Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
![情報処理推進機構:情報処理技術者試験:新着:](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9ae4e41e8b2184c612831da1241b4cf079ca73a/height=288;version=1;width=512/https%3A%2F%2Fwww.ipa.go.jp%2Fk3q2q400000050d7-img%2Fk3q2q400000050dg.png)
2017年3月15日(日本時間)にMicrosoft製品に関する脆弱性の修正プログラム MS17-010が公表されました。 この脆弱性がランサムウェアの感染に悪用され国内を含め世界各国で被害が確認され、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しています。 ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。 今回観測されているランサムウェアは Wanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられます。 ※ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、情報処理安全確保支援士制度が創設されることを踏まえ、情報処理安全確保支援士と現行の情報処理技術者試験「情報セキュリティスペシャリスト試験」の位置付け、試験実施予定などについて公表しました。 経済産業省は2016年4月27日に、国家資格となる「情報処理安全確保支援士」制度を2016年度内に新たに創設するとともに、「情報処理安全確保支援士試験(以下、支援士試験)」を2017年度から実施することを公表しました(*1)。 同制度は情報セキュリティの専門的な知識・技能を有する専門人材を登録・公表するもので、支援士試験は、現在実施している国家試験「情報処理技術者試験」の「情報セキュリティスペシャリスト試験(以下、SC試験)」の内容をベースに実施されます。 試験制度における両試験の位置付けは下図のとおりで、これまで情報処理技術者試験制度の枠組
公開日:2016年5月12日 最終更新日:2023年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
映像で知る情報セキュリティ 情報セキュリティ上の様々な脅威と対策をドラマなどを通じて学べる映像シリーズです。 社内研修などでご活用下さい。 IPA Channel動画の二次利用について YouTubeの「IPA Channel」に公開している本シリーズの動画は、そのままブラウザ上で再生して社内研修用コンテンツなどにお使いいただけます。ご利用にあたっての事前申請は不要です。 YouTube動画のダウンロード、コンテンツの二次利用等につきましては、YouTubeの利用規約を遵守していただきますようお願いします。 主な情報セキュリティ対策動画は動画ファイルでの提供も行っております。 動画ファイルのお申込み
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、内部不正の発生、およびその対策の実施状況等を把握し、内部不正の防止に向けた環境整備を促すため、「内部不正による情報セキュリティインシデント実態調査」を実施し、その報告書を2016年3月3日(木)に公開しました。 URL:https://www.ipa.go.jp/security/fy27/reports/insider/ 近年、組織内部から漏えいした情報により引き起こされるインシデントに関する報道が相次いでいます(別紙①)。例えば内部不正(*1)はその被害額が外部からの攻撃によるものよりも高額な傾向があり(*2)、組織は内部不正を未然に防ぐ必要に迫られています。しかしながら、内部不正は、職務上与えられた権限を使い行われるため、その対策は容易ではありません。 IPAでは、2012年に内部不正についてその動機や抑止・防止策を明らか
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、2011年11月に公開した“重要なセキュリティ情報”をリアルタイムに配信する、サイバーセキュリティ注意喚起サービスの新版を「icat for JSON(アイキャット・フォー・ジェイソン)」として公開しました。 URL:https://www.ipa.go.jp/security/vuln/icat.html 近年、情報窃取が目的と考えられるサイバー攻撃が顕在化しています。昨今のサイバー攻撃は、ソフトウェアの既知の脆弱性、およびPCやサーバーの設定不備の悪用など、手口が巧妙化しています。そのため組織のシステム管理者や個人利用者においては、迅速にセキュリティ対策情報を自ら入手し、システム(PCやサーバー)に対策を適用することが求められています。 IPAでは、広く普及しているソフトウェアや攻撃が確認された脆弱性の対
オフィス機器にも適切な通信制限と認証によるアクセス制限を施すことが必要です 2016年1月6日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2013年11月、ネットに接続された複合機等のオフィス機器の設定に不備があるため、機器内に保存されたデータが外部から閲覧できてしまう問題が明らかになりました。これを受け、IPAでは2013年11月8日に適切な設定の実施を促す旨の注意喚起を行いました。 https://www.ipa.go.jp/about/press/20131108.html しかし本日、報道により学術関係機関において、同様の問題が依然残存していることが明らかになりました。これは、適切な設定を徹底することの難しさを浮き彫りにしたといえます。 IPAでは複合機等のオフィス機器をインターネットに接続する際の通信制限と認証によるアクセス制限の実施により適切な設定と再点検を
「今月の呼びかけ」一覧を見る 第15-17-342号 掲載日:2015年 11月 4日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) IPAに「友人からの友達リクエストと思しきメールが届いたので承認をしたら、自分の名義で同様の友達リクエストのメールがばらまかれたようだ」という相談が、5月以降寄せられるようになりました。同様の相談は8月以降増えはじめ、10月には52件と前月の5倍近くまで急増しました。(*1)また、JPCERTコーディネーションセンター(JPCERT/CC)によれば、自組織を称したメールが送信されているという被害について情報公開した組織も複数確認されています。(*2) 相談によると、この友達リクエストは海外SNSの招待メールであり、相談者のGoogleアカウントに登録されている連絡先に送られていました。その原因は、相談者が自分に届いた友達リ
最終更新日:2015年 10月29日 独立行政法人情報処理推進機構 ~Google Apps(*1 )でメール機能を運用している組織は取引先に招待メールが届くことも ~ IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。 「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨の相談が10月に入り39件(10月23日現在)寄せられ、前月の3倍を超過しています(図1-1)。 また、JPC
「今月の呼びかけ」一覧を見る 第15-13-339号 掲載日:2015年 9月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) 2015年6月以降、「ウェブサイトの閲覧中にiPhoneがもらえるというメッセージが表示された」といった相談が寄せられるようになりました※1。他にも「iPhoneがウイルスに感染したという警告が表示された」といった、iPhone利用者からの相談が寄せられています。 いずれもクレジットカード情報の入力やアプリのインストールを促すための偽のメッセージ、偽の警告であると考えられます。入力したクレジットカード情報が悪用される等の懸念がありますので、基本的にはメッセージの内容を鵜呑みにせず、すぐに表示されているウェブサイト(ブラウザのタブ)を閉じることが賢明です。 図1:iPhone利用者からの相談が寄せられている 今月の呼びかけでは
「今月の呼びかけ」一覧を見る 第15-12-337号 掲載日:2015年 8月 4日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) 2015年5月以降、IPAに"あなたのコンピュータでウイルスが検出されました"という音声がパソコンから聞こえたが大丈夫か、といった内容の相談が相次いで寄せられるようになりました。相談ではインターネットを利用していたら、気が付かないうちに「PCサポート」というウェブサイトに辿り着いてしまい、突然、日本語でウイルス検出したという警告と、ウェブサイトに記載されている連絡先に電話をかけるよう音声メッセージが流れたとのことでした。 この"ウイルスの検出を警告する音声メッセージが流れるウェブサイト"の存在については、同じ時期にセキュリティベンダでも確認されており、6月に注意喚起が出されています※1。 図1:ウイルスを検出したと音声で警告
「今月の呼びかけ」一覧を見る 第15-10-335号 掲載日:2015年 7月1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) 「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインターネットバンキングでの本人を確認するための機能です。例えば、パスワードリマインダで利用する場合、あらかじめ「質問」と「答え」を設定しておくことで、パスワードを忘れた際には「秘密の質問」によって本人確認をします。しかし、「秘密の質問」のみで本人確認とすることにはセキュリティ上の懸念があります。 2015年5月、Google社が「秘密の質問」に関する研究結果を発表したことが報じられました※1。それによると、「秘密の質問は、それ単体でアカウント復旧の仕組みとして使用するには、安全性も信頼性も十分ではない」とされています。 201
このところのウイルス感染被害の報道では、外部の機関からの通報等によって初めて感染に気づかされるケースがほとんどです。こうしたことから「自組織においても感染に気が付かないまま、潜伏されているのでは」との懸念が高まっているものと考えられます。IPAでは6月1日の公的機関からの個人情報漏洩の報道を受け、対策と運用管理に関する注意喚起を6月2日(*1)、6月10日(*2)に行っています。本日の注意喚起では、“検知をすり抜けて侵入してしまったウイルスによる感染”の検査を推奨する目的で、端末内に潜伏するウイルスの有無を確認するための情報とノウハウを公開します。 たとえ組織内全ての端末検査は困難でも、業務で外部からのメールを頻繁に受け付けていて、“組織内への感染の突破口となり得る”部署の端末など、優先順位の高い端末から、可能な限り検査を進めることを推奨します。 標的型攻撃メールを使った攻撃は、(1)メー
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2014年度に採択した未踏クリエータ25人の中から卓越した成果を挙げた7名を「スーパークリエータ」として認定しました。 モノとインターネットが対話するIoT社会では、革新的な技術がビジネスの既成概念の枠を破壊し、従来の競争ルールを一変させるゲームチェンジを引き起こします。その変化をリードするのは、突き抜けた才能を持つITイノベータです。こうしたITイノベータをいかに育て、活用するかが、これからの日本の国際競争力を左右する時代になりつつあります。 IPAでは突き抜けた才能を持つITイノベータを発掘し、育成するために、2000年度から未踏IT人材発掘・育成事業(未踏事業)に取り組んできました。2014年までに採択されたクリエータは1,627名で、特に卓越した能力を持つと認められた人材「スーパークリエータ」は、今回の7名を加えて272
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く