「ワンクリック詐欺は知っているが標的型攻撃は知らない」――IPAが調査
情報処理推進機構(IPA)は4月15日、インターネット利用者を対象としたアンケート「情報セキュリティに関する脅威に対する意識調査」の報告書を公開した。15歳以上のPCインターネット利用者を対象にWebでアンケートを実施し、5148人から有効回答を得た。 脅威に対する認知・理解状況を聞いたところ、最も理解度が高かったのは、「ワンクリック不正請求」で、全体の66.2%が事象を正しく理解していた。次いで、「コンピュータ・ウイルス」が61.9%、「フィッシング詐欺」が50.8%となった。2007年3月に実施した同様の調査と比較すると、ワンクリック不正請求の理解度は35.4%から66.2%に向上した。ボットの理解度も3.4%から9.0%へと向上した。 だが、近年広がりつつある特定のインターネット利用者を狙った「標的型(スピア型)攻撃」は、約9割の利用者が言葉を知らないと回答し、認知が進んでいない状況
情報セキュリティに関する脅威に対する意識調査(2007年度第2回)報告書の公開について:IPA 独立行政法人 情報処理推進機構
(1) 調査方法:ウェブアンケート (2) 調査対象:15歳(高校生)以上の PC インターネット利用者 (3) 調査期間:2008年1月18日~1月19日 (4) 有効回答数:5,148人 (1) 情報セキュリティに関する事象の理解度 コンピュータ・ウイルスやフィッシング詐欺、ワンクリック不正請求等の情報セキュリティに関する事象について、言葉を聞いたことがあるか、内容まで知っているか、正しく理解しているかについて調査しました。 ※理解しているかについては事象に関する○×クイズにより判定。設問は報告書を参照。 図1:情報セキュリティに関する事象の理解度 注:画像のクリックで拡大表示 図1に示すように、脅威に対する認知・理解状況を尋ねたところ、最も理解度が高かったのは、「ワンクリック不正請求」で、全体の66.2%が事象を正しく理解していました。次いで、「コンピュータ・ウイルス」61.9%、「
新しい情報セキュリティへの認知は進まず--IPAが意識調査
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は4月15日、「情報セキュリティに関する脅威に対する意識調査(2007年度第2回)」を実施し、報告書を公開した。調査は15歳以上のパソコンインターネット利用者を対象としたウェブアンケートで、2008年1月18日から1月19日かけて実施された。有効回答数は5148人となっている。 調査結果によると、情報セキュリティに関する事象の理解度では、最も理解度が高かったのは「ワンクリック不正請求」(66.2%)で、「コンピュータ・ウイルス」(61.9%)、「フィッシング詐欺」(50.8%)と続いた。2007年3月に実施した調査と比較すると、ボットの理解度が3.4%から9.0%へと向上し、ワンクリック不正請求は35.4%から66.2%へと理解度が向上している。 その反面、「標的型(スピア型)攻撃」については約9割の人が言葉を知らないと
「4人に1人はセキュリティ対策ソフトを使っていない」――IPAの調査
情報処理推進機構(IPA)セキュリティセンターは2008年4月15日、情報セキュリティに関する意識調査の結果を発表した。対象は15歳以上のインターネットユーザー。それによると、回答者の4人に1人は、セキュリティ対策ソフトを使っていないという。 今回の調査はWeb上で実施。有効回答数は5148。調査日は2008年1月18日と同1月19日。一般ユーザーのセキュリティ用語の認知度や理解度、対策の実施状況などを把握し、IPAが発信する対策情報や啓発活動などに役立てることが目的。同様の調査はこれまでにも実施していて、今回で5回目となる。 セキュリティ用語の理解度に関する設問では、最も理解度が高かったのは「ワンクリック不正請求(ワンクリック詐欺)」(図1)。回答者の66.2%が、ワンクリック詐欺がどういったものなのか知っていた。次いで、「コンピュータウイルス」が61.9%、「フィッシング詐欺」が50.
IPA、Webサイト運営者向け脆弱性対応ガイドラインを公開
情報処理推進機構は、Webサイト運営者が脆弱性に対応するための手順を記した「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂版を公開した。 情報処理推進機構(IPA)およびJPCERT コーディネーションセンター(JPCERT/CC)は4月4日、「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂版をIPAおよびJPCERT/CCのWebサイトで公開した。 改訂版では、Webサイトの運営者が脆弱性に対応するための手順を、「Webサイト運営者のための脆弱性対応マニュアル」として追記した。「脆弱性に関する通知の受領」「セキュリティ上の問題の有無の調査」「影響と対策の検討、対策作業の計画」「対策の実施」「修正完了の報告」という順番で、手順を掲載している。
情報セキュリティ早期警戒パートナーシップガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
IPAおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久、慶応義塾大学名誉教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドライン(*1)(以降「ガイドライン」)を改訂し、2019年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。 「情報セキュリティ早期警戒パートナーシップガイドライン」の2019年版を公開 「情報セキュリティ早期警戒パートナーシップ」は、ソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制として整備されました。2004年7月8日の運用開始から2019年3月末までに脆弱性関連情報の届出は14,212件に達しました。 この度、IPAおよびJPCERT/
情報セキュリティ早期警戒パートナーシップガイドラインの改訂版が公開
独立行政法人情報処理推進機構(以下、IPA)と責任中間法人JPCERTコーディネーションセンター(以下、JPCERT/CC)は4月4日、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂し、「同 2008年版」を公開したと発表した。「情報システム等の脆弱性情報の取り扱いに関する研究会」での検討結果を踏まえたもので、IPAおよびJPCERT/CCのWebサイトで公開されている。 情報セキュリティ早期警戒パートナーシップは、ソフトウェア製品やWebサイトに内在する脆弱性情報の適切な取り扱いおよび情報公開を促進するための枠組み。このガイドラインの公開によって、これまでに2000件を超える脆弱性の届け出がなされているほか、関係者による、官民を超えた情報セキュリティ対策に関する情報共有・連絡体制の強化が推進されてきたという。 しかしその一方で、攻撃の兆候や被害の影響が見えにくく、IT利用
標的型攻撃には不必要なTCPポートをふさいで対処 IPA
情報処理推進機構は、特定の企業や組織のイントラネット内にあるPCを攻撃する「標的型攻撃」の実態を調査した結果を発表した。 情報処理推進機構(IPA)は3月18日、特定の企業や組織のイントラネット内にあるPCを攻撃する「標的型攻撃」の調査結果を発表した。 標的型攻撃はマルウェアによるものが多数だが、攻撃者が用意したサーバからプログラムなどをダウンロードする「ダウンローダー」を介して埋め込まれる多段型のマルウェア(シーケンシャルマルウェア)が発見されている。シーケンシャルマルウェアの対策として、不必要な外向きのTCP(Transmission Control Protocol)ポートをふさぐといった対策が有効という。 IPAは、攻撃に利用された脆弱性の実態や、攻撃に用いられたマルウェアを分析し、「近年の標的型攻撃に関する調査研究」として調査結果を公開した。
「正規サイトでもウイルス感染にご注意を」――IPAが注意喚起
IPAは、Webサイトの脆弱性を利用してマルウェアに感染させる手口が増えているとして注意を呼びかけた。 「Webサイトに仕掛けられたワナに注意!! 」――情報処理推進機構(IPA)は3月4日、2月度の「コンピュータウイルス・不正アクセスの届出状況リポート」の中で、Webサイトの脆弱性を利用してマルウェアに感染させる手口が拡大しているとして、インターネット利用者などに注意を呼びかけた。 この手口は、脆弱性を持つWebサイトを第三者が不正に改ざんし、閲覧者のPCにマルウェアを感染させようとするもの。第三者がWebページ内に「iframe」などのタグを密かに記述し、ダウンローダーなどを利用してウイルスやボットなどの不正プログラムを誘導する。2007年後半から世界中で被害が拡大している。 第三者に狙われるのは一般企業や官公庁などの正規サイトである場合が多い。訪問者は、こうした手口が仕掛けられている
「いつものWebサイトにウイルスが!」――専門機関への相談が相次ぐ
セキュリティに関する届け出や相談を受け付けている情報処理推進機構(IPA)は2008年3月4日、2008年2月中の届け出状況などを公表。「いつもアクセスしているWebサイトでウイルスが見つかった」といった相談が増えているとして注意を呼びかけた。 2007年以降、企業などが運営するWebサイトが不正侵入されて、ウイルスを感染させる「わな」を仕掛けられるケースが急増している。信頼していたサイトが、ある日を境に、危険なウイルスサイトに姿を変える。脆弱(ぜいじゃく)性があるパソコンでは、そういったサイトにアクセスするだけでウイルスに感染する(図)。 例えばイタリアでは、2007年6月、数百に及ぶ正規のサイトが不正侵入されて、Webページにわなが仕掛けられた。セキュリティ企業などの情報によれば、同様の事例は、日本を含む世界中で確認されているという。実際、IPAに寄せられる相談には、「毎日見ている企業
IPA、サイト運営者向け脆弱性対応ガイドを公開
情報処理推進機構(IPA)は2月28日、ソフトウェア製品やWebサイトのセキュリティ対策を掲載した「Webサイト運営者のための脆弱性対応ガイド」を公開した。 同ガイドはWebサイトの脆弱性がもたらすトラブル、求められる対策などを説明し、脆弱性の通知を受けた場合の対応手順をマニュアルとしてまとめたもの。通知を受けた場合に活用できる脆弱性対策のチェックリストもある。 IPAによると、ウイルスや不正アクセス対策などの情報セキュリティ対策と比べて情報システムの脆弱性対策の関心が低く、脆弱性が引き起こす情報漏えいなどを危険と見ていないWebサイト運営者が一部存在し、脆弱性を発見した時の対応手順も整備されていないという。 関連記事 「脆弱性情報はこう公表しよう」、IPAがマニュアルを公開 情報処理推進機構は、脆弱性に関して公表すべき項目などをまとめた「ソフトウェア製品開発者による脆弱性対策情報の公表マ
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
情報セキュリティに対する認識の低さが浮き彫りに--IPAが調査
IPA/ISEC(独立行政法人 情報処理推進機構セキュリティセンター)は2月12日、脆弱性対策の促進に向けて、各国の中小規模組織における脆弱性対策の現状、組織内で脆弱性情報を共有するためのフレームワーク(情報共有の枠組み)や脆弱性対策確認作業の自動化に向けた取り組みに関して調査を行い、調査報告書を公開した。 この調査は、情報セキュリティの専門家の確保が難しい中小規模組織における情報システムの脆弱性対策を促進するために、IPAが取り組むべき施策の検討および活用可能な脆弱性対策ツールの開発を支援することを目的として、国内中小規模組織の実態および諸外国における情報共有フレームワークの動向調査を行ったもの。 調査では、IPAが取り組むべき施策を短期的に実現可能な施策と、長期的な観点から検討すべき施策に分け、前者の検討として「脆弱性関連情報の活用促進に関する調査」、後者の検討として「脆弱性対策の自動
IPA、TCP/IP関連の“脆弱性検証ツール”を開発〜デベロッパ向けに無償貸出 | RBB TODAY
独立行政法人 情報処理推進機構(IPA)は6日より、TCP/IPを実装する製品の開発者向けに、TCP/IPに係る既知の脆弱性検証ツールを開発・公開し、CD-ROMでの貸出を開始した。 このツールは、1月8日にIPAが公開した「TCP/IPに係る既知の脆弱性に関する調査報告書(改訂第3版)」に記載されている23項目の脆弱性のうち、18項目の脆弱性を体系的に検証できる。TCP/IPを実装する製品開発者は、ツールを使用することにより、検証対象機器の脆弱性検証を自動実行し、脆弱性の有無を簡易判定できる。また、脆弱性の判断のための確認ガイドを参照することにより、脆弱性の有無の正確な判断ができるものとなっているとのこと。開発はラックが行い、IIJ、JPCERT/CC、日本電気等が協力した。 「TCP/IPに係る既知の脆弱性に関する調査報告書」に記載されている23項目のうち、検証可能な脆弱性の内訳として
IPA、TCP実装製品の脆弱性検証ツールを公開
情報処理推進機構は、TCPやIPを実装する製品の開発者向けに、脆弱性を検証するツールを無償で貸し出すと発表した。 情報処理推進機構(IPA)は2月6日、TCP(Transmission Control Protocol)やIP(Internet Protocol)を実装する製品の開発者向けに、脆弱性を検証するツールを無償で貸し出すと発表した。 公開したのは「TCP/IPに係る既知の脆弱性検証ツール」。検証ツールをPCにインストールして機器の検証を実行すると、TCPやIP関連機器の脆弱性の有無を体系的に検証できる。 貸し出し対象は、TCP/IPを実装する製品開発ベンダーで法人格を持つ事業体。貸し出し期間は1年間、CD-ROMで無償配布する。貸し出しは同社Webページから受け付けている。 関連記事 ヤマハのルータ製品にCSRFの脆弱性 IPAセキュリティセンターとJPCERT/CCは、複数のヤ
IPA、「TCP/IPに係る既知の脆弱性検証ツール」を公開
IPA/ISEC(独立行政法人 情報処理推進機構セキュリティセンター)は2月6日、「TCP/IPに係る既知の脆弱性検証ツール」を公開した。インターネットに接続する電子機器の情報セキュリティ対策を推進することを目的に、TCP/IPを実装する製品の開発者向けに無償で貸し出しを行う。 コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれており、近年では情報家電や携帯端末などの組込み機器にも採用されている。しかし、TCP/IPを実装したソフトウェアには、これまで多くの脆弱性が確認されている。 発見された脆弱性はその都度公表され、機器ごとに対策が施されている。しかし、こうした脆弱性を体系的に検証するツールが整備されてこなかったことから、新たに開発されるソフトウェアで、すでに公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが見受けられる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ScanNetSecurity - IPA/ISEC、2008年3月および第1四半期のコンピュータウイルス・不正アクセスの届出状況を発表
コンピュータウイルス・不正アクセスの届出状況[2008年3月分および第1四半期]について:IPA 独立行政法人 情報処理推進機構
ScanNetSecurity - コンピュータウイルス・不正アクセスの届出状況を発表(IPA)
IPAが「安全なウェブサイトの作り方」改訂、XSSなど“失敗例”の章を追加