IPAウェブサイトリニューアルのお知らせ | 新着情報 | IPA 独立行政法人 情報処理推進機構
平素よりIPAウェブサイトをご利用いただき、まことにありがとうございます。 IPAは、ユーザーの皆様にIPAウェブサイトをより快適にご利用いただけるよう、ウェブサイトのリニューアルを行いました。 今回のリニューアルでは、スマートフォンやタブレットから閲覧する場合でも適切に表示されるようにマルチデバイス対応を行うとともに、ユーザーが目的のコンテンツを探しやすくするためにメニューや導線を改善しました。 具体的には、組織別に構成していたグローバルメニューを分野別へと変更、目的別メニューを設置、さらにページ掲載内容やサイト構造の見直し等を行いました。 これらのリニューアルに伴い、各ページのURLが変更となりました。 各ページへのリンクをブラウザの「お気に入り」「ブックマーク」などに登録されている場合は、新しいURLへの変更をお願いします。 閲覧数の多いページについては、新しいページをご案内していま
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
安心相談窓口だより 第21-02-404号 / 掲載日:2021年3月9日 独立行政法人情報処理推進機構 セキュリティセンター
パソコンやスマートフォンでブラウザを起動中に、「<コンピュータが危険にさらされている>、<携帯をクリーンアップしてください>などのメッセージが繰り返し表示される」、またその表示画面から「不審なセキュリティソフトの購入や、不審なスマートフォンアプリのインストールに誘導された」といった相談が寄せられています。 当窓口ではこのような相談に関して、ブラウザの通知機能(脚注1)を悪用し偽の通知を表示させ、不審サイトに誘導する手口を確認しています。 そこで、今回確認した手口と対処、被害にあわないための対策について解説します。 (脚注1)ウェブサイトからブラウザを通じて画面上に配信されるプッシュ型の通知サービス。2021年3月9日現在、iOS端末(iPhone、iPad等)にはブラウザ通知機能は搭載されていません。 1.手口
更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
2017年3月15日(日本時間)にMicrosoft製品に関する脆弱性の修正プログラム MS17-010が公表されました。 この脆弱性がランサムウェアの感染に悪用され国内を含め世界各国で被害が確認され、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しています。 ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。 今回観測されているランサムウェアは Wanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられます。 ※ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求
IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、ウェブサイトへの情報セキュリティインシデントが後を絶たないことを受け、ウェブサイトの構築・運用に用いられるCMS(コンテンツマネジメントシステム)に着目し、その脅威と対策、および構築・運用のポイントを解説した“IPAテクニカルウォッチ”「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」を9月28日(水)に公開しました。 下記より「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」についてのレポートPDF版をダウンロードしてご利用いただけます。 1.CMSとは 2.CMSで構築されたウェブサイトを狙う攻撃と対策 3.CMSを使ったウェブサイト構築・運用のポイント 4. チェックリスト 【別冊付録】ウェブサイト構築・運用のポイント 1. ウェブサイトを構築する上での注意点 2. ウェブサイトの運用開
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報
2015年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構
「今月の呼びかけ」一覧を見る 第15-08-334号 掲載日:2015年 6月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) 2015年4月に、IPAの情報セキュリティ安心相談窓口に「パソコンに『暗号化しました』というメッセージが表示されて、ファイルが開けなくなった」という相談の件数が増えました。相談内容からランサムウェアの被害と推測されます。 ランサムウェアとは、ファイルを勝手に暗号化するなどパソコンに制限をかけ、その制限の解除と引き換えに金銭を要求する不正プログラムの総称です。IPAに寄せられたランサムウェアに感染したという相談は、2011年7月が初めてでした。その後もランサムウェアに関する相談はありましたが、2014年12月に初めて日本語でメッセージが表示される種類のランサムウェアの相談が1件※1寄せられました。2015年4月にはさらに異なる
【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散!:IPA 独立行政法人 情報処理推進機構
最終更新日:2015年 10月29日 独立行政法人情報処理推進機構 ~Google Apps(*1 )でメール機能を運用している組織は取引先に招待メールが届くことも ~ IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。 「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨の相談が10月に入り39件(10月23日現在)寄せられ、前月の3倍を超過しています(図1-1)。 また、JPC
管理できていないウェブサイトは閉鎖の検討を:IPA 独立行政法人 情報処理推進機構
~ IPA に今まで届出のあった “安全でない CMS を利用しているウェブサイト” 241 件のうち、脆弱性解消の目処が立っていないのは 50 件(約 2 割) ~ 対象 古いバージョンのコンテンツ管理システム(CMS:ウェブサイトのページを管理するシステム)の脆弱性を狙ったウェブ改ざんが横行しています。改ざんによりウェブサイトにウイルスを仕掛けることも可能なため、問題のあるウェブサイトを放置しておくことは、ウイルス拡散に悪用されかねません。 ウェブ改ざんによってウェブ閲覧者がウイルス感染するイメージ図 特に、Web Diary Professional(以後、WDP)と Movable Type という CMS については、以下の注意喚起の通り、攻撃が活発化しています。 大阪府警察 偽サイトへ誘導するページを蔵置するための不正アクセスの手口について http://www.police.
2014年5月の呼びかけ:IPA 独立行政法人 情報処理推進機構
「今月の呼びかけ」一覧を見る 第14-09-314号 掲載日:2014年 5月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) 2014年4月、元交際相手のスマートフォン(Android OS)に無断で紛失・盗難対策用アプリをインストールし、端末内の情報の覗き見や端末を不正操作した容疑で男性が逮捕されたとの報道がありました。 これまでIPAでは、スマートフォンにおける不正なアプリについて“今月の呼びかけ※1”で取り上げるなどして注意を呼び掛けてきました。不正なアプリとは、実際の機能と利用者に説明している機能が異なっているものなどを指します。この事件はそのような不正なアプリによる被害ではなく、スマートフォンの紛失・盗難対策用アプリの悪用によるものでした。またこのアプリは公式マーケットに公開されていました。不正なアプリであれば、公式マーケットから削除され
IPAテクニカルウォッチ 『スマートフォンへの脅威と対策』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、スマートフォンのうち「Android(アンドロイド) OS」を搭載したスマートフォン(アンドロイド端末)に対して、IPA独自でセキュリティ上の弱点(脆弱性)への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート(IPAテクニカルウォッチ 第3回)として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google(グーグル)社が提供するOS(基本ソフト)「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー
「VBS/Redlof」ウイルスに関する情報:IPA 独立行政法人 情報処理推進機構
このウイルスは、VBScriptで作成されたウイルスで、Internet Explorer 5 以降がインストールされたWindows9x/Me/NT/2000/XP SP1環境下で動作します。 通常、ウイルスはメールを媒介として感染します。ウイルスメールには添付ファイルは無く、HTML形式のメール本文に埋め込まれたウイルススクリプトによって感染が引き起こされます。また、感染したHTMLファイルをホームページに掲載することで、そのページを閲覧したユーザへも感染します。 このウイルスはMicrosoft VM が持つセキュリティホール(「Microsoft VM による ActiveX コンポ ーネントの制御」の脆弱性)を利用して、ユーザに対する警告無しにウイルスを動作させる仕組みを持っているため、注意が必要です。 予防策 マイクロソフト社の下記サイトを利用して、セキュリティホールを修正する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
