更新:bash の脆弱性対策について(CVE-2014-6271 等):IPA 独立行政法人 情報処理推進機構
GNU Project が提供する bash は、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル(OS の一部としてプログラムの起動や制御などを行うプログラム)です。 bash に任意の OS コマンドを実行される脆弱性 (CVE-2014-6271) が発見され、2014 年 9 月 24 日に修正パッチが公開されました。 ただし、CVE-2014-6271への修正が不十分であるという情報があります。その修正が不十分であることによる脆弱性 (CVE-2014-7169) に対応したアップデートまたはパッチも各ベンダから順次公開されています。 bash を使用して OS コマンドを実行するアプリケーションを介して、遠隔から任意の OS コマンドを実行される可能性があります。 図:脆弱性を悪用した攻撃のイメージ 警察庁によると本脆弱性を標的としたアクセスが観
GNU GPL v3 解説書:IPA 独立行政法人 情報処理推進機構
GNU General Public License version 3(GPL v3)に対する逐条解説書 (第1版)のダウンロードサイトです。 本解説書は、IPA オープンソフトウェア・センターのリーガル・タスクグループ(Legal TG)と、米国SFLC (Software Freedom Law Center) との共同作業により作成したもので、GPL v3の各条文、パラグラフごとに、旧バージョンであるGPL v2からの異同を含め、具体的かつ平易に解説したものです。 オープンソースソフトウェアの応用や開発に携わる技術者、法務部門の担当者等に、現場の参考資料として活用されることを期待します。 ダウンロード GNU GPL v3 逐条解説書(第1版)[2236KB] ご利用にあたって 本解説書は、広く活用できるよう「クリエイティブ・コモンズ・ライセンス表示-非営利-改変禁止2.1」(Cr
IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況に関する調査を行いました。その結果、ほとんどのウェブサイトで対策が行われていなかったため、「クリックジャッキング」の仕組みやその対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第17回)を作成、公開しました。 「クリックジャッキング」は2008年にその脅威が周知された攻撃で、ユーザを視覚的にだまして正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃のことです。操作した自覚がないにもかかわらず、SNSサイトなどウェブサイト上で非公開としていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の一つとなっています。既に主要なブラウザ
IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件(第3四半期までの件数比約2.4倍増)と急増しました。 一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、
プレス発表:「安全なウェブサイトの作り方」に別冊「ウェブ健康診断仕様」を追加~基本的な脆弱性対策ができているか現状を知るために~:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「安全なウェブサイトの作り方」に、別冊「ウェブ健康診断仕様」を加えた改訂第6版を2012年12月26日(水)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/websecurity.html 「安全なウェブサイトの作り方」は、IPAが届出を受けたソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が、適切なセキュリティを考慮したウェブサイトを作成するために公開している資料です。2006年の発行以来改版を重ね、広く活用されています。 今回、新たな別冊として「ウェブ健康診断仕様」を加えました。この別冊では、ウェブサイトで基本的な脆弱性対策ができている
情報セキュリティ技術動向調査(2009 年下期):IPA 独立行政法人 情報処理推進機構
Web において使われる URI(URL)には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ(パーセントエンコード)が行われる。埋め込まれた情報は取り出されるときにアンエスケープ(パーセントデコード)される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は HTML の form でユーザに式の入力を求め、式が入力されてサーバに送られたらその結果を表示する。ここで、式は "http://calc.example.org?q=式" というような URI にブラウザがアクセスすることによって、サーバに送られるものとする。この形式は HTML の form で用いられる application/x-www-form-urlencoded という形式であり、HTML の規格で定義される。この場合、"1+1" という式を URI に埋め込むには "+" とい
IPAテクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2011年5月時点のものです。 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、最近SSL/TLS(*1)プロトコル等、一般ユーザーにも少なからず影響を与えるような、暗号に関する事故・事象が複数連続して発生していることを受け、関係者および一般ユーザーに対して注意を促すため、「暗号をめぐる最近の話題」と題して取りまとめ、技術レポート(IPA テクニカルウォッチ第2回)として公開しました。 概要 オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています
プレス発表 ウェブサイトの脆弱性対策に関する注意喚起:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトに対する攻撃事件が目立っていることを受け、ウェブサイト運営者に広く対策の徹底を呼びかけるため、注意喚起を発することとしました。 近年、ウェブサイトを用いたサービスが増加、多様化しており、企業活動の中核として位置づけられているものも少なくありません。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所、電話番号などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われています。他方、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した悪質な行為が目立ってきています。これらの事件の中には、ウェブサイトの脆弱(ぜいじゃく)性を狙った攻撃によって情報が漏えいし、事業の継続に多大な影響を及ぼす結果となったものも複数存在します。例えば、2010年には、アウトドア用品のサ
「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公開 | アーカイブ | IPA 独立行政法人 情報処理推進機構
本解説書は、2010年にIPAへ届け出のあったセキュリティ情報や一般報道を基にして、情報セキュリティ分野の研究者や実務担当者127人で構成する「10大脅威執筆者会」で纏めたものです。 本解説書は3章構成となっており、第1章では2010年に実際に発生したセキュリティの被害事例を基に組織へのビジネスインパクトを考察しています。第2章では、2010年に「社会的影響が大きいもの」「特徴的であったもの」「印象が強かったもの」などの観点から「10大脅威執筆者会」の構成メンバーによる投票で選定した10の脅威について、脅威の概要と影響を解説しています。第3章では、10の脅威に対するセキュリティ対策の考え方や方向性について解説しています。 近年の情報セキュリティを取り巻く状況の理解や、今後の対策の参考になることを期待します。次のPDF資料をダウンロードの上、参照下さい。 資料のダウンロード 2010年の特徴
「DNSキャッシュポイズニング対策」の資料を公開:IPA 独立行政法人 情報処理推進機構
-DNS(Domain Name System)の役割と関連ツールの使い方- 最終更新日 2009年2月6日 掲載日 2009年1月14日 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「DNSキャッシュポイズニングの脆弱性」の届出が多数継続していることから、これらの脆弱性対策を促進するため「DNSキャッシュポイズニング対策」の資料を2009年1月14日(水)より公開しました。 2008年7月にDNS(Domain Name System)(*1)サーバ製品の開発ベンダーから「DNSキャッシュポイズニング(汚染)の脆弱性」の対策情報が公開されています(*2)。この脆弱性を悪用した攻撃コードが公開されていたため、IPAはウェブサイト運営者へ向けて2008年7月24日に緊急対策情報を発表しました(*3)。 また、「実際に運用されているDNSサーバに対策が実施されていないのではな
DNSサーバの脆弱性に関する再度の注意喚起:IPA 独立行政法人 情報処理推進機構
-DNSサーバを管理するウェブサイト運営者は 早急にDNSサーバのパッチ適用や設定変更を!- 最終更新日 2009年2月6日 掲載日 2008年12月19日 >> ENGLISH IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「DNSキャッシュポイズニングの脆弱性」の届出が継続しており、さらに、これらのDNSキャッシュサーバの多くに「組織の外部からの問合せに回答してしまう脆弱性」が内在していることから、DNSサーバの脆弱性に関して改めて注意を喚起するとともに、DNSサーバのパッチ適用や設定変更の実施を呼びかけます。 企業や家庭に限らず、インターネット接続にはDNS(Domain Name System)(*1)サーバが必ず利用されています。多くの場合、DNSサーバは、組織内に設置され、外部への問い合わせを一括して管理しています。このDNSサーバが脆弱性を持っている場合、外部
DNSキャッシュポイズニングの脆弱性に関する注意喚起:IPA 独立行政法人 情報処理推進機構
-放置すれば情報漏えい~信用失墜に至る可能性も。 ウェブサイト運営者は早急にDNSサーバのパッチ適用や設定変更を!- 最終更新日 2009年2月6日 掲載日 2008年9月18日 >> ENGLISH 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「DNSサーバに対するDNSキャッシュポイズニングの脆弱性」の届出が激増していることから、ウェブサイト運営者へ注意を喚起するとともに、DNSサーバのパッチ適用や設定変更を呼びかけます。 DNS(Domain Name System)(*1) キャッシュポイズニング(汚染)の脆弱性に関して、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開されています(*2)。また、この脆弱性を悪用した攻撃コードが既に公開されていたため、2008年 7月24日、IPAはウェブサイト運営者へ向けて緊急対策情報を発行しました
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
現行の「セキュア・プログラミング講座」:IPA 独立行政法人 情報処理推進機構
「セキュア・プログラミング講座」(旧版)のコンテンツを作成して以来、 4年が経過しました。 セキュリティセンターは、文部科学省からの科学技術振興調整費財源 [1] に基づいて「ソースコード検査技術の脆弱性検出能力向上のための研究」を実施した一環として、取りまとめた内容を「セキュア・プログラミング講座」の改訂版として編集しました。ここに公開します。 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html 前の版は、典型的な脆弱性について紹介し、それらについての対策を説明していましたが、今般の改訂版は、ソフトウェアの開発工程に沿って、意識すべき論点を整理しました。 これには下流の工程においては、取り返しがつかない脆弱性をもってしまわないように、上流工程(要件定義、設計)から脆弱性対策の論点を意識できるように
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
