IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、ウェブサイトのセキュリティ対策を推進するため、「情報システムを安全にお使いいただくために」及び「ウェブサイト構築事業者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2009年6月8日から、IPAのウェブサイトで公開しました。 本報告書は、「情報システム等の脆弱性情報の取扱いに関する研究会」（座長：土居 範久　中央大学教授）において、昨年10月から行われた検討の成果です。 IPAでは、情報サービス事業者、セキュリティベンダー、セキュリティに関する有識者など約20組織に対して、昨年10月から本年3月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、最新の情報セキュリティ関連の被害実態及び対策の実施状況等を把握し、情報セキュリティ対策を推進するため、「2008年 国内における情報セキュリティ事象被害状況調査」を実施し、報告書を公開しました。 「2008年 国内における情報セキュリティ事象被害状況調査」は、最新の情報セキュリティ関連の被害実態及び対策の実施状況を把握するため、全国の10,000企業及び1,000自治体を対象とし、郵送によるアンケート調査を行いました。回収数は、企業1,907、自治体410です。本調査は、1989年度から毎年行っており、今回で20回目になります。 1．主な調査項目 (1) 情報セキュリティ対策の現状 セキュリティ対策ソフト導入状況 2009年のセキュリティ対策への投資額 セキュリティパッチの適用状況 情報セキュリティ対策教育の実施状況 (2) コ

2016年11月に「中小企業の情報セキュリティ対策ガイドライン」改訂版を公開しました。 今後はこちらの改訂版をご利用下さい。 本ページに掲載の資料は前のバージョンの資料です。 IPAは、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しました。 従来の情報セキュリティ対策の進め方では、リスク分析を基にして、自社に合った対策基準や実施手順を策定することが必要であり、対策未実施の中小企業にとって導入に着手することは容易ではなく、「何をすれば良いか分からない」という状況になる場合がありました。 そこでIPAは、中小企業の情報セキュリティ対策として実施すべき具体的な対策事項を選択抽出し、「中小企業の情報セキュリティ対策ガイドライン」としてまとめました。その中でも、特に最初に取り組むべき項目を、下記2種類の別冊ガイドラインと

2011年10月、「不審メール110番」は標的型サイバー攻撃を受けた際に専門的知見を有する相談員が対応する「標的型サイバー攻撃の特別相談窓口」に統合されました。 標的型サイバー攻撃の特別相談窓口

独立行政法人情報処理推進機構（略称：IPA、理事長：西垣　浩司）は、最近増加している「情報詐取を目的として特定の組織に送られる不審なメール」、いわゆる標的型攻撃メールを受信した組織が情報詐取などの実被害に遭わないよう、相談窓口「不審メール110番」を9月29日に設置しました。 「不審メール110番」では、不審なメールを受信した組織や、送信元をかたられた組織が、どのような対応をすべきかなどの相談を受け付けます。また、標的型攻撃メール対策を推進するため、受信した不審なメールに関する情報の積極的な提供を呼びかけています。 IPAは、「不審メール110番」に提供された不審なメールの情報を分析し、ユーザへの注意喚起や対策方法の公表、セキュリティ対策ソフトベンダへのウイルス情報の提供のほか、ウイルス感染に利用されたソフトウェア製品の脆弱性情報についての早期警戒パートナーシップとの連携などを通じ、標的型

＜内容＞ 平成２０年７月２３日夕刻、当機構職員が当機構が過去に実施した公募の応募者に他の公募案件についての案内のメールを送信する際、本来は、皆様の希望を踏まえ、かつ、受信者の方々のメールアドレスが隠れる送信方法（ｂｃｃ）を用いるべきところ、４５４名の方々に、誤ってメールの宛先に他の受信者の方のメールアドレスが分かる状態で送信してしまいました。既に流出したアドレスの所有者の方には、お詫びのメールを送信し、併せて同メールの削除を依頼したところです。 ご関係の皆様にはご迷惑をおかけしましたことを深くお詫び申し上げます。 ＜今後の対応＞ 当機構では、今回の事態を厳粛に受け止め、今後このような事態が生じないよう、改めて全職員に対し、電子メール送信時における注意事項について周知徹底を図ります。また、再発防止策として、宛先が一定数を超えるメールの送信を制限するシステムを８月中旬までに導入すること

＜内容＞ 平成２０年７月７日夕刻、当機構前役員が在職中お世話になった方々に本人の辞任の挨拶を電子メールで送信する際、本来は受信者の方々のメールアドレスが隠れる送信方法（ｂｃｃ）を用いるべきところ、６３７名の方々に、誤ってメールの宛先に他の受信者の方のメールアドレスが分かる状態で送信してしまいました。既に流出したアドレスの所有者の方には、お詫びのメールを送信し、併せて同メールの削除を依頼したところです。 ご関係の皆様にはご迷惑をおかけしましたことを深くお詫び申し上げます。 ＜今後の対応＞ 当機構では、今回の事態を厳粛に受け止め、今後このような事態が生じないよう、改めて全職員に対し、電子メール送信時における注意事項について機構内に周知徹底を図ります。 本件内容に関するお問い合わせ先：

「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく

なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。 iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介

独立行政法人 情報処理推進機構（略称：IPA、理事長：藤原 武平太）は、情報システムの脆弱性対策を促進するため、特定の企業あるいは組織を標的とした攻撃を行う「標的型攻撃」に関する調査を行い、「近年の標的型攻撃に関する調査研究」として2008年3月18日（火）より、IPAのウェブサイトで公開しました。 近年、特定の企業あるいは組織イントラネット内のパソコンを標的とした「標的型攻撃」により、個人情報等の機密情報が漏洩するなどの被害が深刻化しています。「近年の標的型攻撃に関する調査研究」調査報告書は、こうした攻撃に利用された脆弱性の実態調査や、攻撃の際に用いられたマルウェアの分析を行い、調査報告書としてとりまとめたものです。 【従来型マルウェアとシーケンシャルマルウェア】 標的型攻撃はマルウェア（悪意あるソフトウェア）によるものが多数ですが、最近では、インターネット上の攻撃者が用意したサーバから

独立行政法人 情報処理推進機構（略称：IPA、理事長：藤原武平太）は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日（木）より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」（座長：土居範久　中央大学教授）において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ