Webアクセスの無害化、その盲点
ここ2、3年に「無害化」をうたうセキュリティ対策の製品やサービスが増え、多くの注目を集めている。無害化とは、ユーザーが攻撃者によって細工されたWebサイトにアクセスしたり、攻撃者が送り付けたメールを受け取ったりしても、ユーザーのパソコンをウイルスに感染しないようにするセキュリティ対策だ。 ウイルスの感染防止には、ウイルス対策ソフトやウイルスゲートウェイ機能を持つネットワーク機器を使う既存のセキュリティ対策もある。無害化が注目される理由は、対策の原理を抜本的に見直して、多くのメーカーが「仕組み上ウイルスに感染しない」としているからだ。 しかし無害化が、あらゆる攻撃に対応できるわけではない。そこで無害化は、どのような仕組みでウイルスに感染しないのか、どんな攻撃に弱いのかを見ていこう。 メールとWebアクセスの2種類ある 無害化製品は、無害化する対象の違いから、大きく二つに分けられる。メールの添
はてなブックマーク
キーボードショートカット一覧 j次のブックマーク k前のブックマーク lあとで読む eコメント一覧を開く oページを開く ✕
[ESET] 三井住友カードをかたるフィッシングメールの注意喚起について| ウイルス・セキュリティニュース | キヤノンITソリューションズ
ESETセキュリティ製品をご利用いただき、誠にありがとうございます。 2014年4月30日現在、三井住友カードをかたるフィッシングメールが確認されております。 フィッシングメール内のリンクをクリックすると、偽の類似サイトに誘導されます。 サイト上でアカウント情報([ 会員番号 ]、[ カード有効期限 ]、[ 3桁の番号 ]、[ 生年月日 ]、[ 電話番号 ]など)の入力欄には、決して情報を入力しないようお願いします。 このようなフィッシングサイトは日々新規に作成されています。ESET製品に関しましては、新規に作成されるフィッシングサイトにも随時対応しておりますが、お客さまにおかれましても、ご注意いただきますようお願い申し上げます。 なお、報告のあったサイトがすでに削除されていることを弊社で確認しております。しかし、今後新たに類似のサイトが作成される恐れがありますので、ご注意いただきますよう
(緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年5月30日更新)
--------------------------------------------------------------------- ■(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について(2014年4月15日公開) ~問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨~ 株式会社日本レジストリサービス(JPRS) 初版作成 2014/04/15(Tue) 最終更新 2014/05/30(Fri) (対策に関するDNS運用者向け文書へのリンクを追加) --------------------------------------------------------------------- ▼最近の状況 最近、日本の大手ISPにおいてカミンスキー型攻撃手法によるものと考えら れるキャッシュDNSサーバーへのアクセスが増加している旨、JP
IPA、JPEG画像を閲覧する機器の脆弱性を検出するツール「iFuzzMaker」公開 | RBB TODAY
情報処理推進機構(IPA)は030日、スマートテレビなどの情報家電やスマートフォンなど、いわゆる「組込み製品」の脆弱性を検出するツール「iFuzzMaker」(アイ・ファズ・メーカー)をオープンソースソフトウェアとして公開した。 IPAが行った検証テストでは、JPEG画像を閲覧する機能に不都合をきたす可能性のある脆弱性が検出されており、JPEG画像を閲覧しただけで、ウイルスに感染したり外部から遠隔操作されたりする可能性があるという。現在、スマートテレビなどの情報家電、スマートフォンやタブレットなどでもJPEG画像を閲覧できる機能が組み込まれており、組込み製品のなかにも同様の脆弱性が意図せず作り込まれてしまう可能性がある。 「iFuzzMaker」は、JPEG画像を読み込む機能を持つ製品に対し、テストデータを読み込ませて、製品の動作に問題が生じないかを確認するセキュリティテスト「ファジング」
第1回 SNSの個人情報がさらされる、昔ながらの攻撃だが対策は後手
「クリックジャッキング」とは、ユーザーを視覚的にだまして、正常に見えるページとは別のページをクリックさせる攻撃のこと。ユーザーのクリックを乗っ取る(「hijack」の「jack」と同義)ことから、こう呼ばれている。 まだ国内の多くのサイトで対策が進んでいないクリックジャッキング攻撃について、その実態と防ぎ方を4回に分けて解説する。サイトを運営する担当者が気を付けて対策を打つものだが、ユーザーも被害が及ぶものだけに、その仕組みをしっかり理解してほしい。 クリックジャッキング攻撃によると思われる事件が複数発生していたため、2013年2月から3月にかけて、IPAではウェブサイトでクリックジャッキング攻撃への対策の一つである「X-FRAME-OPTIONS」の導入が進んでいるかを調査した。その結果、対策が施されていたウェブサイトは56サイトのうちわずか3サイトだけ(図1)。まだ現実にはクリックジャ
IE 9以前に深刻な脆弱性、パッチ提供までは他のブラウザ推奨 - @IT
2012/09/18 マイクロソフトは9月18日、Internet Explorer(IE)6/7/8/9に、任意のコード実行につながる未パッチの脆弱性が発見されたとしてセキュリティアドバイザリを公開した。この脆弱性を悪用した標的型攻撃も報告されているという。パッチはまだ公開されておらず、準備が整い次第公開する予定だ。 この脆弱性は、Windows XP SP3/Vista/7上で動作するIE 6~9に影響する。悪意あるWebサイトにアクセスしただけで任意のコードを実行され、マルウェアなどをインストールされる恐れがある。セキュリティ企業、それにマイクロソフト自身の報告によると、実際にこの脆弱性を悪用しての攻撃が確認された。 脆弱性を発見したのは、セキュリティ研究者のEric Romang氏。8月末にパッチがリリースされたJava SE 7の脆弱性について調査する中で発見し、Windows
https://support.microsoft.com/ja-jp/help/2458544/the-enhanced-mitigation-experience-toolkit
すべての Microsoft 製品 Microsoft 365 Office Windows Surface Xbox セール サポート ソフトウェア Windows アプリ OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Azure Microsoft Dynamics 365 Microsoft 365 Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer & IT .NET Visual Studi
チェックしておきたい脆弱性情報<2011.11.15>
■インシデントを振り返る 今回のインシデントを振り返るでは、2001年11月上旬に出現したW32/Klez(クレズ)を取り上げます。クレズは、電子メールの添付ファイルとして流布したマルウエアで、2002年4月から2003年7月までの間、IPAへの届け出件数第1位でした。そして、10年たった現在(2011年10月時点)でも、届け出が続いています(図1)。 クレズの特徴として取り上げたい項目は二つあります。一つは、2001年9月下旬に流布したW32/Nimda(ニムダ)と同様に、Internet Explorer(IE)の脆弱性MS01-020を利用し、プレビュー操作のみで感染するという受動型攻撃を備えていたことです。これは、良くも悪くも攻撃者側の技術が継承されていることを示すものでした。もう一つは、電子メールの送信元メールアドレスを偽装していたことです。クレズを契機に、電子メールの送信元メー
『全衆院議員のパスワード盗難か管理者権限で操作』へのtwitterでの反応まとめ
衆院議員の公務用パソコンや衆院内のサーバーが今年7月以降、サイバー攻撃を受けてコンピューターウイルスに感染し、議員ら衆院のネットワーク利用者のIDとパスワードが盗まれた疑いがあることが朝日新聞の調べでわかった。少なくとも約1カ月間、盗んだ側が議員らのメールや文書を「盗み見」できる状態だったという。衆院事務局やサーバーを保守するNTT東日本が調査している 秋の光の魚の焼菓子 @sanmarucake こちらは朝日の飛ばし記事。衆院事務局はデータ流出を否定してるし、そもそもメールの添付ファイルをスキャンせずに開くバカ行為をサイバー攻撃と言っちゃう辺り・・・/衆院にサイバー攻撃 議員のパスワード盗まれる http://t.co/5hT6Fpgh 2011-10-25 12:18:39
JPCERT コーディネーションセンター 海外セキュリティ関連機関・組織の動向
こちらはご意見・ご感想用のフォームです。各社製品については、各社へお問い合わせください。 ※本フォームにいただいたコメントへの返信はできません。 返信をご希望の方は「お問合せ」 をご利用ください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MyJVN - MyJVNバージョンチェッカ for .NET
Windows 7のメインストリームサポートが1月13日終了、全サポート終了まであと5年 
暗号化ソフト欠陥、NSAは2年前から認識-情報収集に利用 - Bloomberg
https://www.npa.go.jp/cyberpolice/topics/?seq=13522
Adobe Flash Playerを最新版にする | コラム | インターネット・セキュリティ・ナレッジ|インターネットセキュリティに関するポータルサイト
Adobe Flash Playerを最新版にする | コラム | インターネット・セキュリティ・ナレッジ|インターネットセキュリティに関するポータルサイト
Adobe Flash Playerを最新版にする | コラム | インターネット・セキュリティ・ナレッジ|インターネットセキュリティに関するポータルサイト
Windowsにゼロデイ攻撃、マイクロソフトがアドバイザリと「Fix it」を公開:セキュリティ通信:So-netブログ
マイクロソフト、11月の月例パッチは「緊急」を含む4件:セキュリティ通信:So-netブログ