「CSRF」最新記事一覧

Google、脆弱性情報に支払う賞金を大幅アップ　攻撃側に対抗か
コード実行を許す恐れのある脆弱性情報の提供者に払う賞金は2万ドルとなり、これまでの3133ドルから大幅にアップした。（2012/4/24）

制御システムのセキュリティは“10年遅れ”　急がれる対策の今
原子力施設の制御システムの不正操作を狙ったとされる「Stuxnet攻撃」を契機に、社会インフラを支える制御システムのセキュリティ問題が注目されつつある。国内外の現状とはいかに――。（2012/2/6）

マルチSSIDにも対応：
イー・アクセス、「Pocket WiFi（GP02）」をアップデート　セキュリティ性を改善
イー・アクセスは、モバイルWi-Fiルーター「Pocket WiFi（GP02）」の最新ファームウェアを公開した。悪意あるページにアクセスすると端末が初期化される脆弱性を解消する。（2012/2/2）

イー・アクセスのPocket WiFiに脆弱性、意図しない動作の恐れ
「GP02」にクロスサイトリクエストフォージェリの脆弱性が存在する。（2012/2/1）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
攻撃者の立場で脆弱性を学ぶAppGoatによる演習の勧め
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の10回目は、脆弱性体験学習ツール「AppGoat」を紹介します。開発に携わる初心者から上級者までを対象に、脆弱性の発見と対策を体系的に学習できるツールです。（2012/1/30）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
RPGで体験して学ぶ　安全なWebサイトの運営と管理
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の5回目。Webサイトを狙った7つの攻撃パターンをロールプレイングで体験できるツールの紹介です。Webシステムへの攻撃による影響と事前対策の必要性を学びます。（2011/12/12）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
知っていますか？　脆弱性――アニメで見るウェブサイトの脅威と仕組み
情報セキュリティ対策に活用できるIPAの10個のツールやコンテンツを紹介します。今回はWebサイトに関する脆弱性や対策を学べるアニメを取り上げます。（2011/11/14）

Facebook、脆弱性情報を寄せた研究者に報奨金
Facebookがクロスサイトスクリプティング（XSS）などの脆弱性を発見・報告した研究者に報奨金を支払う制度を導入した。（2011/8/1）

Firefoxの更新版がリリース、コード実行やCSRF攻撃の恐れ
Webブラウザ更新版の「Firefox 3.6.14」では10件の脆弱性に対処した。（2011/3/3）

「WAF」製品紹介【第4回】シトリックス・システムズ編
L7スイッチとも連携可能なWAF「Citrix NetScaler Application Firewall」
シトリックスはWAFの技術をL7スイッチング機能を持つNetScalerとハードウェア／OSを共用して連携することで、Webサイトに必要となる機能を統合的に実現している。（2011/2/23）

富士通の施設情報管理システムに複数の脆弱性
富士通の施設情報管理システム製品「e-Pares」に、不正操作につながる複数の脆弱性が見つかった。（2010/6/2）

Google Chromeの更新版がリリース
7件の脆弱性が存在し、うち4件が「高リスク」に分類されている。（2010/4/22）

「ヘタクソ」pixivに意図せず中傷コメント　CSRF脆弱性を悪用
pixivで、一部の作品に対し「ツマンネ」「ヘタクソ」などと中傷コメントが勝手に投稿されてしまう問題が起きた。CSRF脆弱性を悪用したもので、既に修正された。（2010/2/15）

Google Chrome 4で注目したいセキュリティ強化の新機能
Chrome 4にはXSS攻撃やCSRF攻撃、クリック乗っ取りといったさまざまな攻撃からサイトを守るための新機能が実装された。（2010/1/29）

Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
「Ameba」のセキュリティ啓発キャンペーン「ノートン警察」で配布していたブログパーツが不正アクセスで改ざんされ、閲覧したユーザーがトロイの木馬型ウイルスに感染した恐れがある。（2010/1/7）

ブログ、ピグ、なう――Amebaが目指すもの
「Amebaピグ」「Amebaなう」など、Amebaブランドのサービスが急成長している。中長期的なビジョンは「ない」が、「国内最大規模のネットメディアを目指している」という。（2009/12/22）

「“Amebaなう”はTwitterとカニバらない」――中の人に聞く
モバイル版に続き、PC版がリリースされた「Amebaなう」。とかくTwitterとの類似を指摘される向きもあるが、運営側の狙い、そして主なユーザー層となる女性の反応は異なるようだ。（2009/12/12）

URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
「Amebaなう」で、あるURLをクリックすると、「こんにちは　こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、特定のアカウントを自動でフォローしてしまうという現象が広がった。（2009/12/11）

AppleがSafariブラウザの脆弱性を修正、MacとWindowsに影響
Mac OS XとWindows向けのブラウザ更新版となる「Safari 4.0.4」をリリースした。（2009/11/12）

Roundcube Webmailに2件の脆弱性、更新版で対処
オープンソースのWebメール「Roundcube Webmail」に、2件のクロスサイトリクエストフォージェリの脆弱性が見つかった。（2009/11/4）

CMSソフトのbingo!CMSにCSRFの脆弱性
有償版を含むbingo!CMSにコンテンツ改ざんなどにつながる恐れのある脆弱性が見つかった。（2009/8/27）

ハッカーは流行に敏感：
最大の攻撃目標になったソーシャルネットワーク
TwitterやFacebookの人気が高まるにつれ、さまざまな手段によるハッキング攻撃が増加している。（2009/8/20）

Webの脆弱性対策は教育と定期検査が重要、MBSDが分析
三井物産セキュアディレクションは、2008年度に実施したWebアプリケーションの脆弱性検査の動向をまとめたリポートを発表した。（2009/7/21）

Chrome 2.0のセキュリティ対策は？
30％の高速化を実現したChrome 2.0は、CSRF対策やクリックジャック対策など、セキュリティ面も強化している。（2009/5/26）

XSSやコード実行の恐れ：
NovellのGroupWiseに複数の脆弱性
GroupWiseに深刻な脆弱性が複数見つかり、Novellがアップデートで対処した。（2009/2/3）

権限奪取や改ざんの恐れ：
オープンソースCMSの「MODx」に複数の脆弱性
MODxにクロスサイトスクリプティングやSQLインジェクションなど複数の脆弱性が見つかった。（2009/1/9）

ホワイトペーパー：
狙われるWebアプリ、対策の第一歩はWAFの導入から
SQLインジェクションやXSSなど、Webサイトを狙う攻撃の活発化が深刻になっている。ECサイトを運営する企業にとってWebアプリの脆弱性対策は急務だが、既存のファイアウォールで解決することは難しいのだ（提供：バラクーダネットワークスジャパン）。（2009/1/7）

PHPフレームワーク「Yii Framework 1.0」登場
オブジェクト指向のPHPフレームワーク、「Yii Framework 1.0」がリリースされた。クロスサイトスクリプティングやクロスサイトリクエストフォージェリなどの攻撃に対応するセキュリティ機能を持つ。（2008/12/8）

設定が変更される恐れ：
アイ・オー・データのHDDにCSRFの脆弱性
LAN接続型HDD製品の「HDL-F」シリーズにクロスサイトリクエストフォージェリの脆弱性が見つかった。（2008/11/26）

Ruby on Railsのセキュリティガイドブックが公開
Ruby on Railsのセキュリティガイド「Ruby on Rails Security guide」をドイツの企業が公開した。Webアプリケーション層をターゲットとした攻撃の増加が予想される中で一読の価値がある。（2008/11/7）

Mac OS Xのアップデート公開、40件の脆弱性に対処
「Security Update 2008-007」では、Mac OS X 10.4.11と10.5.5の多数の脆弱性を修正した。（2008/10/14）

記事改ざんの可能性：
ブログ作成ツール「Blogn」に複数の脆弱性
クロスサイトリクエストフォージェリおよびクロスサイトスクリプティングの2件の脆弱性が見つかった。（2008/8/29）

グループウェアのLa!cooda WIZとLacoodaSTに複数の脆弱性
クロスサイトスクリプティングやセッション固定の脆弱性など4件の脆弱性が見つかった。なりすましやリモートから任意のコードを実行される可能性がある。（2008/8/21）

なりすましやデータ改ざんの恐れ：
センチュリー・システムズのルータ製品にCSRFの脆弱性
複数製品に脆弱性が見つかったが一部製品では対処待ちとなっている。（2008/7/23）

今、見直すWebアプリケーションのセキュリティ
Webサイト防御のためにできること
Webサイトへの攻撃が後を絶たない。改ざんや悪質サイトへと誘導するその手口はさらに巧妙化し、従来のIPSなどでは防ぎきれなくなった。サイトを脅威から守るために、今すぐできるセキュリティ対策を紹介する。（2008/7/10）

なりすましやデータ改ざんの恐れ：
サイボウズのグループウェア製品に3件の脆弱性
ガルーンやOfficeのグループウェア製品にクロスサイトリクエストフォージェリなど3件の脆弱性が発見された。（2008/6/27）

北京五輪と同時にマルウェアが起動？　不審な文書ファイルに警戒を
IPAは、マルウェアを潜ませた文書ファイルが流通する恐れがあるとして警戒を呼びかけた。タイマーのように起動するという。（2008/4/2）

Webサイトの脆弱性は平均7件
WhiteHat Securityの報告書によれば、保険業やIT業界のWebサイトに深刻な脆弱性が多いという。（2008/3/26）

IE 5とIE 6にCSRFの脆弱性
問題を悪用されると、不正iFrameなどを使ってクロスサイトフォージェリ（CSRF）攻撃を仕掛けられる恐れがある。（2008/3/12）

ヤマハのルータ製品にCSRFの脆弱性
IPAセキュリティセンターとJPCERT/CCは、複数のヤマハルータ製品に脆弱性があると発表した。（2008/1/29）

「IE＋Gmail」の脆弱性、セキュリティ研究者が指摘
ネットカフェなどの端末でIEからGmailを使うと機密情報が漏れる恐れがあるとセキュリティ研究者が警告。Microsoftは「製品の脆弱性ではない」と反論している。（2007/12/18）

“RESTful”なRuby on Rails 2.0リリース
「Ruby on Rails 2.0」ではRESTサポートが強化され、セキュリティも改善されている。（2007/12/11）

Firefoxに危険度「高」の脆弱性、最新版にアップデートを
FirefoxとSeamonkeyで3件の脆弱性が見つかった。Mozillaは修正版のFirefoxをリリース済み。（2007/11/27）

バッファローの無線LAN製品にCSRFの脆弱性、ファームウェア更新で対処
バッファロー製の無線LANルータ「AirStation」2製品に、クロスサイトリクエストフォージェリの脆弱性が発見された。（2007/10/12）

AxisのネットワークカメラにXSSの脆弱性
US-CERTによると、Axis Communicationsのネットワークカメラに関する脆弱性情報が公開されたという。（2007/10/4）

GoogleがGmailの脆弱性に対処、ただし注意も必要
Gmailに見つかったクロスサイトリクエストフォージェリ（CSRF）の脆弱性についてUS-CERTがアラートを公開した。（2007/10/2）

「AOL Instant Messenger」に危険な脆弱性
問題を悪用されると、ユーザーが何も操作しなくても任意のコードを実行される恐れがあるという。（2007/9/27）

Gmailにゼロデイの脆弱性情報、メール盗み見の恐れ
検索アプライアンスの脆弱性に続き、メールサービス「Gmail」の脆弱性情報が公開された。（2007/9/26）

いまそこにある商用サイトの危機：
ユーザーの「安心感」を逆手に取る攻撃
Webアプリケーションを用いた商用サイトの脆弱性はいまも存在している。自社サイトの脆弱性の診断については最新の「攻撃手法」も考慮して行うべきだろう。（2007/9/6）

多様な脆弱性が存在する商用サイト：
「会社の息の根を止める」攻撃
Web2.0やSaaSなどWeb技術が花盛りだが、気になるのはWebアプリケーションを用いた商用サイトの脆弱性だ。今、自社のサイトに存在する脆弱性を確認し、必要な対策を講じる必要がある。（2007/9/4）