2022年5月16日（米国時間）、Appleから複数のソフトウェアに関するセキュリティアップデートが公開されました。影響を受けるバージョンなどについての詳細はAppleの情報を参照いただき、影響範囲の確認と対策をご検討ください。 Appleは、今回修正された脆弱性（CVE-2022-22675）を悪用する攻撃に関する報告をすでに確認しているとして注意を呼びかけています。早期のアップデート適用を推奨します。 Apple About the security content of watchOS 8.6 https://support.apple.com/ja-jp/HT213253 Apple About the security content of tvOS 15.5 https://support.apple.com/ja-jp/HT213254 Apple About the sec

JPCERT-AT-2022-0006 JPCERT/CC 2022-02-10（新規） 2023-03-20（更新） I. 概要JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関して相談を多数受けています。特に2022年2月の第一週よりEmotetの感染が急速に拡大していることを確認しています。Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。詳細は後述する「V. 観測状況」をご確認ください。感染や被害の拡大を防ぐためにも、改めて適切な対策や対処ができているかの確認や点検を推奨します。 （更新: 2023年3月8日追記） 2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布

JPCERT-AT-2022-0004 JPCERT/CC 2022-01-25 I. 概要2021年12月1日（米国時間）、SonicWall社は、SMA100シリーズの複数の脆弱性に関する情報を公開しました。脆弱性を悪用された場合、結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 SonicWall Product Security Notice: SMA 100 Series Vulnerability Patches (Q4 2021) https://www.sonicwall.com/support/product-notification/product-security-notice-sma-100-series-vulnerability-patches-q4-2021/211201154715443/ これらの脆弱性について、一部の脆弱性を実証す

JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11（新規） 2022-01-04（更新） I. 概要 更新: 2022年1月4日記載 現時点で不明な点もあることから、今後の動向次第で下記掲載内容を修正、更新する予定がありますので、関連情報への注視のほか、本注意喚起の更新内容も逐次ご確認ください。 次の更新を行いました。詳細は「III. 対策」を参照してください。 - Apache Log4jのバージョン2.17.1（Java 8以降のユーザー向け）、2.12.4（Java 7のユーザー向け）及び2.3.2（Java 6のユーザー向け）が公開されました JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三

JPCERT-AT-2021-0049 JPCERT/CC 2021-11-16 I. 概要Webメールサービスのアカウント情報の詐取を目的としたフィッシングの被害に関するJPCERT/CCへの報告が増加しています。こうした攻撃は2020年初頭から確認されていますが、2021年6月以降に報告件数が増加しています。 ［図1：Webメールサービスのアカウントを標的としたフィッシングに関する報告件数］ Webメールサービスのメンテナンスやお知らせなどをかたったメールが送られており、メールの本文中のリンクへ接続すると、同サービスのログイン画面になりすましたサイトに誘導されます。そのサイトでメールアドレスとパスワードなどを入力して情報を送信すると、攻撃者にアカウント情報が詐取されます。また、詐取されたアカウント情報は、別のフィッシングメールを送るための踏み台として攻撃者に悪用され、さらなる攻撃が展開

JPCERT-AT-2021-0041 JPCERT/CC 2021-09-15（新規） 2021-09-17（更新） I. 概要マイクロソフトから同社製品の脆弱性を修正する2021年9月のセキュリティ更新プログラムが公開されました。これらの脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。マイクロソフトが提供する情報を参照し、早急に更新プログラムを適用してください。 マイクロソフト株式会社 2021 年 9 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Sep マイクロソフト株式会社 2021 年 9 月のセキュリティ更新プログラム (月例) https://msrc-blog.microsoft.com/2021/09/14/2

JPCERT-AT-2021-0023 JPCERT/CC 2021-05-12 I. 概要アドビからPDFファイル作成・変換ソフトウェアAdobe AcrobatおよびPDFファイル閲覧ソフトウェアAdobe Acrobat Readerに関する脆弱性（APSB21-29）が公開されました。脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意のコードが実行されるなどの可能性があります。脆弱性の詳細については、アドビの情報を確認してください。 アドビ Security update available for Adobe Acrobat and Reader | APSB21-29 https://helpx.adobe.com/security/products/acrobat/apsb21-29.html なお、アドビによると、これらの脆弱性の内、解放済みメモリ使

JPCERT-AT-2021-0021 JPCERT/CC 2021-04-30 I. 概要ISC BIND 9には、複数の脆弱性があります。脆弱性が悪用されると、遠隔の第三者がnamedの異常終了やリモートコード実行などを引き起こす可能性があります。 ISCは、脆弱性CVE-2021-25215とCVE-2021-25216に対する深刻度を「高（High）」、脆弱性CVE-2021-25214に対する深刻度を「中（Medium）」と評価しています。脆弱性の詳細はISCの情報を確認してください。 Internet Systems Consortium, Inc.（ISC） CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly http

2000年1月24日、科学技術庁の Web ページが改ざんされる事件が起こり ました。中央省庁の Web ページが外部からの不正アクセスによって改 ざんされたことが大々的に報道された初めてのケースとなりました。 科学技術庁の Web ページ改ざん事件の後、他省庁においても同様の 事件が相次ぎました。これら一連の政府関連省庁に対する不正アクセス 事件は、中央省庁における当時の情報セキュリティに関する取組みが、 必ずしも十分ではないことを明らかにしました。 この事件の影響もあり、2000年2月29日、政府は内閣官房に「情報セキュ リティ対策推進室」(現: 情報セキュリティセンター) を設置しました。 参考文書（日本語） 内閣官房情報セキュリティセンター http://www.nisc.go.jp/ 内閣官房情報セキュリティセンター 情報セキュリティ戦略元年 - わが国の情報セキュリティ政策の現

2024 2023 2022 2021 2020 2019 2018 2017 2016 2015 2014 2013 2012 2011 2010 2009 2008 2007 2006 2005 2004年以前 JPCERT/CCが過去に講演などで使用した資料の中で一般に公開できるものを用意しています。 <注意> 以下の各文書で紹介しているソフトウェア、バージョン、URL等は、各文書の発行時点のものであり、変更されている可能性があります。 ※「デジタル署名付」と表示されている PDF 文書は GlobalSign CA for Adobe より発行されたデジタル証明書により真正性が証明されております。 Adobe Reader バージョン 9.0 以降をご使用いただくことで、PDF 文書の真正性を検証することができます。 2024

本資料は、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) 3.0.1 を翻訳したものです。 ASVS プロジェクトは、アプリケーションの設計、開発、脆弱性診断などにおいて必要となるセキュリティ要件の標準を確立することを目指して活動しています。ASVS v3.0.1 では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています。 また、これらのセキュリティ要件は、必ずしもすべて満たすべきというわけではありません。例えば「入力値検証はサーバ側で実装されている(5.5)」のように、すべてのアプリケーションが満たすべきセキュリティ要件がある一方で、「セキュリティログに完全性を保証する機構が備わっており許

JPCERT-AT-2020-0018 JPCERT/CC 2020-04-22 I. 概要2020年4月21日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性 (CVE-2020-1967) に関するアップデート情報が公開されました。公開された情報によると、OpenSSL には、TLS 拡張「signature_algorithms_cert」の誤った処理により NULL ポインタ参照が発生する脆弱性があり、悪用されると、OpenSSLを実行しているサーバおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。 脆弱性の詳細については、OpenSSL Project の情報を確認してください。 OpenSSL Project OpenSSL Security Advisory [21 April 2020]

JPCERT-AT-2019-0044 JPCERT/CC 2019-11-27(新規) 2019-12-10(更新) I. 概要JPCERT/CC では、2019年10月後半より、マルウエア Emotet の感染に関する相談を多数受けています。特に実在の組織や人物になりすましたメールに添付された悪性な Word 文書ファイルによる感染被害の報告を多数受けています。 こうした状況から、Emotet の感染拡大を防ぐため、JPCERT/CC は本注意喚起を発行し、Emotet の主な感染経路、Emotet に感染した場合の影響を紹介した後、感染を防ぐための対策や、感染に気付くためにできること、感染後の対応方法などに関する情報を紹介します。 更新: 2019年12月2日追記 JPCERT/CC Eyes にて、マルウエア Emotet に関する FAQ を掲載したブログを公開いたしました。こち

JPCERT-AT-2019-0037 JPCERT/CC 2019-09-24 I. 概要2019年9月23日(米国時間)、マイクロソフトから Microsoft Internet Explorerの脆弱性 (CVE-2019-1367) に関するセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。マイクロソフトによると、本脆弱性の悪用を確認しているとのことです。 脆弱性の詳細は、次の URL を参照してください。 マイクロソフト株式会社 CVE-2019-1367 | スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-jp/security-guidance/advi

JPCERT-AT-2019-0034 JPCERT/CC 2019-09-10 I. 概要JPCERT/CC では、トレンドマイクロ株式会社のウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) が攻撃に悪用されているとの情報を入手しました。トレンドマイクロ株式会社からも、注意喚起が示されています。 トレンドマイクロ株式会社 【注意喚起】弊社製品の脆弱性(CVE-2019-9489)を悪用した攻撃を複数確認したことによる最新修正プログラム適用のお願い https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3545 脆弱性 (CVE-2019-9489) が悪用された場合、攻撃者が、ウイルスバスターコーポレートエディション、またはウイルスバスター ビジネスセキュリティが動作するサーバ上の任意の

JPCERT-AT-2018-0023 JPCERT/CC 2018-05-15 I. 概要2018年5月14日 (現地時間)、メールクライアントにおける OpenPGP およびS/MIME の取り扱いに関する問題について、発見者が特設のサイトを通じて公表しました。発見者はこの問題を「EFAIL」と命名しています。 EFAIL https://efail.de/ 発見者によると、この問題を悪用された場合、第三者が、細工した暗号化メールのメッセージをユーザのメールクライアントで復号化させることによりメッセージの平文を入手する可能性があります。詳細は、発見者が公開している情報を参照してください。 II. 対象この問題の影響を受ける対象となるユーザは次のとおりです。 - メールクライアントにおいて OpenPGP および S/MIME で暗号化したメッセージを使用するユーザ 影響を受けるメールク

各位 JPCERT-AT-2017-0034 JPCERT/CC 2017-09-12 <<< JPCERT/CC Alert 2017-09-12 >>> NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170034.html I. 概要 NTTドコモが提供する LG Electronics 製 Wi-Fi STATION L-02F には脆弱性が あります。脆弱性を悪用された場合、リモートからの攻撃によって、任意のコー ドを実行されたり (CVE-2017-10845)、機器に保存されている設定情報を取得 される (CVE-2017-10846) 可能性があります。脆弱性の詳細については、JVN の情報を参照してください。 JVN#68922465 Wi-Fi STATION L-02

お知らせ：「jpcert.org」は、JPCERT/CCが管理するドメインとなりました。（2017年5月9日） 一般社団法人JPCERTコーディネーションセンターは、弊センターのドメイン「jpcert.or.jp」に類似するドメイン「jpcert[.]org」*1が、第三者に2017年2月9日に取得されていることを確認しました。 ユーザのみなさまの誤認混同につながることが懸念されるため、お知らせいたします。 この「jpcert[.]org」は弊センターとは関係ございません。 弊センターから発信される情報につきましては、今一度、正当なドメインであるかのご確認をお願いいたします。 なお、今後の状況により適切な対応を行ってまいります。 *1：ドメインの安全性が確認できていないため、ドメインの一部を[.]に置き換えています。 本件についてのお問合せ： 一般社団法人JPCERTコーディネーションセン

各位 JPCERT-AT-2016-0037 JPCERT/CC 2016-09-28(新規) 2016-10-05(更新) <<< JPCERT/CC Alert 2016-09-28 >>> ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-2776) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160037.html I. 概要 ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。 脆弱性を悪用された場合、リモートからの攻撃によって named が終了する 可能性があります。脆弱性の詳細については、ISC 社の情報を確認してくださ い。 Internet Systems Consortium, Inc. (ISC) CVE-2016-2776: Assertion Failure in

各位 JPCERT-AT-2014-0013 JPCERT/CC 2014-04-08(新規) 2014-04-11(更新) <<< JPCERT/CC Alert 2014-04-08 >>> OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html I. 概要 OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの 脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得 する可能性があります。 管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合 は、OpenSSL Project が提供する修正済みバージョンへアップデートすること をお勧めしま