インターネットのパスワード設定を“定期的に変更”すべきかどうかについて、総務省が方針を「定期的に変更すべき」から「定期的な変更は不要」へと転換したことが、日本経済新聞Web版の記事をきっかけに注目を集めています。総務省サイバーセキュリティ課に確認したところ事実で、公式サイトでは2017年11月から「定期的な変更は不要」という文言を掲載していたと説明しました。 方針が記載されている総務省「国民のための情報セキュリティサイト」 総務省ではネットを安全に利用するための情報を発信する「国民のための情報セキュリティサイト」を運営しており、企業や団体からネットセキュリティの参考にされてきました。以前は「設定と管理のあり方」項目において、「安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けることは避けなければなりません。定期的にパスワードを変更するようにし
スマートフォンやPC、そしてさらにはIoT機器の多くに搭載されているBluetoothにセキュリティーの脆弱性が見つかっています。セキュリティ企業「Armis」によって発見された問題点はあわせて8件存在しており、それらを総称して「BlueBorne」と名付けられています。この問題点を突くことで、ハッカーは攻撃を受けた側にまったく気付かれることなく端末の操作を乗っ取ってしまうことが可能です。 BlueBorne Information from the Research Team - Armis Labs https://www.armis.com/blueborne/ BlueBorne: Critical Bluetooth Attack Puts Billions of Devices at Risk of Hacking http://thehackernews.com/2017/0
セキュリティに配慮したサイトを作成するための最新資料「安全なウェブサイトの作り方」の改訂第7版を、独立行政法人情報処理推進機構(IPA)が3月16日に公開した。 「安全なウェブサイトの作り方」は、IPAに対する届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性についての対策を、サイト開発者・運営者向けに教示する、全114ページの資料だ。2012年12月の改訂第6版から、およそ2年3か月ぶりに改訂された。 「安全なウェブサイトの作り方 改訂第7版」表紙 改訂第7版の内容は、以下の3章で構成されている。 第1章「ウェブアプリケーションのセキュリティ実装」SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティングなど、11種類の脆弱性の特徴、根本的な解決策、攻撃による影響の低減を期待できる対策を解説。 第2章「ウェブサイトの安全性向上のための取り組み」サーバーの
CCCは「カルチュア・インフラを、つくっていくカンパニー。」をブランド・ステートメントに掲げ、 TSUTAYA事業を中心としたエンタテインメント事業、Tポイントを中心としたデータベース・マーケティング事業のほか数々のネットサービスや 新たなプラットフォームサービスを企画し、それらを通じてライフスタイルの提案を行っています。
By Kārlis Dambrāns 近年のスマートフォンに必ずといっていいほど搭載されているのが、物体の角度や角速度を検出するためのジャイロスコープ。位置情報の精度を高める役割も果たしているので、iOS・Androidのアプリがジャイロスコープを利用するときは、特別な許可を取らなくても使うことができます。しかし、最新のジャイロスコープはスマートフォン周辺の音響信号を測定することが十分に可能なほど高性能になっており、スタンフォード大学の研究チームが「ジャイロスコープから得られる超長波情報をもとに、スマートフォンの周りで行われた会話の内容を認識可能なレベルにまで解析する」という、なにやらとんでもないことを成功させました。 Mobile Sensors Exploitation http://crypto.stanford.edu/gyrophone/ Gyrophone: Recognizi
やっと、ベンダー側での全ての対応が完了したということが確認できたので、事の顛末を公開できる状況になったのですが、文京区の図書館システムは、個人情報が漏洩しかねない脆弱性を抱えていました。 自分の中での整理も含めて、どんな状況だったのかまとめておきたいと思います。 #自分には、Web アプリとか Web システムを作った経験はありませんが、見つけた時には「これは、ひでぇ…」と思いましたよ。 一体、どんな問題であったのか? 問題があったのは、文京区立図書館システムで使用されている ELCIELO という図書館業務のパッケージシステム。 2010 年 4 月にプロポーザル形式での業者選定で京セラ丸善システムインテグレーションに決まって、システム自体の稼働は 2011 年 1 月初めから。 自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたの
国立国会図書館は2014年5月15日、国会図書館のネットワークシステムの運用管理業務を委託した日立製作所の社員が同図書館の業務サーバーに侵入して、同図書館の内部情報を不正に取得していたことが分かったと発表した。日立社員による不正取得は2011年から始まっており、同図書館が実施するシステム開発の入札に関わる他社提案書や参考見積もりなども取得していたという。 日立社員による不正は2014年3月27日に発覚した。国会図書館のネットワークシステムの運用管理を担当していた日立社員(システムエンジニアで肩書きは技師)は、国会図書館から貸与されたPCを使って運用管理業務に当たっていた。その日、国会図書館の職員が、日立社員が使用していた貸与PCの画面を見たところ、そのPCで使用したファイル履歴に「入札に関わる資料など、日立社員が見てはならないファイル名が含まれていた」(国会図書館広報)ことから、日立社員に
印刷される方はこちらをご覧ください(PDF形式、131kバイト) このニュースリリース記載の情報(製品価格、製品仕様、サービスの内容、発売日、お問い合わせ先、URL等)は、発表日現在の情報です。予告なしに変更され、検索日と情報が異なる可能性もありますので、あらかじめご了承ください。なお、最新のお問い合わせ先は、お問い合わせ一覧をご覧下さい。 2014年5月15日 当社社員によるお客様の情報資産の不正な閲覧および取得について 株式会社日立製作所(執行役社長兼COO:東原 敏昭)が国立国会図書館から受託していたネットワークシステムの保守・運用業務において、当社社員が国立国会図書館の情報資産の一部を不正に閲覧、取得していたことが、このたび判明しました。 お客様の重要な情報システムの運用を行う事業者として、決してあってはならない重大な事態を発生させ、国立国会図書館および関係する皆様に多大なご迷惑を
このJPRSの発表に対し、この欠陥を発見した中京大学の鈴木常彦教授、前野年紀氏は「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」を懸念し、下記のブログ記事等でこの問題の危険性を訴えています。 この問題はインターネットの根幹に関わるものですが、どんな問題を孕んでいるのでしょうか。それを理解するために、まずはDNSの仕組みから見て行きましょう。 DNSの仕組みとDNSキャッシュサーバDNSとはインターネットの根幹に関わる仕組みで、目的のサーバにアクセスする為の重要な役割を持ちます。簡単に説明すると、"http://www.example.jp"というURLのサイトを見たい場合、それを管理するサーバのインターネット上の住所(IPアドレス)が必要になります。そこで、DNSサーバに上記URLのラベル(ドメイン)に相当する"www.example.jp"を管理するサー
docomo・au・ソフトバンクなどが提供する「フィルタリング(ウェブ利用制限・安心アクセスサービス・アクセス制限)」によって見たいサイトが見られずに困っている一部の中高生は、いくつかの方法でフィルタリングを回避して、閲覧制限されているサイトを利用しています。フィルタリングの具体的な回避方法と、そのフィルタリング回避方法を防ぐ方法(保護者向け)について考えてみたいと思います。 具体的な回避方法として、Opera miniなどのアプリを使う方法と、Wi-Fiを使う方法について紹介します。 しっかりと専用アプリを使えば、これらの回避方法も防ぐことができます(ちょっと設定が難しいけど)。そして、各社も専用サイトで案内を出していたり、フィルタリングサービスの適用範囲を紹介しています。 しかし、現状回避している中高生が多いことから、フィルタリングの導入方法がキャリアの説明通りに実施されていない場合が
イードが運営する法人向け情報セキュリティ専門メディア「ScanNetSecurity」は4月23日、「日本情報漏えい年鑑2013」を発刊した(既報)。 2012年度に日本国内で発生した主要な個人情報漏えい事件・事故を、企業のセキュリティ担当者、法務総務担当者、セキュリティ業界関係者向けに取りまとめた資料だ。 販売ページはこちらです。 http://bit.ly/12DhJit 「日本情報漏えい年鑑2013」は、「Scan NetSecurity」が配信するニュースの中から、企業や官公庁による個人情報漏えい事故を収集・掲載したもので、2002年から毎年刊行されている。 同年鑑は、どのような事件が何故起きたのか、2012年に発生した代表的情報漏えい事故約50件を編年的に総覧できるほか、索引に掲載された企業名から漏えい事故を検索することも可能だ。事故毎に「事故発生のリリース発表日」「企業・団体名
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く