手する。通常、セキュリティアドバイザリ情報中にパッチ入手先が記載されている。また、パッチはベンダ/ソフトウェアのオフィシャルサイトもしくはベンダーから郵送されるCD-ROMなどから入手する。 イ) テスト環境への適用 直接本番機へパッチを適用するのではなく、本番機と同じ環境を持つテスト環境マシンを用意しておき、そのマシンにパッチを適用し、適用後も対象システムに問題が発生せずに通常サービスの提供が実施可能
※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く