ITmedia総合  >  キーワード一覧  >  C

  • 関連の記事

「CSRF」最新記事一覧

想定していない外部のサイトからのHTTPリクエストにより、本来拒否すべき処理が実行させる攻撃。例えばログイン認証が必要な掲示板や日記サービスに対して、別のWebサイトに用意されたリンクをクリックすることで、掲示板への投稿や退会処理など、正規のアカウントでログインを行わなければできないような処理が実行されてしまう。
クロスサイトリクエストフォージェリ(CSRF) − @ITセキュリティ用語事典

とにかく速いWordPress(19):
「これだけ」はやっておこう──「WordPress実行環境とアプリ開発環境」のセキュリティ対策マニュアル
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、「WordPress実行環境としてのサーバのセキュリティ対策」と「開発者がWordPressアプリケーションを開発する際に実施すべき対策」のポイントを解説します。(2017/8/15)

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる
DoS攻撃ってドスドス攻撃することではないそうです。(2017/4/28)

ECサイト構築ソフト「CS-Cart」日本語版に複数の脆弱性 個人情報を不正に取得される恐れ
IPAが、ECサイト構築に利用する「CS-Cart」日本語版に発見された脆弱(ぜいじゃく)性を公表。悪用されると個人情報を不正に取得されたり、意図しない商品を購入させられたりする可能性があるという。最新バージョンに更新することで修正できる。(2017/4/6)

脆弱性別ではCSRFとSQLインジェクション、言語ではPHPが多く狙われた:
CDNetworksが2016年第4四半期サイバー攻撃の分析レポートを公開
シーディーネットワークス・ジャパンは、「2016年第4四半期サイバー攻撃の分析レポート」を公開した。脆弱性タイプ別で最も多かったものは、クロスサイトリクエストフォージェリー。最も頻繁に狙われる言語はPHPだった。(2017/3/14)

WordPressのアップデート公開、直ちに更新を 脆弱性悪用でWebサイト制御の恐れも
最新バージョンのWordPress 4.7.3では6件の脆弱性が修正された。(2017/3/8)

IPAの脆弱性体験学習ツールに4件の脆弱性、修正版が公開
脆弱性体験学習ツール「AppGoat」で任意のコードが実行されてしまうなどの複数の脆弱性が報告され、IPAが修正版へのアップデートを呼び掛けている(2017/2/9)

事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は?
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS(コンテンツマネジメントシステム)の意外な落とし穴と、お勧めの対策を解説する。(2016/12/26)

セキュリティ・キャンプ九州 in 福岡 2016レポート(後編):
サイバーセキュリティのプロになるための3箇条とは――熱気あふれた「セキュリティ合宿」
2016年9月16日から19日にかけて開催された「セキュリティ・キャンプ九州 in 福岡2016」から、専門講座のレポートをお届けする。(2016/10/21)

Cisco、多数製品のセキュリティアップデート公開 深刻な脆弱性も
Cisco Meeting Serverではクライアント認証を迂回されてしまう恐れがあるという。(2016/10/13)

Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。(2016/6/20)

システムインテグレーションとセキュリティ(3):
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか?
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。(2016/4/21)

Microsoftサービスでアカウント乗っ取りの問題報告
OutlookやAzureなどのアカウントを乗っ取ることができてしまうCSRF問題が発覚。Microsoftは連絡を受けてから2日で対処した。(2016/4/6)

BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開
BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。悪用された場合、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがある。(2015/12/11)

特集:セキュリティリポート裏話(2):
過去10年の「10大脅威」、決して変わらないセキュリティ対策とは
情報処理推進機構(IPA)が約10年にわたってまとめ、公表してきた「10大脅威」を参考に、セキュリティ脅威を取り巻く状況において何が変わり、何が変わらないのかを確認してみた。(2015/12/9)

Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。(2015/12/8)

攻撃者は何でもできるようになる
多くのルーターに存在するバックドア、最悪の悪用シナリオとは
米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか?(2015/11/6)

mixi Scrap Challengeリポート:
本番さながらの環境でXSSなどの脆弱性を探す、学生向けイベント
書籍などを通じて知識として知っているつもりの脆弱性。しかし、実際に手を動かしてその仕組みを体験するのは難しい。日本有数のSNS mixiや「モンスターストライク」などのサービスを展開しているミクシィが、同社本番環境のクローンに対する疑似攻撃を通じてWebサービスの脆弱性について学べる学生向けのイベントを開催した。(2015/9/14)

IT用語解説系マンガ:食べ超(78):
イカでも読めるJSON
異なる生物間でのデータのやり取りができるのは、DNAとJSONだけ! ※スマホでご覧の方は、「スマホ用」の画像「1」をタップして、右から左に順にスワイプしてください。(2015/9/2)

LINE、脆弱性情報への報奨金プログラムを実施へ
サイボウズなども導入している脆弱性報告者に報奨金を支払うプログラムを実施する。(2015/8/5)

最大で2万ドルの報奨金:
LINE、脆弱性の公募プログラム実施を発表
LINEは2015年8月5日、ユーザーが発見した脆弱性の公募プログラム「LINE Bug Bounty」の実施を発表した。脆弱性の報告者には、最大で2万ドルの報奨金が支払われるという。(2015/8/5)

米Honeywellのホームオートメーション用コントローラに脆弱性
悪用された場合、ホームオートメーション装置に対して攻撃者がコマンドを出し、玄関の開錠や施錠などの操作を行うことが可能とされる。(2015/7/28)

Adobe、Webアプリケーションの脆弱性情報の報告を要請
「HackerOne」サイト上に開設されたAdobeの脆弱性情報公開プログラムのページでは、研究者などが同社のオンラインサービスに存在するWebアプリケーションの脆弱性を非公開で報告できる。(2015/3/6)

Ubuntuがアップデート公開、深刻な脆弱性を修正
脆弱性を悪用された場合、任意のコードを実行されたりサービス妨害(DoS)攻撃を仕掛けられたりする恐れがある。(2015/1/21)

開発現場でちゃんと使えるRails 4入門(12):
Railsアプリの設計をMVCごとに見直しリファクタリングして連載総まとめ
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。最新版の4に対応しています。今回は、サンプルプロジェクトをMVCごとにRailsアプリの設計を見直してリファクタリングすることで、これまでの連載のおさらいをします。(2015/1/8)

WordPress、深刻な脆弱性を修正 XSS攻撃の恐れ
WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。(2014/11/21)

Microsoft、オンラインサービスの脆弱性情報に賞金制度を導入
まずOffice 365を対象として、同サービスの脆弱性を見つけてMicrosoftに報告した研究者に賞金を贈呈する。(2014/9/24)

Strutsへの脆弱性攻撃やパスワードリスト攻撃にも対応:
PR:「使い続けられるWAF」を実現、シマンテックのクラウド型WAFとは
手のかかるアプライアンスから、運用をアウトソースできるWAFへ。シマンテックがクラウド型WAFを推す理由とは。(2014/9/1)

開発現場でちゃんと使えるRails 4入門(8):
RailsのテンプレートエンジンSlimの書き方とActionViewのヘルパーメソッド、レイアウトの使い方
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。最新版の4に対応しています。今回は、Railsのテンプレートエンジン「Slim」の書き方やActionViewのヘルパーメソッド、レイアウトの使い方、ビューの実装時に押さえておきたいポイントなどについて。(2014/8/29)

セキュリティクラスター まとめのまとめ 2014年6月版:
LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
XSSに盗聴疑惑にチート摘発――ネットでは今月も、印象に残るさまざまな騒動が起きました。(2014/7/10)

Adobe、Flash Playerの更新版公開 JSONP関連の深刻な脆弱性が発覚
Flash Player更新版ではJSONPコールバックAPIの脆弱性に起因する問題など、3件の脆弱性を修正した。(2014/7/9)

詳報・遠隔操作事件・佐藤弁護士会見その2:
「サイコパスは自分」 有罪なら送信タイマーでメールを送るつもりだった 河川敷では見られていないと思っていた
横浜CSRF事件はやってみたら簡単にできてしまった。送信タイマーによるメールトリックは以前から考えていた。雲取山のUSBメモリは自分で埋めた。佐藤弁護士が事件について、片山被告から聞いたことを語った。(2014/5/20)

開発現場でちゃんと使えるRails 4入門(4):
現場で使えるか見極めたいRails 4.1の新機能8選
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。今回は、息抜きとして4.1の新機能を紹介。モデルで列挙型を簡単に扱えるEnumや新プリローダーSpringなど便利機能に加え、秘密鍵、署名付きトークン、CSRFプロテクションなどセキュリティ対策機能も紹介。(2014/5/16)

OWASP AppSec APAC 2014レポート:
404 Found――Webをセキュアに、ネットをセキュアに
Webサーバーを構成するソフトウェアやWebアプリケーションは頻繁に外部からの攻撃にさらされ、新たな脆弱性も発見されている。3月に開催された「OWASP AppSec APAC 2014」では、Webをセキュアなものにしていくために何が必要で、どんなポイントに注意すべきかといった知見が共有された。(2014/5/13)

@IT Security Live UP! 詳細レポート:
セキュリティの達人が語るこれからの対策と課題
「@IT Security Live UP! 絶対に守らなければならないシステムがそこにはある」の速報レポートではカバーし切れなかった、第一線の専門家による基調講演や特別講演、コミュニティセッションの模様を一挙に紹介する。(2014/3/27)

セキュリティクラスター まとめのまとめ 2014年2月版:
終わらないパスワード議論と、広告に求められる誠実さと
2014年2月は6桁のパスワードや人を騙す広告など、利用者側ではどうしようもないことに怒りが集中しました。(2014/3/11)

萩原栄幸の情報セキュリティ相談室:
元銀行員がひも解くフィッシング詐欺の中身と対策
警察庁によれば、昨年のフィッシング詐欺の国内被害は14億円を超え、2012年の30倍にもなった。メガバンク出身の筆者が、実際に直面したフィッシング詐欺の手口とその対策に迫る。(2014/2/28)

OWASP AppSec USA 2013 レポート(前編):
深刻な「ブラインドSQLインジェクション」の脅威
2013年11月18日から11月21日の4日間にわたり、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」がニューヨークで開催されました。その模様をお伝えします。(2014/2/4)

第8回OWASP Nightレポート:
PR:HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識
(2014/1/15)

エキスパートが注目:
2014年のセキュリティ脅威予測・Juniper編
セキュリティベンダー各社が2014年に予測されるセキュリティの動向や脅威などを専門家の見地から紹介している。Juniper Networksのトップ10予想はどのようなものか。(2013/12/26)

萩原栄幸の情報セキュリティ相談室:
2013年のセキュリティ事件簿・誤送信やWebサイト改ざんに学ぶ
情報セキュリティに関する事件は今年も多発し、収まる気配は感じられない。2013年に発生した事件を参考に、どうすればセキュリティを高めていけるかについて考えていく。今回は「誤送信」や「Webサイトの改ざん」がテーマだ。。(2013/12/6)

他人のアカウントからツイート投稿も、Twitterが脆弱性を修正
Twitterに存在していたCSRFの脆弱性を研究者が発見。悪用された場合、攻撃者が他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりすることが可能だった。(2013/11/7)

開発者にも、そして発注者にも安全なWebアプリの要件定義を:
OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開
OWASP Japanは2013年11月1日、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめた「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。(2013/11/1)

ITmedia エグゼクティブセミナーリポート:
サイバー攻撃から学ぶIT経営時代のセキュリティ対策
「もはや対処療法では守り切れない! サイバーテロ時代の情報セキュリティ」をテーマに「第27回 ITmedia エグゼクティブセミナー」を開催した。サイバーテロや情報漏えいなどのリスクは、どの企業にもあるということを前提としたプロセスづくりや体制づくりをはじめとする新たなアプローチについて紹介された。(2013/10/17)

@IT セキュリティセミナーレポート:
いま、企業が本当に取り組むべき標的型攻撃は?
8月28日に都内で開催された@IT編集部主催のセミナーのテーマは「標的型攻撃対策」。「やった気になるだけ」で終わるのではなく、本当に実効性を持った対策を進めていくためのヒントが紹介された。(2013/9/25)

単なる脆弱性「検査」からリスクに基づく「管理」へ:
PR:Tripwire Enterpriseを補完し、包括的なセキュリティ管理を実現する「Tripwire IP360」ソリューション
トリップワイヤ・ジャパンは脆弱性管理ソリューション「Tripwire IP360」の発売を開始した。既存製品の「Tripwire Enterprise」と相互に補完し合うソリューションの登場で、“新生”トリップワイヤのセキュリティポートフォリオはどう変化するのか。(2013/7/10)

セキュリティクラスタ まとめのまとめ 2013年5月版:
漏えい多発、多難の1カ月
三越伊勢丹ホールディングス、ディノス、資生堂、阪急阪神百貨店、そしてYahoo! Japanにエクスコムグローバル……5月は件数、内容ともに深刻な情報流出事件が次々に明らかになりました。(2013/6/14)

セキュリティ強化を目的に:
GitHub、プロジェクトページの全ドメインを「github.io」に移行
米GitHubは4月5日、GitHubでホスティングされているデベロッパのプロジェクトページを全て、新しい専用ドメインの「github.io」に移行させると発表した。(2013/4/8)

萩原栄幸の情報セキュリティ相談室:
情報漏えいがありました 今後注意すべき点はどこですか?
情報セキュリティの専門家・萩原栄幸氏による連載は今回から新テーマ。企業や組織、個人にとって起こりがちな情報セキュリティのトラブルと対策を解説していきます。(2013/4/5)

OWASP AppSec USA 2012 レポート:
WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは?
2012年10月22日から25日にかけて開催された、Webセキュリティに特化したイベント「OWASP AppSec USA 2012カンファレンス」。その模様をレポートします。(2013/2/14)

“迷探偵”ハギーのテクノロジー裏話:
2012年の情報セキュリティを総括する(後編)
情報セキュリティを脅かすさまざまな出来後に明け暮れた2012年。後編では「情報セキュリティ」というものの本質について考えながら、企業や組織で心掛けてほしい点をご紹介したい。(2012/12/28)



Twitter&TweetDeckライクなSNS。オープンソースで誰でもインスタンス(サーバ)を立てられる分散型プラットフォームを採用している。日本国内でも4月になって大きくユーザー数を増やしており、黎明期ならではの熱さが感じられる展開を見せている。+ こういったモノが大好きなITmedia NEWS編集部を中心に、当社でもインスタンス/アカウントを立ち上げました! →お知らせ記事

意欲的なメディアミックスプロジェクトとしてスタートしたものの、先行したスマホゲームはあえなくクローズ。しかしその後に放映されたTVアニメが大ヒットとなり、多くのフレンズ(ファン)が生まれた。動物園の賑わい、サーバルキャットの写真集完売、主題歌ユニットのミュージックステーション出演など、アニメ最終回後もその影響は続いている。

ITを活用したビジネスの革新、という意味ではこれまでも多くのバズワードが生まれているが、デジタルトランスフォーメーションについては競争の観点で語られることも多い。よくAmazonやUberが例として挙げられるが、自社の競合がこれまでとは異なるIT企業となり、ビジネスモデルレベルで革新的なサービスとの競争を余儀なくされる。つまり「IT活用の度合いが競争優位を左右する」という今や当たり前の事実を、より強調して表現した言葉と言えるだろう。