EXP45-C. 選択文に対して代入を行わない
EXP45-C. 選択文に対して代入を行わない 次の場合は代入演算子を使用しないこと。このような代入演算子は、プログラマが間違いを犯していることを示唆しており、予期せぬ動作を引き起こす可能性がある。 if、switch の制御式 (選択文) while、do...while の制御式 (反復文) for の第 2 オペランド (反復文) ?: の第 1 オペランド (選択文) || や && のオペランド (論理演算子) コンマ演算子の第 2 オペランド (これらのコンテキストでコンマ式を使用する場合) ?: の第 2 および第 3 オペランド (選択文) (これらのコンテキストで三項式を使用する場合) 違反コード 次のコード例では、代入式が if 文の最も外側の式になっている。 if (a = b) { /* ... */ } このコードの意図は、a に b を代入して結果の値が 0 と
CERT C コーディングスタンダード 00. はじめに
CERT セキュアコーディングスタンダードの概要 ネットワーク化されたソフトウェアシステムへの依存度が高まるにつれ、そのようなシステムを狙った攻撃の数は増えてきている。政府、企業、教育機関、個人を狙ったこれらの攻撃は、機密データの消失や漏えい、システムの損傷、生産性の低下、および金銭的な損失につながっている。 ソフトウェアの脆弱性に関する報告は驚くべき速さで増え続けており、そのうちの大部分はテクニカルアラート(注意喚起)の発行につながっている。この増大する脅威に対処するためには、ソフトウェアの開発や継続的なメンテナンスの過程で作りこまれるソフトウェアの脆弱性を大幅に削減する必要がある。 安全なソフトウェア開発に不可欠な要素は、適切に明文化された、適用可能なコーディングスタンダードである。コーディングスタンダードがあれば、プログラマは個人の得意な方法や好みではなく、プロジェクトと組織の要件に
JPCERT コーディネーションセンター 脆弱性対策情報
一般公表前の脆弱性関連情報は、ソフトウェア/ハードウエアシステム等におけるセキュリティ上の欠陥に係わる情報であり、その取扱には細心の注意を要します。JPCERT/CCでは、脆弱性関連情報の取扱を脆弱性情報ハンドリングと呼んでいます。 脆弱性情報ハンドリングとは、公表前の脆弱性関連情報を必要に応じて公開することで、脆弱性情報の悪用、または障害を引き起こす危険性を最小限に食い止めるためのプロセスです。JPCERT/CCは、本枠組みの調整機関として、一般公表前に脆弱性関連情報を製品開発者に連絡し、対応 (パッチ、ワークアラウンドなどの作成) を依頼します。同時に、製品開発者に加えて海外の関係機関とも連携し、脆弱性関連情報を全世界で同時に公表するために、一般公表日を調整します。 Topへ 国内における枠組みとJPCERT/CCの役割について 「ソフトウエア製品等の脆弱性関連情報に関する取扱規程(平
マルウエア Emotet の感染に関する注意喚起
JPCERT-AT-2019-0044 JPCERT/CC 2019-11-27(新規) 2019-12-10(更新) I. 概要JPCERT/CC では、2019年10月後半より、マルウエア Emotet の感染に関する相談を多数受けています。特に実在の組織や人物になりすましたメールに添付された悪性な Word 文書ファイルによる感染被害の報告を多数受けています。 こうした状況から、Emotet の感染拡大を防ぐため、JPCERT/CC は本注意喚起を発行し、Emotet の主な感染経路、Emotet に感染した場合の影響を紹介した後、感染を防ぐための対策や、感染に気付くためにできること、感染後の対応方法などに関する情報を紹介します。 更新: 2019年12月2日追記 JPCERT/CC Eyes にて、マルウエア Emotet に関する FAQ を掲載したブログを公開いたしました。こち
リモートデスクトップサービスにおける脆弱性 CVE-2019-0708 について
2019年5月14日(現地時間)、マイクロソフトは、リモートデスクトップサービスにおける脆弱性 CVE-2019-0708 についてセキュリティ更新プログラム (緊急) を公開しました。 本脆弱性を悪用することで、認証されていない遠隔の攻撃者が RDP を使用して細工したリクエストを送信し、任意のコードを実行する可能性があるとのことです。 マイクロソフトによると、本脆弱性の悪用はまだ確認されていないとのことですが、本脆弱性を悪用するマルウエアが今後開発されると、2017年に流行したランサムウエア「WannaCry」のように、脆弱な端末に感染が広がる可能性があると注意を促しています。 マイクロソフト株式会社 Prevent a worm by updating Remote Desktop Services (CVE-2019-0708) https://blogs.technet.micr
STOP! パスワード使い回し!キャンペーン2018
□ パスワードの文字列は、長めにする(12文字以上を推奨) □ インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる □ 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける □ 他のサービスで使用しているパスワードは使用しない これまでは、英大文字・小文字、数字に加えて記号を混ぜ込むことが多々推奨されてきました。しかし、「アルファベットを数字や記号に置き換える」等の方法では、憶えやすさが損なわれたり(※後述のコラムを参照)、「p@ssword」(aをアットマーク「@」に置き換え)のような置き換えの場合、辞書攻撃であらかじめ推測されている恐れがあります。したがって、現在では、これまでの方法より数文字でも多くの文字を使うことが望ましいと考えられています。 例えば、8文字で英大小文字+数字+記号(9
SHODANを悪用した攻撃に備えて-制御システム編-
SHODAN を悪用した攻撃に備えて -制御システム編- 一般社団法人 JPCERT コーディネーションセンター 制御システムセキュリティ対策グループ 2015 年 6 月 9 日 (初版) Japan Computer Emergency Response Team Coordination Center : Japan Computer Emergency Response Team Coordination Center DN : c=JP, st=Tokyo, l=Chiyoda-ku, email=office@jpcert.or.jp, o=Japan Computer Emergency Response Team Coordination Center, cn=Japan Computer Emergency Response Team Coordination Cente
攻撃者の行動を追跡せよ - 行動パターンに基づく横断的侵害の把握-
攻撃者の行動を追跡せよ - 行動パターンに基づく横断的侵害の把握 と調査 - 朝長 秀誠 (JPCERTコーディネーションセンター) 六田 佳祐 (株式会社インターネットイニシアティブ) Copyright ©2017 JPCERT/CC All rights reserved. 自己紹介 JPCERTコーディネーションセンター 分析セン ター マルウエア分析、フォレンジック調査 マルウエアの分析結果やテクニカルレポートは JPCERTのWebページやGithubで公開 —https://www.jpcert.or.jp/magazine/acreport.html —https://github.com/JPCERTCC/aa-tools 1 朝長 秀誠 (Shusei Tomonaga) Copyright ©2017 JPCERT/CC All rights reserved. 自己
ランサムウエア対策特設サイト
世界中で猛威を振るうランサムウエアは、今やインターネット利用者にとって、深刻な脅威のひとつとなっています。その脅威は年々増しており、2016年には日本国内における被害報告の件数が過去最多[1] となり、2017年に出現した「WannaCrypt」や「Petya」などのランサムウエアは世界中に甚大な影響を及ぼしました。 このような状況から、JPCERT/CCは、ユーザの意識啓発を促進することを目的として、ランサムウエアの感染防止や被害低減のための対策を紹介する、ランサムウエア特設ページを開設することとしました。 ランサムウエアとは ランサムウエアの種類 ランサムウエアの対策 感染した場合の対処法 「No More Ransom」プロジェクト ランサムウエアに関するJPCERT/CCの活動 1.ランサムウエアとは ランサムウエアとはマルウエアの一種であり、身代金要求型不正プログラムとも呼ばれて
ランサムウエア "WannaCrypt" に関する注意喚起 | JPCERTコーディネーションセンター(JPCERT/CC)
各位 JPCERT-AT-2017-0020 JPCERT/CC 2017-05-14(新規) 2017-05-17(更新) <<< JPCERT/CC Alert 2017-05-14 >>> ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html I. 概要 2017年5月12日ごろより世界中で "WannaCrypt" などと呼ばれるマルウエアに 関する被害が報じられています。JPCERT/CC にてマルウエアを確認したところ、 感染した場合に、端末のファイルが暗号化され、復号の為に金銭を要求する日 本語のメッセージが表示されることを確認しています。 2017年5月14日現在、JPCERT/CC では、国内での "WannaCrypt" による感染や 被害に関する情報を確認しております。
インターネット定点観測レポート
こちらはご意見・ご感想用のフォームです。各社製品については、各社へお問い合わせください。 ※本フォームにいただいたコメントへの返信はできません。 返信をご希望の方は「お問合せ」 をご利用ください。
高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて
高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて JPCERT/CCが2010年に行った高度サイバー攻撃(APT)に関する実態調査では、長期間にわたって社内で攻撃者による活動が行われていても、その兆候を検出できなかった事例が多くみられました。また、企業や組織が高度サイバー攻撃(APT)活動下にあると気付いたものの、ログの保持や保全状況に問題があり、いつ頃攻撃が始まったのか、侵入経路や攻撃手口はどのようなものだったのかの特定が難しい状況にあることがわかりました。 高度サイバー攻撃(APT)にあった企業や組織は、情報セキュリティ対策を何も実施していなかったわけではなく、むしろ、ベースラインとなる基本的な対策(アンチウイルスソフトの導入、パッチマネジメントの実施等)を行っている企業や組織が多いことが明らかになりました。 本ガイドは、企業や組織が高度サイバー
#examples
お知らせ [2024年1月30日] ・2024年1月27日1時頃から、定点観測システム(TSUBAME)においてシステム障害が発生しておりましたが、 2024年1月30日9時30分に復旧いたしました。 ご利用の皆様にはご迷惑をおかけいたしました。 JPCERT/CCでは、インターネット上の攻撃動向を観測するためのシステムを稼働させています。システムについての詳細情報や観測事例については、下のリンクよりご参照ください。 インターネット定点観測について JPCERT/CCは 2003年度より定点観測システムを立ち上げ運用しています。 定点観測システムではインターネット上に観測用のセンサーを分散配置し、ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっています。 定点観測システムによって得られた情報は Web を通じて定期的に公開しているほか、注
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SHODANを悪用した攻撃に備えて-制御システム編-