脅威情報、脆弱性情報等
目次 大学における最新の情報セキュリティ脅威事例 情報セキュリティ 10 大脅威 1. 情報セキュリティ 10 大脅威とは 2. 情報セキュリティ 10 大脅威の解説 脆弱性対策促進に向けた各種施策紹介 Copyright 2009, IPA all right reserved. 2
... 内部犯行 日付 インシデント事例 2004年6月2日 E大学の職員男性を不正アクセス禁止法違反容疑で逮捕した。男性は、昨年後半に 同大学のサーバへ自宅から不正アクセスを行い、 掲示板の改ざんや消去、電子メー ルの盗聴 などを行っていた。男性は、同大学の情報メディアセンターにてシステム管理 者を努めていたが、セキュリティ不備により配置変更され、そのことを不満に思ってい たという。 ...
48
中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類 情報資産名称 備考 利用者範囲 管理部署 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 評価値 完全性 可用性 重要度 保存期限 登録日 脅威の発生頻度 ( 脅威の状況 シートで設定
... 利用者範囲 情報資産を利用してよい部署等を記入してください。アクセスコントロールに利用できます。 ⑤ 管理部署 情報資産に対して情報セキュリティ上の管理責任がある部署等を記入してください。小規模事業者であれば担当者名を記入することでも構いません。 ⑥ 媒体・保存先 ...
7
セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2014 年 5 月 14 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー 2014/05/14 1
... IPAのファジングに関する取組み(1/2) • 2011年8月からファジングの有効性の実証 および普及の促進を目的とした活動を開始 プレス発表 ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」を開始 ...
23
外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1
... • ファジングにより、世界的に利用されているオープンソース 暗号ライブラリ「 OpenSSL」の脆弱性(Heartbleed)を検出 – https://www.synopsys.com/software-integrity/security-testing/fuzz-testing.html • Google が オープンソースソフトウェア向けファジングツール ...
19
セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1
... • 「ファジング活用の手引き」 • 「スマートテレビの脆弱性検出のレポート」 • 「ファジング実践資料(実践編・UPnP編・テストデータ編)」 • 「製品の品質を確保する『セキュリティテスト』に関するレポート」 ...
21
ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート[2015年第1四半期(1月~3月)]
... 署名検証の回避に関する脆弱性が多く届出られたためです。 図 2-8、2-9 のグラフは、届出された脆弱性がもたらす影響を示しています。図 2-8 は届出累 計の影響別割合を、 図 2-9 は過去 2 年間の影響別届出件数の推移を四半期ごとに示しています。 累計では「任意のスクリプトの実行」が最も多く、次いで「情報の漏洩」となっています。今 ...
28
ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート[2014年第3四半期(7月~9月)]
... 系が一般的であることから、情報家電への影響の可能性が示唆されました。具体的な脅威には、 情報漏えいや動作停止、ウイルス等悪意のあるプログラムのダウンロード、などが挙げられます。 このように、OS やソフトウェアの脆弱性は、それを組込んだ機器にも影響がおよびます。今後 インターネット接続が一般的となる情報家電は PC ...
27
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
... Android は守られているか? (2) • マルウェア / ウイルス対策ソフト – マルウェアは現状トロイの木馬としてインストールされ、 インテント フィルタなどの仕組みを用いることで情報を盗んだり、 あるいは悪意あるコマンドを受け取る ...
55
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期(1月~3月)]
... 図 2-1 はソフトウェア製品の脆弱性届出の処理状況について、四半期ごとの推移を示していま す。本四半期末時点の届出の累計は 3,946 件で、本四半期に脆弱性対策情報を JVN 公表したもの は 50 件(累計 1,754 件)でした。製品開発者が JVN 公表を行わず「個別対応」したものは 1 件 (累計 38 ...
21
目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..
... A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 12 4.2 Trend Micro Deep Security 単体でのセキュリティ強化 AWS WAF を導入していないユーザまたは、構築環境上 AWS WAF が導入できないユーザは、「Web アプリケーション」のレイヤを含めた Deep Security ...
15
脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 10 月 1 日から 2013 年 12 月 31
... 図 1-2-2 は JVNiPedia に登録のあった Android アプリの脆弱性 133 件を Google 社の Google Play ( * 4 ) によるカテゴリ(26 種類)から 6 種に分類し、それを脆弱性の深刻度割合(CVSS ( *5 ) )別に集 計したものです。 ブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャル ...
13
脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2014 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2014 年 10 月 1 日から 2014 年 12 月 31
... は国内でも攻撃に悪用され 情報漏えいの事件 (*6) が発生しました。また、ウェブサイトを構築する際に使用される Apache Struts の脆弱性 (*7) では、修正が不十分であったために数か月にわたり、同一の脆弱性に対して修正パッチ が分散して何度も公開されるなど、管理者は繰り返し情報収集と対策の必要に迫られました。さらに、 Bash は ...
12
WPA2 の脆弱性 KRACKs 公開 多数の Wi-Fi 機器に影響の恐れ Wi-Fi 認証の Wi-Fi Protected Access II (WPA2) に関する脆弱性の詳細な情報が 10 月 16 日 特設サイトで公開された 脆弱性は全部で 10 件あり この脆弱性には KRACKs (
... Wi-Fiのセキュリティ事情 こちらは、 2014/12/16 に公開された記事(https://japan.zdnet.com/article/35057916/)を再録したものです。仕様等は公開時点のものです。 ロジテック製無線 LAN ルータから ID とパスワード が流出し、中国ユーザー向けプロキシサーバが日本への サイバー攻撃に悪用された事件があった。PC によるイ ...
8
情報セキュリティ上の脅威の増大
... ○ 「マルウェア配布サイトへのアクセスに対する注意喚起」について、上記①、②に関し次のとおり整理 ① 通信の秘密に当たる情報のうち必要最小限度の事項(アクセス先IPアドレス又はURL)のみを機械的・自動的に検知した上で、該当するア クセスに対して注意喚起画面等を表示させるのは、安全なインターネットアクセスを確保するためのものであり、インターネットアクセスサービ ...
19
02.情報家電と自動車の情報セキュリティの脅威と対策
... 自動車における脅威の特徴(1) • 自動車の脅威が拡大する可能性 a)情報等資産の多種多様化、範囲拡大の可能性 b)オークションやレンタルによる情報の漏洩等の可能性 c)セキュリティレベルが低い組込み機器が混在する可能性 ...
40
Internet of Things 日経 xtech EXPO 2018 オープンシアター講演 多様化する IoT のセキュリティ脅威とその対策 ~ セキュリティ バイ デザインと脆弱性対策の重要性 ~ 2018 年 10 月 18 日 ( 木 ) 独立行政法人情報処理推進機構 (IPA) セキュ
... - 価格比較サイトで売れ筋ランキング及び注目ランキング1位のカメラの並行輸入品 - 電子回路基板上プログラムに 認証情報漏えいの脆弱性 (CVE-2017-8225)が存在し、 パスワードを初期値から変更しても、第三者による不正操作が可能 - 出荷時停止のtelnetを外部から起動可能 (バックドアに相当する機能) ...
24
1 目次 1. 全体の仮説 2 2. 国際標準と情報セキュリティ早期警戒パートナーシップ 9 3. ソフトウェア製品開発者における国際的な脆弱性情報の取扱い グローバルなウェブサイトにおける脆弱性対応 情報セキュリティ早期警戒パートナーシップのグローバル化対応に向けて 73
... 海外拠点のウェブサイトは海外ドメイン(jp以外)でかつ外国語を使用するケースが非常に多い。つまり、 現在の情報セキュリティ早期警戒パートナーシップでは取扱対象にしていないが、トラブルが発生すると 親会社/本社である日本企業に影響を及ぼすサイトが多数存在する。 これに対し、情報流出等の事故を契機に、グループとして関連サイトの棚卸に取り組むケースも見られ ...
76
脆弱性関連情報に関する届出状況[2007年第4四半期(10月~12月)]
... 今四半期は修正が長期化しているウェブサイトに対し、脆弱性が攻撃された場合の具体的な脅威を丁寧に解 説するなど、特に重点的に脆弱性対策を促しました。この結果、図 9 に示すように、90 日以上も対策が完了して いないものが前四半期から 22 件減少し 95 件(前四半期は 117 件)となりました。 なお、300 日以上も対策が完了していないものが、 39 ...
20
脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2016 年第 1 四半期 (1 月 ~3 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2016 年 1 月 1 日から 2016 年 3 月 31 日まで
... これら既知の脆弱性の深刻度は、約 93%が情報の漏えい、改ざんされるような高い脅威であるレ ベルⅡ以上となっています。既知の脆弱性による脅威を回避するため、 製品利用者は脆弱性が解消さ れている製品へのバージョンアップやアップデート などを速やかに行ってください。 なお、JVN iPedia では、CVSSv2 ...
11
脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと
... 本攻撃は、前回報告を行った、IPA を騙った標的型攻撃同様、電子メールに悪意の PDF ファイルが添付されており、当該 PDF ファイルを脆弱性の存在するソフトウェアで閲覧す ることで、PDF ファイルに含まれているマルウェアが実行されるという仕組みになってい ます。この攻撃も、IPA および CSS のケースと同様に Adobe Reader の脆弱性が利用され ...
8