NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ／富居 姿寿子、大森 章充＝NTT NTTセキュアプラットフォーム研究所 NTT-CERT 広く使われているソフトウエアの脆弱性を突く攻撃が相次いでいる。ニュースなどによれば、細工が施されたWebサイトにアクセスするだけで、パソコンの情報が盗まれるという。脆弱性を悪用するのは簡単なのだろうか。 実験では、2015年7月に見つかったFlash Playerの脆弱性を突いた（図10-1）。この脆弱性を悪用した攻撃が実際に出回ったため、当時は大きな話題となった。IPAやJPCERTコーディネーションセンターといったセキュリティ組織は注意喚起を発表。開発元のアドビシステムズも、すぐに修正版を提供した。今回の実験では、その脆弱性が存在する古いバージョンのFlash Player 18.0.0.194を使った。パソコ

地雷を踏み抜き、失敗から学べ！ 運用力を磨く「情報危機管理コンテスト」：セキュリティ・アディッショナルタイム（8）（1/3 ページ） 「サイバー犯罪に関する白浜シンポジウム」の会場で同時開催される「情報危機管理コンテスト」は、技術力だけでなく、コミュニケーション能力やマネジメント能力も含んだ総合的な運用力を問うユニークな腕試しの場だ。昨年に続き、その模様をお届けする。 セキュリティは何のために取り組むものだろう？ 問題を調査し、脆弱性を理解し、対策を考えるのが楽しいからだろうか。一人のセキュリティエンジニアとしては十分な理由だが、大半の企業や組織にとってはそうではない。おそらく「安定し、信頼できるサービスを提供するため」が大きなモチベーションになっているだろう。 安定したサービスを支えるのは、セキュリティも含めた「運用」の力だ。これは座学で身に付くものではなく、一朝一夕で磨けるというもので

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ITのトレンドはいくつもあるが、この1年で日本の企業や組織に対するサイバー攻撃が増えているというトレンドは誰もが直視しなければならない現実だ。例えば昨年、日本の金融機関をまっすぐに狙った「Shifu」が登場した。日本での1侵入あたりのコストは680万ドル、解決には平均して1カ月半を要するという調査結果もある。 サイバー犯罪事情に明るいIBM SecurityのエグゼクティブセキュリティアドバイザーのLimor Kessem氏は、「これまで日本を守ってくれていた言語の壁はなくなり、もはや欧米と同じように狙われるようになった」と警告する。 4月中旬、日本の金融業界向けのセキュリティセミナーで来日したKessem氏と、日本アイ・ビー・エムのセ

以下の勉強会での資料(勉強会後、不備修正版)。 1.大和セキュリティ勉強会：Pythonでパケット解析 (7月22日)(日) https://yamatosecurity.connpass.com/event/87226/ 2.大和セキュリティ勉強会：Pythonでパケット解析 (8月26日)(日) https://yamatosecurity.connpass.com/event/88767/ PythonのScapyを利用してパケット解析をするための基本的な説明をスライドにまとめています。 VMはこちらにアップロード(容量大きいのでそのうち削除するかもしれません、お早めにどうぞ) https://drive.google.com/open?id=1iizlkyBdASh-_UstsQEvw9E-ShdSiavW

標的型攻撃などのサイバー攻撃や、内部不正による情報漏えい等の情報セキュリティインシデントが発生した時の事実調査では、情報システムのログからその痕跡・証拠を得ることが重要であり、さらには早期発見や抑止の観点からも情報システムのログ管理は必要不可欠です。一方で、その管理手法は中小企業(*)を含め広く知られているとは言い難い状況です。本調査では、企業における情報システムのログ管理の実態をログ管理製品／サービス提供事業者20社、ユーザ企業11社、有識者3名について調査し、セキュリティ対策を強化するためのログ管理の課題を明らかにすると共に中小企業に適用可能な最低限実施すべきログ管理の指針を提示することを目指しました。 (1) 調査期間 ： 2015年12月～2016年2月 (2) 実施項目 ： ・ログ管理に関する公開情報調査（公開文献、ガイドライン、ログ管理製品／サービス仕様） ・インタビューによる

あるイベントの講演で、日本の消費者のプライバシーとセキュリティ感覚に関する興味深い調査結果があり、出典元の“EMC Privacy Index 2014”を見てみました。 “EMC Privacy Index”は、世界15の国と地域、1万5000人の消費者を対象に、オンラインプライバシーに対する消費者の意識と動向を調査したものです。 さまざまな調査項目（質問項目）があるのですが、日本人の意識に焦点を当ててピックアップしてみると、その極端さが浮き彫りとなりました。 “自分のプライバシー”は誰が守るのか？ 日本人は調査対象の15カ国中、最もプライバシーに関して保守的であり、情報漏えいを恐れ、また政府の対応を最も不満足に思っているのです。しかしながら、個人個人のプライバシー対策に関しては、15カ国中最も対策を行っていないという調査結果となっています。 「プライバシーを一番気にしているが、プライバ

ビジネスSNSのLinkedInから流出したユーザーのパスワードなどの情報がインターネットで流通している問題に関連して、TumblrやMyspaceから過去に流出した情報も大量に出回り始めたことが分かった。 米Time傘下のMyspaceは5月31日、ユーザーのログイン情報が同社から盗まれ、オンラインハッカーフォーラムで5月28日ごろから提供されていることを確認したと発表した。 盗まれたのは、2013年6月11日より前にMyspaceの旧プラットフォームで作成されたアカウントのメールアドレス、ユーザー名、パスワードなどの情報。被害に遭ったアカウントについては全てのパスワードを無効にする措置を取り、ユーザーにリセットを促している。 Myspaceによれば、今回の情報流出については、LinkedInやTumblrに対しても攻撃を仕掛けたとされるロシアのハッカー「Peace」が関与を認めていると

はじめに：「エンタープライズロール管理解説書」より抜粋 全社的なアクセス権の制御を適切かつ効率的に行うことを目的として、ロール管理の考えを取り入れ実践している企業は多い。しかし、実際にはこの目的を実現できていないケースも多く、ロール管理を適切かつ効率的に行うことは難しいのが現状である。 ロールを利用したアクセス制御の仕組み自体は難しいものではないため、各種のアクセス管理製品に仕組みとして実装はされているが、それらを利用して、ロール管理を適切かつ効率的に実現するためには、管理対象となっているロール自体がどのようなものであるか？どのような種類があるのか？を理解し、また、どのように設計し、どのように運用すべきかを理解し、かつ、実践する必要がある。 本ガイドラインは、実際の組織におけるロール管理のあるべき姿を追求し、そもそもロールとは何か、ロールの種類、ロールの構造はどうあるべきか、ロールの設計お

はじめに：「エンタープライズにおける特権ID管理解説書」より抜粋 本書は「エンタープライズにおける特権ID管理」について、その基礎となる考え方や実施の意義、特権ID管理システムを導入するにあたって検討すべき事項について、実用的な導入指針（ガイドライン）を示している。特権IDはITシステムの性質上必要かつ重要なIDであり、かつ非常に高い権限を保持することから管理を厳格にする必要があるIDである。 本書は特権ID管理とは何か？から始まり、特権ID管理の重要性を解説し、実際の特権ID管理の課題と管理策について解説をおこなっている。また、特権ID管理は新しいシステムが導入された時が重要になるため、その実行のガイドラインとなるものを解説した。 これから、特権ID管理を導入検討する人には、プロジェクトの推進の準備として、また、現在特権ID管理システムを導入中の人にとっては、現在のプロジェクトをよりよく

2012年の夏を振り返ったとき、LinkedInのハッキング事件について、かすかに思い出す方もいるのではないでしょうか。データが盗まれ、LinkedInの人々が気まずい思いをすることになった、あの事件です。 大規模なハッキングではありましたが（英語記事）、LinkedInは存続し、すべては徐々に平常を取り戻しました。 しかし、それも今日までの話です。2012年に流出したログインとパスワード1億1700万人分が、売りに出されているのです。特に不可解な（気がかりでもある）点は、売り出されているアカウントの数が、これまで考えられていたよりもずっと多いことです。 犯人追跡のためにLinkedInや当局がすべきことはいくらでもありますが、私たちが自分で自分の身を守るために、今すぐできることは何でしょうか。 LinkedInのアカウントを守るために、今すぐできることとして以下をお勧めします： 1: 一

総務省及び経済産業省では、サイバーセキュリティ戦略（平成27年9月4日 閣議決定）において、IoTシステムのセキュリティが確保された形での新規事業の振興やガイドラインの策定などの制度整備、技術開発などを進めることとしていることを踏まえ、IoTを活用した革新的なビジネスモデルを創出していくとともに、国民が安全で安心して暮らせる社会を実現するために、必要な取組等について検討を行うことを目的として、「IoT推進コンソーシアム　IoTセキュリティワーキングルループ」（座長：佐々木良一　東京電機大学教授）を開催しています。 今般、同ワーキンググループにおける議論を取りまとめたIoTセキュリティガイドライン（案）について、平成28年6月1日（水）から同年6月14日（火）までの間、広く意見を募集します。 総務省及び経済産業省では、サイバーセキュリティ戦略（平成27年9月4日 閣議決定）において、IoTシ

IPA（独立行政法人情報処理推進機構）セキュリティセンターは、無償で利用できる検索エンジン”Censys”（センシス）が2015年10月に新たに登場したことを受け、2014年に公開したテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を更新し、その使い方、機能などを追加し、2016年5月31日より改訂版として公表しました。 下記より改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」についてのレポートPDF版をダウンロードしてご利用いただけます。 本テクカルウォッチで紹介しているSHODANおよびCensysによる日本国内で接続されているIoT機器数を、こちらで公開しています。 1．オフィス機器とサーバー機能 2．インターネット接続機器検索サービスSHODAN 3．SHODANを使用した自組織の検査 4. インターネット接続機器検索サービスCe

安易なコピー&ペーストによりクリップボードを介してユーザーに任意のコードを実行させるPoC「Pastejacking」が公開され話題になっています。詳細は以下から。 米セキュリティ企業Malwarebytesが「ターミナルへのコピー＆ペーストを実行させることで、任意のコードを実行させることの出来る」概念実証「Pastejacking」の危険性を伝えています。 Browsers now allow developers to automatically add content to a user’s clipboard, following certain conditions. Namely, this can only be triggered on browser events. This post details how you can exploit this to trick a

2016年4月4日 日頃よりSmart TV Boxをご利用いただき、誠にありがとうございます。 2016年3月中旬頃から、Smart TV Boxがウィルスに感染し、「見たことのない表示が出てSmart TV Boxが操作不可能になった」という申告が多数報告されています。 お客さまにはご迷惑をおかけすることとなり、大変申し訳ございません。 下記に、予防方法を記載いたしますので、ご確認いただけますようお願い申し上げます。 ■ ウイルス感染契機と事象 有害サイト (具体的なサイト名は不明) にアクセスすることによりSystem Updateというアプリが勝手にインストールされることにより感染します。感染すると、以下のような画面が表示され、以降Smart TV Boxが操作不能になります。 画面ロックを解除するためにiTunesコード等の入力を要求されますが、決して請求額の支払を行わないようご

最近の不正ログインの傾向: 独房の中 http://f36type.cocolog-nifty.com/blog/2016/05/post-1e24.html 前回の記事で書かなかったYahoo!JAPANについて、約一年前からの流れを説明しつつ書いていきます。あまり詳しく書くのもどうかとは思っていたんですが、結構深刻な事態になりつつあると考えているのでわかっている限り書いていきますよ。 Yahooへの不正ログインの質が変わったのが2015年4月頃から、それまでほとんど単独の不正ログインと思われていた被害がYahoo＋αの不正ログインというパターンが数多く見つかるようになります。＋αは楽天だったりオンラインゲームだったりしました。 その後、Yahooで連携していてYahooのIDでログインできるサービスに不正ログインされたり、Tポイントと連携したためか多額のポイントの被害というものも見つか

こんにちは、プラットフォーム サポートチームの高田です。 今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。 本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。 基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。 IT 管理者向けの、パスワードに関するガイダンスは以下のとおり