※ ソフトウェアとウェブアプリケーションの分類が難しい場合 修正作業が事業者側のみで済む場合をウェブアプリケーション、製品利用者側の対応が必要な場合をソフトウェア製品として判断してください。 ※インターネット上で公開されている、脆弱性を発見・検証するツールなどは、その動作をよく把握せずに使用すると、サーバに負荷や障害を発生させる可能性があるため、実行しないでください。 ※ 脆弱性関連情報取扱いの仕組みは、関係者の善意により成り立つものであり、IPA では以下のことは実施できません。そのため、必ずしも期待する対応がとられるとは限らないことを、ご了承ください。 届出者に対する、脆弱性関連情報の秘匿の強制 製品開発者に対する、脆弱性への対策の強制 ウェブサイト運営者に対する、脆弱性の修正の強制
IPAに関するmi1kmanのブックマーク (112)
-
mi1kman 2018/01/09
-
ウェブ届出フォーム Advent Calendar 2017 - Adventar
ウェブ届出フォームが再公開される様子をレポートします (現在、アドベントカレンダーは停止しております。再公開は2017年12月頃を予定しています。)
-
-
-
情報処理推進機構:情報セキュリティ:脆弱性対策:脆弱性関連情報の届出
IPAでは、以下の脆弱性関連情報の届出を受付けています。 (1) ソフトウエア製品脆弱性関連情報 OSやブラウザ等のクライアント上のソフトウエア、ウェブサーバ等のサーバ上のソフトウエア、プリンタやICカード等のソフトウエアを組み込んだハードウエア等に対する脆弱性を発見した場合に届け出てください。脆弱性そのものの情報以外にも、検証方法や攻撃方法、回避方法などについての情報についても届出を受付けます。 (2) ウェブアプリケーション脆弱性関連情報 インターネットのウェブサイトなどで、公衆に向けて提供するそのサイト固有のサービスを構成するシステムに対する脆弱性を発見した場合に届け出てください。 脆弱性とは 脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフト
-
VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ
2015年12月に私が発見した VALUE-DOMAIN での CSRF 脆弱性について、その脆弱性の報告と修正までの経緯を記しておきます。 きっかけ アカウント削除ページの作り アカウント削除ページの問題点 VALUE-DOMAIN への報告 CSRF 攻撃によるアカウント乗っ取りの問題 IPA への届出 余談:IPA への届出の仕方について IPA へ届出した後の状況 VALUE-DOMAIN ユーザの方へ きっかけ 数年前に VALUE-DOMAIN を利用していましたが最近は使っていないのでアカウントを削除しようとしたところ、アカウント削除操作を行うページの作りが「不自然である」ことに気付きました。更に調べたところ CSRF 攻撃によってアカウント乗っ取りが可能な状況であることが分かりました。 アカウント乗っ取りが可能な CSRF 脆弱性は2015年12月22日にIPAに報告し、2
-
プレス発表 サイバー情報共有イニシアティブ(J-CSIP)2014年度 活動レポートの公開:IPA 独立行政法人 情報処理推進機構
31か月にわたり、国内9組織に対して送られた114通の標的型攻撃メールが同一と思われる攻撃者(またはグループ)によるものと確認 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、国内重要産業における標的型攻撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」(J-CSIP(ジェイシップ) (*1))において、参加組織から情報提供された939件の攻撃メールを分析した結果、同一と思われる攻撃者から国内9組織に対し、巧妙かつ執拗な攻撃が31か月も継続していることを確認しました。この詳細な分析について、2014年度の情報共有の運用状況と共に2014年度(2014年4月~2015年3月)の活動レポートとして公開しました。 URL:https://www.ipa.go.jp/security/J-CSIP/ IPAでは国内の重要インフラ関連組織を対象に、2012年4月から標的型攻撃
-
MyJVN - MyJVNバージョンチェッカ for .NET
※ Windows10,11では .NET Framework 4.8 がインストールされており、追加で .NET Framework 4.6 をインストールする必要はありません。 .NET Framework 4.8 は、.NET Framework 4.0 から 4.8 用のアプリケーションを実行できます。 ご利用のPCで有効になっている.NET Frameworkのバージョンを確認する方法については、FAQをご参照ください。(FAQ:Q4-2) 利用方法 (ステップ1)MyJVNバージョンチェッカ for .NETのダウンロード 「利用規約(PDF形式)」について同意の上、以下のリンクから、MyJVNバージョンチェッカ for .NETのパッケージをダウンロードしてください。 (パッケージ更新日:2023年08月24日) ※「一般的にダウンロードされていません」というメッセージが表示
-
ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第4四半期(10月~12月)]:IPA 独立行政法人 情報処理推進機構
また、図1-3は、届出開始から2014年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かったのは2009年の1,401件でした。2014年は、ソフトウェア製品が140件、ウェブサイトが633件の合計773件でした。2014年はソフトウェア製品の修正が、最も多く完了した年となりました。これは、本制度が開始してから10年が経過し、「製品開発者の脆弱性に対する理解が浸透してきた」ためと考えられます。 1-3. 連絡不能案件の取扱い状況 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、まず最初に当該製品開発者名等を公表しています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、その後製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提
-
「闇グーグル」は賢く使え NHKニュース
インターネットで検索するだけで、セキュリティー対策が十分でない機器を探し出すことができることから、ハッカーの攻撃の足がかりになるとして、「闇グーグル」などと呼ばれるサイトがあります。これまで脅威と捉えられることが多かったこのサイトですが、賢く利用すれば、逆に攻撃の糸口を断ち切ることにつながると活用を呼びかける対策を、独立行政法人の情報処理推進機構がまとめました。 このサイトは、2009年に登場した「SHODAN」というインターネットサービスです。 定期的にインターネットを巡回しては、ネット上の住所に当たるIPアドレスなどを手がかりに、ネットに接続された機器の情報をデータベースに収めています。 検索できる機器はパソコンやサーバーだけでなく、オフィス機器や情報家電、さらには発電所の制御機器まで、およそ5億台に上ります。 もともと研究目的で開発されたということで、誰でも利用できます。 最大の特徴
-
-
IPA田仲氏からの脆弱性報告(対応したよ) | WhiteHackerzBlog ハッカー養成学院 公式ブログ
今回、IPA田仲氏からの届いた、脆弱性報告(5回目の新たな通知)に対して、実証、確認、対応、修正するまでの一連の流れをまとめました。 まずは、脆弱性報告の再確認から。 //———————————————————— 脆弱性のあるURL: http://www.whitehackerz.jp/contact.php 脆弱性の内容 : XSS (クロスサイト・スクリプティング) お名前欄、又はその他のお問い合わせ欄に任意のスクリプトを入力し、メールアドレスは正規表現を満たすものを入力、性別・都道府県・年齢・同意を適当に選択後、送信確認を押すとスクリプトが実行される。 例)”><script>alert(“XSS”)</script> //———————————————————— と報告が届いています。 では、検証してみましょう。 名前の個所、赤枠に、 "><script>alert("XSS
-
-
自信過剰はセキュリティ被害の元? IPAが分析結果公開 - @IT
2012/09/13 情報処理推進機構(IPA)は9月13日、「IPA テクニカルウォッチ『情報セキュリティに関する被害と個人属性』」を公開した。意識的なセキュリティ対策の実施や情報収集が被害防止に有効な一方で、自信過剰な人ほど被害に遭いやすい傾向があることが判明したという。 テクニカルウォッチは、一般のインターネット利用者のセキュリティ被害防止にとって有効な対策を探ることを目的としたレポートだ。IPAが2005年度から実施してきた「情報セキュリティの脅威に対する意識調査」のデータを基に分析を加えている。今回の分析では被害に遭遇した個人の属性に着目し、被害経験の有無に影響を与える要因を探った。 分析においては、 年齢や性別、パソコン習熟度といった「基本属性」 インターネットの利用時間に加え、利用する場所やファイル交換ソフト、オンラインゲームなどの利用状況も含めた「ネット利用状況」 不審な添
-
IPAからのレポートを公開 | WhiteHackerzBlog ハッカー養成学院 公式ブログ
昨日、独立行政法人 情報処理推進機構(IPA)から突然メールがありお宅のサイトには脆弱性があるとの指摘頂きました。そこでレポートが送られてきましたので公開致します。また、ご指摘頂き有難うございました。早急に対策いたします。 ################################################################## 1.発見者からの報告(詳細情報) 発見者から次の 2 件の報告が届いています。 ■IPA#95377573-1 クロスサイト・スクリプティング =============================================================== 1) セキュリティ上の問題を確認したウェブサイトのURL WhitehackerZ http://www.hackerschool.jp/ 2) セキュリティ上
-
-
アイデンティティ管理技術解説:IPA 独立行政法人 情報処理推進機構
背景と目的 今日のアイデンティティ管理技術は、人々に付す識別子(ID)のみを扱う技術ではなく、多様な属性情報を管理するものとなっています。属性情報をオンラインで利用する際にも複数の目的があり、人々を本人であると認証すること、人々の属性情報を交換することの他、人々の属性情報に基づいてアクセスを制御すること等が挙げられます。そして、それぞれの目的に利用できる技術仕様が複数、策定されています。 このようにアイデンティティ管理技術は多種多様性を増しています。 しかし、アイデンティティ管理技術を全体観をもって解説する取り組みがなされてこなかったので、情報処理技術者が体系的に把握して学習することが容易ではない状況にあります。今日、多種のアイデンティティ管理技術の中から自らのシステム構築に適するものを選択したり、他者が採用しているアイデンティティ管理技術との間で相互運用可能性を確保することを検討したりす
-
-
総務省と経産省、関係4団体とともに「サイバー攻撃解析協議会」を発足 | RBB TODAY
総務省および経済産業省は11日、情報通信研究機構(NICT)、情報処理推進機構(IPA)、テレコム・アイザック推進会議、JPCERTコーディネーションセンターの4団体とともに、「サイバー攻撃解析協議会」を発足させることを発表した。 「サイバー攻撃解析協議会」は、サイバー攻撃の実態を把握し、その結果を関係省庁、重要インフラ事業者等に提供することを目的とした組織。4月26日の第29回情報セキュリティ政策会議において、総務大臣および経済産業大臣より、サイバー攻撃を高度解析する枠組みについて、両省で連携して構築していくことが発表されており、7月4日に発足が決定していた。 協議会は、総務省、経済産業省、4団体により構成され、内閣官房情報セキュリティセンターがオブザーバとなる。さらに、今夏を目途に、協議会の下にワーキンググループを設置し、収集情報、提供情報、情報提供先の要件等の検討・整理を行う予定。
-
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました