JPCERT/CC ソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」(英語版)に新たに 6つのパターンを追加

　こんにちは，丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」(英語版)に新たに 6つのパターンを追加した公表していますね。。。
　

Continue reading "JPCERT/CC　ソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」(英語版)に新たに 6つのパターンを追加"

IPA 情報セキュリティ技術動向調査（2009 年上期）

　こんにちは，丸山満彦です。IPAが「情報セキュリティ技術動向調査（2009 年上期）」を公表していますね。。。

Continue reading "IPA 情報セキュリティ技術動向調査（2009 年上期）"

JPCERT/CC ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」（日本語版）

　こんにちは、丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」を公開していますね。。。
＝＝＝＝＝
セキュリティ上の欠陥の根本原因に対する理解が深まるにつれ、実装とデプロイメントのフェーズだけでなく、ソフトウエア開発ライフサイクル全般を通して、セキュリティ対策の重要性に対する理解が深まってきています。
＝＝＝＝＝
　そのとおりどす。。。
＝＝＝＝＝
ソフトウエアあるいはシステムが提供する機能のセキュリティ品質（非機能要件としてのセキュリティ）の向上を目的としたものです。機能に依存しない対策であるため、セキュアコーディングと同様にその適用範囲は開発される製品の種類（アプリケーションドメイン）を選ばず、かつ、開発言語への依存性も低いことから、幅広い開発プロジェクトにおける脆弱性対応関連コストの削減とリストの低減などに資する効果が期待できます。また、開発現場において、下流工程における対策であるセキュアコーディングと併用して適用することにより、より大きな効果が期待できます。
＝＝＝＝＝
　なるほど。。。

Continue reading "JPCERT/CC ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」（日本語版）"

IPA 「情報システム等の脆弱性情報の取扱いに関する研究会」2008年度報告書

　こんにちは、丸山満彦です。本日はRSAカンファレンスに行きます。。。IPAが「情報システム等の脆弱性情報の取扱いに関する研究会」2008年度報告書を公開していました。。。

Continue reading "IPA 「情報システム等の脆弱性情報の取扱いに関する研究会」2008年度報告書"

第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

　こんにちは、丸山満彦です。第13回サイバー犯罪に関する白浜シンポジウムが始まっています。。。

　テーマは

　「ウイルスとマルウェアの脅威」
　　　～あなたの生活が狙われている～

です。。。

昨年度　このブログ
・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。
　

　講演内容は。。。

Continue reading "第13回　サイバー犯罪に関する白浜シンポジウム　はじまってます。。。"

IPA 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書

　こんにちは、丸山満彦です。ちょっと世の中に遅れ気味ですわ。。。IPAが「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を公表していますね。。。

Continue reading "IPA 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書"

日本銀行金融研究所 人工物メトリックス関係・・・

　こんにちは、丸山満彦です。日本銀行金融研究所が、人工物メトリックスに関する３つの報告書（ディスカッションペーパー）をだしていますね。。。
・人工物メトリック・システムにおける耐クローン性の評価方法の構築に向けて
・偽造防止技術の中の人工物メトリクス：セキュリティ研究開発の動向と課題
・偽造防止技術の新潮流：金融分野における人工物メトリクスの可能性
岩下さんです。

Continue reading "日本銀行金融研究所　人工物メトリックス関係・・・"

IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む

　こんにちは、丸山満彦です。IPAが「10大脅威 攻撃手法の『多様化』が進む」を公開していますね。。。

Continue reading "IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む"

経済産業省 CHECK PC! 今年のセキュリティ大使？は「セキュリーナ」

　こんにちは、丸山満彦です。経済産業省のCHECK PCキャンペーンが始りはったみたいや。。。今年はバーチャルアイドル？のセキュリーナやそうや。。。両親をデジタルアーティストともつ東京都出身の「しな」と世界で有数のコンピュータ系の学校を首席で卒業した「せな」らしいは。。。「しなさい」、「せなアカン」をかけてるらしいわ。。。
　ここで歴代のセキュリティ大使？のおさらいですわ。。。

・2006年：眞鍋かをり
・2007年：白石美帆
・2008年：上戸彩

Continue reading "経済産業省 CHECK PC! 今年のセキュリティ大使？は「セキュリーナ」 "

総務省 パブコメ 公的個人認証サービスにおける暗号方式等の移行に関する検討会報告書案

　こんにちは、丸山満彦です。暗号関係です。特定の技術に社会インフラを預けようとすると大変どす。総務省が公的個人認証サービスにおける暗号方式等の移行に関する検討会報告書案についてコメントを募集していますね。。。

Continue reading "総務省 パブコメ 公的個人認証サービスにおける暗号方式等の移行に関する検討会報告書案"

IPA 2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書

　こんにちは、丸山満彦です。IPAが「2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書」を公開していますね。。。

Continue reading "IPA 2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書"

DNSシステム脆弱性問題の件

　7月に公表されてから何かと話題の件ですが、そろそろ対応は終わっているのでしょうかね。。。諸般の事情でメモメモ・・・

Continue reading "DNSシステム脆弱性問題の件"

総務省＆経済産業省 パブコメ 電子政府推奨暗号リストの改訂に関する骨子(案)

　こんにちは、丸山満彦です。総務省と経済産業省が、「電子政府推奨暗号リストの改訂に関する骨子(案)」を公表していますね。。。
＝＝＝＝＝
　電子政府推奨暗号リストには、策定後10年間は安心して利用できるという観点で選定された暗号が掲載されていますが、暗号に対する解析/攻撃技術が高度化しており、また一方で新たな暗号の開発も進んでいます。
　このため、暗号技術検討会では、電子政府推奨暗号リストの改訂に向けて、平成21年度から暗号技術の公募を行うこととし、この度、当該公募の基本方針をまとめた「電子政府推奨暗号リストの改訂に関する骨子(案)」を作成しました。
＝＝＝＝＝
　とのことです。。。で、意見をうかがってから
＝＝＝＝＝
意見募集の結果を踏まえ、平成20年度中に暗号技術公募の基本方針を策定します。
＝＝＝＝＝
　とのことです。。。

Continue reading "総務省＆経済産業省 パブコメ 電子政府推奨暗号リストの改訂に関する骨子(案)"

IPA 「MD5 の安全性の限界に関する調査研究」に関する報告書・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書を公表

　こんにちは、丸山満彦です。IPAが
・「MD5 の安全性の限界に関する調査研究」に関する報告書と
・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
を公表していますね。。。

Continue reading "IPA 「MD5 の安全性の限界に関する調査研究」に関する報告書・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書を公表"

IPA 「ハッシュ関数安全性評価手法の開発」に関する報告書

　こんにちは、丸山満彦です。仕事が忙しくて更新が滞っていました。。。何人から「大丈夫？」ってメールをいただきました。心配していただいた皆様、ありがとうございます。。。元気でした。。。このブログが死活監視のツールになっているようです（笑）。ひとやま超えそうってところなので、気分転換にブログです。
　IPAから「ハッシュ関数安全性評価手法の開発」に関する報告書が公表されていますね。。。SHA-1のコリジョンの問題など、最近いろいろと言われておりますので、読んでおこうかと思います。。。
　「共通鍵暗号をベースとしたハッシュ関数安全性評価手法の調査」と「算術演算をベースとするハッシュ関数安全性評価手法に関する調査 」の２つについての報告書になっていますね。。。

Continue reading "IPA 「ハッシュ関数安全性評価手法の開発」に関する報告書"

JNSA 2007年度 セキュアOSの導入に関する課題の試行結果報告書

　こんにちは、丸山満彦です。JNSAが「2007年度 セキュアOSの導入に関する課題の試行結果報告書」を公表していますね。。。
　「はじめに」からの抜粋ですが
＝＝＝＝＝
・・・
ＪＮＳＡのＤＭＺ設置サーバに対してセキュアＯＳを適用し、その過程も含めて広く公表していくことで多くの方にセキュアＯＳの本質を理解をしていただけるよう活動を展開することになった。
＝＝＝＝＝
　ということのようです。。。

Continue reading "JNSA 2007年度 セキュアOSの導入に関する課題の試行結果報告書"

IPA 脆弱性情報共有フレームワークに関する調査報告書 ～中小規模組織における脆弱性対策促進への各国の取り組み～

　こんにちは、丸山満彦です。IPAが「脆弱性情報共有フレームワークに関する調査報告書　～中小規模組織における脆弱性対策促進への各国の取り組み～」を公表していますね。。。

Continue reading "IPA 脆弱性情報共有フレームワークに関する調査報告書　～中小規模組織における脆弱性対策促進への各国の取り組み～"

内閣官房 パブコメ 「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」（案）

　こんにちは、丸山満彦です。内閣官房が「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」（案）についての意見募集を行っていますね。。。

Continue reading "内閣官房 パブコメ 「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」（案）"

経済産業省 CHECK PC!

　こんにちは、丸山満彦です。経済産業省でCheck PC!がはじまっていますね。。。今年は「上戸彩」さんイメージキャラクター？ですね。。。
昨年は白石美帆さん、一昨年は眞鍋かをりさんでしたね。。。

Continue reading "経済産業省 CHECK PC! "

オオカミと 5 匹のこぶた

　こんにちは、丸山満彦です。某先生のmixiで紹介されていて気づきました。。。マイクロソフトのセキュリティ啓発絵本？です。9月21日からあったんだ。。。
　うーん。。。なんというか。。。

Continue reading "オオカミと 5 匹のこぶた"

NISC JRE等を利用する政府機関の公開情報システムに係る緊急調査の結果を公表

　こんにちは、丸山満彦です。内閣官房情報セキュリティーセンター（NISC）がJRE等を利用する政府機関の公開情報システムに係る緊急調査の結果を公表していますね。。。

Continue reading "NISC JRE等を利用する政府機関の公開情報システムに係る緊急調査の結果を公表"

厚生労働省 電子申請システムで個人情報が流出する恐れのある欠陥を放置？

　こんにちは、丸山満彦です。厚生労働省の電子申請システムで個人情報が流出する恐れのある欠陥を放置しているという話があるようですね。。。

Continue reading "厚生労働省 電子申請システムで個人情報が流出する恐れのある欠陥を放置？"

IPA 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公表

　こんにちは、丸山満彦です。IPAが「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公表していますね。。。
＝＝＝＝＝
本マニュアルは、利用者に必要な情報が的確に届けられることを目的に、ソフトウェア製品開発者が行うべき脆弱性対策情報の望ましい公表手順について、具体的に公表すべき項目と公表例、脆弱性対策情報への誘導方法などを記載しているほか、望ましくない公表例なども記載しています。
＝＝＝＝＝
　あわせて、「情報システム等の脆弱性情報の取扱いに関する研究会」報告書も公開していますね。。。

Continue reading "IPA 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公表"

JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

　こんにちは、丸山満彦です。運用開始4 年目となるJVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) に変更しましたね。3文字略語は同じですが・・・。
　で、JVN のリニューアルと脆弱性対策情報データベースの公開もしました。。。

Continue reading "JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました"

JNSA 脆弱性定量化に向けての検討報告書を公表

　こんにちは、丸山満彦です。JNSAから「2006年度 脆弱性定量化に向けての検討報告書」が公表されていますね。。。
　報告書の「経緯と目的」から・・・
＝＝＝＝＝
ベンダ各々が独自の判断で脆弱性の危険度を報告しており、同じ「危険度高」であっても、Ａ社とＢ社ではその判断基準が違っていたり、判断基準そのものが公開されていないといった状況であった。このような中で、ベンダの差に依存しない脆弱性の定量化が可能なのかどうなのかということの検討をはじめたことが、本WG発足の契機であり目的であった。
＝＝＝＝＝
　なかなか意欲的な報告書ですね。。。

Continue reading "JNSA　脆弱性定量化に向けての検討報告書を公表"

不正アクセス はてな、ジェット証券、ネットバンク

　こんにちは、丸山満彦です。不正アクセス関係の事件・報道がいろいろと最近ありますね。。。

Continue reading "不正アクセス　はてな、ジェット証券、ネットバンク"

Single point of failure

　こんにちは、丸山満彦です。飛行機の前脚が出ないという事故はボルトが１つなかったことが原因だったようですね（詳細の調査が終わらないとわからないのですが・・・）。

Continue reading "Single point of failure"

最後は「人間」？

　こんにちは、丸山満彦です。昨日、高知空港での全日空のボンバルディアＤＨＣ８機による胴体着陸については、大きな事故にならずになりよりでした。。。この機種では前脚の脚格納ドアの開閉は、通常は油圧装置で、緊急時には手動（ワイヤー？）で開閉させることになっているようですが、今回の事故では両方とも機能しなかったようですね。。。しかし、大きな事故にならなかったのは、訓練された人間が適切に対応したからということだろうと思いました。。。

Continue reading "最後は「人間」？"

IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する！」 -

　こんにちは、丸山満彦です。IPAが情報セキュリティ白書2007年度版を公表していますね。。。
■2006年の10大脅威 「脅威の“見えない化”が加速する！」は次のとおりのようです
・第01位 漏えい情報のWinnyによる止まらない流通
・第02位 表面化しづらい標的型（スピア型）攻撃
・第03位 悪質化・潜在化するボット
・第04位 深刻化するゼロデイ攻撃
・第05位 ますます多様化するフィッシング詐欺
・第06位 増え続けるスパムメール
・第07位 減らない情報漏えい
・第08位 狙われ続ける安易なパスワード
・第09位 攻撃が急増するSQLインジェクション
・第10位 不適切な設定のDNSサーバを狙う攻撃の発生

Continue reading "IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する！」 -"

内閣府 治安に関する世論調査 「ネット犯罪、４割が「不安」」

　こんにちは、丸山満彦です。内閣府で実施している「治安に関する世論調査」によると、ネット犯罪について約４割の人が不安を抱いているということのようです。６割の人は不安をあまり抱いていないということなのでしょうかね・・・

Continue reading "内閣府 治安に関する世論調査 「ネット犯罪、４割が「不安」」"

ウィニー事件 開発者に罰金150万円

　こんにちは、丸山満彦です。ウィニー事件の地裁判決がありましたね・・・。「技術自体の価値は中立的だが、著作権侵害への利用を認識し、弊害も知っていた。独善的かつ無責任な態度で非難は免れない。しかし侵害のまん延を積極的に意図したわけではない」（毎日新聞）と判断されたようです。

Continue reading "ウィニー事件 開発者に罰金150万円"

官製ボット対策ソフト？

　こんにちは、丸山満彦です。ボットに感染しているパソコンは国内で40万台以上になるようですね（テレコムアイザック）。個人で利用しているパソコンの場合、ウイルス対策ソフトを導入していなかったり、パターンファイルが更新されていなかったりで、ボットに感染している場合が多いのかもしれませんね。

Continue reading "官製ボット対策ソフト？"

IPA 安全なウェブサイトの作り方 改訂第2版

　こんにちは、丸山満彦です。IPAが「安全なウェブサイトの作り方　改訂第2版」を公表していますね・・・

Continue reading "IPA 安全なウェブサイトの作り方 改訂第2版"

JNSA アンケート 脆弱性定量化に向けての検討WG

　こんにちは、丸山満彦です。JNSAの脆弱性定量化に向けての検討WGが、検討中の｢パッチ適用の判断を行なうための指標｣の実用性を検証するためにWebアンケートを企画していますね。
　大変おもしろい企画だと思います。。。

Continue reading "JNSA アンケート 脆弱性定量化に向けての検討WG"

Excel の脆弱性とスプレッドシートコントロール

　こんにちは、丸山満彦です。マイクロソフトエクセルの脆弱性については、ゼロデイアタックもあったというような話もあります。ところで、エクセルは期末決算の時に、試算表の作成、連結財務諸表の作成、注記の作成などで利用されることが多いわけですが、エクセルに脆弱性が存在する前提に立った場合、どこまで脆弱性管理ができていると、財務報告に係る内部統制が有効といえるのでしょうか。。。

Continue reading "Excel の脆弱性とスプレッドシートコントロール"

エレベータ事故 コンピュータプログラムにも原因？

　こんにちは、丸山満彦です。被害にあわれた市川さんのご冥福を祈るばかりですが、原因を追究し、再発防止につなげるのが今必要なのでしょうね。。。その原因の追究ですが、もちろんいろいろな原因が積み重なって事故につながっているわけですが、その因果関係とキーとなる問題を明らかにし、その問題への対応を考えることが重要なのだろうと思います。

Continue reading "エレベータ事故 コンピュータプログラムにも原因？"

ICカードも安心ではないんだ・・・

　こんにちは、丸山満彦です。ICカードも安全でないという話・・・。

Continue reading "ICカードも安心ではないんだ・・・"

JPCERT/CC Microsoft Word の脆弱性に関する注意喚起

　こんにちは、丸山満彦です。JPCERT/CCがMicrosoft Word にパッチ未公開の脆弱性があるとして注意喚起をしていますね。

Continue reading "JPCERT/CC Microsoft Word の脆弱性に関する注意喚起"

IPA 情報システム等の脆弱性情報の取扱いに関する研究会報告書

　こんにちは、丸山満彦です。IPAから、情報システム等の脆弱性情報の取扱いに関する研究会の報告書が公表されていますね。

■IPA
・2005.05.18 組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表
・2005..05.18 情報システム等の脆弱性情報の取扱いに関する研究会 報告書

・現場技術者向け手引書『組込みソフトウェアのセキュリティ ～機器の開発等における40のポイント～

政府統一基準やJIS Q 27002、COBITとの対比表がほしいところです。

とりあえず表にまとめてみました。

Continue reading "IPA 情報システム等の脆弱性情報の取扱いに関する研究会報告書"

Winny におけるバッファオーバーフローの脆弱性

　こんにちは、丸山満彦です。これも少し古い話ですが・・・Winny におけるバッファオーバーフローの脆弱性があるそうです。

Continue reading "Winny におけるバッファオーバーフローの脆弱性"

MS06-001 : WMF脆弱性用パッチをリリース

　こんにちは、丸山満彦です。マイクロソフト社が、Windowsの脆弱性を修復するパッチを予定より早くリリースしましたね。この脆弱性については、セキュリティの専門家が非公式パッチの適用をユーザに推奨したということでも話題となりましたね。

Continue reading "MS06-001 : WMF脆弱性用パッチをリリース"

2005年 インターネットにおける脆弱性トップ20リスト

　こんにちは、丸山満彦です。NRIセキュアテクノロジー株式会社がSANSの"The SANS Top 20 Internet Security Vulnerabilities "を翻訳していますね。ふーむ、助かります。

Continue reading "2005年　インターネットにおける脆弱性トップ20リスト"

プログラムバグによりセキュリティ上の問題が生じた場合の責任

　こんにちは、丸山満彦です。海外で「バグの責任は開発者個人にあるのかベンダーにあるのか」という話が話題になっているようですが、議論がちょっとかみ合っていないようにも思いながら・・・

Continue reading "プログラムバグによりセキュリティ上の問題が生じた場合の責任"

Windowsが引き起こした損害はビルゲイツに損害賠償させるべき？

　こんにちは、丸山満彦です。Windowsが引き起こした損害はビルゲイツに損害賠償させるべき・・・という過激な発言も飛び出したようですね。

Continue reading "Windowsが引き起こした損害はビルゲイツに損害賠償させるべき？"

IPA ストリーム暗号「 Toyocrypt 」の解読に成功

　こんにちは、丸山満彦です。ストリーム暗号「 Toyocrypt 」の解読にIPAが成功したそうですね。

Continue reading "IPA ストリーム暗号「 Toyocrypt 」の解読に成功"

JISA SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス 公表

　こんにちは、丸山満彦です。JISA（社団法人情報サービス産業協会）が「SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス」を公表しています。「SI事業者が、脆弱性情報が公表された後、製品開発ベンダーや顧客と連携し、迅速かつ適切な対応をとるために必要な社内体制や対応手順を整備するための手引書として活用されることを目的」としているとのことです。。。。ねっ、西岡@三菱電機さん！

Continue reading "JISA SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス 公表"

新量子暗号Y-00の安全性

　こんにちは、丸山満彦です。量子暗号の新しい方式で、長距離、高速な暗号通信ができるとして注目されているのが、Y-00暗号方式です。ところがそのY-00暗号が通常の古典的なストリーム暗号と等価の計算量的な安全性しか保証しないという論文が発表されて議論になっているようですね。

Continue reading "新量子暗号Y-00の安全性"

マイクロソフト Zotob に関する情報

　こんにちは、丸山満彦です。マイクロソフトが8月にリリースしたパッチで修正される「プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる」という脆弱性が利用したワームが若干出ているようですが、それほど広がっているようでもなさそうです。で、対応のページですが・・・
　これが結構、難しいことを書いていますね・・・

Continue reading "マイクロソフト Zotob に関する情報"

IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂

　こんにちは、丸山満彦です。経済産業省の施策である。脆弱性情報の流通の仕組み、「情報セキュリティ早期警戒パートナーシップ」は成功している施策の一つであると思っています。このパートナーシップのガイドラインが半年の運用を経て改訂されたようです。改訂されるということは、機能しているということなんでしょう。

Continue reading "IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂"

経済産業省 「米国におけるカード会員情報の流出について」

　こんにちは、丸山満彦です。経済産業省から、「米国におけるカード会員情報の流出について」が2005.06.28公表されていますね。米国では政府やカード会社の対応があまりよくないという新聞報道もあったようですが、日本では迅速に対応されているようですね。信頼できるところが情報を整理して迅速に発表してくれると国民もとりあえず安心できますね。

Continue reading "経済産業省　「米国におけるカード会員情報の流出について」"

Microsoftからの緊急パッチメールに見せかけてボットを仕込む

　こんにちは、丸山満彦です。マイクロソフトからのメールに見せかけてボットを仕込むという方法です。
気をつけないと・・・

Continue reading "Microsoftからの緊急パッチメールに見せかけてボットを仕込む"

IPA ドメイン名の登録と DNS サーバの設定に関する注意喚起

　こんにちは、丸山満彦です。IPAから「ドメイン名の登録と DNS サーバの設定に関する注意喚起」が公表されていました。

Continue reading "IPA ドメイン名の登録と DNS サーバの設定に関する注意喚起"

警察庁とマイクロソフトが技術協力

　こんにちは、丸山満彦です。日本に来日しているビルゲイツさんがインターネット安全運動の講演の中で、警察庁と技術協力について契約を締結したと発表したようですね。

Continue reading "警察庁とマイクロソフトが技術協力"

ネット犯罪悪用の恐れ 内閣官房情報セキュリティセンター 全省庁に委託業者の一斉点検を指示

　こんにちは、丸山満彦です。今朝（2005.06.26）の日経新聞の朝刊の1面に「官公庁サイト　ネット犯罪悪用の恐れ　4機関で緊急修正　政府、官民に対策促す」という記事がでていましたね。

Continue reading "ネット犯罪悪用の恐れ　内閣官房情報セキュリティセンター　全省庁に委託業者の一斉点検を指示　"

IPA ウェブサイト脆弱性対策のチェックポイント

　こんにちは、丸山満彦です。IPAが、ウェブサイト脆弱性対策のチェックポイントを公開しています。

Continue reading "IPA ウェブサイト脆弱性対策のチェックポイント"

6月のMSセキュリティ情報の通知は10件だそうだ・・・

　こんにちは、丸山満彦です。6月のマイクロソフトのセキュリティパッチは10件で最大深度は緊急ということのようです。14日が発表日ですね。

Continue reading "6月のMSセキュリティ情報の通知は10件だそうだ・・・"

マイクロソフトのMSNのサイトでクロスサイトスクリプティングの脆弱性

　こんにちは、丸山満彦です。ウェブサイトを含むソフトウェアの脆弱性をなくすにはどうしたらよいのでしょうか？マイクロソフトのMSNウェブサイトにもクロスサイトスクリプティングの脆弱性があったようですね。

Continue reading "マイクロソフトのMSNのサイトでクロスサイトスクリプティングの脆弱性"

最近のバグ、脆弱性情報など

　こんにちは、丸山満彦です。最近、ソフトウェアの不具合や、脆弱性情報の発表が多いように思えているのは私だけでしょうか？。ミッション・クリティカルなシステムが脆弱だと危ないですね・・・脆弱なソフトと知りながら、ミッション・クリティカルなシステムにそれを使うと経営者の責任も問われないのでしょうか。

Continue reading "最近のバグ、脆弱性情報など"

MS、脆弱性の対処方法を見直し

　こんにちは、丸山満彦です。マイクロソフトが毎月公表しているセキュリティパッチとは別に、研究者などから脆弱性情報が公開されると直ちに対処する「Microsoftセキュティアドバイザリー」制度を開始するそうです。

Continue reading "MS、脆弱性の対処方法を見直し"

マイクロソフト社の2005年4月の脆弱性

　こんにちは、丸山満彦です。マイクロソフトの4月の脆弱性情報が公開されています。　

■マイクロソフト社の2005.04の脆弱性情報

その要約（にもなっていないか・・・）

Continue reading "マイクロソフト社の2005年4月の脆弱性"

4月のマイクロソフト セキュリティ情報の事前通知は8件だそうだ・・・

　こんにちは、丸山満彦です。マイクロソフトからメールが来ました。それによると、4月のセキュリティ情報の事前通知は8件だそうです。前月は0だったのにね・・・緊急もあるそうです・・・

Continue reading "4月のマイクロソフト セキュリティ情報の事前通知は8件だそうだ・・・"

管理者の権限を持たないユーザーがリモート コンピュータから TSShutdn.exe コマンドを使用して Windows XP Service Pack 1 ベースのコンピュータをシャットダウンできる

　こんにちは、丸山満彦です。小島先生のウェブをみていたら、2005.04.06付けで、マイクロソフトから、「管理者の権限を持たないユーザーがリモート コンピュータから TSShutdn.exe コマンドを使用して Windows XP Service Pack 1 ベースのコンピュータをシャットダウンできる」が、公表されていることがわかりました。

これって、便利な機能なんでしょうか？困った問題なのでしょうか？

Continue reading "管理者の権限を持たないユーザーがリモート コンピュータから TSShutdn.exe コマンドを使用して Windows XP Service Pack 1 ベースのコンピュータをシャットダウンできる"

「米国政府が最初にWindowsのパッチを入手することに」

　こんにちは、丸山満彦です。日経BP社のITプロにありましたが・・・マイクロソフトが脆弱性情報を米国政府の国土安全保障省(DEPARTMENT OF HOMELAND SECURITY)に優先的に配布するらしい・・・

Continue reading "「米国政府が最初にWindowsのパッチを入手することに」"

脆弱性の深刻さ測る「共通語」の策定進む

　こんにちは、丸山満彦です。ITメディアに表記の記事がありました。

Continue reading "脆弱性の深刻さ測る「共通語」の策定進む"

[OL2003] MS05-012 適用後に添付ファイル名が空白になる

　こんにちは、丸山満彦です。まさにこれが起こっていますね・・・。

Continue reading "[OL2003] MS05-012 適用後に添付ファイル名が空白になる"

ウイルスの早期検知と誤検知

　こんにちは、丸山満彦です。2月8日にMicrosoft社から発表された脆弱性情報であるが、一日後には、その脆弱性をつくコードが出回って問題となりましたね（ITプロ　SANS）。　
　こうなると、脆弱性のパッチも早く当てないといけないし、アンチウイルスベンダーもこのようなコードに対して早く対応しなければなりませんね。　しかし・・・・

Continue reading "ウイルスの早期検知と誤検知"

緊急が８件もあった・・・

　こんにちは、丸山満彦です。２月９日（日本時間）にMicrosoft社の脆弱性情報が公開されたわけですが・・・今回は、緊急が８件あったみたいですね。

Continue reading "緊急が８件もあった・・・"

ソフトウエア等の脆弱性関連情報に関する届出状況

　こんにちは、丸山満彦です。経済産業省が、2004年第4四半期（10月～12月）の脆弱性情報の届け状況について発表しています。
　制度は順調に活用されているようですね。

Continue reading "ソフトウエア等の脆弱性関連情報に関する届出状況"

ACCS事件 懲役8月 <-> 無罪

　こんにちは、丸山満彦です。ACCSのサイト上から個人情報が読み取れたことを発表した元研究員の行為が不正アクセスに該当するかどうかを争っている裁判で、検察側は懲役8月を求刑、弁護側は無罪を主張した。

Continue reading "ACCS事件 懲役8月 <-> 無罪"

電話の発信番号通知偽装

　こんにちは、丸山満彦です。振り込め詐欺で、「電話の発信番号通知偽装」が行われていて問題となっている件につき備忘録的にリンクしました。昨年の12月にも警察の電話番号を偽装した事件がありましたね。

Continue reading "電話の発信番号通知偽装"

緊急が２、重要が１ MS05-001,002,003

　こんにちは、丸山満彦です。今朝、マイクロソフトの脆弱性のパッチが公開されていました。

Continue reading "緊急が２、重要が１　MS05-001,002,003"

マイクロソフト 次回のパッチの更新は1月11日 最大深刻度は「緊急」

　こんにちは、丸山満彦です。表記の通りです。最大深刻度は「緊急」、でも、11日（米国時間）までは秘密といわれると、心づもりだけはしておかないとだめですね。

Continue reading "マイクロソフト　次回のパッチの更新は1月11日　最大深刻度は「緊急」"

脆弱性の発見とマイクロソフトの対応

　こんにちは、丸山です。マイクロソフト社のセキュリティレスポンスチームのメンバーが「脆弱性の発見とマイクロソフトの対応」という表題で、新たに発見された脆弱性に対して、マイクロソフトが行っている対応の流れを説明しています。　図表も含めわかりやすく解説されています。　私が気になるのは・・・

Continue reading "脆弱性の発見とマイクロソフトの対応"

マイクロソフト セキュリティ情報 MS04-042 更新

　こんにちは、丸山です。12月21日付けでマイクロソフト社が「マイクロソフト セキュリティ情報 MS04-042 更新」しています。

Continue reading "マイクロソフト セキュリティ情報 MS04-042 更新"

マイクロソフト MS04-045 更新 12月17日

　こんにちは、トーマツの丸山です。マイクロソフトの脆弱性のセキュリティパッチMS04-045 が12月17日に更新されています。　12月15日のアップデート以降の更新です。

Continue reading "マイクロソフト　MS04-045 更新　12月17日"

アクロバットリーダの脆弱性

　こんにちは。トーマツの丸山です。脆弱性といえば、Windowsばかりではありませんね。PDFファイルを読むときにお世話になっている、アクロバットリーダにも脆弱性があると報告されています。

Continue reading "アクロバットリーダの脆弱性"

proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない

　皆さん、こんにちは。トーマツ丸山です。「proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない 」ということがおこっていることを、お恥ずかしながら、小島さんのブログのようなウェブと、上原さんのブログで、今頃知りました。

Continue reading "proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない"

マイクロソフトアップデート 2004.12.15

　皆さん、こんにちは。トーマツの丸山です。本日朝4：49にマイクロソフト社からメールが来ました。脆弱性情報（セキュリティパッチ）のアップデートです。

Continue reading "マイクロソフトアップデート 2004.12.15"