asahi.com:図書館システム 業者の契約解除-マイタウン愛知
●岡崎市、費用負担求める 愛知県岡崎市立図書館でシステムに問題があり、ホームページへのアクセスがサイバー攻撃のように見えたり、個人情報が流出したりした問題を受けて、同市はシステム業者に契約打ち切りの方針を伝えた。解約に伴って生じる費用は業者に負担を求める。 業者は三菱電機インフォメーションシステムズ(MDIS、東京)。同市立図書館のシステムはコンピューター約150台などで構成され、主に2005年契約と08年契約の端末があり、5年リースの契約。05年分は今年9月に5年分の契約を結んだが、すべての契約を解除し、別の業者の選定を始める。 新たなシステムの導入は早くても11年末になる予定で、それまでは現行のシステムを使うが、利用料金は払わない。契約解除に伴う違約金の負担も同社に求める。市はこうした費用負担を一連の問題に対する損害賠償ととらえ、応じない場合は法的措置も辞さないとしている。 図
クローラ事件で話題の岡崎市立中央図書館で今度は利用者情報の流出が発覚 | スラド セキュリティ
先日、岡崎市立中央図書館のWebサイトに対しクローラで連続アクセスした男が逮捕される、という事件があったが、毎日新聞によると、この岡崎市立中央図書館で今度は個人情報の流出事件が発覚したそうだ。 流出したのは利用者163人分の名前や年齢、電話番号、借りた本のタイトル、貸出日など。 ソフトを開発した三菱電機インフォメーションシステムズ(東京)によると、同図書館が最初のソフト販売先だった。岡崎市の利用者の個人情報を誤って残したまま、ソフトをほかの全国37の公立図書館に販売してしまったという。宮崎県えびの市と福岡県篠栗町の図書館のホームページ(HP)から、岡崎市の個人情報がダウンロードされたことが確認された。 このたび、弊社が開発、販売する図書館システム「MELIL/CS」(メリルシーエス)のプログラムライブラリにおいて、岡崎市立中央図書館利用者様の個人情報を他の37の図書館様に混入させたことが判
脆弱性:4〜6月で96件、半数をサーバとクライアントが占める--ラック調べ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ラックはこのほど、「SNSDB Advisory Report 201004-06」(PDFファイル)を発表した。このレポートは同社が収集、検証、編集している脆弱性情報データベース「SNSDBアドバイザリ」をもとに4〜6月に確認された脆弱性96件を集計したもので、同社サイトから無料でダウンロードできる。 レポートによると、第三者に悪用される危険性が特に高いと考えられる「SNSDBピックアップ脆弱性」は、「一太郎」2件(ウイルス)、「Adobe Reader」2件(ウイルス、攻撃ツール)、「Adobe Flash Player」2件(ウイルス、攻撃ツール)、「Microsoft Windows」2件(ウイルス)の8件を取り上げている。 ソ
asahi.com(朝日新聞社):本を返さない人のリスト、全国に流出 愛知の図書館から - 社会
謝罪する米津真・図書館交流プラザ総合館長(右から2人目)ら=愛知県岡崎市役所 愛知県岡崎市は28日、同市立中央図書館の個人情報163人分が全国37の図書館のコンピューターから見つかり、一部の図書館からインターネットを通して外部に流出したと発表した。返却期日までに本を返さなかった利用者の氏名や書名、電話番号などで、同図書館のシステムを作った業者が他の図書館に同じシステムを流用した際、個人情報を削除しなかったことが原因とみられる。 同市立図書館のシステムを作成、管理している三菱電機インフォメーションシステムズ(MDIS、東京)と同市が記者会見して明らかにした。 会見での説明によると、個人情報のリストは2005年6月末ごろつくられた。159人分の氏名と電話番号、年齢、本の書名のほか、図書館の利用者番号、貸出日などが掲載されていた。その時点で返却期日を過ぎても本を返していなかった人のうち、そ
TwitterへのXSS攻撃--セキュリティ専門家が示す課題
ハッカーたちは米国時間9月21日午前、Twitterをワームの温床に一変させ、普通はAppleの製品ローンチでもなければあり得ないような熱狂的なニュース報道を引き起こした。急速に拡大した今回のセキュリティ侵害は2つのことを証明している。1つは、Twitterは今や間違いなくメインストリームのサービスだということであり、もう1つは、ハッカーの標的という点で、同サービスが大手テクノロジ企業と肩を並べるようになったということだ。 米CNETがインタビューした複数のセキュリティ専門家によると、Twitterはこれまで非常にうまく自らを防御してきたが、ニュースアグリゲーションや、企業サイト上での統合といった用途、便利な国際的コミュニケーションツールとして信頼を得たいのであれば、今後はコーディングに関してさらに慎重になる必要があるという。 Sophosのシニア脅威研究者であるBeth Jones氏は「
asahi.com(朝日新聞社):発電所や工場を標的…システム乗っ取るウイルス拡大 - 国際
【ワシントン=勝田敏彦】発電所や工場などの機器を監視・制御するシステムを乗っ取って操ることができるウイルスが、世界規模で広がっていることがわかった。「スタクスネット」と呼ばれ、電気、水道、ガスなど重要な社会インフラに影響が出る可能性がある。米CNN電子版は「これまで見つかった不正プログラムで最も危険な可能性がある」と報じた。 このウイルスはUSBメモリーに書き込まれ、挿入されたコンピューターから米マイクロソフト社の基本ソフト、ウィンドウズの弱点を突いて侵入。産業用システムとして広く使われている独シーメンス社製のソフトを探索して乗っ取る。家庭や企業の情報システムには感染しない。 シーメンスが把握している感染は、7月中旬以降、主にドイツの工場で見つかった15件。シーメンスのソフトは、機器を監視・制御する機能を持つため、弁の誤動作などさまざまなトラブルが起きる恐れがあったが、ワクチンソフトで
スマートフォンを襲う脅威―モバイル活用が一転、リスクに
前回、前々回は「中堅・中小企業にとって理想的なリモートデスクトップサービス」に焦点をあて、複数のサービスについて特徴や活用のポイントについて紹介した。 3回目となる今回は、企業がモバイルを活用する上で気をつけたいセキュリティだ。今回は実際の衝撃映像とともに、専門家の警告をお送りする。 ノートPCはもちろん、機能的にPCに近くなったスマートフォン、あるいは携帯電話などのモバイル端末をビジネス活用する企業が増えている。近年のビジネス用モバイルPCは小型軽量で高性能かつバッテリの長時間駆動が実現されており、その利便性は一段と高まっている。また移動通信キャリアもスマートフォンを続々と提供し始めており、携帯電話がスマートフォンに置き換わり、ビジネスに利用するユーザーが増えてくることが予想される。そうした中で気になるのが、新しいモバイル端末のセキュリティだ。 JailbreakしていないiPhoneが
Linux 64bit 版カーネルに root 権限を奪われる脆弱性 | スラド セキュリティ
ストーリー by reo 2010年09月21日 13時00分 lenny では 2.6.26-25lenny1 で修正されてます 部門より 64 bit 版 Linux カーネルに、root 権限を奪われる可能性のある脆弱性が見つかったとのこと (本家 /. 記事より) 。 この脆弱性 (CVE-2010-3081) はスタック・アンダーフローによってトリガーされるとのこと。ローカルユーザが root 権限を奪取できる exploit コード「Ac1db1tch3z」も既に公開されている。このコードはバックドアを残すため脆弱性へのパッチが適用された後も悪用される危険性がある。 また、Ksplice Inc. からは攻撃を受けたかをチェックするツール及びリブート不要のパッチが提供されているとのことだ。
【レポート】新たな攻撃手口で、USBメモリなどを感染経路とするウイルス−IPA「今月の呼びかけ」 | パソコン | マイコミジャーナル
IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、USBメモリなどを感染経路とする新たな攻撃手口を持つウイルスの出現について注意を喚起している。 USBメモリ経由で感染する新たなウイルス:Stuxnet 今回、新たに検知されたウイルスはW32/Stuxnet(以下Stuxnetと略記。スタスクネットと呼称する)である。IPAでは、Stuxnetウイルスを入手し、その感染手口の解析を行った。その分析結果であるが、「細工されたショートカットファイル(lnkファイル)が入っているフォルダをエクスプローラで開くだけで、ウイルスが起動する」という特徴が浮かび上がった。では、これがどのように新しい手口であるか、順を追って解説しよう。まずは、USBメモリにStuxnetウイルスが入っているとし、そのUSBメモリをPCに挿入する(図1)。
asahi.com(朝日新聞社):図書館長「了解求めないアクセスが問題」 HP閲覧不能 - ネット・ウイルス - デジタル
愛知県岡崎市立図書館にサイバー攻撃をしかけたとして図書館が被害届を出し、男性(39)が逮捕され、不起訴になった問題で、大羽良・同館長は21日、同市役所で報道陣に対し、「(男性の自作プログラムに)違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」と説明した。 男性は自作プログラムで図書館のホームページから蔵書の新着情報を収集。朝日新聞の取材で、図書館のソフトは蔵書データを呼び出す電算処理を継続したままにする仕組みで、アクセスの集中でホームページが閲覧できなくなり、サイバー攻撃を受けたように見える不具合があったことがわかった。 ホームページが閲覧できなくなったことについて、大羽館長は「図書館側のソフトに不具合はなく、図書館側に責任はない」との認識を示した。
グーグル、深刻な脆弱性は60日以内に修正するようベンダー各社に要請 - セキュリティ - ZDNet Japan
Googleはソフトウェアメーカーに対し、深刻な脆弱性の修正に60日という期限を設けるよう求めるとともに、期間内に修正されない場合はGoogleが脆弱性の情報を公開すると警告している。 Googleのセキュリティチームは、米国時間7月20日付のブログ投稿の中で、同社がソフトウェアベンダーとの間で定めている「行動規則」(rules of engagement)に加えた変更点を説明した。この行動規則は、同社がベンダー各社に脆弱性を報告する方法とタイミングについて定めたものだ。同チームは、セキュリティの専門家が「責任ある開示」のポリシーに従うことは、必ずしもエンドユーザーにとって最善の策にならないと主張している。このポリシーの下では、脆弱性は非公開のままベンダーに報告され、報告した側の研究者は、当のセキュリティホールが修正されるまで詳細情報を一般に公開せず待つことになる。 Googleのセキュリ
Windowsヘルプに未修正の脆弱性が見つかる――情報公開に批判も
Googleの研究者がWindowsヘルプの脆弱性を発見して情報を公開したものの、Microsoftが「ユーザーを危険にさらす行為だ」と反発している。 米Microsoftは6月10日、Windowsヘルプに未修正の脆弱性が存在するとして、アドバイザリーを出して注意を呼び掛けた。同社の発表を待たずに情報を開示した研究者に対し、「責任ある情報開示を求める」と批判している。 セキュリティ企業のフランスのVUPENとデンマークのSecuniaも、この脆弱性の存在を確認したとしてアドバイザリーを公開した。脆弱性はWindowsのHelp and Support Centerアプリケーション(helpctr.exe)内部の機能のエラーに起因し、悪用されるとシステムを制御される恐れがあるという。 Microsoftによると、この脆弱性はWindows XPとWindows Server 2003に影響
Expired
Expired:掲載期限切れです この記事は,ロイター・ジャパン との契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
Javaの脆弱性を突く攻撃発生、歌詞サイトで悪用
セキュリティ企業AVG Technologiesは4月14日(現地時間)、Sun Java Deployment Toolkitの脆弱性を突いた攻撃が発生したもようだとブログで伝えた。 同社最高調査責任者のロジャー・トンプソン氏によると、脆弱性を発見した研究者がOracle側に問題を知らせたが、臨時パッチで対処する予定はないとの返答を受け、コンセプト実証(PoC)コードの公開に踏み切った。その5日後に、ロシアの攻撃サーバにこのコードが仕掛けられているのを発見したという。 攻撃には楽曲の歌詞を掲載しているサイトが利用され、リアーナやアッシャーといった人気歌手の歌詞を使ってユーザーをおびき寄せる手口が使われている。トンプソン氏は、「同様の攻撃が続発するのは必至だ」と臨時パッチの必要性を訴えている。 今回悪用されているのは、2008年4月にリリースされたJava 6 update 10の「Jav
WordPressのブログに大量のハッキング被害、不正サイトへ誘導も
「WordPress」を使っていたブログが大量にハッキングされ、、ブログ閲覧者がマルウェア感染サイトへ誘導されてしまう事件が起きた。 セキュリティ企業各社は、オープンソースのブログ作成ソフト「WordPress」を使っていたブログが大量にハッキングされる事件が発生したとそれぞれ伝えた。ブログ閲覧者を悪質なWebサイトへリダイレクトしてしまう。 被害に遭ったのはドメイン登録業者Network Solutionsのホスティングサービスを利用していたブログが多いという。リダイレクト先のサイトにはマルウェアが仕掛けられていた。これに感染すると、偽ウイルス対策ソフトなどさらに別のマルウェアに感染する恐れがあるという。 セキュリティ企業のSucuri Securityは、ブログでこの事件の原因について、WordPressではデータベースの管理情報がプレーンテキストの状態で保存されるという問題を指摘して
「Java Web Start」に脆弱性--Windowsユーザーに研究者が警告
Javaに脆弱性が見つかったと、2人の研究者が米国時間4月9日に警告を発した。悪意のあるコードが含まれるウェブページをWindows搭載マシンで訪れると、乗っ取られるおそれがあるという。 GoogleエンジニアのTavis Ormandy氏はメーリングリスト「Full Disclosure」で詳細を明らかにし、WintercoreのエンジニアRuben Santamarta氏も、この件について同社のブログに記事を書いた。 問題があるのは「Java Web Start」フレームワークで、これは開発者によるJavaアプリケーション作成を簡単にするものだ。Ormandy氏によると、ブラウザでJavaプラグインを使用しない設定にしてもシステムを攻撃から守れないという。 「このツールキットではURLパラメータについて最低限度の確認手段しか提供されず、Java Web Startユーティリティに任意の
「Google Buzz」ユーザーはプライバシー設定の再確認を--グーグルが呼びかけ
「Google Buzz」でのプライバシー関連の混乱をめぐって批判を浴びているGoogleは、Buzzユーザーが自分のプライバシー設定を把握していることを念入りに確認したいと考えている。 米国時間4月5日、GoogleはBuzzにログインしたユーザーに対して、プライバシー設定を再確認するよう要請すること呼びかけた。Buzzが「Gmail」の連絡先を自動的にフォローしたことに対するプライバシー面での反発を受けて、Googleが同サービスの新規ユーザー向けに急いで作成した確認画面を、既存ユーザーにも提示することが狙いだ。 同システムはフォローする連絡先を「提案」するように変更され、Buzzユーザーにフォローしたいユーザーの確認を求めるようになっている。この際、自分が望まないフォロワーをブロックすることも可能だ。Buzzでは公開当初より、ユーザーによるプライバシー設定の変更が可能だったが、同サー
共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 IPAもCVSS-SIGに参画しており、脆弱性対策情報データ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.mdis.co.jp/news/press/2010/0928.html
Expired