セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性

2009/11/23 462 users 組み合わせ iモードID 不正アクセス 認証機能 公開日

iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能（以下かんたんログイン）に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、... 続きを読む

正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック

2014/01/23 455 users 事案 本件 ソフトウェア コンピューターウイルス 過程

注意喚起情報 正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について 2014年01月23日 当社の緊急対応チーム『サイバー救急センター』は、標的型攻撃に関する調査を行う過程で、正規のソフトウェアのアップデートを装いコンピューターウイルスに感染させる、複数の事案を確認しました。本件は当社が2013年10月9日に発表した「日本でも発生した『水飲み場型攻撃』に対して注意喚起」とは... 続きを読む

XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

2024/03/31 431 users piyolog メンテナ ペンタ XZ Utils 特定

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウント... 続きを読む

国内の情報セキュリティに関連する組織・情報源について - Qiita

2023/05/06 314 users 権威 情報セキュリティサイト 総務省 Qiita 国民

はじめに 国内の情報セキュリティに関連する組織・情報源をまとめてみました。 組織内でセキュリティ情報を展開するときは、権威があって日本のサイトだと伝わりやすい気がします。 国民のための情報セキュリティサイト 総務省が運営しています。ITの基礎知識から一般利用者・組織向けのセキュリティ情報が掲載されてい... 続きを読む

遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 | セキュリティ情報 | 株式会社ラック

2016/02/01 215 users DNSプロトコル 事案 RAT 制御 遠隔操作ウイルス

本注意喚起をダウンロードして読む方は　PDF版 複数の企業の緊急対応調査で、ある特定の遠隔操作ウイルス（RAT:リモートアクセスツール）が、攻撃者からの指令を伝達する指令サーバ（C2サーバやC&Cサーバとも呼ばれます）との通信に、DNS（Domain Name System）プロトコル（通信手順）を悪用していることを確認しました。 本注意喚起をお読みになった方は、自組織のDNSサーバの動作状況もし... 続きを読む

IT 担当者ならみんな読みたい！！　セキュリティ情報サイト5選 ｜ Developers.IO

2019/12/14 178 users 最後 Developers.IO 以下 ポイント 読み方

「セキュリティ情報ってどこから仕入れたら良いんだろう？」 って思ったことありませんか？今回は私が日常的に確認している、おすすめのセキュリティ情報サイトを紹介します。最後には読み方のポイントも紹介します！ それでは早速やっていくっ！！ 今回紹介するサイト 以下の5サイトを紹介します。 IPA JVN Security NE... 続きを読む

HTML5関連のセキュリティ情報 - 葉っぱ日記

2013/09/25 137 users 葉っぱ日記 HTML5関連

HTML5に関連したセキュリティの話題で、とりあえずこれまでに話した資料の一覧や、考察した記事。今後もっと増える予定です。「このAPI使う上で気を付けることないの？」みたいなリクエストもあればぜひ言って下さいませ。JavaScript Security beyond HTML5 (2013-09-20 Developers Summit Kansai 2013)HTML5セキュリティ その1:基礎... 続きを読む

セキュリティ情報の収集方法について // Speaker Deck

2017/09/18 134 users Speaker Deck 収集方法

All slide content and descriptions are owned by their creators. 続きを読む

OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ - ITmedia エンタープライズ

2014/04/08 125 users OpenSSL TLS実装ライブラリ メモリ サーバ SSL

オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。 OpenSSLのセキュリティ情報によると、脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈され... 続きを読む

OpenSSLにまた重大な脆弱性、直ちにパッチ適用を - ITmedia ニュース

2014/06/06 113 users OpenSSL トラフィック TLS実装ライブラリ 同日 暗号

脆弱性を悪用された場合、クライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。 オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日（米国時間）に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、 OpenSSLは同日公開したセキュリティ情報で... 続きを読む

OpenSSLにまた重大な脆弱性、直ちにパッチ適用を - ITmedia エンタープライズ

2014/06/05 113 users OpenSSL トラフィック TLS実装ライブラリ 同日 暗号

脆弱性を悪用された場合、クライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。 オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日（米国時間）に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、 OpenSSLは同日公開したセキュリティ情報で... 続きを読む

【注意喚起】MS-CHAPv2プロトコルの破綻 | セキュリティ情報 | 株式会社ラック

2012/08/23 113 users 破綻 MS-CHAPv VPN プロトコル 注意喚起

注意喚起情報 【注意喚起】MS-CHAPv2プロトコルの破綻 2012年08月23日 暗号化通信（VPN）や無線LAN（WPA2）の認証として、一般企業で広く使われているMS-CHAPv2（Microsoft CHAP version 2）というプロトコルに、パスワードが完全に解読されてしまうという脆弱性が発見され、公表されました。 その結果、通信内容が読み取られたり、ネットワークに侵入できてしま... 続きを読む

セキュリティ情報:PHP5.4.8、PHP5.3.18以前にhashdos脆弱性 | 徳丸浩の日記

2012/11/24 103 users 徳丸浩 changelog hashdos攻撃 一昨日 日記

2012年11月24日土曜日 セキュリティ情報:PHP5.4.8、PHP5.3.18以前にhashdos脆弱性 PHP5.4.8以前、PHP5.3.18以前には、mbstring.encoding_translationが有効になっている場合にhashdos攻撃に脆弱であることが分かりましたので報告します。 一昨日、PHP5.4.9とPHP5.3.19が公開されましたが、changelogを読んで... 続きを読む

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響<br />～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～ | セキュリティ情報 | 株式会社ラック

2014/04/24 81 users Apache Struts 緩和策 脆弱性 株式会社ラック

ラックホーム >  セキュリティ情報 >  注意喚起情報・脆弱性情報 >  Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 ～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～ 注意喚起情報 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 ～国内でいまだ大量稼働するStruts 1利用... 続きを読む

シーゲイト製の無線HDDに「隠し」rootアカウント--データ窃取の恐れ - ZDNet Japan

2015/09/08 69 users マニュア アドバイザリ rootアカウント CERT リモート

Seagateの無線ハードディスクドライブ製品に非公開のrootアカウントが実装されており、リモートからのデータ窃取に悪用される可能性があることが判明した。 セキュリティ情報の収集と分析を手がける機関であるCERTが、セキュリティ企業Tangible Securityからの報告を受けて米国時間9月1日に公表したアドバイザリによると、該当するSeagateの無線ハードディスクドライブ製品は、マニュア... 続きを読む

情報処理推進機構：情報セキュリティ：脆弱性対策：2010年版 10大脅威 あぶり出される組織の弱点！

2011/03/24 67 users 弱点 IPA 組織 脆弱性対策 情報処理推進機構

本解説書は、2010年にIPAへ届け出のあったセキュリティ情報や一般報道を基にして、情報セキュリティ分野の研究者や実務担当者127人で構成する「10大脅威執筆者会」で纏めたものです。本解説書は3章構成となっており、第1章では2010年に実際に発生したセキュリティの被害事例を基に組織へのビジネスインパクトを考察しています。第2章では、2010年に「社会的影響が大きいもの」「特徴的であったもの」「印象... 続きを読む

カミンスキー攻撃らしきアクセス、日本の大手ISPで増加、DNSの設定再確認を -INTERNET Watch

2014/04/15 61 users ＤＮＳ 大手ISP INTERNET Watch JPRS

ニュース カミンスキー攻撃らしきアクセス、日本の大手ISPで増加、DNSの設定再確認を （2014/4/15 19:44） DNSキャッシュポイズニング攻撃の危険性が増しているとして、株式会社日本レジストリサービス（JPRS）が15日、緊急のセキュリティ情報を出し、キャッシュDNSサーバーの運用者に対して設定を再確認するよう呼び掛けている。問い合わせUDPポートをランダム化する「ソースポートランダ... 続きを読む

＜セキュリティ情報＞LINEの脆弱性と修正完了に関するお知らせ : LINE公式ブログ

2015/03/16 58 users 脆弱性 line LINE公式ブログ お知らせ JPCERT

一部の利用環境におけるLINEの脆弱性に関して、JPCERTコーディネーションセンター（JPCERT/CC）および情報処理推進機構（IPA）より報告があり、該当部分の修正が完了しましたのでお知らせ致します。 ■報告経路・内容【報告経路】JPCERT/CCおよびIPAより、2015年2月3日に LINEの脆弱性について以下の報告を受け取ました。 【内容】通常の3G/4G/LTE回線や、自宅・学校・会... 続きを読む

Windowsの「Kerberos認証」に発見された脆弱性の詳細が明らかに - ZDNet Japan

2014/11/20 52 users 特権 昇格 Microsoft 深刻度 定例外

Microsoftが米国時間の11月18日に配信した定例外のセキュリティ更新プログラム「MS14-068」は、極めて深刻な問題を修正するものだった。ユーザーはこの脆弱性を悪用すれば、ログイン中のドメイン内で、自身の特権をドメイン管理者などに自由に昇格できてしまう。 セキュリティ情報の事前通知では、修正される脆弱性が「特権の昇格」であり、深刻度が緊急であると発表されていたが、詳細については公表されて... 続きを読む

ニュース - IEに59件の脆弱性が発覚、すぐにパッチの適用を：ITpro

2014/06/11 52 users ITpro マルウェア バッチ 発覚 脆弱性

日本マイクロソフトは2014年6月11日、WindowsやInternet Explorer（IE）などに関するセキュリティ情報を7件公開した（図）。それらに含まれる脆弱性は計66件。悪用されると、Webサイトにアクセスするだけでウイルス（マルウエア）に感染する恐れなどがある。対策はセキュリティ更新プログラム（パッチ）を適用すること。 今回公開されたセキュリティ情報の影響を受けるのは、現在サポート... 続きを読む

大規模な暗号化型ランサムウェア「WannaCry／Wcry」の攻撃、世界各国で影響 | トレンドマイクロ セキュリティブログ

2017/05/13 51 users Wcry WannaCry リモート トレンドマイクロ 脆弱性

トレンドマイクロは、深刻な 暗号化型ランサムウェア が世界各国で攻撃を行っている事実を確認しました。この攻撃は、2017年3月および 4月に明らかになったセキュリティ上のリスクが組み合わされて実行されました。これら2つのリスクの内 1つは、Windows SMB のリモートでコードが実行される脆弱性「 CVE-2017-0144 」で Microsoft の3月のセキュリティ情報により明らかになり... 続きを読む

AMDプロセッサの“重大な脆弱性”情報、業界から疑問の声 - ITmedia エンタープライズ

2018/03/19 45 users AMDプロセッサ CTS-Labs プロセッサ AMD 脆弱性

CTS-Labsが行った発表は、セキュリティ企業による誇大宣伝だったのではないかという声が相次いでいる。AMD株の取引にかかわる組織が価格操作を狙ったという説も浮上した。 AMDのプロセッサに“重大な脆弱性”を発見したというセキュリティ企業の発表を巡り、この発表が誇大宣伝だったのではないかと指摘する声が相次いでいる。AMDはこの問題について調査中。米US-CERTなど公的機関のセキュリティ情報は、... 続きを読む

AMDプロセッサの“重大な脆弱性”情報、業界から疑問の声 - ITmedia NEWS

2018/03/19 45 users AMDプロセッサ CTS-Labs プロセッサ AMD 脆弱性

CTS-Labsが行った発表は、セキュリティ企業による誇大宣伝だったのではないかという声が相次いでいる。AMD株の取引にかかわる組織が価格操作を狙ったという説も浮上した。 AMDのプロセッサに“重大な脆弱性”を発見したというセキュリティ企業の発表を巡り、この発表が誇大宣伝だったのではないかと指摘する声が相次いでいる。AMDはこの問題について調査中。米US-CERTなど公的機関のセキュリティ情報は、... 続きを読む

マイクロソフトのセキュリティ パッチって、多いの？ - 日本のセキュリティチーム - Site Home - TechNet Blogs

2014/07/24 45 users あっという間 火曜日 毎月 セキュリティ更新プログラム バッチ

マイクロソフトのセキュリティ更新プログラムは多い印象があるという声を耳にします。今回は改めて、マイクロソフトのセキュリティ更新プログラムの公開プロセスやこれまでの歩みについてまとめてみます。   毎月 1 回「パッチ」の日 マイクロソフトは、毎月第 2 火曜日 (米国時間) に セキュリティ情報 (セキュリティ更新プログラム) を公開しています。ひと月はあっという間に過ぎ、また今月も新しいパッチが... 続きを読む

.NET Framework のセキュリティ更新プログラムの整理 - 日本のセキュリティチーム - Site Home - TechNet Blogs

2011/06/20 44 users 松田 依存関係 セキュリティチーム 下記 理由

松田です。今月のセキュリティ更新プログラムは、もう適用いただけましたか？ ときどき .NET Framework のセキュリティ情報が難しいというご意見を頂きます。特にどのセキュリティ更新プログラムをインストールすればよいか、わかりにくいというものです。下記のような理由があり、確かに複雑です。  .NET Framework の 3 つのバージョン 2.0、3.0、3.5 に依存関係がある OS ... 続きを読む