更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
2017年3月15日(日本時間)にMicrosoft製品に関する脆弱性の修正プログラム MS17-010が公表されました。 この脆弱性がランサムウェアの感染に悪用され国内を含め世界各国で被害が確認され、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しています。 ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。 今回観測されているランサムウェアは Wanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられます。 ※ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求
IPA、「情報セキュリティ10大脅威 2016」を発表
情報処理推進機構(IPA)は2月15日、「情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構」において、2015年に発生したセキュリティインシデントおよび見識者による検討の結果を経て、「情報セキュリティ10大脅威 2016」を発表した。総合ランキングのほか、組織および個人で見た場合の10大脅威がまとめられている。 発表された10大脅威は次のとおり。 【総合】 第1位 インターネットバンキングやクレジットカード情報の不正利用 第2位 標的型攻撃による情報流出 第3位 ランサムウェアを使った詐欺・恐喝 第4位 Webサービスからの個人情報の窃取 第5位 Webサービスへの不正ログイン 第6位 Webサイトの改竄 第7位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ 第8位 内部不正による情報漏洩 第9位 巧妙・悪質化するワンクリック請求 第10位 対策
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
内部不正対策ソリューションガイドについて 本冊子は、独立行政法人情報処理推進機構(IPA)によって2013 年3 月に公開された「組織における内部不正防止ガイドライン」(以下 IPA ガイドライン)に定められた各条項を具現化し、「組織における内部不正」を抑制するための具体的ソリューションを紹介することを目的としたソリューションガイドです。 ※組織における内部不正防止ガイドライン(IPA) http://www.ipa.go.jp/security/fy24/reports/insider/index.html 組織における情報セキュリティでは、人による情報漏洩が話題になり、多くのベンダーから、その対策を行うソリューションが提供されています。本冊子の内容はこれらのソリューションを、IPA ガイドラインをベースにして整理したものであり、同ガイドラインの各条項で示された内容を実際の職場で実現する
組織における内部不正防止ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
組織内部者の不正による顧客情報や製品情報などの漏えいは事業の根幹を揺るがすインシデントであり、内部不正が発生するリスクの把握や効果的な対策の検討は、組織にとって喫緊の課題です。IPAでは、このような背景から、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的として2013年に「組織における内部不正防止ガイドライン」を作成し、2022年4月に改訂版第5版を公開しました。 本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。 各対策項目では、「対策の指針」を冒頭に記し、対策しない場合のリスクと、具体的な対策のポイントを整理する構成としています。さらに、内部不正の事例のほか、自組織の内部不
内部関係者による情報漏えいを繰り返さないためにできること
内部関係者による情報漏えいを繰り返さないためにできること:IPAがガイドラインを示し、対策の見直し呼び掛け ベネッセコーポレーションでの顧客情報漏えい事件を受け、情報処理推進機構(IPA)は2014年7月10日、内部関係者の不正による情報漏えいを防止するため、あらためてセキュリティ対策を見直すよう呼び掛けた。 通信教育サービス大手のベネッセコーポレーションで顧客情報が大量に流出した事件を受け、情報処理推進機構(IPA)は2014年7月10日、内部関係者の不正による情報漏えいを防止するため、あらためてセキュリティ対策を見直すよう呼び掛けた。 この事件では、ベネッセコーポレーションの通信教育サービスを利用している顧客の氏名や住所、電話番号などの個人情報、約760万件が流出した。同社の発表によると、原因は外部からの不正アクセスではなく、同社グループ社員ではないがデータベースにアクセスできる権限を
「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051):IPA 独立行政法人 情報処理推進機構
対象 サーバ側およびクライアント側で使用している「OpenSSL」のバージョンが以下の組み合わせの場合に、本脆弱性の影響を受けることが確認されています。 サーバ側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 クライアント側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前 OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前 開発者が提供する情報をもとに最新版へアップデートしてください。 Q&A 通信経路上の攻撃者とは? 本脆弱性を悪用するためには、クライアントとサーバの間に入って通信を中継する必要があります。このようなシナリオでの攻撃を一般に中間者攻撃といい、このときの攻撃者を本稿では通信経路上の攻撃者と呼んでいます。一般に、通信経路上の攻撃者となること
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について:IPA 独立行政法人 情報処理推進機構
ウェブサイト上でのショッピングや金融取引における通信は一般に、SSL と呼ばれる方式で暗号化されています。この SSL を実現するソフトウェアの一つである OpenSSL に、情報漏えいの脆弱性が発見されました。https でアクセスできるウェブサイトは、この脆弱性の影響を受け、ウェブサイトから情報が漏えいする可能性があります。 図:脆弱性および、脆弱性から想定可能な影響のイメージ 漏えいした情報が悪用された結果、上図のような影響が生じる可能性があります。連鎖被害を防ぐために、下表のような対策をとることが推奨されます。 直接被害 派生(連鎖)被害 対策 ウェブサイト運営者 ウェブサイト利用者(一般ユーザ) 詳細は次節[ウェブサイト利用者(一般ユーザ)としての対応]参照 サイト秘密鍵の漏えい
更新:OpenSSL の脆弱性対策について(CVE-2014-0160):IPA 独立行政法人 情報処理推進機構
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。 この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。 一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます: 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合) 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合) 既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。 脆弱性の解消 The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正
情報処理推進機構:ソフトウェア・エンジニアリング 「アジャイル型開発におけるプラクティス活用事例調査」の報告書とリファレンスガイドを公開
2013年3月19日公開 独立行政法人情報処理推進機構 技術本部 ソフトウェア・エンジニアリング・センター 概要 インターネット販売サイトやSNS(ソーシャルネットワークサービス)等のシステムでは、その構築において要件のすべてが明確にならなくても開発に着手し、要件の明確化や変更には開発と並行して対応します。それは、いかに早くサービスを提供するかに、ビジネスの命運がかかっているからです。 こうした要件の変化に柔軟に対応できる開発手法として、「アジャイル型開発」があります。これは、ビジネス上の優先度が高い順に、短いサイクルで機能単位の開発を繰り返す手法です。 このアジャイル型開発手法は自社開発(内製)が中心の米国で発展したものであり、要件を決めて外部に開発を委託することが多い等、受発注環境が異なる日本でアジャイル型開発を適用するのは難しいと考えられています(*1)。 「アジャイル型開発」には、
狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性”
狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性” 「組み込みシステムは格好の標的」、IPAがシンポジウム開催 「組み込みシステムは、攻撃者にとって格好のターゲット。情報家電(ネットワーク接続機能を持つ家電)も例外ではない」。情報処理推進機構(IPA)研究員の鵜飼裕司氏は2011年2月24日、IPAが開催したシンポジウムにおいて、情報家電のセキュリティについて解説した。 2010年から、政府では2月を「情報セキュリティ月間」と定め、情報セキュリティに関する普及啓発活動を、官民連携で集中的に実施している。その活動の一環としてIPAでは、「情報家電」「自動車」「中小企業におけるクラウド」「重要インフラ」の4分野におけるセキュリティ動向を解説するシンポジウムを、2月24日と25日の2日にわたって開催している。 鵜飼氏は情報家電のセキュリティに関するシンポジウムに登壇。情報家電を含めた組み
Diffie-Hellman Key Agreement Method
English Diffie-Hellman 鍵共有法(DH 法) (Diffie-Hellman Key Agreement Method) このメモの位置づけ 本書は、インターネットコミュニティに対してインターネットスタンダードトラックのプロトコルを定義するとともに、それを改良するための議論や提言を求めるものである。このプロトコルの標準化状態およびステータスについては、「Internet Official Protocol Standards」 (STD 1) の最新版を参照すること。このメモの配布に制限はない。 著作権表記 Copyright (C) The Internet Society (1999). All Rights Reserved. 要旨 本書は、ANSI X9F1 ワーキング グループによって策定された ANSI X9.42 ドラフトに基づく 1つの特定の DH 法
Oracle Java の脆弱性対策について(CVE-2013-0422):IPA 独立行政法人 情報処理推進機構
※追記すべき情報がある場合には、その都度このページを更新する予定です。 MyJVNバージョンチェッカによる最新バージョン利用の簡易チェックが行えます。こちらからご利用ください。 概要 Oracle 社が提供する JRE (Java Runtime Environment) は、Java プログラムを実行するためのソフトウェア実行環境です。 JRE には、ウェブを閲覧することで任意のコード(命令)が実行される可能性がある脆弱性が存在します。この脆弱性を悪用された場合、攻撃者によってコンピュータを制御される可能性があります。 既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、修正プログラムを適用して下さい。
セキュリティ関連 RFC:IPA 独立行政法人 情報処理推進機構
IPA/ISEC(独立行政法人 情報処理推進機構 セキュリティセンター)は、インターネットセキュリティに関する重要な RFC(Request for Comments)を日本語に翻訳して提供しています。 RFC は、IETF (Internet Engineering Task Force) におけるインターネットコミュニティの標準等の検討が公表される一連の文書であり、1969年に発行され始めました。それらの内容としては、インターネット標準の仕様のみならず、現時点における最善の実践(BCP)、FYI(For Your Information)を含む情報提供、実験的なもの、および、歴史的なものがあり、広範にわたります。原文は、英語で記述されています。 この目的は、 「ベンダーによるインターネットセキュリティ機能の実装を促進すること」および「ユーザのインターネットセキュリティについての認識を向
IPAがストリーム暗号「Toyocrypt」を解読,「世界で初めて」
独立行政法人 情報処理推進機構(IPA)は9月26日,ストリーム暗号の一種である「Toyocrypt」の解読に成功したことを発表した。Toyocryptの解読手法については学会などで発表されているが,「計算機を使って実際に解読したのは世界で初めて」(IPAセキュリティセンター 暗号グループの杉田誠研究員)。9月20日時点で,2の21乗個の平文(暗号化する前の文)と暗号文のペアを基に,これらの暗号化に使った128ビットの秘密鍵を27分で解読した。「現在では20秒で解読できる」(杉田氏) IPAでは暗号の安全性評価の一環として,2004年度に暗号解読プロジェクトを立ち上げた。同プロジェクトは,暗号解読法の一つである「代数的攻撃法(Algebraic Attack)」を用いるプログラムを開発し,同攻撃手法に対する暗号アルゴリズムの安全性を評価することが目的である。 同プロジェクトで最初に評価対象
OpenFlowによるネットワーク分離
近年、ソフトウェアやハードウェアなどのリソースをネットワーク経由で利用する形態である「クラウドコンピューティング」が流行っている。クラウドコンピューティングには、SaaS(Software as a Service)やPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)などの「パブリッククラウド」や、企業毎に自社のデータセンタ上でサーバ仮想化技術を使用して、社内の部門に対して仮想サーバの貸し出しサービスを行う「プライベートクラウド」などが存在するが、複数の企業のプライベートクラウドを物理的に同じインフラ上で実現することでコスト削減を実現する「仮想プライベートクラウド」が注目されてきている。仮想プライベートクライドでは、サーバの論理分割だけでなく、ネットワークの論理分割を行い、各社のプライベートクラウド間のセキュリティを確
海外でなぜアジャイル開発が普及しているのか? IPAが分析と提言
海外ではなぜアジャイル型開発が普及しているのか、IPA(独立行政法人情報処理推進機構)が継続的に行っている非ウォーターフォール型開発についての調査や提言活動の一環として、海外でのアジャイル開発の背景などについての報告書「非ウォーターフォール型開発の普及要因と適用領域の拡大に関する調査報告書 (非ウォーターフォール型開発の海外における普及要因編)」が公開されました。 調査対象国は、アメリカ、イギリス、中国、ブラジル、デンマークです。アメリカはアジャイル宣言が行われたアジャイル開発先進国として、イギリスもアジャイル開発の先進国として選ばれ、中国は日本のオフショア先であり新しいソフトウェア開発市場が起こりつつある国として、ブラジルはアジャイルコミュニティが活発化しており、デンマークは政府がアジャイル開発を推進している国として選択されました。 報告書のハイライトを紹介します。 海外でなぜアジャイル
ストリーム暗号安全性検証用グレブナー基底計算プログラムの開発 | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2005年7月時点のものです。 実施者 株式会社アイビス 開発成果の概要 電子政府システムにおいて高い安全性を維持・確立するためには、数学的な安全性評価が不可欠となっている。そのため、ストリーム暗号のalgebraic attackに対する安全検証方法についての研究を行う必要がある。 近年の内外における研究結果を見ると、全てのalgebraic attackはグレブナー基底の話に帰着することが証明されている。このような状況から、algebraic attackに対する安全性検証を行うにあたり、グレブナー基底計算アルゴリズムの開発を行うことが不可欠である。 我が国のセキュリティ評価技術の向上に資するため、本開発ではフランスのFaugere氏が提案した、グレブナー基底計算アルゴリズムにおいては現在(2004年9月)世界最速のF4,F5アルゴリズムを、IPAの所有する暗号技術監視
世界初!ストリーム暗号「Toyocrypt」の解読に成功
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、2005年9月20日世界で初めてストリーム暗号(携帯情報機器の無線通信などに使用される暗号)「Toyocrypt」(以下、Toyocryptという。)の解読に成功しました。 「Toyocrypt」は、2000年当時、実質的に永遠に解けない暗号として電子政府推奨暗号候補として提案されましたが採択にいたらなかったものです。近年、欧米亜の暗号に係る国際学術会議において、世界的な研究者間でこの暗号の解読可能性がひとつの主要な論点となっていました。新たに代数的攻撃手法を適用することで理論的に解読可能との研究結果が発表されるなど注目を浴びていますが、解読には高度なプログラミング能力と高速のコンピュータが必要なため、計算機を利用して実際に解読した実証例は皆無でした。 IPAは、代数的攻撃手法に対する暗号の安全性評価手法を確立するため
IPAと米国NIST、初の暗号モジュール共同認証を完了
独立行政法人 情報処理推進機構 (IPA)は4月12日、IPAと米国 国立標準技術研究所(NIST : National Institute of Standards and Technology)が3月23日に、日立ソリューションズの暗号モジュールの共同認証を完了したと発表した。 ICカードや暗号化ルーター、暗号化ストレージなど、ハードウェアやソフトウェアのレベルで暗号アルゴリズムを実現する暗号モジュールの安全性は、暗号技術を利用した製品やシステムを作る上で重要なポイントになる。暗号モジュールの安全性確保のために北米では、NISTとカナダのCSECによる認証制度としてCMVP(Cryptographic Module Validation Program)が運営されており、日本ではIPAが「暗号モジュール試験及び認証制度(JCMVP : Japan Cryptographic Modul
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OSS人材育成:OSSモデルカリキュラム導入実証:IPA 独立行政法人 情報処理推進機構