標的型攻撃に関する調査結果:IPA 独立行政法人 情報処理推進機構
※本報告書の「震災マルウェア」検体について、ファイル形式、CVE番号に誤りがあったため修正しております。 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、脆弱(ぜいじゃく)性を利用した新たなる脅威の実態把握と対策促進のための調査レポートとして「東日本大震災に乗じた標的型攻撃メールによるサイバー攻撃の分析・調査報告書」を9月29日(木)からIPAのウェブサイトで公開しました。 近年、コンピューターウイルスの持つ機能が複雑化しつつありますが、それだけではなく、人間の心理・行動の隙を突くことで情報を不正に取得する手段(ソーシャルエンジニアリング)等を利用した技術面以外の手口も巧妙化してきています。中でも標的型攻撃メールにおいては、ソフトウェア等の脆弱性を狙った攻撃も多く、情報漏えいなどの被害の発生原因となっています。昨今では、金融業や重工業を狙った攻撃が顕在化しています。 IPAセ
セキュアなソフトウエア開発を支援する資料 | JPCERT コーディネーションセンター
「Java セキュアコーディング 並行処理編」 「Java セキュアコーディング 並行処理編」(原著 CERT/CC「Java Concurrency Guidelines」)は、カーネギーメロン大学ソフトウエア工学研究所の CERTプログラムと Oracle の共同作業の成果である「CERT Oracle Secure Coding Standard for Java」の中から、次のカテゴリに含まれる並行処理プログラミングに関連したガイドラインをまとめた資料です。 可視性とアトミック性(VNA) ロック(LCK) スレッドAPI(THI) スレッドプール(TPS) スレッドの安全性に関する雑則(TSM) セキュアな Java マルチスレッドプログラミングに取り組む際の手引きとしてご活用ください。 本資料に記述されたガイドラインを含む「CERT Oracle Secure Coding S
プレス発表 ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」を開始:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェア製品における脆弱(ぜいじゃく)性の減少を目指す「脆弱性検出の普及活動」を、2011年8月から開始します。 近年ソフトウェア製品において開発者が認知していない脆弱性(未知の脆弱性)を悪用する攻撃や事件が後を絶ちません。これらの攻撃や事件では、世界中で広く使用されているソフトウェア製品だけでなく、主に日本国内のみで広く使用されているソフトウェア(*1)や、産業用制御システム(*2)なども標的とされています。 IPAとJPCERT/CC(*3)は2004年7月から、経済産業省の告示の下で「情報セキュリティ早期警戒パートナーシップ(*4)」を運営しており、ソフトウェア製品の脆弱性関連情報の受付と、製品開発者に対するその修正の依頼を実施しています。このパートナーシップ運営開始から7年が経過した2011年6月末時点で、累計1,2
中小企業向け情報セキュリティ対策:IPA 独立行政法人 情報処理推進機構
概要 中小企業にとって、情報セキュリティは「何から取りかかれば良いのか」が、最大の問題ではないでしょうか。IPAはこの問題の解決をお手伝いします。 新5分でできる!情報セキュリティ自社診断 企業・組織に必要な情報セキュリティ対策を25項目に絞込んで、診断シートをご用意しました。現時点でのセキュリティの状況を点検・採点してみましょう。この診断シートによって、あなたの会社のセキュリティレベルを数値化することができます。 この「新5分でできる!情報セキュリティ自社診断」には紙に印刷されたシート・パンフレットで行うタイプと、インターネット上でオンラインで利用できるものの2通りをご用意しています。 「新5分でできる!情報セキュリティ自社診断」 シート・パンフレット 「新5分でできる!情報セキュリティ自社診断」を印刷した紙で行うことができるツールです。自社診断シートで自社の情報セキュリティの状況を採点
PDFにまつわるセキュリティの問題とは? (1/2)
本稿執筆時、あの東日本大震災からちょうど3カ月が経過しました。震災がもたらした被害は何よりも被災地の皆様の生活に多大なる影響を与え、いまなお復旧に向けて戦っていらっしゃいます。筆者個人としても、会社としても一日も早い復興に向けて応援するとともに、つねにできうる支援をしてまいりたいと考えております。 東日本大震災では、東京電力の福島第一原子力発電所の事故による農作物や海産物、酪農に関する出荷制限と風評被害が発生し、この夏の節電の問題等も連日報道されています。一方で、情報処理推進機構(IPA)や各セキュリティベンダーからたくさんのブログ記事などがポストされた通り、災害情報や被曝情報、計画停電に関する情報を装ったウイルスを含む日本語のメールが飛び交うなど、IT業界や企業システムにも大きな影響が出ました。 エフセキュアでは、このウイルスメールの解析を行ないました。すると、攻撃の多くは特定のユーザー
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: フィッシング対策ガイドラインの改訂について
2010年度、フィッシング対策協議会内に設置した技術・制度検討ワーキンググループにおいて脅威の現状や新しい対策技術の反映などを目的として「フィッシング対策ガイドライン」を改訂いたしました。 1.サービス事業者におけるフィッシング詐欺対策 ・フィッシング詐欺被害を抑制するための対策 ・フィッシング詐欺被害の発生を迅速に検知するための対策 ・フィッシング詐欺被害が発生してしまった際の対策 2.消費者におけるフィッシング詐欺対策 ・フィッシング詐欺への備え ・フィッシング詐欺に遭ってしまった時 ■新規要件 改訂した2011年版は、フィッシング詐欺被害が発生してしまった際の対策の参考資料として「3.5.フィッシング詐欺被害が発生してしまった際の対策」(18~23ページ)を追加いたしました。また、「4.消費者におけるフィッシング詐欺対策」(24~31ページ)には、安全なメールサーバを活用したり、類似
サイバーセキュリティと経済 研究会(第5回)‐配付資料 (METI/経済産業省)
経済産業省のホームページ。サイバーセキュリティと経済 研究会 第5回の配付資料です。
IPAテクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2011年5月時点のものです。 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、最近SSL/TLS(*1)プロトコル等、一般ユーザーにも少なからず影響を与えるような、暗号に関する事故・事象が複数連続して発生していることを受け、関係者および一般ユーザーに対して注意を促すため、「暗号をめぐる最近の話題」と題して取りまとめ、技術レポート(IPA テクニカルウォッチ第2回)として公開しました。 概要 オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています
「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について:IPA 独立行政法人 情報処理推進機構
クラウドコンピューティングは、IT利活用に十分に取組めていない、またITの負担が重いと感じる中小企業が、ITの利活用・効率化を促進することに、大きく貢献できる可能性があります。 しかし、中小企業にとっては、クラウドとはどういうものか理解し難い、どう使えば良いか判らない、正しく使えないためにデメリットが勝るといったことも起こり得ます。 そこでこの「中小企業のためのクラウドサービス安全利用の手引き」(以下、「安全利用の手引」という。)では、中小企業が自社でクラウドの利用についての判断やその条件の確認、注意点の点検等が比較的容易にできるように、以下のような構成で、クラウドに関する説明や利用イメージを提供し、利用に際してチェックすべき項目を整理し、解説を加えました。 クラウドコンピューティングとは クラウドコンピューティング、クラウドサービスとは何か、中小企業にとってのクラウドサービス活用の利点、
JNSA、スマートフォンの企業活用ガイドライン公表--セキュリティ課題明確化
日本ネットワークセキュリティ協会(JNSA)は4月15日、「スマートフォン活用セキュリティガイドライン」(ベータ版、PDF)を公表した。スマートフォンの安全な利活用の促進を目的に、現状の課題を整理、企業の責任とユーザーリテラシーの境界線を明確化し、社内外でのさまざまな利用局面で実施すべきセキュリティ対策を紹介している。 ガイドラインでは、スマートフォン発展の3要素として「業務利用開発」「対策実装」「リテラシー向上」を挙げており、発展の課題として「対策により損なわれる利便性」「対策プライオリティ付けの難しさ」「リテラシー向上の難しさ」の3点を挙げている。 セキュリティ上の課題として、PCと同等レベルのセキュリティ設定が行えないこと、PCと同様に脆弱性が存在すること、業務利用時の許可の有無や利用者の識別、社内システムやネットワークへの影響、取り扱うデータの問題、廃棄する際の問題――などを挙げて
サイバーセキュリティと経済 研究会(第3回)‐配付資料 (METI/経済産業省)
経済産業省のホームページ。サイバーセキュリティと経済 研究会 第3回の配付資料です。
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
独立行政法人 情報処理推進機構 平成23年度計画(pdf)
独立行政法人 情報処理推進機構 平成23年度計画 独立行政法人 情報処理推進機構 目次 Ⅰ.国民に対して提供するサービスその他業務の質の向上に関する目標を達成するためと るべき措置 ...........................................................................................................................1 1.IT の安全性向上に向けた情報セキュリティ対策の強化 ∼誰もが安心して IT を利用できる経済 社会を目指した未然防御策等の提供∼........................................................................................................ 1 1−1.情報
クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜(METI/経済産業省)
トップページ > 報道発表 > 過去の報道発表 > クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜 本件の概要 経済産業省では、クラウドサービスを安全に安心して利用するために「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(以下、ガイドライン)」を策定しました。 本ガイドラインは、クラウド利用者が、クラウドサービス利用の際に、情報セキュリティ対策の観点から活用することを企図して策定しています。本ガイドラインを利用することで、より一層のクラウドサービスの利用促進を目指します。 担当 商務情報政策局 情報セキュリティ政策室 公表日 平成23年4月1日(金) 発表資料名 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜(PDF形
NPO日本ネットワークセキュリティ協会
「調査目的」から抜粋 JNSAインシデント被害調査WGでは、一般に公開されたインシデントの情報を集計し各種統計分析を行う「情報セキュリティ・インシデントに関する調査報告書」を過去数年にわたり作成・公表してきている。 このレポートは、企業が把握しかつ公表に至ったインシデント、または各種メディアが報道したインシデントを情報源としていることから世間の実態との乖離が懸念されている。実際、企業の情報セキュリティ管理への取り組み姿勢によって、把握できているインシデントや公表するインシデントの数に大きな乖離があることが分かっている。 そこで、より高い精度で情報セキュリティ・インシデントの実態を把握する手段の一つとして、一般の仕事を行っている個人を対象としたアンケート調査を行うこととした。 インシデントの年間発生確率 (1.1.インシデント年間発生確率より抜粋) 会社員のうち、1年間に携帯電話を紛失する人
情報セキュリティ早期警戒パートナーシップガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報セキュリティ早期警戒パートナーシップガイドラインとは 「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。 IPA、一般社団法人JPCERTコーディネーションセンター(略称:JPCERT/CC)、一般社団法人 電子情報技術産業協会(略称:JEITA)、一般社団法人 ソフトウェア協会(略称:SAJ)、一般社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.nisc.go.jp/conference/suishin/adviser/dai5/pdf/jogen.pdf
2011年 | 技術レポート・ライブラリ | 研究・開発 | IIJ
情報セキュリティのNRIセキュア
IPv6対応セキュリティガイドライン(第0.5版)を公開 | IPv6 Promotion Council | セキュリティWG