情報セキュリティの欠陥となる脆弱(ぜいじゃく)性が発見されると、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)という識別IDが与えられ、重大度が評価された上でリスト化されます。このCVEのシステムに大きな問題があると、転送ライブラリであるcURLのメンテナーであるダニエル・ステンバーグ氏が自身のブログで疑問を提起しています。 CVE-2020-19909 is everything that is wrong with CVEs | daniel.haxx.se https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/ 2023年8月25日、ステンバーグ氏はcURLのメーリングリストで、「最近cURL関連の脆弱
English お知らせ 2023年5月19日 富士通株式会社 情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて 当社および当社グループ会社の度重なる情報セキュリティインシデントやシステム品質に関する問題により、お客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることについて、あらためて深くお詫び申し上げます。 情報セキュリティに関しましては、2021年に検知したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスをはじめ、2022年に発覚したクラウドサービス「FJcloud-V/ニフクラ」や「FENICSインターネットサービス」等での情報セキュリティインシデントにより、多くのお客様や関係者の皆様に多大なるご迷惑をおかけいたしました。また、システムの品質に関しましては、今般の「Fujitsu MICJETコンビニ交付」に関連した一連
Microsoftは、『ローカル セキュリティ機関の保護』(Local Security Authority / LSA)に不具合が発生していることを発表しました。 不具合概要Windows11バージョン22H2および21H1環境において、『ローカル セキュリティ機関の保護』が有効(オン)にも関わらず、「この変更を適用するにはデバイスを再起動してください。」「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」という警告が表示がされて、再起動後もこの警告が表示され続ける場合があります。 『ローカル セキュリティ機関の保護』に警告が表示 この不具合は以前から発生していましたが、今回、Microsoftが不具合を認めした。 Microsoftによると、この不具合は、Microsoft Defender用更新プログラム『Update for Micros
Bleeping ComputerはWindows 11のシステム要件の一部であるTPM 2.0の脆弱性に関する懸念を指摘した。広範囲に影響する脆弱性であるにもかかわらず、ベンダーの対応が遅い点を危惧している。 Bleeping Computerは2023年3月4日(現地時間)、セキュリティモジュールTPM(Trusted Platform Module) 2.0で見つかった脆弱(ぜいじゃく)性について、各ベンダーの対応が追い付いていないと指摘した。 同情報サイトは、これらの脆弱性について深刻度「重要」(High)に分類されているが、明確にアップデートを打ち出しているメーカーが少ないとして注意を呼びかけている。「Windows 11」ユーザーは同脆弱性に該当している可能性があるため、ベンダーからアップデート情報が出た場合には迅速に対処する必要がある。 TPM 2.0はOSのセキュリティを強
CRYPTREC暗号リスト (電子政府推奨暗号リスト) 電子政府における調達のために参照すべき暗号のリスト (CRYPTREC暗号リスト) デジタル庁、総務省及び経済産業省は、CRYPTRECの活動を通して電子政府で利用される暗号技術の評価を行っており、2023年3月に 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」(最終更新:2024年(令和6年)5月16日、CRYPTREC LS-0001-2022R1、初版:2023年(令和5年)3月30日)を策定しました。 CRYPTREC暗号リストは、電子政府推奨暗号リスト、推奨候補暗号リスト及び運用監視暗号リストで構成されています。 「政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)」(令和5年(2023年)7月4日、サイバーセキュリティ戦略本部)において、以下のとおり記載されており、政
eSecurity Planetは11月8日(米国時間)、「6 Types of Rootkit Threats & How to Detect Them (+ Examples)」において、ルートキットの脅威トップ6とルートキットから身を守るためのヒントを紹介した。ルートキットとは、システムへの不正アクセスに成功した攻撃者が、侵入後に遠隔操作で活動するために必要なツールのセットのこと。 ルートキットから自身やビジネスを守るため、さまざまな種類のルートキットを理解し、可能な限りデバイスからルートキットを排除するための手順や感染に気づいたときの対処法を理解しておくことが重要だと伝えている。 ルートキットの脅威トップ6は次のとおり。 カーネルモードのルートキット - オペレーティングシステムのコアとされているカーネルのコンポーネントをルートキットに変更する ブートキット - カーネルモードルー
関連キーワード バックアップ | サイバー攻撃 | データ | データセキュリティ | 運用管理 バックアップツールベンダーCohesityの調査によると、約半数の回答企業が10年以上前の古いシステムをデータのバックアップと復旧に利用している状況が明らかになった。同社は、サイバー攻撃者にとって古いバックアップシステムは格好の標的になると指摘する。 「古いバックアップシステム」が攻撃者に狙われる理由 併せて読みたいお薦め記事 連載:古いバックアップシステムに潜む危険 前編:「古いバックアップシステム」は“危険だ”としか言えない理由 増加傾向にある企業のデータ量 「データが増え過ぎてストレージ業界がもう限界」という話は本当か? 産業機器メーカーが「古いバックアップシステム」を捨てた納得の訳 調査は米国、英国、オーストラリア、ニュージーランドの企業に勤務するITとセキュリティの意思決定者約200
三菱電機は9月29日、炊飯器や冷蔵庫などの家電製品やネットワーク機器などで複数の脆弱性が見つかったと発表した。悪用されるとDoS攻撃を受けた状態になったり、情報漏えいが発生したりする恐れがあるとしている。 【編集履歴:2022年9月30日午後8時 画像内に対象製品ではないものが含まれていたため修正しました】 対象製品は同社製のエアコン、無線LANアダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IHクッキングヒーターなど。 見つかったのは(1)情報漏えいの脆弱性、(2)DoSの脆弱性、(3)悪意のあるスクリプトを含むメッセージを応答する脆弱性。認証情報が暗号化されず、盗聴により情報を盗まれる恐れもある。 対象製品と対処法一覧(情報漏えいの脆弱性) 対象製品と対処法一覧(DoS、悪意のあるスクリプトを含むメッセージを応答する脆弱性) 三菱電機
ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭(1/2 ページ) 「ランサムウェア」の攻撃パターンといえば、ある日メールが届き、何だろうと思って添付ファイルを開いたら、PC画面に警告が表示され「PC内のデータを暗号化した。解除したければ身代金を支払え」という趣旨のメッセージが表示される――そんなシナリオが頭に浮かんだ人は、知識のアップデートが必要だ。 「ランサムウェアという言葉が一人歩きしていますが、従来のランサムウェアと昨今の攻撃では手口が全く違うので、一言でまとめてしまうと、それらがごっちゃになってしまい、勘違いする人も多い印象です」 そう話すのは、インターネットイニシアティブ(IIJ)の秋良雄太さん(セキュリティ本部)だ。 特集:ランサムウェア徹底解説 流行りの侵入経路と最新対策 Log4j 2の脆弱性やEmotetの再流行、ロシアのサイバー犯罪グ
Mutex オブジェクトを使用して、リソースへの排他的アクセスを提供できます。 Mutex クラスは Monitor クラスよりも多くのシステム リソースを使用しますが、アプリケーション ドメイン境界を越えてマーシャリングしたり、複数の待機操作とともに使用したり、異なるプロセスのスレッドを同期するために使用できます。 マネージド同期メカニズムの比較については、「同期プリミティブの概要」を参照してください。 コード例については、Mutex コンストラクターのリファレンス ドキュメントを参照してください。 ミューテックスを使用する スレッドはミューテックスの WaitOne メソッドを呼び出して、所有権を要求します。 この呼び出しは、ミューテックスを使用できるようになるまで、あるいはオプションのタイムアウト期間を超過するまでブロックします。 所有しているスレッドがない場合、ミューテックスはシグ
「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の改定について 令和元年9月24日 内閣サイバーセキュリティセンター(NISC) 平成23年3月に公表した「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」について、平成30年7月に改定された「政府機関等の情報セキュリティ対策のための統一基準」に伴い改定いたしましたので、お知らせいたします。 政府機関の情報システムにおいて適切に情報セキュリティ対策を講じるためには、情報システムのライフサイクル(企画・設計・開発・運用・廃棄) において、上流の企画段階から情報セキュリティ対策を考慮し、調達仕様にセキュリティ要件を適切に組み込むことが求められます。しかしながら、セキュリティ要件については調達仕様が曖昧になりやすく、その結果セキュリティ対策に過不足が発生することがあります。 こうした問題意識
いわゆる IoT や IoT デバイスと呼ばれている、物理的な実体をもつ物の状態に関する情報を収集したり、収集された情報などをもとに物の状態を変える制御を行うための分散システムは近年、注目されており、今後も増加傾向が続くとされています。 そのような IoT デバイスは、常時ネットワークに接続されており、多数の同じIoTデバイスがネットワーク上に接続されているケースが多く、個々のIoTデバイスのセキュリティ管理の徹底が難しいことが多いと考えられます。また、IoT デバイスの中には、新機能の作り込みに注意を奪われるあまり、セキュリティ的な耐性に関する設計が忘れ去られているものが少なくありません。 利用者においても、IoTデバイスを使ってシステムを構築する際に、必要なセキュリティ的耐性を備えていることを確認した上で、システムを構成する製品を選定することが重要になります。不適切な製品を選べば、サイ
富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。 日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。 ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、
CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームです。 近年の組織 (企業) の IT 利用の拡大に伴い、情報セキュリティ対策は組織にとって重要な問題となってきています。高度に複雑化し、かつインターネットを介して大容量のデータを瞬時に、しかも容易に世界中とやり取りできる IT システムの利用が一般的になったことで、単に「現場 = システム管理者」の頑張りだけで済む問題ではなくなってきています。例えば、情報システムがコンピューターウイルスに感染してしまったために、顧客の個人情報が世界中にばら撒かれてしまったといった事態を考えてみれば、情報セキュリティの問題が、もはやシステム管理者だけの問題ではなく、経営層が積極的に関与しなければならない問題であることは容易に想像
情報セキュリティ Computer Security Division Information Technology Laboratory National Institute of Standards and Technology Gaithersburg, MD 20899-8930 2012 年 9 月 米国商務省 長官代理 Rebecca M. Blank 米国国立標準技術研究所 標準技術担当次 官兼所長 Patrick D. Gallagher リスクアセスメントの実施の手引き JOINT TASK FORCE TRANSFORMATION INITIATIVE NIST Special Publication 800-30 Revision 1 Special Publication 800-30 リスクアセスメントの実施の手引き _______________________
パブリッククラウド・プライベートクラウドの違いとは? クラウドコンピューティング(クラウド)は、サーバーやストレージ、ネットワークなどのコンピュータリソースを、いつでもどこからでも自由に利用することができるシステムです。 突発的なアクセス増やビジネスの成長に迅速かつ柔軟に対応できるようになり、ITリソースの効率的な利用や共有を行えるメリットがあります。 クラウドはパブリッククラウドとプライベートクラウドの大きく2つに分けることができます。 「パブリッククラウド」とは、業界・業種を問わず企業もしくは個人に向けてクラウドコンピューティング環境を提供しているオープンな形態を指します。 パブリッククラウドは、専用のハードウェアなどを所有することなく、企業でも個人でも利用したい人が必要な時に必要なだけ自由にサーバーやネットワークリソースを使えるシステムです。ネットでオンライン申し込みをして、すぐにク
Intezerは5月29日(米国時間)、Linuxシステムを標的とした新しいマルウェア「HiddenWasp」を発見したと「Intezer - HiddenWasp Malware Stings Targeted Linux Systems」で伝えた。 このマルウェアは現在も活動を継続しており、主要なアンチウィルスシステムで検出することができないと指摘されている。発見されたHiddenWaspの主な特徴は以下の通り。 Linuxマルウェアの多くは仮想通貨マイニングやDDoS攻撃に焦点を当てているが、HiddenWaspは異なっている。HiddenWaspはトロイの木馬として設計されており、標的のシステムを純粋にリモートコントロールするために開発されている HiddenWaspに感染しているユーザーはすでに標的型攻撃のターゲットになっている可能性が高い HiddenWaspはMiraiやAz
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く