31か月にわたり、国内9組織に対して送られた114通の標的型攻撃メールが同一と思われる攻撃者(またはグループ)によるものと確認 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、国内重要産業における標的型攻撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」(J-CSIP(ジェイシップ) (*1))において、参加組織から情報提供された939件の攻撃メールを分析した結果、同一と思われる攻撃者から国内9組織に対し、巧妙かつ執拗な攻撃が31か月も継続していることを確認しました。この詳細な分析について、2014年度の情報共有の運用状況と共に2014年度(2014年4月~2015年3月)の活動レポートとして公開しました。 URL:https://www.ipa.go.jp/security/J-CSIP/ IPAでは国内の重要インフラ関連組織を対象に、2012年4月から標的型攻撃
また、図1-3は、届出開始から2014年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かったのは2009年の1,401件でした。2014年は、ソフトウェア製品が140件、ウェブサイトが633件の合計773件でした。2014年はソフトウェア製品の修正が、最も多く完了した年となりました。これは、本制度が開始してから10年が経過し、「製品開発者の脆弱性に対する理解が浸透してきた」ためと考えられます。 1-3. 連絡不能案件の取扱い状況 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、まず最初に当該製品開発者名等を公表しています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、その後製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提
第12-30-265号 掲載日:2012年 11月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 便利なソフトウェアをダウンロードしたはずが、仕掛けられたウイルス感染し、自治体や掲示板サイトへの殺人予告や破壊予告などの投稿を勝手に実行された、という一連の事件が連日報道されています。この一連の事件は、自分のパソコンがウイルスに感染した場合、何かしらの犯罪に巻き込まれてしまう可能性があることを具体的に示すものでした。 IPAではこれまで様々な呼びかけを行ってきましたが、今回の事件をうけて、ウイルス感染から身を守るための対策を、原点に立ち返って改めて呼びかけます。 (1)IPAの届出制度により入手した遠隔操作ウイルスの概要 「一般利用者が遠隔操作ウイルスに感染するまで」と、ウイルス感染後の「攻撃者による遠隔操作」に分け、それぞれ図1と図2に示します。 ▼一般利用者がウイルス
背景と目的 今日のアイデンティティ管理技術は、人々に付す識別子(ID)のみを扱う技術ではなく、多様な属性情報を管理するものとなっています。属性情報をオンラインで利用する際にも複数の目的があり、人々を本人であると認証すること、人々の属性情報を交換することの他、人々の属性情報に基づいてアクセスを制御すること等が挙げられます。そして、それぞれの目的に利用できる技術仕様が複数、策定されています。 このようにアイデンティティ管理技術は多種多様性を増しています。 しかし、アイデンティティ管理技術を全体観をもって解説する取り組みがなされてこなかったので、情報処理技術者が体系的に把握して学習することが容易ではない状況にあります。今日、多種のアイデンティティ管理技術の中から自らのシステム構築に適するものを選択したり、他者が採用しているアイデンティティ管理技術との間で相互運用可能性を確保することを検討したりす
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られるAndroidアプリの脆弱性関連情報が2011年後半から増加していることを踏まえ、それらを分析して脆弱性を作り込みやすいポイントをまとめ、技術レポート「IPAテクニカルウォッチ」として公開しました。 近年、Android端末の利用者の増加に伴い、多くのAndroidアプリが提供されるようになりました。そのような状況の中、2011年後半からIPAに届け出られるAndroidアプリの脆弱性関連情報も増加しており、2012年5月末までの累計で42件の届出がありました。届出を分析した結果、その7割超が「アクセス制限の不備」の脆弱性であることがわかりました。 「アクセス制限の不備」の脆弱性は、制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に対するアクセスを第三者に許してしまう問題です。 An
「情報セキュリティ白書」は、公的機関としてのIPAが毎年発行する情報セキュリティに関する報告書です(*1)。企業のシステム開発者・運用者を対象に情報セキュリティの現状や、今後の対策のために役立つ情報を提供するとともに、特に、パソコンやスマートフォン等の情報機器を使用する一般の利用者に対しても情報セキュリティの概観や身近な話題をわかりやすく提供することを目指しています。 2011年度は、標的型攻撃メール(*2)による組織の情報システムへの不正侵入や、特定のハッカー集団による大規模なDDoS攻撃(*3)といったサイバー攻撃の脅威が高まり、金融機関を狙ったウイルスによる金銭の詐取や、不正侵入による大規模な個人情報流出等が発生しました。また、攻撃の動機が機密情報の窃取や金銭目的、組織活動の妨害等、多様化しており、さらに発生した被害も深刻なものとなっています。これらの状況を考慮し「情報セキュリティ白
映像で知る情報セキュリティ 情報セキュリティ上の様々な脅威と対策をドラマなどを通じて学べる映像シリーズです。 社内研修などでご活用下さい。 IPA Channel動画の二次利用について YouTubeの「IPA Channel」に公開している本シリーズの動画は、そのままブラウザ上で再生して社内研修用コンテンツなどにお使いいただけます。ご利用にあたっての事前申請は不要です。 YouTube動画のダウンロード、コンテンツの二次利用等につきましては、YouTubeの利用規約を遵守していただきますようお願いします。 主な情報セキュリティ対策動画は動画ファイルでの提供も行っております。 動画ファイルのお申込み
第12-09-245号 掲載日:2012年 5月 7日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2012年4月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 2012年4月、スマートフォン(Android OS)のアプリケーションの公式マーケットで、不審な動きをする不正なアプリが多数発見されました。公式マーケットに表示されるダウンロード総数から、おおよそ7万回以上のダウンロードが行われたと考えられます。 その不正なアプリは「ほかのスマートフォンOSで人気のアプリ」「有名なアプリ名、アイコンが使われている」「興味を持たせるキーワードが含まれている」といった、スマートフォン利用者に対して強い興味を抱かせる「だましのテクニック」が使われています。 不正なアプ
3. ソフトウェア製品の脆弱性関連情報に関する届出の傾向 ~スマートフォンアプリの「アクセス制限の実装上の不備」に起因する脆弱性~ スマートフォン用のアプリケーション(スマートフォンアプリ)の脆弱性に関する届出がされ始めています。図6は、過去1年間のソフトウェア製品の届出のうち、スマートフォンアプリが占める割合を示しています。スマートフォンアプリに関する届出は、2011年第3四半期より行われるようになり、今四半期までに合計34件が届出られています。図7は、スマートフォンアプリの脆弱性の原因別の内訳を示しています。スマートフォンアプリに関する届出の85%は、「アクセス制限の実装上の不備」により情報漏洩につながる脆弱性です。この傾向から、スマートフォンアプリの開発において、これら「アクセス制限の実装」に対する考慮が見落とされやすいと言えます。 なお、今四半期は、「アクセス制限の実装上の不備」に
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、クラウドコンピューティング(*1)(以下「クラウド」)が広く社会経済に浸透しつつある現況を踏まえ、そのセキュリティ面での課題や考慮事項に関して整理を行い、IPAにおける問題意識とそれに関する取り組みを技術レポート「テクニカルウォッチ」としてとりまとめ、公開しました。 クラウドが、社会の様々なところで使われるようになってきています。一般利用者へのサービス提供の基盤として、また企業間の業務連携の基盤としての利用も広まりつつあります。クラウドサービス(*2)は、東日本大震災に際しても、被災者への救済・支援活動や行政情報の発信などに多くのサービスが無償提供され、緊急時に役立つことが確認(*3)されました。緊急時の活動を支えるための情報の伝達と処理のために、今後も必要性を増すものと予測されます。 一方で、クラウドのセキュリティに関する懸念
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、3月30日(金)に「くらしと経済の基盤としてのITを考える研究会」(座長:東京大学大学院 元橋 一之教授)報告書を公開しました。 この報告書は、IPA内に設置した同研究会において、「つながるIT(*1)」がもたらす利便性や脅威について発表や議論、および実施した日米の動向・判例調査結果を踏まえ、ビッグデータ(*2)をキーワードとして取りまとめたものです。 URL: http://www.ipa.go.jp/about/research/2011bigdata/index.html IPAでは、「くらしと経済の基盤としてのITを考える研究会」において、クラウドコンピューティングをはじめとして、インターネット上に個々に存在していたデータが、収集分析に関するIT技術の向上で結びつき、新たな価値や脅威を生み出すようになるという、「これまで
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
最終更新日:2012年7月10日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 「2012年版 10大脅威 変化・増大する脅威!」を公開 本資料は、ITを利用する一般ユーザーへの啓発を目的に、2011年に発生したセキュリティ事故・事件の事例を交えて、近年の情報セキュリティを取り巻く脅威について解説しています。資料は、下記の3章構成となっています。 第1章 情報セキュリティを取り巻く環境の変化 近年の情報系システムを取り巻く環境の変化と脅威の変遷について、「攻撃手法」「システム環境」「攻撃者と防御側の構図」「攻撃を受けた際のインパクト」の4点に焦点を当て解説しています。 第2章 2012年版10大脅威 情報セキュリティ分野の研究者や実務担当者123名で構成する「10大脅威執筆者会」の構成メンバーによる投票で選定した、2011年に社会的影響が大きかった10項目の脅威について、脅
Webアプリケーションを一から企画・要件定義・設計する従来のソフトウェアの構成ではなく、他者の Web サービスを主要な部分に利用して開発する「マッシュアップ」の構成においては、想定される脅威の構図が変化している。 脅威の構図の変化に対応するセキュアプログラミングの論点が存在する。 マッシュアップとは 近年、Web アプリケーションの開発プロセスに特徴的な変化が見受けられる。その要因として顕著なのはソフトウェア部品や機能が Web インタフェイスをもつサービスとして公開されるようになったことが挙げられ、これらを利用する Web サイトが増えている。 音楽 DJ の世界において複数の既存の楽曲を組み合わせて新たな楽曲を創造することが「マッシュアップ」と呼ばれていることになぞらえて、Web アプリケーションを組み合わせによって開発することも「マッシュアップ」と呼ばれるようになった。短期的も変化
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く