Web脆弱性スキャナーをAIの力を借りて作って脆弱性を見つけてIPAに報告した - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに こんにちは。 最近、業務で脆弱性診断はほぼ行っておらず、プライベートでもバグバウンティしていない。微妙な脆弱性なのか判断しづらいものを報告したりはしているのだが、反応はない。 何もしてないように見えるのも良くない気がしてきたので、プライベートで受理されやすそうな脆弱性を探して、IPAに報告しようかと思ったのだが、普通に探すのも面白くない。同じようなことをやる気はなかなか起きないのだ。 何か目先を変えるべく、脆弱性スキャナーを使って探すことにした。Burp Proを使えばいいのだが、プライベートの一円にもならないもののために貴重
サイバーレジリエンスのためのコミュニケーション ~セキュリティ担当者に必要なコミュニケーションスキル集~ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 サイバーインシデント発生時にセキュリティ担当者はその被害の封じ込め、復旧対応のために現場から経営層までさまざまな部署の担当者と円滑に連携して対応していく必要があります。このように組織一体となってサイバーインシデントに対応し、状況を回復していく力を「サイバーレジリエンス」といいますが、このサイバーレジリエンスを実現していくためには多くの企業が以下のような課題を抱えていると考えています。 1.同じ企業の中の部署であっても、それぞれの部署がもつ専門性や文化の違いからサイバーインシデント対応において必要な連携の 中でコミュニケーションエラーが発生しやすい可能性がある。 2.サイバーインシデントを体験したことがある担当者が限定的であるため、対応のために必要なコミュニケーションスキルに個人差 がある可能性がある。 そこで本プロジェクトでは、事業会社において、サイバーインシデント対応時の他部署との
「我が社がサイバー攻撃の被害に!」なときに使えるコミュニケーションのコツ集 IPAが公開
情報処理推進機構(IPA)は8月30日、サイバーインシデントの対応時に求められる社内コミュニケーションのノウハウをまとめた資料「サイバーレジリエンスのためのコミュニケーション ~セキュリティ担当者に必要なコミュニケーションスキル集~」を公開した。 サイバーレジリエンスとは、サイバー脅威の侵入を前提にし、被害を最小限にとどめて早期にシステムを復旧させるための考え方のこと。資料では有事や、それに備えた平時の社内コミュニケ―ションに焦点を当て、留意すべき点を約60ページにわたって解説している。 例えば部署間コミュニケーションのノウハウについて説明する章では、セキュリティ部署が他部署と連携する際につまずきやすい点を整理。IT環境とOT(工場設備の制御・運用)環境それぞれで、「専門用語を使わない」「判断はYes/Noで回答可能な状態にしておく」など、つまずきのないコミュニケーションをするための知見を
伊藤忠セキュリティ子会社、ランサム攻撃などのリスク可視化シートを無料公開 「現状把握にぜひ」
伊藤忠サイバー&インテリジェンスは7月31日、社内で利用していたツールを基にしたリスクアセスメント(リスクの特定、分析、評価)シートを無償で公開した。「各組織において自組織のリスクアセスメントを実施する際や、グループ会社を多く有する組織におけるガバナンスとしてのリスクアセスメントにぜひご活用ください」(同社) シートでは、標的型攻撃、ランサム攻撃、メール詐欺の3つを具体的な脅威に想定。それぞれにさらされるリスクを侵入・攻略・復元という3つの観点に分解し、対応策が実施できているか質問する形になっている。質問に答えると、結果を示すシートにどれだけリスクを軽減できているかの評価が表示される仕組みだ。 シートは3つの脅威を全てカバーするバージョンだけでなく、それぞれを抜き出したものも配布。今後は「事務所への物理的な侵入」「無線LANへの侵入」「SaaSやクラウドサービスへの侵入」など、ツールでカバ
サポート詐欺の実態まとめたレポート、IPAが公開 ニセ警告画面を閉じるショートカットが効かなくなっていく傾向に
サポート詐欺の実態まとめたレポート、IPAが公開 ニセ警告画面を閉じるショートカットが効かなくなっていく傾向に 情報処理推進機構(IPA)は7月31日、独自の調査や寄せられた相談などを基に、サポート詐欺の手口や傾向、その変化をまとめたレポートを公開した。「情報セキュリティ関連の業務に従事している方へ、手口や被害状況の実態を共有することで、被害低減や対策推進に資することが目的」という。 レポートによれば、サポート詐欺の相談件数は増加傾向にあるという。件数は2022年1~3月ごろから増加。24年4月には、月単位の相談件数が過去最高の828件に上った。 手口にも変化があり、過去はアダルトサイトから偽の警告サイトに誘導する例が主流だったものの、23年7月ごろから傾向が変化。Webサイトの広告枠に偽広告を表示して誘導するケースが増えた。12月ごろからはWebサイトの構成要素に偽装した偽広告も表示され
IPA、情報セキュリティを学べる合宿開催 小学生~大学院生対象、参加費は無料
情報処理推進機構(IPA)は4月8日、「セキュリティ・キャンプ2024 全国大会/ネクスト/ジュニア」のエントリー受付を開始した。IPAとセキュリティ・キャンプ協議会(東京都千代田区)が主催し、8月12日から17日の6日間、東京都府中市にて開催する。エントリーは5月13日まで、応募課題の提出は5月20日まで。参加費は交通費、宿泊費を含み無料。 同イベントは情報セキュリティに関する高度な技術教育と倫理教育を目的に、審査に通過した日本国内の学校に在籍する学生や生徒、児童を対象に実施。それぞれ募集年齢やレベルの異なる「全国大会」「ネクスト」「ジュニア」の3種類で募集する。 全国大会は、セキュリティ分野に興味を持ち、将来同分野で活躍したいという意志を持つ13~22歳の学生、生徒が対象。高度な情報セキュリティ技術やモラル、自律的な学習意識の習得機会を提供する。2004年度のスタート以来、23年度まで
「情報セキュリティ10大脅威 2024」の追加資料をIPAが公開
情報処理推進機構(以下、IPA)は2024年2月29日、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案をまとめた「情報セキュリティ10大脅威 2024」の追加資料として、新たに「情報セキュリティ10大脅威 2024」(各脅威の詳細をまとめたもの)「情報セキュリティ10大脅威の活用法 2024」「情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策」を公開した。 情報セキュリティ10大脅威 2024の追加資料が公開 追加された資料では、脅威の詳細と具体的な対策、ドキュメントの活用法などがまとめられている。公開された情報を確認するとともに、対策に活用してほしい。 公開されたドキュメントは以下の通りだ。
情報セキュリティ10大脅威2024が発表、社会情勢や新技術の悪用が引き続き増大【IPA調べ】(Web担当者Forum) - Yahoo!ニュース
独立行政法人 情報処理推進機構(IPA)は、「情報セキュリティ10大脅威2024」を公開した。2023年に発生した情報セキュリティの事故・事件に対して、約200名の「10大脅威選考会」メンバー(情報セキュリティ分野の研究者、企業の実務担当者など)が投票を行い、「個人」「組織」の立場でそれぞれ上位10件を選出している。 「情報セキュリティ10大脅威2024」から個人向け脅威については、下位の脅威への注意が疎かになることを避けるため、従来のランキング順は廃止され五十音順での紹介に変更されている。 ・情報セキュリティ10大脅威2024(個人) 今回 |個人 1位 |インターネット上のサービスからの個人情報の窃取 2位 |インターネット上のサービスへの不正ログイン 3位 |クレジットカード情報の不正利用 4位 |スマホ決済の不正利用 5位 |偽警告によるインターネット詐欺 6位 |ネット上の誹謗・
「セキュリティ人材が足りない……」と嘆く前に 企業に必要なのは“懐の深さ”だ
不具合が残るシステムやプログラムは問題ですが、「脆弱(ぜいじゃく)性」を把握するのは開発者側でも難しいものです。開発者は攻撃者よりも先に脆弱性を見つけなければなりませんが、そのためには専門的な知識が必要であることが大きな課題となっています。 筆者はアイティメディアで編集記者をしていたころ、そういった専門的な知識を持つ有識者たちと一緒に仕事をする機会が多く、大変勉強になりました。今やその方たちもシニアエンジニアとなり、最前線で活動しつつ後進をどう育てるか、というフェーズに入っているように思えます。先日、お付き合いしていた有識者の1人であるSBテクノロジーの辻 伸弘さんから「ぜひ見てください」とある記事を教えてもらいました。それは入社して1年に満たないエンジニアによる、「脆弱性」にまつわるレポートでした。 プログラマー必見、脆弱性を見つけるとはどういうことか? この記事はあるエンジニアが、「W
「あなたのスマホのウイルスを解析中」IPA装う不審な電話に注意
「あなたのスマートフォンにウイルスが入っているため、情報処理推進機構(IPA)で解析をしている」などとかたり、金銭を要求する不審な電話が確認されているとして、IPAが注意を呼び掛けている。 IPAは「個人の方のスマートフォンなどを解析して金銭支払いが発生するということは一切ない」としている。 不審な電話は、政府機関や弁護士事務所の名前をかたり、あたかも国や弁護士が対応しているような虚偽説明を行ったり、「個人情報なので誰にも相談しないように」と言い含めるなどして巧妙にだますこともあるという。 不審な電話を受けた場合は、IPAの相談窓口や警察署に相談するよう呼び掛けている。 関連記事 日本赤十字社、能登半島地震の義援金受付開始 ニセサイト・ニセメールに注意喚起も 日本赤十字社が令和6年能登半島地震に際する義援金の受付を開始した。一方、同法人をかたる偽サイトや、偽メールが出回る可能性もあるとして
サポート詐欺を“疑似体験”してみよう IPAが作ったWebサイトの再現度が高すぎる
最近非常に手口が巧妙化している“サポート詐欺”。これを疑似体験できるWebサイトをIPAが公開しました。その手口を知ることでこうしたフィッシングに冷静に対処していきましょう。 私たちにとって最も身近なサイバー脅威はやはりフィッシングだと思います。フィッシングといえば偽のサービス画面に入力されたID/パスワードを盗むといった手法が思い浮かぶかもしれません。 しかし最近では、Webブラウザに偽のセキュリティ警告が表示され、電話やチャットを通じて言葉巧みに、被害者自身がマルウェアをインストールするように誘導する「サポート詐欺」が問題になっています。「こんなものには引っ掛からない自信がある」という方も多いかもしれませんが、家族や親戚を含めて考えると、これはやはりPCを使う上での最大の脅威といえるかもしれません。 フィッシングのような人をだます攻撃は日々進化しています。サポート詐欺という言葉を知って
偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
「PCが危険な状態です」などのウソで詐欺に誘導する偽セキュリティ警告画面の閉じ方を学べるサイトが公開されたので使ってみた
インターネットを使っていると、「PCが危険な状態です」「セキュリティの問題が見つかりました」といったウソの情報を全画面で表示する悪質なサイトに遭遇することがあります。PCの操作に慣れている人にとっては全画面悪質サイトを閉じるのは容易なことですが、PCに慣れていない人は「×ボタンが見つからなくて画面を閉じられない」という不安から「どこをクリックしても画面を閉じられないからページに書いてある電話番号に連絡しなくては」といった誤った対応をしてしまう可能性があります。情報処理推進機構(IPA)がPCに慣れていない人に「全画面表示される悪質サイトの閉じ方」を教えるのに役立ちそうなサイト「偽セキュリティ警告画面の閉じ方体験サイト」を公開していたので、実際にアクセスしてみました。 偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 http
「偽セキュリティ警告体験サイト」IPAが公開 サポート詐欺に注意喚起
情報処理推進機構(IPA)は12月19日、偽の警告によってPCがコンピュータウイルスに感染したかのように見せかけ、対策が必要として不審なソフトをインストールさせたり、金銭を要求したりする「サポート詐欺」が体験できるWebサイトを公開した。サポート詐欺に関する相談件数が増えており、注意喚起のために作成したという。 体験用のサイトはPCでのみ閲覧可能。ビープ音と同時に「このPCへのアクセスは、セキュリティ上の理由からブロックされています」とするウィンドウや、偽の連絡先を次々表示する。全画面表示になっているため「閉じる」ボタンが存在しないなど、閲覧者を焦らせる手口を再現している。 IPAは偽の警告画面が表示された場合でも、記載の連絡先に電話したり、チャット画面に情報を入力する必要はなく、全画面表示を解除したり、PCを再起動したりして画面を閉じるよう呼び掛けている。 IPAによれば、サポート詐欺の
サイバーセキュリティ経営ガイドラインと支援ツール(METI/経済産業省)
1. 策定の背景 様々なビジネスの現場において、ITの利活用は企業の収益性向上に不可欠なものとなっている一方で、企業が保有する顧客の個人情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。 そこで、企業戦略として、ITに対する投資やセキュリティに対する投資等をどの程度行うかなど、経営者による判断が必要となっています。 2. 概要 経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、「サイバーセキュリティ経営ガイドライン」を策定しています。 サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が
内部不正による情報漏えいを防ぐには IPAが“内部不正防止ガイドライン”無料公開中
NTT西日本グループのNTTマーケティングアクトProCX(大阪市)で発生した情報の不正持ち出しが話題だ。Xは「情報持ち出しに対する危機感が高まりそう」「どうにかして防げなかったのか」など、内部不正対策に関する議論が盛り上がっている。この動向を受けた情報処理推進機構(IPA)は、公式Xアカウントで、委託先や従業員などによる内部不正の対策をまとめた「組織における内部不正防止ガイドライン」を紹介している。 ガイドラインはPDFで、無料公開中。全136ページで、内部不正防止の重要性や対策の体制、関連する法律などについて説明している。主に「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」などの10の観点から、合計33項目の具体的な対策を示している他、内部不正の具体的な事例も紹介。付録として、内部不正防止できているか確認するためのチェックシート(Excel)も無料配布している。 「内部不
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
IPA、サポート詐欺とは似て非なる未知の手口「操作不能の偽メッセージ」に注意喚起 覚えのないダウンロードファイルはクリックしないで!
「情報セキュリティ10大脅威、ここだけは読んで」“推しポイント”を独断と偏見で解説
重要なセキュリティ情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構