□ソフトウェア・セキュリティ・クラス □WEB・セキュリティ・クラス □ネットワーク・セキュリティ・クラス □セキュアなシステムを作ろうクラス (1)OSECPU-VMゼミ (2)組込みのセキュリティを考えるゼミ (3)OSの見える化を考えるゼミ (4)システムソフトウェアゼミ (5)ルーター自作ゼミ
映像で知る情報セキュリティ 情報セキュリティ上の様々な脅威と対策をドラマなどを通じて学べる映像シリーズです。 社内研修などでご活用下さい。 IPA Channel動画の二次利用について YouTubeの「IPA Channel」に公開している本シリーズの動画は、そのままブラウザ上で再生して社内研修用コンテンツなどにお使いいただけます。ご利用にあたっての事前申請は不要です。 YouTube動画のダウンロード、コンテンツの二次利用等につきましては、YouTubeの利用規約を遵守していただきますようお願いします。 主な情報セキュリティ対策動画は動画ファイルでの提供も行っております。 動画ファイルのお申込み
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年4月19日に公表しました。 具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに利用される可能性があります。 プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。 電子メ
近年、ウェブ改ざんの手口と目的は多様化しています。かつてはウェブサイトの見た目を書き換えるだけの愉快犯が大部分を占めていましたが、近年ではウェブサイト閲覧者へのウイルス感染や、フィッシングサイトへの誘導など狙って、具体的な目的を達成するために手口の巧妙化が進んでいます。 IPAでは不正アクセス被害の予防、発見および被害の拡大・再発防止のためにその実体把握を目的として、1996年8月より不正アクセスの届出受付と相談対応を行っています。今回、2012年の1年間に届け出られた不正アクセスに関する届出121件のうち、ウェブ改ざん被害に該当する事例38件(届出全体の約31%)を分析しました。本レポートではこの分析結果をもとに、主に個人や中小企業などのウェブサイト管理者やホスティングサービス提供会社に対して、各事例における対策を示しています。 届出情報を分析した結果、以下の傾向があることが判明しました
IPA テクニカルウォッチ 2012 年の不正アクセス届出から読み 解く、 ク ウェブ改ざん被害 事例、傾向と対 策 害の ~単なるページの書き換えだけでなく、閲覧 者の ウイルス感染を狙う手口もあります~ 1 2012 年の不正アクセス届出から読み解く、ウェブ改ざん被害の事例、傾向と対策 ~単なるページの書き換えだけでなく、閲覧者のウイルス感染を狙う手口もあります~ 目次 1. 2. はじめに ........................................................................................................................ 3 ウェブ改ざんの件数推移と傾向 ...........................................................
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件(第3四半期までの件数比約2.4倍増)と急増しました。 一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、
脆弱性体験学習ツール AppGoat AppGoatに関する不審メール確認のお知らせ(2023/08/04 公開) AppGoatの設定確認の連絡を装った不審メールを確認しています。 AppGoatの利用者に対してAppGoatの窓口からAppGoatの設定確認や変更を依頼することはございません。 不審メールを受け取った際にはメールの内容に従わず(URL内のリンクをクリックしない等)メールの削除をお願いします。 不審メールの見分け方や事例については以下もご参考ください。 ○安心相談窓口だより:メールの見かけ上の送信元情報を安易に信じないで ○安心相談窓口だより:URLリンクへのアクセスに注意 脆弱性体験学習ツール AppGoatとは 脆弱性体験学習ツール「AppGoat」は、脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用
Copyright © 2011 独立行政法人 情報処理推進機構 NIST によるクラウドコンピューティングの 定義 米国国立標準技術研究所による推奨 Special Publication 800-145 Peter Mell Timothy Grance ________________________________________________________________________________________________ i Copyright © 2011 独立行政法人 情報処理推進機構 Computer Security Division Information Technology Laboratory National Institute of Standards and Technology Gaithersburg, MD 20899-8930 2
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、主催する「脅威と対策研究会」において「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の改訂第2版をまとめ、2011年11月30日(水)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/newattack.html ソフトウェアの脆弱(ぜいじゃく)性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や公的機関をねらい、対応が難しく執拗(しつよう)なサイバー攻撃を、IPA では「新しいタイプの攻撃」と呼んでいます。「新しいタイプの攻撃」は、「攻撃に気付けない」「バックドアが設置される」等の特徴があり、従来のセキュリティ対策では完全な防御が行えなくなっています。国外でこのような「新しいタイプの攻撃」が複数発生したことをうけ、IP
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、スマートフォンのうち「Android(アンドロイド) OS」を搭載したスマートフォン(アンドロイド端末)に対して、IPA独自でセキュリティ上の弱点(脆弱性)への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート(IPAテクニカルウォッチ 第3回)として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google(グーグル)社が提供するOS(基本ソフト)「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
2010 年 3 月 「安全なウェブサイトの作り方」 別冊 安全な S Q L の 呼び出し方 本書は、以下の URL からダウンロードできます。 「安全な SQL の呼び出し方」 http://www.ipa.go.jp/security/vuln/websecurity.html 目次 目次.....................................................................................................................................................................................................2 はじめに.................................................
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く