情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
CVSSに代わる脆弱性の評価手法「SSVC」とは|迅速な脆弱性対応を目指して
発見されている脆弱性の数が年々増えていることを皆様ご存じでしょうか。以下のグラフをご覧ください。 このグラフは、「CVSS v2」という評価手法を使って、脆弱性の重大度合いを分類したグラフです。現在は、CVSS v2の改良版である「CVSS v3」が主流になっているため、2022年7月を境にNVDではCVSS v2の集計を中止しており、2022年の脆弱性の数が低くなっています。しかし、近年の傾向を考慮すると、非常に多くの脆弱性が発見されていると推測できます。 多くの脆弱性を正確に判断し対応することが求められている一方で、CVSSを用いた対応に課題があることもわかってきています。 本稿では、CVSSに代わる脆弱性の評価手法「SSVC」についてご紹介します。 図1.2013年から2022年までの脆弱性数の推移[1] 出所)NVD[2]のCVSS Severity Distribution Ov
高度化する悪性BotからWebアプリケーションを守るには? | MNB(マクニカネットワークスブログ)
3行でわかる本記事のサマリ 悪性Botがもたらす被害として、買占め行為、不正アカウント作成などがあるが、それらがもたらす影響は直接的な被害だけでなく、ブランドイメージの低下などの間接被害もあるため、悪性Bot対策は重要である。 従来はJavaScript、Cookie、CHAPCHA認証などを用いて悪性Bot対策を行ってきたが、それらを突破する高度な悪性Botが登場してきている。 高度な悪性Botには専用ソリューションを活用することで、効果的な対策が可能になる。 はじめに 昨今、ECサイトやチケット販売サイトなどのWebアプリケーションに対して、買い占め行為やアカウント情報の不正取得などのビジネスに悪影響を与える悪性Botが増えてきています。このような悪性Botからの攻撃に対して、これまではアクセス制限やCAPTCHA認証などを用いて防ぐことができていましたが、検知を回避する高度な悪性Bo
サポート情報 : トレンドマイクロ - 2024年下半期(7月~12月) のサポートサービス終了予定製品のお知らせ
2024年下半期(7月~12月) にサポートサービス提供が終了となる製品についてお知らせいたします。 終了を予定している製品は以下の通りです。 サポートサービス終了予定製品をご利用中のお客さまは、お早目にバージョンアップのご検討をお願いいたします。 製品サポート終了後はウイルスに関するお問い合わせのみの対応となり、 検索エンジン/ウイルスパターンファイルの提供、製品に関するお問い合わせなどのサポートサービスが終了します。
個人情報の漏洩についてのお詫びとご報告|新着情報|紋別市
この度、保健福祉部児童家庭課の職員が、移動相談や面談等の際に自己所有のICレコーダーにより録音したデータを紛失する事案が発覚いたしました。 関係するご家族の皆さまには多大なるご不安やご迷惑をおかけすることとなり、深くお詫び申し上げます。 個人情報の取扱いは、法令等に基づき適正に管理することが求められており、改めて職員への個人情報保護教育を徹底し、二度とこのようなことが起きないよう再発防止に努めてまいります。 当該職員は、令和4年9月、面接や相談の際にICレコーダーにより録音。翌月の面接、相談時に使用しようとした際に紛失に気付き心当たりを探すも発見できず、上司への報告も怠っていた。 令和5年10月に拾い主からICレコーダーが市へ届き発覚に至る。 当該職員は、面接相談や講習会などでの聞き漏らし対策として、自己所有のICレコーダーを使用、面接記録作成後は、その都度消去していた。
家庭相談録音のICレコーダーを紛失し報告怠る、紋別市
画像:紋別市より引用 北海道紋別市は2023年12月28日、児童家庭課に所属する職員が市民の児童相談の内容が記録されたICレコーダーを紛失し、第三者の手に渡ったと明らかにしました。 紋別市によると、紛失に関与した職員は市民との児童や家庭に関する相談時、聞き忘れ防止のため私用のICレコーダーで録音していました。2022年9月にレコーダーを紛失したものの、上司に報告していませんでした。 ICレコーダーは紛失の事実すら明らかでないまま、約1年間所在不明となっていました。ところが2023年10月、第三者がICレコーダーを取得した紋別市に届けたことに発覚。紋別市が確認したところICレコーダーには児童や家庭に関する4件の相談が記録されていました。 紋別市は職員が紛失の事実を1年以上怠り市の信用を失墜させたと判断。職員を懲戒処分にしました。 参照個人情報の漏洩についてのお詫びとご報告/紋別市
横浜市立みなと赤十字病院 医師が患者情報約1000人分紛失|NHK 首都圏のニュース
横浜市の市立みなと赤十字病院の医師が、患者およそ1000人分の氏名や診断結果などが入ったUSBメモリを病院の外に持ち出し、紛失していたことが分かりました。 外部への流出は確認されていないということです。 みなと赤十字病院によりますと、去年9月、循環器内科の医師が論文の執筆のため、患者1011人のデータを私物のUSBメモリにコピーして持ち出し、自宅や病院で使っていましたが、先月無くなっているのに気づいたということです。 USBメモリには3年前の4月から去年9月までに、循環器内科でカテーテルを使った治療を受けた患者で、氏名、性別、生年月日、それに診断結果などが入っていたということで、これまでのところ外部への流出は確認されていないということです。 病院では患者のデータを持ち出す際には個人が特定できないように加工したうえで、パスワードをかけることにしていましたが、医師は加工を行わず、パスワードもか
電子メールの誤送付について
令和6年1月16日(火曜日)、かながわ電子入札共同システムの資格申請を勧奨するメールを一斉送信する際に、宛名をBCCで送るべきところをTOで送ってしまい、メールを送信した事業者に、同時にメールを送信した事業者のメールアドレスが見えてしまうこととなりました。同日、メールを送信した職員がメールの送信状況を確認した際、誤送信が判明しました。
【セキュリティ ニュース】メール誤送信で事業者のメアド流出 - 横須賀市(1ページ目 / 全1ページ):Security NEXT
神奈川県横須賀市は、かながわ電子入札共同システムの資格申請を勧奨するメールで送信ミスがあり、事業者のメールアドレスが流出したことを明らかにした。 同市によれば、1月16日にかながわ電子入札共同システムの資格申請を勧奨するメールを事業者165件に送信した際、送信先を誤って「TO」に設定するミスがあったという。 誤送信により、受信者間でメールアドレスが閲覧できる状態となった。個人が特定できる可能性があるメールアドレス71件が含まれる。 同日、メールを送信した職員が誤送信に気付いた。翌17日に対象となる事業者にメールで経緯を説明して謝罪。誤送信したメールの削除を依頼している。 (Security NEXT - 2024/01/19 ) ツイート
不開示情報のマスキングが不完全な文書の情報開示について
秩父農林振興センターが情報公開請求に基づき開示した文書(電子ファイル)を、一定の操作をすることにより、不開示部分(マスキング部分)が閲覧可能な状態になることが判明しました。 1事故の概要 令和6年1月10日に、開示した文書(電子ファイル)を受領した方から、ファイルを操作することで不開示部分(マスキング部分)の情報が読みとれてしまうとの通報がありました。 調査の結果、通報者に対し当該電子ファイルと同じ形式の電子ファイル文書を3回、また他の2名にも同じ文書を開示していたことが判明しました。 1月16日に、文書を開示した1名が既に自身のホームページ上で公開していたことが判明しました。 当初、情報の提供先が限定的であるため報道発表を行っていませんでしたが、ホームページ上での公開が判明したため報道発表するものです。 2個人情報の内容 個人情報の対象者10名 内訳 氏名、職業、電話番号、メールアドレス
【セキュリティ ニュース】開示文書の墨塗り処理に不備、個人情報など参照可能 - 埼玉県(1ページ目 / 全1ページ):Security NEXT
埼玉県は、開示文書のマスキング処理に不備があり、非開示とすべき内容が参照できる状態となっていたことを明らかにした。 同県によれば、秩父農林振興センターがPDFファイルで開示した文書において、本来非開示とすべき個人情報10人分が参照できる状態となっていたもの。 内容は対象者によって異なるが、氏名や住所、電話番号、所有森林地番などが含まれる。ファイルは文書編集ソフトでマスキングを行い、PDFに変換したが、対応が十分であると勘違いしていた。 1月10日に開示文書の受領者から、マスキング部分が読み取れるとの指摘があり問題が発覚。調査したところ、3回にわたり同様の問題を含むファイルを開示していることが判明。また別の2人に対しても同じ文書ファイルを開示しており、1人は同月16日に自身のウェブサイト上で同ファイルを公開していたこともわかった。 同県では、文書ファイルを提供した3人に謝罪し、情報流出の防止
【セキュリティ ニュース】米政府、IvantiのVPN製品脆弱性を受けて緊急指令(1ページ目 / 全1ページ):Security NEXT
米政府は、「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure Gateway」に深刻な脆弱性が見つかり、広範な攻撃も発生していることを受け、現地時間1月19日に緊急指令「ED 24-01」を発行した。同国内の行政機関に対し、調査を実施して結果を報告するよう求めるとともに、利用を再開する場合の条件なども示している。 「CVE-2023-46805」「CVE-2024-21887」について、広範かつ積極的に悪用されていることを確認しており、行政機関におけるセキュリティ上の重大な脅威になるとして、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が緊急命令を発行したもの。 これまでも現地時間1月10日にIvantiよりセキュリティアドバイザリがリリースされたことを受け、CISAでは同日脆弱性を「
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-6548 and CVE-2023-6549
Two vulnerabilities have been discovered in NetScaler ADC (formerly Citrix ADC) and NetScaler Gateway (formerly Citrix Gateway). Affected Versions: The following supported versions of NetScaler ADC and NetScaler Gateway are affected by the vulnerabilities: NetScaler ADC and NetScaler Gateway 14.1 before 14.1-12.35NetScaler ADC and NetScaler Gateway 13.1 before 13.1-51.15NetScaler ADC and NetScaler
【セキュリティ ニュース】「NetScaler ADC/Gateway」に2件のゼロデイ脆弱性 - アップデートを(1ページ目 / 全1ページ):Security NEXT
Cloud Software Group傘下のCitrixが提供する「NetScaler ADC(旧Citrix ADC)」「NetScaler Gateway(旧Citrix Gateway)」にゼロデイ脆弱性が明らかとなった。 現地時間1月16日にセキュリティアドバイザリをリリースし、2件の脆弱性「CVE-2023-6548」「CVE-2023-6549」について明らかにしたもの。具体的な内容については言及していないが、いずれも悪用を確認しているという。 「CVE-2023-6548」は、管理インタフェースにおいてリモートよりコードの実行が可能となる脆弱性。悪用には認証が必要としており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.5」と評価されている。 一方、「CVE-2023-6548」は「VPN仮想サーバ」「RDPプロクシ」「AAA仮想サーバ」などとして構成して
Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
トップページ 情報セキュリティ 重要なセキュリティ情報 2023年度 Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways は VPN 製品です。 これらの製品において、任意のコマンド実行
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起
HOME緊急情報を確認するIvanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 JPCERT-AT-2024-0002 JPCERT/CC 2024-01-11(公開) 2024-02-29(更新) I. 概要2024年1月10日(現地時間)、IvantiはIvanti Connect Secure(旧: Pulse Connect Secure)およびIvanti Policy Secureゲートウェイにおける脆弱性に関するアドバイザリを公開しました。認証バイパスの脆弱性(CVE-202
SPFとDKIMをおさらい、IPアドレスとデジタル署名で身元証明
出典:日経クロステック、2023年11月8日 (記事は執筆時の情報に基づいており、現在では異なる場合があります) メール送信元のなりすましを見抜く送信ドメイン認証には、主にSPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication、Reporting、and Conformance)が使われる。このうち、DMARCはSPFやDKIMの認証結果を利用する技術で、相手が正当かどうかを判別するのはSPFとDKIMだ。この2つの技術がどのようになりすましを見抜くのかを見ていこう。 SPFは送信元IPアドレスを正当かを判断 最初に取り上げるSPFは、国内で最も普及している送信ドメイン認証の1つだ。インターネットイニシアティブ(IIJ)が2022年6月に公
NEC、行政機関および医療機関における生成AI活用に向けたホワイトペーパーを公開
【プレスリリース】発表日:2024年01月23日 NEC、行政機関および医療機関における生成AI活用に向けたホワイトペーパーを公開 「行政職員・医療従事者をサポートするAI」で業務効率化・高度化に貢献 ※参考画像は添付の関連資料を参照 NECは、ホワイトペーパー「行政機関における生成AI活用に向けて—コンセプトと想定事例—」「医療機関における生成AI活用に向けて—コンセプトと想定事例—」を公開しました。本ホワイトペーパーでは、行政機関や医療機関が現在抱える課題の分析と、その解決をサポートする存在として生成AIを取り上げ、「行政職員・医療従事者をサポートするAI」をキーワードに業務効率化・高度化に寄与する想定事例を紹介します。NECは生成AIの活用を通して、行政機関・医療機関の業務を支援してまいります。 このたび、NECは行政機関および医療機関における生成AI活用に関するホワイトペーパーを公
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.yokohama.jrc.or.jp/system/data/news/webmaster_17054527980475.pdf