Tell the truth: Do you want AI lie detectors in the workplace?The question is controversial and raises a host of questions, such as: do AI lie detectors even work?
ソーシャルエンジニアリングは、今日最もよく使われる攻撃手口の1つだ。メディアで大きく報じられた事例もある。例えば、2011年に発生したRSA(米EMCのセキュリティ事業部門)への不正侵入事件では、標的型フィッシング攻撃に加え、エクスプロイトコードを仕込んだMicrosoft Excelファイルが用いられた(参考:共通点・傾向は? 2011年上期の情報漏えい企業に起きたこと)。 関連記事 対ソーシャルエンジニアリング攻撃機能、IE 9が競合ブラウザに圧勝 ソーシャルエンジニアリングテストは慎重に 企業が現実に直面している脅威を正しく把握するには、ソーシャルエンジニアリングを利用した侵入テストが可能な侵入テストツールキットを利用することが肝要だ。 関連記事 無料で使える、Windows向けパスワード解析/脆弱性スキャンツール9選 無料で使える、無線LANやSQL Serverなど向け脆弱性対策
この脆弱性を悪用されると、リモートでシステムを制御される恐れがあるという。売り手は「いずれ修正されないとは保証できない。早めの利用を」と呼び掛けている。 セキュリティ情報サイトのKrebsOnSecurityは11月27日、Javaの最新版に存在する未解決の脆弱性情報が、アンダーグラウンドで売りに出されていることが分かったと伝えた。この脆弱性を悪用されると、リモートでシステムを制御される恐れがあるという。 KrebsOnSecurityによると、この脆弱性はJava最新版の「Java JRE 7 Update 9」に存在するとされ、現在、招待制のアンダーグラウンドフォーラムで売り出されている。 売り手が掲載した情報では、音声の入出力を処理する「MidiDevice.Info」というコンポーネントに脆弱性があり、極めて安定したコードを実行できると主張。Windows 7上のFirefoxとI
チェック用スクリプト hashdosの状態を確認するためのスクリプトを作成してみましたので、Webサイトのチェックにご活用下さい。 このスクリプトを任意のファイル名(PHPスクリプトとして実行できる拡張子)でチェック対象Webサーバーに保存して下さい。Webブラウザを用いて、このスクリプトを実行すると、結果が表示されます。JavaScriptを有効にして下さい。チェック終了後はスクリプトを削除して下さい。 <?php if (@$_GET['mode'] === 'check') { header('Content-Type: text/plain'); echo (int)count($_POST); exit; } $max_input_vars = ini_get('max_input_vars'); $postnumber = (int)$max_input_vars + 10;
JPCERTコーディネーションセンター(JPCERT/CC)は2012年11月14日、米オラクルのJava実行基盤「Java SE 7」(Java Platform Standard Edition version 7)の既知の脆弱性を突く攻撃によって、実際に国内ユーザーをマルウエアに感染させようとするインシデントの発生を確認したと公表し、ユーザーに注意を呼びかけた。 オラクルが10月16日(現地時間)に公開したJava SE Development Kit(JDK)およびJava SE Runtime Environment(JRE)に関する脆弱性のうち、Java 7を対象とする脆弱性が攻撃に使われたという。後述する最新版のJava 7を使っていない場合、同攻撃によって遠隔から任意のコードを実行させられる危険がある。 JPCERT/CCによれば、国内の正規Webサイトが改ざんを受け、「正
情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2012年11月14日、主に国内メーカーが製造した国内向けAndroid端末の複数機種に、DoS(Denial of Service、サービス妨害)攻撃を受ける可能性につながる脆弱性が見つかったことを公表した。 両組織が共同で運営している脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)に同日付けで掲載された情報(JVN#74829345)によると、同脆弱性は「Android OSを搭載した一部の端末に、特定のシステム領域を参照する際の処理に問題があり、これを悪用されるとDoS攻撃を受ける危険性がある」というもの。フォティーンフォティ技術研究所の大居司氏が発見してIPAに報告した。 具体的に、同脆弱性を利用したDoS攻撃の流れは次のようになる。ま
Smarty は、PHP 用のテンプレートエンジンです。Smarty には、エラーメッセージを出力する際の処理に起因する、クロスサイトスクリプティングの脆弱性が存在します。
今回のセキュリティアップデートは、OS X Mountain Lion(10.8)とOS X Lion(10.7)に加え、Mac OS X 10.6.8(Snow Leopard)も対象となっている。 米Appleは9月19日、OS XとMac OS X向けのセキュリティアップデートを公開し、多数の深刻な脆弱性に対処した。OS X Mountain Lion(10.8)とOS X Lion(10.7)に加え、Mac OS X 10.6.8(Snow Leopard)もアップデートの対象となっている。 最新版は「OS X Mountain Lion v10.8.2」「OS X Lion v10.7.5」、およびSnow Leopard向けの「Security Update 2012-004」となる。 Appleのセキュリティ情報によると、今回のアップデートではApache、BIND、PHPな
キャリア各社は権限昇格の脆弱性を何カ月も何年も修正しないまま放置していることが多いと専門家は指摘する。 Android搭載端末の半数以上に、修正されないまま放置された脆弱性が存在する――セキュリティ企業の米Duo Securityがそんな調査結果を発表した。 Duo Securityはモバイル端末の脆弱性をチェックするモバイルアプリ「X-Ray」を開発し、Android向けに提供している。同アプリは、既に公になっているのに修正されないまま放置され、悪用できる状態になっている脆弱性を見つけ出すことができる。 同社の9月12日のブログによると、X-Rayを通じて収集した2万台強のAndroid端末の情報を分析した結果、推定で半数以上のAndroid端末に未解決の脆弱性が存在することが分かったという。しかも、これはかなり少な目に見積もった数字だとしている。 キャリア各社は、特に権限昇格の脆弱性に
Appleが公開したJavaアップデートでは、Java 6のセキュリティ問題に対処した。なお、Java 7の更新版はOracleから直接提供されている。 米Appleは9月5日、Mac OS X向けのJavaアップデートを公開し、Java 6のセキュリティ問題に対処した。アップデートはMac OS X v10.6.8(Snow Leopard)、OS X Lion v10.7以降、OS X Mountain Lion v10.8以降が対象となる。 同社のセキュリティ情報によると、アップデート版の「Java for OS X 2012-005」「Java for Mac OS X 10.6 Update 10」では、Javaをバージョン1.6.0_35に更新した。同バージョンはOracleが8月30日に公開したもので、他の脆弱性と組み合わせて悪用される恐れのあるセキュリティ問題1件を修正して
The PostgreSQL Global Development Groupは8月17日、PostgreSQL 9.1系および9.0系、8.4系、8.3系の新版をリリースした。libxml2およびlibxsltに含まれるセキュリティホールを修正したもので、既存ユーザーにはできるだけ早くのアップデートが推奨されている。 公開されたのはバージョン9.1.5および9.0.9、8.4.13、8.3.20。どのバージョンにおいても、libxsltに起因する脆弱性(CVE-2012-3488)およびlibxml2に起因する脆弱性(CVE-2012-3489)が修正されている。これらの脆弱性が悪用されると認証されていないデータベースユーザーによって任意のファイルの読み込みが可能となり、またファイルの書き出しも可能になるという。なお、この修正により後方互換性に一部影響が出ることも警告されている。 このほ
Safari 6はOS X Mountain LionとOS X Lionのみに対応。脆弱性を悪用された場合、クロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、任意のコードを実行されたりする恐れがある。 米Appleは7月25日、「OS X Mountain Lion」(バージョン10.8)のリリースに合わせてWebブラウザの更新版となる「Safari 6」をOS X向けに公開し、多数の深刻な脆弱性を修正した。 Appleのセキュリティ情報によると、Safari 6では計17項目の脆弱性に対処した。中でもWebKitには相当数のメモリ破損問題が存在する。これら脆弱性を悪用された場合、細工を施したWebサイトを使ってクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、任意のコードを実行されたりする恐れがあるなど、深刻な脆弱性が大部分を占める。 Safari 6はOS X M
はじめに AndroidにはWebViewと呼ばれるクラスが用意されています。簡易的なブラウザの機能を提供しているクラスで、URLを渡してHTMLをレンダリングさせたり、JavaScriptを実行させたりすることができます。内部ではWebKitを使用しておりAndroidの標準ブラウザと同じような出力結果を得ることができるため、このクラスを使用することで簡単にWebブラウザの機能を持ったアプリケーションを作成できます。 しかし、その簡単さ故、使い方を誤ったり仕様をよく把握していなかったりすると、脆弱性の元になります。今回はこのWebViewクラスの使い方に起因する脆弱性について見ていくことにしましょう。 WebViewクラスとJavaScript WebViewクラスを使用した場合、注意しなければならないのはJavaScriptを有効にした場合です。デフォルトではJavaScriptの機能
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェア製品における脆弱(ぜいじゃく)性の減少を目指す「脆弱性検出の普及活動(*1)」において、ブロードバンドルーター(*2)6機種に「ファジング」を実践したところ、3機種で合計6件の脆弱性を検出できました。この実証結果を基に、ファジングを行う際のノウハウや知見をまとめ、「ファジング活用の手引き」として2012年3月27日(火)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/fuzzing.html ソフトウェア製品に内在している脆弱性(未知の脆弱性を含む)を検出する技術の一つにファジング(Fuzzing)があります。ファジングは、ソフトウェア製品などに何万種類もの問題を起こしそうなデータ(例:極端に長い文字列)を送り込み、ソフトウェア製品の動作状態(
情報セキュリティ早期警戒パートナーシップガイドラインとは 「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。 IPA、一般社団法人JPCERTコーディネーションセンター(略称:JPCERT/CC)、一般社団法人 電子情報技術産業協会(略称:JEITA)、一般社団法人 ソフトウェア協会(略称:SAJ)、一般社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国
※目次 1. 本資料の目的 2 2. 脆弱性対策について利用者が必要としている情報 2 3. 脆弱性対策情報の公表項目と公表例 3 4. 脆弱性対策情報への誘導方法 8 5. 参考文献 9 独立行政法人 情報処理推進機構 一般社団法人 JPCERT コーディネーションセンター 社団法人 電子情報技術産業協会 社団法人 コンピュータソフトウェア協会 社団法人 情報サービス産業協会 特定非営利活動法人 日本ネットワークセキュリティ協会 ソフトウエア製品開発者による 脆弱性対策情報の公表マニュアル 2009 年 7 月 情報セキュリティ早期警戒パートナーシップガイドライン 付録 5 抜粋編 2 1. 本資料の目的 ソフトウエア製品を開発した企業や個人 (以下「製品開発者」という)にとって、その利用者 (一般消費者やシステム構築事業者など。以下「製品利用者」という)に安全なソフトウエア製 品を提供
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られるAndroidアプリの脆弱性関連情報が2011年後半から増加していることを踏まえ、それらを分析して脆弱性を作り込みやすいポイントをまとめ、技術レポート「IPAテクニカルウォッチ」として公開しました。 近年、Android端末の利用者の増加に伴い、多くのAndroidアプリが提供されるようになりました。そのような状況の中、2011年後半からIPAに届け出られるAndroidアプリの脆弱性関連情報も増加しており、2012年5月末までの累計で42件の届出がありました。届出を分析した結果、その7割超が「アクセス制限の不備」の脆弱性であることがわかりました。 「アクセス制限の不備」の脆弱性は、制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に対するアクセスを第三者に許してしまう問題です。 An
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く