ランサムウェアを用いた攻撃は、一台から数台の端末の感染被害から、業務停止を引き起こす大規模な感染被害に至るものまでさまざまです。本FAQでは、企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃の被害に遭った場合の対応のポイントや留意点などをFAQ形式で記載します。 JPCERT/CCでは、こうした攻撃を他のランサムウェアを用いた攻撃と区別し、「侵入型ランサムウェア攻撃」と呼びます。 ネットワーク内部の複数のシステムでファイルの拡張子が変わり開封できなくなった、自組織から窃取されたとみられるファイルを暴露する投稿が行われた、または攻撃者から通知が届いたなどの状況を確認している場合、この攻撃の被害を受けている可能性があります。被害に遭われた企業や組織のCSIRTおよび情報セキュリティ担当の方は、インシデント対応を進める上での参考

JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11（新規） 2022-01-04（更新） I. 概要 更新: 2022年1月4日記載 現時点で不明な点もあることから、今後の動向次第で下記掲載内容を修正、更新する予定がありますので、関連情報への注視のほか、本注意喚起の更新内容も逐次ご確認ください。 次の更新を行いました。詳細は「III. 対策」を参照してください。 - Apache Log4jのバージョン2.17.1（Java 8以降のユーザー向け）、2.12.4（Java 7のユーザー向け）及び2.3.2（Java 6のユーザー向け）が公開されました JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三

<<< JPCERT/CC WEEKLY REPORT 2021-04-07 >>> ■03/28(日)〜04/03(土) のセキュリティ関連情報 目　次 【1】Google Chromeに複数の脆弱性 【2】Citrix Hypervisor（XenServer）に複数の脆弱性 【3】VMware製品に複数の脆弱性 【4】GitLabに複数の脆弱性 【5】書庫一括操作ユーティリティにディレクトリトラバーサルの脆弱性 【今週のひとくちメモ】IPAが「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr

<<< JPCERT/CC WEEKLY REPORT 2021-03-03 >>> ■02/21(日)〜02/27(土) のセキュリティ関連情報 目　次 【1】複数のMozilla製品に脆弱性 【2】VMware vCenter Serverに複数の脆弱性 【3】複数のCisco製品に脆弱性 【4】Movable Typeに複数のクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】IPAが「コンピュータウイルス・不正アクセスの届出事例［2020年下半期（7月〜12月）］」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr210901.txt https:

□ パスワードの文字列は、長めにする（12文字以上を推奨） □ インターネットサービスで利用できる様々な文字種（大小英字、数字、記号）を組み合わせると、より強固になる □ 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける □ 他のサービスで使用しているパスワードは使用しない これまでは、英大文字・小文字、数字に加えて記号を混ぜ込むことが多々推奨されてきました。しかし、「アルファベットを数字や記号に置き換える」等の方法では、憶えやすさが損なわれたり（※後述のコラムを参照）、「p@ssword」（aをアットマーク「@」に置き換え）のような置き換えの場合、辞書攻撃であらかじめ推測されている恐れがあります。したがって、現在では、これまでの方法より数文字でも多くの文字を使うことが望ましいと考えられています。 例えば、8文字で英大小文字＋数字＋記号（9