IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、ウェブサイトへの情報セキュリティインシデントが後を絶たないことを受け、ウェブサイトの構築・運用に用いられるCMS(コンテンツマネジメントシステム)に着目し、その脅威と対策、および構築・運用のポイントを解説した“IPAテクニカルウォッチ”「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」を9月28日(水)に公開しました。 下記より「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」についてのレポートPDF版をダウンロードしてご利用いただけます。 1.CMSとは 2.CMSで構築されたウェブサイトを狙う攻撃と対策 3.CMSを使ったウェブサイト構築・運用のポイント 4. チェックリスト 【別冊付録】ウェブサイト構築・運用のポイント 1. ウェブサイトを構築する上での注意点 2. ウェブサイトの運用開
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として公開しました。 本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。 下記より「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」についてのレポート(PDF版)をダウンロードしてご利用いただけます。 1.被害事例および脆弱性検査ツールの活用 2.ウェブアプリケーション脆弱性検査ツールの概要 3.脆弱性検査ツールのタイプの定義とツールの紹介 4.脆弱性検査ツールの使用例 5.評価・まとめ 6.おわりに 7.参考
パスワードの使い回しなどが原因の新たな手口と被害を確認 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
パスワードの使い回しなどが原因の新たな手口と被害を確認 ー知らぬ間に友人・知人宛になりすましメールが送りつけられる被害が多発ー 2015年6月以降、IPAの安心相談窓口に「自分が使っているフリーメールのアドレスを詐称して友人・知人に対してなりすましメールが送信されているようだ」という相談が多く寄せられるようになりました。それらの相談には、次のような特徴が見られます。 現在、利用しているフリーメールのアドレスを送信元とした(詐称した)なりすましメールが送信されている。 そのなりすましメールは“友人・知人など(受信トレイにあるメールの送信元アドレス等)”宛てに送信されている。 フリーメールサービスのログイン履歴に不審な記録は見られない。 フリーメールサービスのログインパスワードを変更してもなりすましメールの送信は止まらない。 上記1.および2.の現象ではフリーメールサービスへの不正ログインによ
プレス発表 「IoT開発におけるセキュリティ設計の手引き」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、今後のIoTの普及に備えて、IoT機器および、その使用環境で想定されるセキュリティ上の脅威に対し、事業者(開発者)の備えが急務であると考え、「IoT開発におけるセキュリティ設計の手引き」を作成し、本日公開しました。 URL:https://www.ipa.go.jp/security/iot/iotguide.html 昨今、IoT(*1)が多くの注目を集めています。現在ではIoTと分類されるようになった、組込み機器の情報セキュリティについて、IPAは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用
更新:bash の脆弱性対策について(CVE-2014-6271 等):IPA 独立行政法人 情報処理推進機構
GNU Project が提供する bash は、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル(OS の一部としてプログラムの起動や制御などを行うプログラム)です。 bash に任意の OS コマンドを実行される脆弱性 (CVE-2014-6271) が発見され、2014 年 9 月 24 日に修正パッチが公開されました。 ただし、CVE-2014-6271への修正が不十分であるという情報があります。その修正が不十分であることによる脆弱性 (CVE-2014-7169) に対応したアップデートまたはパッチも各ベンダから順次公開されています。 bash を使用して OS コマンドを実行するアプリケーションを介して、遠隔から任意の OS コマンドを実行される可能性があります。 図:脆弱性を悪用した攻撃のイメージ 警察庁によると本脆弱性を標的としたアクセスが観
IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件(第3四半期までの件数比約2.4倍増)と急増しました。 一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、
DNSキャッシュポイズニングの脆弱性に関する注意喚起:IPA 独立行政法人 情報処理推進機構
-放置すれば情報漏えい~信用失墜に至る可能性も。 ウェブサイト運営者は早急にDNSサーバのパッチ適用や設定変更を!- 最終更新日 2009年2月6日 掲載日 2008年9月18日 >> ENGLISH 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「DNSサーバに対するDNSキャッシュポイズニングの脆弱性」の届出が激増していることから、ウェブサイト運営者へ注意を喚起するとともに、DNSサーバのパッチ適用や設定変更を呼びかけます。 DNS(Domain Name System)(*1) キャッシュポイズニング(汚染)の脆弱性に関して、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開されています(*2)。また、この脆弱性を悪用した攻撃コードが既に公開されていたため、2008年 7月24日、IPAはウェブサイト運営者へ向けて緊急対策情報を発行しました
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開:IPA 独立行政法人 情報処理推進機構
近年、標的型攻撃はやり取り型や水飲み場型の出現、使われるマルウェアの高機能化などますます多様化しており、被害が後を絶ちません。原因の1つには、ウイルス対策ソフト等の入口対策を突破して侵入を果たした攻撃が情報システム内部で密かに活動しているのを検知できず、情報流出等の実害が発覚するまで攻撃に気付かないことが多いことが挙げられます。 IPAでは2010年12月に「脅威と対策研究会」を設置し、標的型攻撃から組織の情報システムを守るためのシステム設計ガイドを公開してきており、本書はその最新改訂版となります。本版では、システム内部に深く侵入してくる高度な標的型攻撃を対象に、システム内部での攻撃プロセスの分析と内部対策をまとめています。 また、前版に対するヒアリング結果や意見を基に、よりシステム設計・運用現場が利用しやすいよう、改訂ポイントの1つとして、対策を以下のように整理しました。 <統制目標の明
OpenFlowによるネットワーク分離
近年、ソフトウェアやハードウェアなどのリソースをネットワーク経由で利用する形態である「クラウドコンピューティング」が流行っている。クラウドコンピューティングには、SaaS(Software as a Service)やPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)などの「パブリッククラウド」や、企業毎に自社のデータセンタ上でサーバ仮想化技術を使用して、社内の部門に対して仮想サーバの貸し出しサービスを行う「プライベートクラウド」などが存在するが、複数の企業のプライベートクラウドを物理的に同じインフラ上で実現することでコスト削減を実現する「仮想プライベートクラウド」が注目されてきている。仮想プライベートクライドでは、サーバの論理分割だけでなく、ネットワークの論理分割を行い、各社のプライベートクラウド間のセキュリティを確
情報セキュリティ技術動向調査(2009 年下期):IPA 独立行政法人 情報処理推進機構
Web において使われる URI(URL)には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ(パーセントエンコード)が行われる。埋め込まれた情報は取り出されるときにアンエスケープ(パーセントデコード)される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は HTML の form でユーザに式の入力を求め、式が入力されてサーバに送られたらその結果を表示する。ここで、式は "http://calc.example.org?q=式" というような URI にブラウザがアクセスすることによって、サーバに送られるものとする。この形式は HTML の form で用いられる application/x-www-form-urlencoded という形式であり、HTML の規格で定義される。この場合、"1+1" という式を URI に埋め込むには "+" とい
情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
Web Application Firewall 読本 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
「ウェブサイト構築事業者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトのセキュリティ対策を推進するため、「情報システムを安全にお使いいただくために」及び「ウェブサイト構築事業者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2009年6月8日から、IPAのウェブサイトで公開しました。 本報告書は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)において、昨年10月から行われた検討の成果です。 IPAでは、情報サービス事業者、セキュリティベンダー、セキュリティに関する有識者など約20組織に対して、昨年10月から本年3月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予
情報処理推進機構:情報セキュリティ:H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA テクニカルウォッチ:「攻撃者に狙われる設計・運用上の弱点についてのレポート」:IPA 独立行政法人 情報処理推進機構
脆弱性体験学習ツール AppGoat | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
オープンソフトウェア:OSS人材育成:IPA 独立行政法人 情報処理推進機構
情報セキュリティと行動科学ワークショップ:IPA 独立行政法人 情報処理推進機構
IPA セキュア・プログラミング講座