「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
ISMS(Information Security Management System)とは
ISMSとは情報セキュリティマネジメントシステムの略語であり、組織における情報資産の安全を確保するための枠組みである。 ISMSとは情報セキュリティマネジメントシステムの略語であり、組織における情報資産の安全を確保するための枠組みである。 ISMS構築に関わる事項はISO/IEC 27000シリーズとして国際規格化されており、用語を定めるISO/IEC 27000、ISMS要求事項を定めるISO/IEC 27001を筆頭とする複数の規格で構成されている。この規格群の中には組織がISO/IEC 27000 シリーズに準拠していることを認証する規格も含まれており、認証を受けることで対外的な信頼を得ることができる。 ISO/IEC 27000シリーズの規格の一部は和訳され、JISとして定められている。 ISMSが満たすべき要件はISO/IEC 27001に定められており、それを実践するための規範
警察庁 サイバー犯罪対策:サイバー犯罪防止広報動画
公益財団法人警察協会のホームページに掲載されています。 ■「鷹の爪団のサイバー犯罪撲滅大作戦」については、こちらからご覧ください。
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込みです。
高木浩光@自宅の日記 - 「常に新しい」新銀行東京は時代に取り残されていた
文字潰れを起こしていて読めない。 「フィッシング とは」の図解ページなんかは、図に書かれた文章からして文字が米粒大に なっている。 パッと見で勝負。中身は読んでもらう必要なし。 という方針で作られているのだろう。 ■ 「常に新しい」新銀行東京は時代に取り残されていた 「都民になったことだし、新銀行東京*1 に口座でも作るか」 とサイトを訪れてみたところ、なんと、インターネット バンキングのログイン画面は、 アドレスバーを隠したポップアップウィンドウになっていた。 古いシステムを今から作り直すお金がないというのならわかるが、今年新たに 開業した銀行がのっけからフィッシング詐欺の基礎対策をしないというのは、 わけがわからない。いったいどこの業者が作ったのだろうか。 しかも「右クリックは禁止です」と得意げだ。
【インフォシーク】Infoseek : 楽天が運営するポータルサイト
日頃より楽天のサービスをご利用いただきましてありがとうございます。 サービスをご利用いただいておりますところ大変申し訳ございませんが、現在、緊急メンテナンスを行わせていただいております。 お客様には、緊急のメンテナンスにより、ご迷惑をおかけしており、誠に申し訳ございません。 メンテナンスが終了次第、サービスを復旧いたしますので、 今しばらくお待ちいただけますよう、お願い申し上げます。
フィッシング:キーロガー、スクリーンショットを使う手口が増加 | WIRED VISION
フィッシング:キーロガー、スクリーンショットを使う手口が増加 2005年8月24日 コメント: トラックバック (0) 南 優人/Infostand 2005年08月24日 米アンチ・フィッシング・ワーキング・グループ(APWG)は23日(米国時間)、フィッシングの手口が巧妙化し、「キーロガー」と呼ばれるスパイウェアで個人情報を盗む事例が急増したと発表した(PDF)。パソコンにキーロガーを植え付けるウェブサイトが、7月は918件見つかり、6月(526件)を大きく上回った。勝手にスクリーンショットを撮られる「スクリーンスクラッパー」という手法も増えたという。 キーロガーはパソコンの中に潜んでキーボードの動きを記録、そのデータを犯人に転送するため、ユーザーが打ち込んだ情報が知られてしまう。4月は260件で、5月は495件に急増していたが、さらに倍増した。金融機関などがフィッシング対策を強化した
IPAが世界初の暗号解読に成功--100億年かかるところを20秒で
情報処理推進機構(IPA)は9月26日、「ストリーム暗号」の1種である「Toyocrypt」の解読に成功したことを発表した。 Toyocryptは、2000年に東洋通信機が開発した暗号であり、2000年当時は「解読するのに100億年かかる」といわれ、実質永久に解けない暗号とされていた。しかし、2002年頃から「代数的攻撃法」と呼ばれる手法を用いれば、理論的には解読可能とされ、暗号の国際的な学術会議で実際に解読できるかどうか議論の対象となっていた。 IPAは、暗号の安全性を評価手法を開発する目的で携帯電話などの無線通信に使われるストリーム暗号の1種であるToyocryptを解読するプロジェクトを2004年に立ち上げた。プロジェクトでは暗号解読のための「IPA-SMW」というプログラムを開発し、IPAが運用する暗号研究専用のグリッドコンピュータに実装し、Toyocryptの解読に挑戦してきた。
Authentication/Identity for Mashups: blog.bulknews.net
Authentication/Identity for Mashups マイミクマップ というアプリケーションがあります。 mixi に登録している自分の友達の出身地あるいは現在地を調べて Google Maps でプロットするという、典型的な Web 2.0 的アプリ。mixi のデータと Google Maps API の remix (Mashup) であり、とってきたデータを視覚的に見せる (Data Visualization) と、Web 2.0 の王道をいっている感じでグッジョブ!といいたいところなのですが、ひとつ決定的に残念なのが、 パスワードやメールアドレスを入力することに不安がある方は、一旦メールアドレス、パスワードを変更してからご利用いただき とあるように mixi のIDとパスワードを渡してログインさせてスクリーンスクレイプしてデータをとってきているところ。これは
セキュリティ・アーキテクチャの9つの原則 - SourceForge.JP Magazine
多くのコンピュータ・ユーザにとって、セキュリティ・アーキテクチャは新しい概念である。ユーザたちは、ウイルス、ワーム、スパイウェア、その他のマルウェアなどのセキュリティ上の脅威については知っている。ウイルス対策プログラムやファイアウォールについても耳にしたことがあり、実際に使用している人も多い。多くの人は、侵入検知システムも使用している。だが、その一方で、アーキテクチャ・セキュリティというものは、大半のコンピュータ・ユーザにとって、依然として得体の知れない存在である。 実のところ、ウイルス対策ソフトウェア、ファイアウォール、侵入検知といったものは、セキュリティの上っ面にすぎない。これらはすべて、能動的な脅威への対応を目的とした受動的な対策である。脅威を予期してその害をなくすことを目的とした、主体的・積極的な対策ではないのだ。これらのアプリケーションは、大きな役割を果たすものではあるが、これ
PR:ついに登場! 情報処理技術者試験・テクニカルエンジニア(情報セキュリティ)
経済産業省が実施する国家試験、情報処理技術者試験に新試験が創設される。「テクニカルエンジニア(情報セキュリティ)試験」だ。情報セキュリティシステム開発に必要な高度な専門知識と技能を問う。初回の実施は2006年春だ。 ■セキュリティのプロ育成に貢献する試験 個人情報保護法の全面施行で、情報システムを管理する企業の責任はいっそう重くなり、セキュリティに対する関心は一気に高まった。セキュリティをテーマにした講演はどこも大入り満員で、聴衆は熱心に耳を傾けている。情報システムにおけるセキュリティの重要性についてはあえて強調するまでもないだろう。ただし世相を見ると、不安もまた充満しているのが実情ではなかろうか。 情報を漏えいさせてはならない、システムを攻撃されたら多大な損害を被る。こうしたことに対する警戒は十分に高まっている。だが備えはどうか。具体的にどういう技術で保護すれば事故や損害を防げるのか。ど
fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
というのが可能だと考え付いて、ちょっと愕然とした。 自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。 そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。 一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。 100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増して
Japan Vulnerability Notes
JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性 [2024/03/22 13:00] JVNVU#98188101: Advantech製WebAccess/SCADAにおけるSQLインジェクションの脆弱性 [2024/03/22 13:00] JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性 [2024/03/22 11:00] JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/0
情報セキュリティ読本 教育用プレゼン資料:IPA 独立行政法人 情報処理推進機構
企業内での社員教育、学校での授業、各種セミナーや研修などで利用できるように、情報セキュリティ読本 四訂版に準拠した教育用スライド資料を作成しました。 情報セキュリティ読本を教材とした組織内でのセミナーや研修でご活用いただければ幸いです。 章別ダウンロード 第1章 今日のセキュリティリスク (554KB) 1.1 今日のセキュリティリスク 1.2 危険の認識と対策 第2章 情報セキュリティの基礎 (608KB) 2.1 情報セキュリティとは 2.2 外部のリスク要因 2.3 内部のリスク要因 2.4 情報リテラシーと情報倫理 第3章 見えない脅威とその対策-個人レベルのセキュリティ対策- (2.2MB) 3.1 マルウェア-見えない化が進む 3.2 共通の対策 3.3 標的型攻撃と誘導型攻撃への対策 3.4 フィッシング詐欺への対策 3.5 ワンクリック請求への対策 3.6 スマートフォ
高木浩光@自宅の日記 - WinnyのDownフォルダをインターネットゾーンにする
■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【インフォシーク】Infoseek : 楽天が運営するポータルサイト
セキュリティガイドライン
「javaとC++でハイブリッド暗号の実装について」(1) Java Solution - @IT
安全なWebアプリ開発の鉄則 2004