IPAテクニカルウォッチ 『ソースコードセキュリティ検査』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、安心・安全なIT社会の実現を目指し、システムライフサイクル(*1)に沿ったセキュリティ上の弱点(脆弱性)への対策を推進しています。これらセキュリティ対策のうち、「ソースコードセキュリティ検査(*2)」の有効性と重要性についての理解を深め、実際の開発現場で活用されることを目的に、具体的に有効な場面や、実施・成功事例を紹介する技術レポート(IPA テクニカルウォッチ 第5回)を公開しました。 出荷されたソフトウェアやシステムに脆弱性が発見された場合、システム設計の見直しが必要になる場合があり、対策にかかるコストが予想外に増大する可能性があります。また、脆弱性を悪用された攻撃が原因で利用者に被害が生じた場合、ソフトウェアを開発した企業にも追加の費用負担や社会的責任が生じてきます。 ソフトウェアやシステムを保護するためには、システムライ
- 電子メールのセキュリティ - 4. 公開鍵を信頼するために
もし、イブが作った公開鍵を、「アリスの公開鍵です」と偽って公開し、みんなが信頼してしまうと、アリスだけが復号できるつもりで作成した暗号文がイブによって復号され、メッセ-ジを盗み見られてしまいます。あるいは、イブは、アリスが電子署名をしたことにして、メッセージを送信することができてしまいます。 そのようなことを防ぎ、信頼できる公開鍵を配布するため、PGPとS/MIMEではそれぞれ以下のような手法が用いられています。 ① AさんはBさんの公開鍵に署名します。 ② AさんとCさん、Dさんはお互いによく知っていて、公開鍵が間違いなく本人のものだとわかっています。 ③ Cさん、Dさんは、よく知らないBさんの公開鍵を初めて受けとります。本当にBさんのものとして信頼していいのかわかりません。しかし、そこには、よく知っているAさんの署名が付いています。そこで、この公開鍵は間違いなくBさんのものだと判断しま
不正な電子証明書発行に関する問題について:IPA 独立行政法人 情報処理推進機構
オランダの DigiNotar 社をはじめとする複数の認証局(電子証明書(*1)を発行する組織)に対し攻撃が行われ、攻撃者が不正に電子証明書を入手したという問題が発生しています。 この問題により、悪意のある者が不正な電子証明書を使用して構築した不正な(罠の)ウェブサイトにアクセスした際に、利用者のブラウザ等で正当な電子証明書であると判定してしまいます。 結果として、利用者がウェブブラウザの表示を信用して不正なウェブサイトで個人情報等を入力してしまうことにより、入力した情報等が悪意のある者に盗まれてしまうという被害に繋がる可能性があります。 対策として、各ベンダが提供している修正プログラムの適用および最新版へのアップデートを行ってください。 *1 ウェブサイトの信ぴょう性を証明する「サーバ証明書」など、データやサーバ、通信の安全性を担保するもの。 ・Windows XP ・Windows V
IPAテクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2011年5月時点のものです。 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、最近SSL/TLS(*1)プロトコル等、一般ユーザーにも少なからず影響を与えるような、暗号に関する事故・事象が複数連続して発生していることを受け、関係者および一般ユーザーに対して注意を促すため、「暗号をめぐる最近の話題」と題して取りまとめ、技術レポート(IPA テクニカルウォッチ第2回)として公開しました。 概要 オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています
IPAテクニカルウォッチ 『スマートフォンへの脅威と対策』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、スマートフォンのうち「Android(アンドロイド) OS」を搭載したスマートフォン(アンドロイド端末)に対して、IPA独自でセキュリティ上の弱点(脆弱性)への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート(IPAテクニカルウォッチ 第3回)として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google(グーグル)社が提供するOS(基本ソフト)「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー
プレス発表 「Java Web Start」における3件のセキュリティ上の弱点(脆弱性)の注意喚起:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「Java Web Start」における3件のセキュリティ上の弱点(脆弱(ぜいじゃく)性)に関する注意喚起を、2011年6月10日に公表しました。対策方法は「開発者が提供する情報をもとに、最新版へアップデートする」ことです。 「Java Web Start」は、Oracle社が提供する「JRE(Java Runtime Environment)」等のJava実行環境に含まれるソフトウェアです。 「Java Web Start」には、3種類の処理(ポリシーファイルの読み込み、設定ファイルの読み込み、DLLの読み込み)において、セキュリティ上の弱点(脆弱性)が存在します。これらの弱点が悪用されると「Java Web Start」がインストールされたコンピューター上で、任意のコードが実行されてしまう可能性があります。 最新情報は、次の
災害情報を装った日本語のウイルスメールについて:IPA 独立行政法人 情報処理推進機構
第11-11-212号 最終更新日:2011年4月4日 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 2011年3月11日に発生した「東日本大震災」に関する災害情報を装った日本語のウイルスメールが多数確認されています。 当該メールは、政府機関や災害対策に関係ありそうな組織名やメールアドレスを詐称し、一見怪しくなさそうなタイトルや本文、マイクロソフトワード文書やエクセルファイルなどの一見ウイルスと思えないファイルの添付などによって、メール受信者を騙そうとし、添付ファイルを開くと、パソコンがコンピュータウイルスに感染する可能性があります。 パソコンがこれらのコンピュータウイルスに感染した場合、第三者がそのパソコンから情報を盗んだり、そのパソコンを踏み台にして組織内の他のコンピュータから情報を盗んだり、ネットワークに接続されている他のコンピュータにウイルスを感染させる
韓国国内で発生しているDDoS攻撃について:IPA 独立行政法人 情報処理推進機構
第11-09-210-1号 最終更新日:2011年3月10日 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 2011年3月4日から3月5日にかけて、韓国大統領府を含む、韓国国内の40のサイトに対するDDoS(分散型サービス妨害)攻撃(*1)が発生しました。 原因は、韓国内のあるP2Pサイトが攻撃され、そのP2Pサイトからダウンロードされたファイルにマルウェアが仕組まれていたためです。 セキュリティベンダのアンラボ社によると、韓国内で約5万台のパソコンに当該マルウェアが感染していたと推定されています。 (ご参考) アンラボ、韓国で 40 の Web サイトを対象にした DDoS 攻撃への注意喚起 http://www.ahnlab.co.jp/company/press/news_release_view.asp?seq=5568&pageNo=1&news_gu
コンピュータウイルス・不正アクセスの届出状況[2011年1月分]について:IPA 独立行政法人 情報処理推進機構
第11-05-207号 掲載日:2011年 2月 3日 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年1月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 利用者が自由にアプリケーションをインストールし、様々な用途に利用できる、「スマートフォン」と呼ばれる携帯端末の普及が進んでいます。スマートフォンは、見た目は携帯電話に似ていますが、その中身(機能)はパソコンに近いものです。そのため、スマートフォンの利用者は、パソコンの利用者と同様に、コンピュータウイルスによる被害に遭う可能性があります。 2011年1月21日、IPA はスマートフォンのウイルスに関する注意喚起※1を公開しました。これは、Android(アンドロイド)という OS※2を採用
プレス発表 Android OSを標的としたウイルスに関する注意喚起:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、Android OSを標的としたウイルスが発見されたことを受け、利用者に広く注意を呼びかけるため、注意喚起を発することとしました。 URL: http://www.ipa.go.jp/security/topics/alert20110121.html 一部のスマートフォンやタブレット型端末で使用されているAndroid OSを標的とした、新たなウイルスが確認されています。このウイルスは、Android OSで初のボット型ウイルス(*1) であり、悪意のある者が、ウイルスに感染した端末を制御する(乗っ取る)ことができる可能性を持った、危険性の高いものです。 現時点では国内での具体的な被害は確認されていませんが、国内の利用者であっても、ウイルスによる被害を受ける可能性が高まっています。本注意喚起では、Android OSを標的とし
プレス発表 任意のDLL/実行ファイル読み込みに関する脆弱性の注意喚起:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、任意のDLL(*1) /実行ファイル読み込みに関する弱点(脆弱性)に関して、2010年9月から11月にかけて届出およびJVNによる脆弱性公表が増加している状況を鑑みて、ソフトウェア開発者に対して脆弱性を作りこまない実装を呼びかけるため、「注意喚起」を発することとしました。 2010年9月から11月にかけて、複数のソフトウェアにおいて、任意のDLL/実行ファイル読み込みに関する脆弱性(*2)がIPAに届けられ、ソフトウェア開発者が脆弱性を修正後、JVN(*3) で脆弱性対策情報を公表したものが13件あります。 IPAでは、同種の脆弱性に関する届出・公表が続いているため、この脆弱性が存在するソフトウェアが他にも数多く存在する可能性があると考え、ソフトウェア開発者向けに、脆弱性を作りこまないように注意喚起を発信することとしました。ソフ
「サービス妨害攻撃の対策等調査」報告書について:IPA 独立行政法人 情報処理推進機構
近年、電子商取引や検索サービス、インターネットバンキング等、各種 Web サービスの提供が、さまざまな企業や公的機関等で広く行われています。このようなサービスは、普段から適切な対策を実施していなければ、悪意ある者によるサービス妨害攻撃(Denial of Service Attack、DoS 攻撃)により、サービスの継続を妨害される可能性があります。 2009年7月には、韓国や米国で大規模な分散型のサービス妨害攻撃が発生し、政府機関のみならず民間の Web サイトも攻撃対象となりました。最近では、米国の内部告発サイトに関するものと見られるカード会社等への攻撃も発生しています。一方、国内では、公共施設の Web サービスを利用する目的でのアクセスが、サービス妨害攻撃と判断された事例も発生しています。 集中したアクセスがサービス妨害攻撃か否かを判断し、攻撃に対処するため、Webサービスの提供者
共通脆弱性タイプ一覧CWE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
情報セキュリティ技術動向調査(2009 年上期):IPA 独立行政法人 情報処理推進機構
Untrusted search path vulnerability は「信用できない検索パスの脆弱性」という意味である。代表例としては環境変数 PATH に .(カレントディレクトリ)を入れた場合の問題が古くから知られているが、これに限られたものではない。2009年上期には、Python に関連したUntrusted search path vulnerabilityが多数出たことを踏まえ、これを解説する。 Python は動的オブジェクト指向プログラミング言語である。Pythonはアプリケーションに組み込むことにより、アプリケーションをPythonで拡張することができる。実際、vim やblenderなど多くのアプリケーションがPythonの組み込みをサポートしている。 昨年から、Python関連のUntrusted search path vulnerabilityとして以下のよう
共通脆弱性識別子CVE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CVE(Common Vulnerabilities and Exposures) ~一つ一つの脆弱性を識別するための共通の識別子~ >> ENGLISH 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*1)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*2)が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。 個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。 CVEは、1999年1月20日~22日に、アメリカのパーデュ大学で開催された2n
セキュリティ検査言語OVAL概説:IPA 独立行政法人 情報処理推進機構
OVAL(Open Vulnerability and Assessment Language) ~コンピュータのセキュリティ設定状態を検査するための仕様~ >> ENGLISH セキュリティ検査言語OVAL(Open Vulnerability and Assessment Language)(*1)は、コンピュータのセキュリティ設定状況を検査するための仕様です。 OVALは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*2)の構成要素のひとつです。 米国政府の支援を受けた非営利団体のMITRE社(*3)が中心となり仕様策定を進めてきたもので、2002年10月に開催されたSANS Network Security 2002において、脆弱性対策のための確認作業
情報処理推進機構:セキュリティセンター:セキュリティ関連NIST文書
IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、その成果を一般に公開しています。 米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の発行するSP800シリーズ(SP: Special Publications)とFIPS(Federal Information Processing Standards)の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うよ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「2010年度 情報セキュリティの脅威に対する意識調査」報告書について:IPA 独立行政法人 情報処理推進機構
脆弱性情報共有フレームワークに関する調査報告書:IPA 独立行政法人 情報処理推進機構