Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
![情報セキュリティ10大脅威 2020年版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9ae4e41e8b2184c612831da1241b4cf079ca73a/height=288;version=1;width=512/https%3A%2F%2Fwww.ipa.go.jp%2Fk3q2q400000050d7-img%2Fk3q2q400000050dg.png)
Citrix ADC および Citrix Gateway は、ネットワークを構築するためのアプライアンス製品です。 この Citrix ADC および Citrix Gateway において、任意のコード実行の脆弱性が確認されています。 この脆弱性が悪用された場合、遠隔の第三者によって、任意のコードが実行され、結果としてデータが改ざんされたり流出したりする可能性があります。 2020年1月17日現在、製品開発者から修正済みのバージョンは提供されていません。 ---2020/1/27 更新--- 2020年1月27日現在、製品開発者から修正済みのバージョンが提供されております。 製品開発者が公表している手順に従いアップデートするか、設定変更による攻撃の緩和を実施してください。 すでに悪用が確認されており、今後被害が拡大する可能性があるため、至急、対策を実施してください。 Citrix AD
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、国内の産業用制御システム保有事業者のセキュリティ対策を促進するために「産業用制御システムのセキュリティ -10大脅威と対策 2019-」を発表しました。これはドイツ連邦政府 情報セキュリティ庁(BSI)が作成したものをIPAが許可を得て翻訳したものです。 産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられています。 IPAでは、2017年10月「制御システムのセキュリティリスク分析ガイド」を発刊。制御システムの資産や事業被害のリスクレベルを明確化するリスクアセスメント手法を解説しています。また、2019年7月には、過去のサイバー攻撃の事例をもとに、その概要と攻撃の流れを紹介する「「
~ドイツ連邦政府 情報セキュリティ庁のTop10 Threats and Countermeasures 2019を翻訳~ IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、国内の産業用制御システム保有事業者のセキュリティ対策を促進するために「産業用制御システムのセキュリティ10大脅威と対策」を発表しました。これはドイツ連邦政府 情報セキュリティ庁が作成したものをIPAが許可を得て翻訳したものです。 URL:https://www.ipa.go.jp/security/controlsystem/bsi2019.html 産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられています。 IPAでは、2017年10月「制御システムのセキ
Emotet(エモテット)関連情報 Emotet(エモテット)の概要 Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、不正なメール(攻撃メール)に添付される不正なファイルなどから、感染の拡大が試みられます。 Emotetへの感染を狙う攻撃の中には、正規のメールへの返信を装う手口が使われる場合があります。この手口では、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容などの一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールが使われます。そのため、攻撃メールの受信者が、知った人物から送られてきたメールと勘違いして添付された不正なファイルを開いてしまい、Emotetに感染してしまう可能性も考えられま
2020年5月15日金曜日に情報処理の促進に関する法律の一部を改正する法律(改正法)が施行されました。改正法のポイントは次のとおりです。 登録の更新制導入 法定講習として、一定の条件を満たした民間事業者等の講習(「特定講習」という)も対象 講習受講サイクルの見直し 登録の更新制導入について 情報処理安全確保支援士の登録に更新制が導入されました。更新制導入の目的は、サイバーセキュリティに関する最新の知識・技能の維持のみならず、欠格事由に該当していないかなど、情報処理安全確保支援士としての資格を有しているかを改めて確認することで、情報処理安全確保支援士制度の信頼性向上を目指すものです。 登録の有効期限は、登録日または更新日から起算して3年となります。 登録更新申請は、更新期限の60日前までに行う必要があります。 登録更新申請を行うためには、毎年の受講が義務付けられている講習を全て修了する必要が
12月6日に情報処理の促進に関する法律の一部を改正する法律が公布されたことに伴い、情報処理安全確保支援士(以後、登録セキスペ)制度が一部見直しになります。これを受け、IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)IT人材育成センター国家資格・試験部は、本日その概要をウェブページで公開しました。 URL:https://www.ipa.go.jp/siensi/kaisei.html IPAが運営している登録セキスペ制度は2016年10月21日の法律改正に伴い、発足したものです。2019年10月1日時点の登録者数は19,417名で、年代別に見ると、40代が42.7%と最も多く、30代32.8%、50代15.8%と続きます。 この登録セキスペ制度が去る12月6日に公布された法律により、改正されました。その概要は次の2点です。 更新制の導入 新たに登録セキスペ自らによる3年毎の更新手
概要 インターネット安全教室を開催する際、指導用にご利用いただく目的で作成した教材と、講義要領を公開しています。情報セキュリティや情報モラルの教育・普及の目的で、学校での授業、各種セミナーや研修等にご利用いただけます。 教材へのご意見、ご感想は「本件に関する問い合わせ先」のE-mailアドレス宛にお寄せください。 本件に関する問い合わせ先 教材の構成とダウンロード 講義の前に 子どもたちをとりまく情報通信機器の現状、情報モラル・セキュリティに関する情報、講義にあたっての指導ポイントや講義する上での基本的な知識について、「講義要領」としてまとめています。教材をご利用の際、あわせてご活用ください。 講義にあたっての指導のポイント・講義する上での基本的な知識について講義要領(PDF:4.7 MB) 教材の構成 教材は、「オープニングスライド」と「メインスライド」の2種類のファイルで構成されます。
以下は、「ソフトウェア等の脆弱性関連情報に関する届出状況」1章の抜粋です。 1. ソフトウェア等の脆弱性に関する取扱状況(概要) 1-1. 脆弱性関連情報の届出状況 ~脆弱性の届出件数の累計は15,050件~ 表1-1は情報セキュリティ早期警戒パートナーシップ(*1)における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は62件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は278件、合計340件でした。届出受付開始からの累計は15,050件で、内訳はソフトウェア製品に関するもの4,390件、ウェブサイトに関するもの10,660件でウェブサイトに関する届出が全体の約7割を占めています。 図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ソ
IPA(情報処理推進機構)は、国内の重要インフラ業界のセキュリティ対策の支援を目的に、米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」(*1)の解説書およびチェックシートを公開しました。 「ES-C2M2」は、米国の電力業界で活用されている、セキュリティレベル向上のためのガイドライン(※)です。 「ES-C2M2」は、米国エネルギー省(DoE)が、米国内電力会社のセキュリティマネジメントを自己評価するために発行したもので、サイバーセキュリティ成熟度モデル(Cybersecurity Capability Maturity Model:C2M2)のひとつです。 本モデルを活用することで、現在取組んでいる対策や手法等の能力レベルの評価と、それによる対策の目標や改善のための優先順位の設定が可能になります。 米国では、より精度の高いセキュリティ対策の検討などにも有効であるとして
2019 年 9 月 24 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。 これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。 CVE-2019-1367 の脆弱性について、Microsoft 社は「悪用の事実を確認済み」と公表しており、今後被害が拡大するおそれがあるため、至急、修正プログラムを適用して下さい。 なお、同日に CVE-2019-1255 の脆弱性の情報も公表されています。こちらについてはベンダより、Microsoft Malware Protection Engine (バージョン 1.1.16400.2 以降) の機能により保護されると案内されております。
はじめに スマートフォンの普及およびインターネットサービスの拡大に伴い、IPA情報セキュリティ安心相談窓口には、それらサービスへの不正ログイン被害に関する相談が継続して多く寄せられています。被害動向や状況を詳細に把握するために、2017年10月より不正ログインに関する相談件数を個別に集計することとしました。2018年2月末時点で、累計104件の相談が寄せられています。今後も不正ログイン被害に関する相談が継続されると考えられることから、不正ログイン対策について情報提供を行う特集ページを開設することとしました。 本ページでは不正ログイン被害への対策として、「パスワードの作成・管理方法」と「多要素認証の設定」について情報提供を行っています。 「多要素認証の設定」コーナーには、主要な各種インターネットサービスの多要素認証の設定手順書を順次追加していく予定です。 目次 不正ログインについて パスワー
制御システムを保有する事業者にとって、国内外で発生したサイバーインシデント事例の情報をもとに、自社の制御システムに対して同様の脅威が発生した場合のリスクアセスメント(リスクの特定・分析・評価)を実施することは、セキュリティリスク管理の強化につながります。 IPA(情報処理推進機構)は、制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開しています。このガイドでは、制御システム保有事業者の事業に重大な被害を与えるサイバー攻撃からの回避に重点を置いた「事業被害ベースのリスク分析手法」を紹介しています。 同分析手法でも、攻撃シナリオの検討時に過去の攻撃事例を参考にすることを提示しており、これによって、自社の制御システムに対して類似の脅威が発生した場合の事業への影響、脅威の発生可能性、発生した脅威の受容可能性/脅威に対するセキュリティ対
Oracle WebLogic Server コンポーネントは、多くの商用ウェブサイトや企業アプリケーションの構築等に利用されているソフトウェア製品です。 この Oracle WebLogic Server において、遠隔の攻撃者がサーバの実行権限で任意のコードを実行する可能性がある脆弱性が確認されています。 なお、本脆弱性は主に次の要因から、脆弱性の深刻度を示すCVSSv3値が9.8とされています。 ネットワークを介して外部から攻撃可能であること 認証が不要であり、誰でも攻撃できること 任意のコード実行が可能で、攻撃された場合の影響が大きいこと IPAでは上記の要因から、速やかな対策実施の検討を推奨します。 Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server
Oracle WebLogic Server コンポーネントは、多くの商用ウェブサイトや企業アプリケーションの構築等に利用されているソフトウェア製品です。 この Oracle WebLogic Server において、遠隔の攻撃者がサーバの実行権限で任意のコードを実行する可能性がある脆弱性が確認されています。 なお、本脆弱性は主に次の要因から、脆弱性の深刻度を示すCVSSv3値が9.8とされています。 ネットワークを介して外部から攻撃可能であること 認証が不要であり、誰でも攻撃できること 任意のコード実行が可能で、攻撃された場合の影響が大きいこと 加えて、攻撃コードが公開されていることや、攻撃の可能性を探索する活動が報告されています。よって、IPAでは上記の要因から、速やかな対策実施の検討を推奨します。
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
STIX(Structured Threat Information eXpression) ~サイバー攻撃活動を記述するための仕様~ サイバー攻撃活動を鳥瞰するには、攻撃者(サイバー攻撃に関与している人/組織)、攻撃者の行動や手口、狙っているシステムの脆弱性など、攻撃者側の側面から状況をまとめたり、サイバー攻撃を検知するための兆候、サイバー攻撃によって引き起こされる問題、サイバー攻撃に対処するために取るべき措置などを防護側の側面から状況をまとめたりする必要があります。STIX(Structured Threat Information eXpression)(*1)は、これら関連する情報を標準化された方法で記述し、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されました。 サイバー攻撃
TAXII(Trusted Automated eXchange of Indicator Information) ~サイバー攻撃活動の情報を交換するための仕様~ サイバー攻撃活動の情報を交換するためには、情報交換の手順として、サービスを定義し、サービスで使用する転送手順やメッセージ仕様などを決める必要があります。検知指標情報自動交換手順TAXII(Trusted Automated eXchange of Indicator Information)(*1)は、脅威情報構造化記述形式であるSTIX(*2)などで記述されたサイバー攻撃活動に関連する脅威情報を交換するために開発されました。 サイバー攻撃活動の記述に関する取組みは、2010年、US-CERTとCERT/CCによる脅威情報の交換、脅威情報を構造化したアーキテクチャの検討から始まります。2012年に入り、サイバー攻撃活動に関連す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く