2017年3月15日(日本時間)にMicrosoft製品に関する脆弱性の修正プログラム MS17-010が公表されました。 この脆弱性がランサムウェアの感染に悪用され国内を含め世界各国で被害が確認され、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しています。 ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。 今回観測されているランサムウェアは Wanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられます。 ※ランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求

オープンソース情報データベースシステム(OSS iPedia) は、2013年5月17日(金) をもちまして運用を終了いたします。 長い間ご利用をいただきましてありがとうございました。 なお、OSS iPediaで提供しておりました、IPAフォント、文字情報基盤、その他報告書等については引き続き公開を継続いたします。2013年5月17日以降、 本お知らせページに各コンテンツの移動先をご案内いたしますのでご確認ください。 皆様には大変ご不便をおかけいたしますが、何卒ご理解の程をよろしくお願い申し上げます。 公開終了日時: 2013年5月17日(金) 18:00

第13-16-284号 掲載日：2013年 3月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2012年4月、スマートフォン（Android OS）アプリの公式マーケットであるGoogle Playから、端末情報や電話帳の中身を外部サーバーに送信するなど、不審な動きをする不正なアプリが多数発見され問題となりました。そのほとんどが「（商標などを含む単語） the Movie」という名称のもので、当時7万回以上ダウンロードされていました。 このたびIPAでは、同じAndroid OS向けの公式マーケットから、50万回以上もダウンロードされていた不正なアプリを発見しました。その不正なアプリには、個人的嗜好をくすぐるようなアイコンやキーワードが含まれていました。この不正なアプリを実行することで、スマートフォン内の位置情報やメールアドレスなどの情報が外部に送信されてしまうこと

第12-30-265号 掲載日：2012年 11月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 便利なソフトウェアをダウンロードしたはずが、仕掛けられたウイルス感染し、自治体や掲示板サイトへの殺人予告や破壊予告などの投稿を勝手に実行された、という一連の事件が連日報道されています。この一連の事件は、自分のパソコンがウイルスに感染した場合、何かしらの犯罪に巻き込まれてしまう可能性があることを具体的に示すものでした。 IPAではこれまで様々な呼びかけを行ってきましたが、今回の事件をうけて、ウイルス感染から身を守るための対策を、原点に立ち返って改めて呼びかけます。 (1)IPAの届出制度により入手した遠隔操作ウイルスの概要 「一般利用者が遠隔操作ウイルスに感染するまで」と、ウイルス感染後の「攻撃者による遠隔操作」に分け、それぞれ図1と図2に示します。 ▼一般利用者がウイルス

47 2007 情財第 977 号 ２００７年度 オープンソースソフトウェア活用基盤整備事業 セキュリティ強化 Linux（SELinux）の 管理運用手法の調査 第 II 部 SELinux を利用したサーバの運用手順例 ２００８年２月 独立行政法人 情報処理推進機構 -1- 48 目次 1. はじめに .................................................................................................................. 5 1.1. 1.2. 2. 本文書の目的 ....................................................................................................

この何年かでWebアプリケーションは、サーバ上のみでプログラムが動作するものから、多くのJavaScriptコードがWebブラウザで動作し、背後でサーバと連携して、リッチかつスムーズな操作感を提供するものへと進化してきた。このことは、Webブラウザ上に悪意のスクリプトを送り込む「スクリプト注入（XSS）」攻撃を、より防止しづらく、悪用の懸念がより大きなものに変化させた。本稿は、WebアプリケーションにAjax等の進化をもたらした技術について振り返るとともに、スクリプト注入対策を考慮すべき新たな文脈について論じるものである。 Ajax（Asynchronous JavaScript and XML）[1]は、必要となるデータを非同期でWebサーバから取り寄せつつ、Webブラウザの画面上でなめらかな操作性を提供する形態のJavaScriptプログラムのことである。かつてのブラウザにおいてはこの

このウェブページでは、「IPA テクニカルウォッチ: スマートフォンの脅威と対策に関するレポート」（2011 年 6 月 22 日発行）で取り上げた アンドロイド 端末 14 機種における脆弱性対策状況の最新情報をまとめています。当該レポートにおける脆弱性対策状況は、レポート発行時点の状況であるため、最新情報は必ず本ページをご参照ください。

Web において使われる URI（URL）には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ（パーセントエンコード）が行われる。埋め込まれた情報は取り出されるときにアンエスケープ（パーセントデコード）される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は HTML の form でユーザに式の入力を求め、式が入力されてサーバに送られたらその結果を表示する。ここで、式は "http://calc.example.org?q=式" というような URI にブラウザがアクセスすることによって、サーバに送られるものとする。この形式は HTML の form で用いられる application/x-www-form-urlencoded という形式であり、HTML の規格で定義される。この場合、"1+1" という式を URI に埋め込むには "+" とい

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日（木）からIPAのウェブサイトで公開しました。 URL：http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ

－「JVNRSSを用いた脆弱性対策情報の発信ガイド」を公開－ 最終更新日 2009年10月15日 独立行政法人 情報処理推進機構 セキュリティセンター 国内のソフトウェア製品開発者が公開した脆弱性対策情報を網羅・蓄積し、利用者へ提供するために、図1に示すように、JVNRSS（Japan Vulnerability Notes RSS）形式で発信された情報の自動収集の試行を開始します。 JVNRSS形式は、IT利用者やシステム技術者が情報を効率的に収集できるように、JVN(*1)が採用しているRSS形式です。このJVNRSS形式を製品開発者も活用できるように、JVNRSSの概要やJVNRSSによる情報発信のポイントを、「JVNRSSを用いた脆弱性対策情報の発信ガイド」としてまとめました。 自動収集を希望する製品開発者は、この発信ガイドを参考に、製品開発者のウェブサイトで、脆弱性対策情報をJV

本教材は2012年4月をもってサポートを終了しました。 報告書等を除き本教材のダウンロードも中止しました。 IPA セキュリティセンターでは、ITセキュリティ評価・認証の普及・啓発を目的に、情報セキュリティシステムにおける役割やその仕組みの基本を習得するための入門的なe-Learning用コンテンツを開発しました。 今回開発したe-Learning用コンテンツに関しては、「開発者（管理者）」、「開発者（実担当者）」、「調達仕様作成者（管理者）」、「調達仕様作成者（実担当者）」、および「大学教員」の5つのタイプの学習対象者を想定し、学習モジュールを組み合わせて対象者毎の教材を作成しました。 学習対象者毎の習得目標は、「開発者」、「調達仕様作成者」、「大学教員」のそれぞれに対し、次のように設定しています。 開発者 セキュリティ設計・開発に必要な知識が習得できること。 調達仕様のセキュリティ要件

「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく