コンピュータウイルス・不正アクセスの届出状況[2009年5月分]について:IPA 独立行政法人 情報処理推進機構
第09-20-153号 掲載日:2009年 6月 3日 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年5月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 4月の終わり頃から、新型インフルエンザが世界中で猛威を振るっていますが、この新型インフルエンザに関する情報提供を装って、コンピュータウイルスに感染させようとする手口が広まっています。IPA に寄せられた相談の中には、実在する研究機関を騙った偽の注意喚起メールにウイルスを添付し、パソコンに感染させようとする事例もありました。 今回のように、世界中で注目されているニュース報道の直後や、オリンピックやクリスマス、バレンタインなどの行事の直前には、それに便乗してウイルスを感染させようとする手口が
SIPの脆弱性に関する検証ツールを公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための標準的な通信開始手順であるSIP(Session Initiation Protocol)に関して、「SIPに係る既知の脆弱性検証ツール」の開発を行い、2009年4月23日よりSIP実装製品の開発者向けに、CD-ROMでの貸し出しを開始しました。 併せて、「SIPに係る既知の脆弱性に関する調査報告書」の改訂を行い、改訂第2版をIPAのウェブサイトで公開しました。 SIP(*1)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっています。 SIPを実装したソフトウェアには、これまで多くの脆弱性が発見・公表され、機器ごとに対策が施されてきました。しかし、こ
2008年度第2回 情報セキュリティに関する脅威に対する意識調査の報告書公開:IPA 独立行政法人 情報処理推進機構
(1) 調査方法:ウェブアンケート (2) 調査対象:15歳(高校生)以上の PC インターネット利用者 (3) 調査期間:2009年1月16日~1月19日 (4) 有効回答数:5,000名(男性 2,625名 [52.5%] 、女性 2,375名 [47.5%]) (1) USB メモリにおけるセキュリティ対策状況 USB メモリは大容量化、低価格化が進んだことや、その利便性も相まって回答者全体の約6割が「使用している」と回答しています(図1)。そのような中、USB メモリ等の外部記憶媒体を介して感染を拡大するウイルスが増加しており、被害報告も寄せられています。(*1) この状況について、USB メモリの利用者の中で詳しい内容や概要を認知している割合は、53.1%と約半数にとどまっている現状が判明しました(図2)。 また、USB メモリの利用者の3人に1人が、USB メモリを利用する際、
イスラエルにおける情報セキュリティ調査報告書:IPA 独立行政法人 情報処理推進機構
(1) イスラエルにおけるボットに対する取組み状況調査 Survey on Countermeasures Against Bots in Israel ボットによる被害は世界的に拡大しているが、海外における詳しい被害実態を、日本から把握することは困難である。そこで、セキュリティ産業が盛んであるイスラエルにおいて、ボット対策の現状等について調査する。又、イスラエルにおけるボットに対する調査・研究実績、セキュリティ製品の動向についても調査する。 ○ 調査項目(イスラエルにおける:) (1) ボットによる被害事例、被害内容、被害額等の実態。 (2) ボット対策の取組み、施策の動向。特に、政府等の公的機関が取り組んでいる施策や研究実態。 (3) ボットに関する研究を行っている機関。活動の実態や実績等。 (4) ボットに対応するためのセキュリティ製品の動向。 (2) イスラエルにおけるファイル保護
情報セキュリティ白書2009 第2部 10大脅威 攻撃手法の『多様化』が進む | アーカイブ | IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2008年にIPAに届けられた情報や一般に公開された情報を基に、「10大脅威 攻撃手法の『多様化』が進む」を編纂し、2009年3月24日(火)よりIPAのウェブサイトで公開しました。また、2009年6月25日(木)より英語版を公開しました。 本資料は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など111名から構成される「情報セキュリティ検討会(本資料のP.25参照)」でまとめたものです。2005年より毎年公開しており、今年で5回目となります。 安全なインターネットの利用における脅威を、2008年に「印象が強かったもの」「社会的影響が大きいもの」などの
情報セキュリティ教本 改訂版 -組織の情報セキュリティ対策実践の手引き:IPA 独立行政法人 情報処理推進機構
情報セキュリティ責任者・担当者のための教科書「情報セキュリティ教本 改訂版」を刊行いたしました。改訂版は、2007年4月に刊行された「情報セキュリティ教本」の内容を、セキュリティ環境の変化にあわせて見直し、書き直したものです。改訂版の主な変更点はこちらからご覧ください。 本書は、企業・学校・政府機関・団体等の情報セキュリティ担当者、責任者、部門長、経営者などを対象に、組織として情報セキュリティ対策をどのように行えばよいかを、さまざまな事例を交え解説しています。その際、情報セキュリティ担当者、責任者として知っておくべき基本的事項は網羅するように工夫しています。 本書の説明は、PDCAサイクルに沿って進んでいきます。情報セキュリティの組織と体制づくりにはじまり、セキュリティポリシーのつくり方、情報の管理、リスクマネジメント、技術的対策の基本、導入と運用のポイント、脆弱性検査、セキュリティ評価な
古いソフトウェア製品を利用しているウェブサイトへの注意喚起:IPA 独立行政法人 情報処理推進機構
-ウェブサイト運営者は脆弱性対策情報を収集し、 修正プログラム(パッチ)の迅速な適用を!- 最終更新日 2009年3月17日 掲載日 2009年3月17日 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「ソフトウェア製品に脆弱性が発見され、その開発者から修正プログラム(パッチ)が公表されているが、実際に運用しているウェブサイトがパッチを適用していないのではないか?」という旨の届出が増加している状況をふまえ、ウェブサイト運営者に対し脆弱性対策情報の収集とパッチの迅速な適用を呼びかけます。 ソフトウェアの脆弱性を狙った攻撃に対処するためには、攻撃が行われる前に、ソフトウェアに修正プログラム(パッチ)を適用する必要があります。近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっており、ウェブサイト運営者は迅速な対応が求められます。 2008年第3四半期頃か
DNSキャッシュポイズニング対策:IPA 独立行政法人 情報処理推進機構
本資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。 第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。 第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。 第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。 第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。
ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ネットワーク社会における新たな脅威として、アプリケーションソフトウェアの脆弱性を狙った攻撃が発生していることから、これらの攻撃の実体の把握と対策を促進するための資料「ソーシャル・エンジニアリング(*1)を巧みに利用した攻撃の分析と対策」を、2009年2月6日(金)に公開しました。 「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」の詳細は次のPDFファイルをご参照ください。 ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 -脆弱性を狙った脅威の分析と対策について-(427KB) 脆弱性を狙った脅威の分析と対策 2008年4月16日、IPAセキュリティセンターを騙り、マルウェア(*2)の仕掛けられたファイルが添付された「なりすましメール」が出回ったことを確認し、IPAでは「重要なお知らせ」として注意喚起
コンピュータウイルス・不正アクセスの届出状況[2008年4月分]について:IPA 独立行政法人 情報処理推進機構
第08-08-123号 2008年 5月 2日 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 独立行政法人 情報処理推進機構(略称 IPA、理事長:西垣 浩司)は、2008年4月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 1. 今月の呼びかけ 最近、官邸や警察機関などから発信されたと見せ掛けたメールが出回っていることが報告されています。また、2008年4月に、IPAの名を騙(かた)って、特定の組織にメールの添付ファイルとしてウイルスを送りつける事例が表面化しました。 これらは、いずれもメールを送りつけた相手に何とか添付ファイルを開かせようとするために、公的機関を装ったものです。たとえ、送信元メールアドレスに「.go.jp」があったとしても注意が必要です。 今回確認された事例は、特定の組織を狙ってメールを送
SQLインジェクション攻撃に関する注意喚起:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、近年、SQLインジェクション攻撃が急増していることから、ウェブサイト管理者等への注意を喚起するとともに、ウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査等の対策実施を推奨します。 近年、ウェブサイトを狙ったSQLインジェクション攻撃が急増しています。特に2008年3月頃より、有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)(*1)や内外の情報セキュリティ対策企業が、SQLインジェクション攻撃によるウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を相次いで発表しています。また、5月6日には、SQLインジェクション攻撃を行う悪質プログラム(ワーム)が確認された旨の注意喚起を米国SANS Institute(*2)が実施しています。IPAに届出ら
「TCP/IPに係る既知の脆弱性検証ツール」の公開
4/9をもちまして、本ツールの新規の貸出しを終了しました。 本件についてのご質問、お問合せは、本ページ下部の問合せ先までお願いします。 コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれています。近年では、情報家電や携帯端末などの組込み機器にも使われるようになり、TCP/IPソフトウェアは広く利用されています。 IPAは、TCP/IP実装製品開発者向けに、TCP/IPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の脆弱性“再発”防止のためのツール、「TCP/IPに係る既知の脆弱性検証ツール」を開発し、2008年2月6日より公開しています。 本ツールは、「TCP/IPに係る既知の脆弱性に関する調査報告書 改訂第5版」に記載している30項目の脆弱性のうち、IPv4(Internet Protocol Ver
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
脆弱性対策情報データベース「JVN iPedia」をバージョンアップしました:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、提供する脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)を、画像情報を掲載可能にするなど、利用者から寄せられた要望を中心にバージョンアップしました。 JVN iPedia( http://jvndb.jvn.jp/)は、日本国内向けの脆弱性対策情報データベースを目指し、国内で利用されているソフトウェア等の製品に関する脆弱性の概要や対策情報などを収集し、2007年4月25日から公開を開始しました。 今回のバージョンアップでは、脆弱性の問題点をより理解しやすくするため、図1に示すように、脆弱性の概要欄に画像情報の掲載を可能にしました(例:JVNDB-2007-000808 Lhaplus におけるバッファオーバーフローの脆弱性)。 今後、IPAの「脆弱性関連情報の調査結果」に掲載していた
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
