情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
IPAが呼びかけ、「ウイルス感染の危険と隣り合わせの状況を知ろう」
独立行政法人 情報処理推進機構(IPA)は1月7日、2008年12月および2008年年間のコンピュータウイルス・不正アクセスの届出状況を発表した。 発表によると2008年12月のウイルスの検出数は約17万3000個と、11月の約25万6000個から32.5%減少した。また届出件数は1795件となり、11月の1830件から1.9%減少した。 なお、このなかにはIPA職員がファイル交換ソフトを使用してウィルスに感染し、情報流出させた事件は含まれていないという。当該職員は2008年12月にファイル交換ソフトを使用していたが、事件が発覚したのが1月4日であることから、次回の届出状況に入る見込みが高い。 ウィルス検出数の1位はW32/Netskyで約14万4000個、2位はW32/Autorunで約1万3000個、3位はW32/Mydoomで約4000個だった。 IPAによれば、2008年はウイルス
IPA職員の私物PCからの情報流出、事実関係を説明 - @IT
2009/01/06 情報処理推進機構(IPA)は1月6日、同機構の職員が自宅で使用していた私物PCから、P2P型ファイル共有ソフトを通じて情報が流出した経緯を明らかにした。ウイルスに感染した結果、PC内にあった文書・画像など1万6208件のファイルが流出したという。 この職員は2005年7月にIPAに採用され、ソフトウェア・エンジニアリング・センター(SEC)に所属していた。少なくとも2008年12月にファイル共有ソフトを利用してウイルス「Antinny.BF」に感染した結果、ET 2007やSEC設立3周年記念といったIPAのイベントにおける撮影画像のほか、この職員がIPA採用以前に所属していた企業の業務に関する情報や職員に関わる個人情報などが流出した。今のところ、IPAにおける非公開の業務関連情報の流出は確認されていないという。 IPAで当該PCを解析したところ、「Winny」「Sh
「IPAとして慙愧に堪えない」--仲田理事が会見で職員の情報流出事件を説明
独立行政法人 情報処理推進機構(IPA)の職員がファイル交換ソフトを用いた結果、コンピューターウィルスに感染し、情報を流出させた事件について、同機構が状況説明の記者会見を開いた。 IPA理事である仲田雄作氏は冒頭、経済産業省に赴き、事件について報告したことを明かした。同省からは再発防止策を講じるように強い要望を受けたという。 当該職員が流出させたファイルは現在把握できている分だけでも1万6208件にのぼる。そのなかには児童ポルノを含むわいせつ画像、職員が以前に所属していた企業の業務関連情報、その企業の取引先企業の業務関連情報も含まれている。 さらにファイル交換ソフトでジャストシステムのかな漢字変換ソフト「ATOK」をダウンロードしようとしていたことも明らかとなっている。 セキュリティ対策の普及、啓蒙を推進しているIPAの職員が今回の行動に至ったことについて仲田理事は、「ファイル交換ソフトは
わいせつ画像やかな漢字ソフトをダウンロード--IPA職員、ファイル交換ソフトで
UPDATE 独立行政法人 情報処理推進機構(IPA)は1月6日、同機構職員がファイル交換ソフトを用いて情報を流出させた件に関する調査結果を発表した。同職員がファイル交換ソフトを用いてダウンロードした情報のなかには、かな漢字変換ソフトやわいせつ画像も含まれていたという。 この職員は2008年12月にファイル交換ソフトを使用した結果、コンピューターウィルスに感染し、PC内の情報を流出させた。流出したファイル数は1万6208件、うち文書ファイルは1万3000件だった。 IPAに関連する情報はET2007での撮影写真、ソフトウェア・エンジニアリング・センター設立3周年記念での撮影写真などの画像情報のみだとしている。 また、職員からの聴取および当該PCの解析により、かな漢字変換ソフトやわいせつ画像を検索し、その一部をダウンロードしたことも確認されたという。わいせつ画像の中には児童ポルノに関するもの
「漏れたら大変!個人情報」--IPA、チェックポイントをまとめたサイトを公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)は12月15日、「漏れたら大変!個人情報」サイトを公開した。個人情報漏えいを防ぐためのチェックポイントを経営者、一般ユーザー、ECサイト経営者、システム管理者の対象別にまとめている。 それぞれのチェックポイントをクリックすることで参考情報にアクセスできる。例えば一般ユーザーの場合、「電子メールやFAXを送る前に、送り先をしっかり確認していますか?」「職場から個人情報を許可なく持ち出していませんか?」など11の項目を用意している。
IPA/ISEC、サイトのSQLインジェクション検出ツール「iLogScanner」をバージョンアップ
独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)は11月11日、ウェブサイトのSQLインジェクション検出ツール「iLogScanner」をバージョンアップした。このツールはブラウザ上で実行するJavaアプレット形式で、ブラウザ経由で利用できる。 今回のバージョンアップは、ウェブサイトを狙ったSQLインジェクション攻撃が急増し、ウェブサイトの情報の改ざんや、非公開情報が公開されるなど深刻な被害が発生していることから実施した。 新バージョンでは、SQLインジェクション攻撃として検出可能な攻撃パターンを従来の1.5倍に増やしたほか、脆弱性を狙った攻撃として検出可能なパターンに「OSコマンド・インジェクション」「ディレクトリトラバーサル」「クロスサイト・スクリプティング」「その他(IDS回避を目的とした攻撃)」の4種類を追加した。 また、検出対象のアクセスログとして、Apac
IPA/ISECをかたる不審なメールに注意
独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)は、同センターの組織名や電子メールアドレスを詐称したメールが企業や組織に送られたという情報を受け、注意を呼びかけている。 IPA/ISECでは、セキュリティ関連の注意喚起や、報告書の公表などを目的としたメールを、事前に登録したユーザー以外に送ることはないとしている。また、メールニュースはテキストのみで配信しており、ファイルを添付することもないという。 もしIPA/ISECの名前が書かれた不審なメールを受信した場合は、添付ファイルを開かないよう呼びかけている。なお、特定の組織に対して正規のメールと区別をつけるのが難しい「標的型攻撃メール」を送る攻撃が増えていることから、IPA/ISECでは不審メールに関する相談窓口を設置している。標的型攻撃メールを受信した場合、または自組織をかたった標的型攻撃メールに関する連絡を受けた場合
DNSキャッシュポイズニングの脆弱性に関する注意喚起:IPA 独立行政法人 情報処理推進機構
-放置すれば情報漏えい~信用失墜に至る可能性も。 ウェブサイト運営者は早急にDNSサーバのパッチ適用や設定変更を!- 最終更新日 2009年2月6日 掲載日 2008年9月18日 >> ENGLISH 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「DNSサーバに対するDNSキャッシュポイズニングの脆弱性」の届出が激増していることから、ウェブサイト運営者へ注意を喚起するとともに、DNSサーバのパッチ適用や設定変更を呼びかけます。 DNS(Domain Name System)(*1) キャッシュポイズニング(汚染)の脆弱性に関して、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開されています(*2)。また、この脆弱性を悪用した攻撃コードが既に公開されていたため、2008年 7月24日、IPAはウェブサイト運営者へ向けて緊急対策情報を発行しました
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
IPA を騙った「なりすましメール」にご注意ください:IPA 独立行政法人 情報処理推進機構
2008年4月16日、IPA セキュリティセンターを騙った「なりすましメール」が 出回っていることを確認しました。 メール本文には、当機構がウェブで公開している情報セキュリティに関わる注意喚起や調査報告書について書かれており、PDF ファイルが添付されています。添付された PDF ファイルには、ウイルスが仕掛けられています。 PDF ファイルを表示するソフトウェア Adobe Reader の脆弱性を修正していない場合、この添付ファイルを開くと、パソコンがウイルスに感染する可能性が高く、危険ですので、すぐ削除していただくようお願いいたします。 現在確認している「なりすましメール」には以下の特徴があります。 メールアドレス : タイトル(件名) : セキュリティ調査報告 添付ファイル名 : 調査報告書.pdf メールアドレス、タイトル、添付ファイル名は変わる可能性がありますので、これ以外の場
IPA、インターネット利用者のセキュリティ意識について報告:CodeZine
情報処理推進機構(IPA)は15日、「情報セキュリティに関する脅威に対する意識調査(2007年度第2回)」の実施報告書を公開した。IPAのサイトから閲覧できる。 同調査はIPAの情報セキュリティ普及啓発活動への利用を目的としたもので、「情報セキュリティに関する事象の理解度」「情報セキュリティに関する被害状況」「情報セキュリティ対策の実施状況」といった観点で、インターネット利用者へのアンケート結果をまとめている。 「情報セキュリティ対策の実施状況」に関する報告によれば、利用者のセキュリティ対策で実施率が最も高かったのは「怪しいメール・添付ファイルの削除(84.6%)」で、以下、「セキュリティ対策ソフトの導入・活用(74.3%)」「Microsoft Update等によるセキュリティパッチの更新(67.3%)」と続く。 情報セキュリティの認知度や取り組みには性別・年代の差が見られ、女性や
IPA、脆弱性関連情報の「届出システム」を刷新--利用者の声もとにフォームを改善
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)は3月28日、脆弱性関連情報の届出を受け付けている「届出システム」のリニューアルを行ったと発表した。これは、ソフトウェア製品およびウェブアプリケーションに関する脆弱性関連情報の届出機関として、2004年7月より受付を行っているもの。 リニューアルにあたり、ウェブからの届出フォームを従来1ページですべての届出内容を記入して届出を行う形式から、複数の画面に分割する形式としたほか、届出の最後に入力内容の確認画面を設けた。これにより届出者の入力の省力化を行うとともに、入力内容の再確認が行えるようになった。 さらに、届出の際に検証コード等を付属できるよう「ソフトウェア製品脆弱性関連情報の届出」および「検証コード情報の届出」において必要なファイルを添付できるようにした。このほか、届出の種類にこれまでメールによる届出のみであった「自
「例えば、PHPを避ける」ってなぁにその曖昧な書き方?:Web屋のネタ帳
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: music videos 10 Best Mutual Funds Free Credit Report Contact Lens Cheap Air Tickets Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
脆弱性の発見と報告とIPA
なんとなーく、脆弱性を見つける→IPAへ報告というのが一般的なのかと、何を見たわけでもなく思ってる自分がいて、報告をしたりもした。 報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。 でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい(やめてください)」といった旨の返事がくる。 私も割と大きめなWEBサービスの開発運営に関わっているのでこれは間違い無いと思うけれど、普通に使ってて、たまたま脆弱性が見つかるなんて結構稀なパターンじゃないかと思う。(もちろん無いわけではない) 通常、普通に使っててたまたま見つかるような部分はテストされてるからね。 となると、脆弱性は普通ではやらないような部分とかに残ってる。 自分が利用してるor利用しようと思ったWEBサービスに、致命的な脆弱性があると嫌なの
「Googleよりユーザー視点」な検索ができる新発想検索エンジン、正式公開
国立福島工業高等専門学校の電気工学科4年生である大澤昇平氏は2月6日、FireFox用のブックマーク共有プラグイン「swimmie」を利用した検索エンジン「netPlant」を正式公開した。 swimmieは大澤氏が1月23日に発表したFireFox用のブックマーク共有プラグインだ。これは、不特定多数のユーザーとブックマークを共有できるというもの。netPlantではswimmieのユーザーからブックマークのデータを収集し、検索インデックスとして利用する。netPlantのサービスはInternet ExplorerなどFireFox以外のウェブブラウザからも利用できる。 「ブックマークという、ユーザーの趣向を純粋に反映した物で、Googleのページランクでは実現されていない、ユーザー視点による検索結果が得られると考えている」(大澤氏) netPlantでは、任意のキーワードを入力して検索
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20110202/4.html
IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出
IPAが会見、職員のファイル交換ソフト使用について現状報告
情報セキュリティに関する脅威に対する意識調査 報告書:IPA 独立行政法人 情報処理推進機構