富士ソフトは、FFRIセキュリティとのサイバーセキュリティ分野における協業を強化した。第1弾として、IoT機器向けの国産ファジングテストツール「FFRI Raven」と同ツールのテスト実施サービスを提供する。 富士ソフトは2021年6月1日、FFRIセキュリティとのサイバーセキュリティ分野における協業を強化すると発表した。第1弾として、IoT(モノのインターネット)機器向けの国産ファジングテストツール「FFRI Raven」と、同ツールを活用したテスト実施サービスの提供を開始した。 同社は、インフラ構築からセキュアシステム開発、運用までのソリューションに実績を持つ。協業により、FFRIセキュリティの国産セキュリティ製品や技術を組み合わせることで、政府官公庁や自治体、IoT機器製造業、IoT機器を活用する企業などに向けたサービスを展開する。 FFRIセキュリティのFFRI Ravenは、未知
多くのIoT機器に9つのDNS脆弱(ぜいじゃく)性があると考えられる。この9つの脆弱性はForescout TechnologiesのResearch LabsとJSOFが発見・公開したもので、「NAME:WRECK」と総称されている。 関連記事 DNSのセキュリティを強化する2つの新プロトコル DNSの守り方──DNSプロキシサービスのススメ DNS関連のセキュリティリスクトップ3とその対策 「DNSの防御」から「DNSによる防御」へ DNSを応用した新技法 あなたのDNSデータが教えてくれる3つの知見 NAME:WRECKは、よく使われている4つのTCP/IPスタックである「FreeBSD」や「IPnet」(Wind River Systems)、「Nucleus NET」(Siemens)、「NetX」(Express Logic)に影響する。 FreeBSDはファイアウォールや一部
インターネットにおける通信の安全性はTLS(Transport Layer Security)に強く依存している。TLSはアプリケーション層に依存しないように設計された通信暗号化の標準規格だ。HTTPをはじめとするさまざまなプロトコルがTLSを使って通信を暗号化している。このTLSに「ALPACA Attack」(アルパカ攻撃)と呼ばれる新しい問題が報告された。 ALPACA Attackはドイツのルール大学ボーフム、ミュンスター応用科学大学、パーダーボルン大学の研究者らによって発見された。「ALPACA」はこの問題を発表した論文「Application Layer Protocol Confusion - Analyzing and mitigating Cracks in tls Authentication」のタイトルに由来する。
We have been witnessing an ever growing amount of supply chain security incidents in the wild. Everything from open source package managers security flaws being exploited to continuous integration systems being compromised to software artifacts being backdoored. And now, those incidents are starting to extend to the place where developers spend most of their time: their integrated development envi
富士通は、同社で活用するプロジェクト情報共有ツール「ProjectWEB」の一部プロジェクトが外部より不正アクセスを受け、受託情報が外部に流出した可能性があることを明らかにした。 「ProjectWEB」は、同社やグループ会社、外部の協力企業、顧客間において、システム開発などのプロジェクト管理に用いているオンラインツール。 内部のみや社内外で活用するなど、プロジェクトごとに利用形態は異なるが、おもに開発における工程やソース、タスクの管理などに用いている。同ツールで稼働しているプロジェクト数や利用する顧客数などは非公表としている。 同社によると、同ツールにおいて不正アクセスを受けた可能性を認知したのは5月6日。その後調査を進めるとともに、顧客への説明や警察への相談など対応を進めており、5月25日に同ツールにおいてすべてのプロジェクトを停止させたという。 5月6日に不正アクセスを把握したきっか
先日のブログ記事にて、Welcartのオブジェクトインジェクション脆弱性について説明しましたが、オブジェクトインジェクションという脆弱性自体の情報源があまりないので、入門記事を書こうと思い立ちました。 (2017/11/22追記) OWASP Top 10 2017に正式に公開され、そのA7に安全でないデシリアライゼーション (Insecure Deserialization) が入りました。これは、本稿で扱うオブジェクトインジェクションと同内容ですが、OWASPの表記にならい、タイトルを変更しました。 以下、「そんなプログラムあり得るか?」という現実性についてはあまり気にしないで、原理的にオブジェクトインジェクションがどのようなものかについて順を追って説明していきます。以下、PHP言語のケースを題材として具体例を提示しますが、概念自体は他の言語でも通用するものです。 シリアライズとオブジ
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 攻撃の約20%がAPIを標的に 普段利用するスマホアプリでも、購買や決済、パーソナライズなどの目的で、ID、パスワード認証を行うものは多い。そのログインを司るAPI認証・認可サーバには日々大量の不正なログイン試行がbot(自動実行プログラム)により行われている。世界中の主要なWebベースのコンテンツを配信している米Akamai Technologies(アカマイ)では、観測データからWebベースのサービスに対する不正なログイン試行総数の約20%が、APIサーバに対するものだと分析している。 SNSなどか
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティ企業のCheck Point Research(CPR)は米国時間5月20日、複数のAndroidアプリを分析したレポートを公開し、アプリ開発者らによるクラウド関連の誤設定によって、1億人を超えるユーザーのデータが危険にさらされていると警告した。 CPRは、広く普及している複数のモバイルアプリを調査したところ、少なくとも23本から「サードパーティーのクラウドサービスに関する(さまざまな)誤設定」が見つかったとレポートに記している。 今日のオンラインサービスやアプリではクラウドサービスが広く利用されており、こうした傾向は新型コロナウイルス感染症(COVID-19)のパンデミックで加速されたリモートワークの普及によってさ
コードカバレッジの可視化プラットフォーム「Codecov」が、2カ月以上にわたって改ざんされる被害が発生した。同プラットフォームの利用環境より認証情報やトークン、コードなどを窃取された可能性があり、国内でも被害が確認されている。 Codecovが提供する「Codecov」において、一部スクリプトが何者かによって改ざんされたもの。「Codecov-actions uploader for Github」「Codecov CircleCl Orb」「Codecov Bitrise Step」なども影響を受ける。 開発環境におけるプロジェクト内のカバレッジファイルを検出し、レポートを収集して「Codecov」に送信するためのスクリプト「Bash uploader」が改ざんされた。 利用者の継続的インテグレーション(CI)環境において、改ざんされた同スクリプトよりアクセスが可能だった資格情報やトー
Check Point Software Technologiesは5月20日(米国時間)、「Misconfiguration of third party cloud services exposed data of over 100 million users - Check Point Software」において、Androidアプリ開発者のクラウドサービスに関する設定ミスなどによって、1億人以上の個人情報が流出するおそれがあると指摘した。電子メール、チャットメッセージ、位置情報、パスワード、写真などのデータが漏洩するリスクがあるとされており、犯罪者によって取得された場合は詐欺やサービス不正利用などに悪用される可能性がある。 Misconfiguration of third party cloud services exposed data of over 100 million
オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途:IoTセキュリティ(1/2 ページ) 日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。 日本シノプシスは2021年5月21日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。 同レポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監
サイバートラストの「MIRACLE Vul Hammer」は、情報システムを構成するOSやソフトウエアに脆弱性があるかどうかを調べて可視化するソフトである。Linuxやオープンソースを中心に、脆弱性情報の収集と管理、システムに対する脆弱性のスキャンと可視化などを自動化する。 脆弱性の情報ソースとして、ベンダー各社が発信している脆弱性情報を収集するほか、各種の脆弱性情報データベース(NVDなど)を利用する。収集した脆弱性を、それぞれの脆弱性に識別子(番号)を振っているCVEの情報と突き合わせて管理する。こうして構築した脆弱性データベースは、クラウド上に置いたMIRACLE Vul Hammerの公開サーバーで管理する。 システムに対する脆弱性のスキャンは、ユーザー企業に設置するサーバーソフト(SCANマネージャ)が実行する。監視対象のシステムにSSHでリモートログインして調査する。脆弱性を含
IPA(独立行政法人情報処理推進機構)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は4月27日、バッファロー製ルータやネットワーク機器における複数の脆弱性を発表した。 BHR-4GRV 該当するルータ製品は下記の通り。これらのルータ製品にはアクセス制限不備の脆弱性があるため、隣接するネットワーク上の第三者により設定情報を盗み取られたり、root権限で任意のOSコマンドを実行される恐れがある。脆弱性を修正した最新ファームウェアが提供されており、該当製品を使っている場合はアップデートするよう呼びかけられている。 有線ルータ:BHR-4GRV Wi-Fiルータ:WZR-300HP、WZR-450HP、WZR-450HP-CWT、WZR-450HP-UB、WZR-600DHP、WZR-D1100H、WZR-HP-AG300H、WZR-HP-G300NH、WZR-H
ハッキングコンテストに参加した中国人ホワイトハッカーが、ゼロデイ脆弱性を発見し、コンテストで入賞し賞金を獲得しました。通常、こういった脆弱性は開発企業に報告され、修正されたのちに公開されます。しかし、中国政府はこの脆弱性を応用したエクスプロイトを作成し、ウイグル人をスパイするための監視ツールを開発したと報じられました。 Report: China Turned Prize-Winning iPhone Hack into a Surveillance Tool Against Uyghur Muslims https://www.iphonehacks.com/2021/05/china-prize-winning-iphone-hack-uyghur-muslims.html iPhone hack used by China to spy on Uyghur Muslims - 9to
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く