OWASP Japanの有志メンバーとしてOWASP Proactive Controls 2016の日本語翻訳版を作成しました。今回はこのドキュメントについて紹介します。 OWASP（Open Web Application Security Project）は、Webアプリケーションのセキュリティに関するオープンソースのコミュニティです。様々なドキュメントやツールが公開されていますが、最も有名な成果物は、OWASP Top10でしょう。 OWASP Top10は、最も重要なWebアプリケーションの脆弱性について解説したドキュメントです。 今回、日本語翻訳版が作成されたOWASP Proactive Controlsは、Top10で示されている 脆弱性を作りこまないようにするために、開発プロジェクトでどのように取り組めば良いかを示した「事前の対策ガイドライン」という位置づけです。 Pro

「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ 2015年6月 9日　|　お知らせ 2015年6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を、当社が知り得た範囲で整理し、対処方針など他山の石として学ぶべきことを提言するものです。 日本年金機構は、何らかの目的をもって攻撃を繰り返す犯罪者により、個人情報の窃取という被害を受けました。攻撃は執拗かつ巧妙であると見られ、その手法は標的型サイバー攻撃という、狙いをさだめた攻撃対象に対して特化された電子メールやウイルスを仕込んで行われたものでした。 本来は情報系システムとは切り離された基幹系システムで管理されている個人情報が窃取された原因は、日本年金機構内で行われていた業務手順により、情報系システムに個人情報がコピーされていたためでした。 情報を守るために切り離された２つの

当社Webサイトの改ざんに関する誤報について 2014年10月 1日　|　お知らせ 2014年9月30日 22時07分58秒に、エストニアのセキュリティーニュースサイトZone-H（ゾーンエイチ）において、当社のホームページ https://www.lac.co.jp/index.htmlが改ざんされているという報告がなされました。 http://www.zone-h.org/mirror/id/22967803?zh=1 本件に関しまして、当社に対しまして数件の問い合わせが行われたため、当社ホームページにてお知らせいたします。 当社においてこの報告内容を確認したところ、“virtualize.html” という文言の“virtual” 部分を不正部分と検出したという内容でした。 現在公開されているコンテンツおよび、それ以前のコンテンツとの差分を確認しましたが、特に改ざんなどの不正な個所は

当社の緊急対応チーム『サイバー救急センター』は、標的型攻撃に関する調査を行う過程で、正規のソフトウェアのアップデートを装いコンピューターウイルスに感染させる、複数の事案を確認しました。本件は当社が2013年10月9日に発表した「日本でも発生した『水飲み場型攻撃』に対して注意喚起」とは異なる、新しい標的型攻撃の手口と捉えています。 本注意喚起情報は、当該ソフトウェアを使用しているお客様が、本事案の悪影響を受けていないかを確認する方法をお伝えするために公開いたします。また、今後、企業内で使用している正規ソフトウェアのアップデートにおいて同様の仕掛けがなされる危険性もあり、あわせて注意喚起するものです。 2014/03/10 更新 本注意喚起情報を多くの皆様にご覧いただき、また100件を超える電子メールおよびお電話でのお問い合わせをいただました。情報を発信した企業としての責任として、お問い合わせ

ラック、日本でも発生した『水飲み場型攻撃(＊)』に対して注意喚起 ～マイクロソフト社のセキュリティ向上に協力し、企業の安全確保を支援～ 2013年10月 9日　|　プレス 株式会社ラック（本社：東京都千代田区、代表取締役社長：髙梨 輝彦、以下ラック）は、日本の企業や団体に的を絞り行われ、当社が発見したマイクロソフト社のInternet Explorerの未知の脆弱性を悪用した悪質なサイバー攻撃に関する注意喚起情報を公開しました。 一連の事案で行われたサイバー攻撃の手法は、「水飲み場型攻撃」として呼ばれるもので、不特定ユーザーまたは特定のユーザー層（組織、業界、地域等）が閲覧するWebサイトに攻撃者が不正なプログラムを仕込み、それの閲覧者に不正プログラム（コンピュータウイルス）を感染させるなどの被害を与えるものです。 このたび確認された「水飲み場型攻撃」は以下の特徴があり、極めて悪質なもので