ITmedia総合  >  キーワード一覧  >  C

  • 関連の記事

「CSRF」関連の最新 ニュース・レビュー・解説 記事 まとめ

想定していない外部のサイトからのHTTPリクエストにより、本来拒否すべき処理が実行させる攻撃。例えばログイン認証が必要な掲示板や日記サービスに対して、別のWebサイトに用意されたリンクをクリックすることで、掲示板への投稿や退会処理など、正規のアカウントでログインを行わなければできないような処理が実行されてしまう。
クロスサイトリクエストフォージェリ(CSRF) − @ITセキュリティ用語事典

権利は国民の不断の努力によって保持しなければならない:
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)
Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。(2019/6/13)

セキュリティ・アディッショナルタイム(32):
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。(2019/6/6)

Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表
オープンソースCIツール「Jenkins」の脆弱性を突いて仮想通貨Moneroを採掘しようとするマルウェアが出回っているという。また、Jenkinsのプラグインの多くで脆弱性が放置されている問題も指摘された。(2019/5/9)

これからは継続的な脆弱性チェックが必須に:
PR:日常化するWebサイトの脆弱性を突く攻撃――“すぐそこにある脅威”に企業がとる最善の方法とは?
FinTechやIoTなど、デジタル変革の取り組みが進む中、Webサイトの更新サイクルはますます速まっている。同時に、攻撃者が新しいサービスに潜む脆弱性を見つけ出し、それを悪用する動きも加速している。これまでの手動の脆弱性検査では追随できなくなっているのが現状だ。そうしたWebサイトの現状にいま、求められるセキュリティサービスとはどのようなものなのか。(2019/3/27)

OpenSCAPで脆弱性対策はどう変わる?(2):
SCAPの構成要素、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)について。(2018/9/5)

特集:セキュリティリポート裏話(8):
「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ
セキュリティ対策をまとめ、強化する際に役立つ資料がある。政府やコミュニティーがまとめた公開ドキュメントだ。経済産業省の「サイバーセキュリティ経営ガイドライン Ver 2.0」とOWASPの「OWASP Top 10 - 2017(日本語版)」を中心に内容を紹介する。(2018/1/17)

Microsoft Azure、AWS Elastic Beanstalkを利用
DjangoとCakePHPを比較、あのPaaSと相性の良いWeb開発フレームワークは?
PaaSサービスとWeb開発フレームワークの相性が良いかどうかを確かめるのは難しい。本稿では、ニーズに最適なフレームワークを選ぶ方法を考える。(2017/12/5)

デジタルID最新動向(2):
図解:OAuth 2.0に潜む「5つの脆弱性」と解決法
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。(2017/10/24)

とにかく速いWordPress(19):
「これだけ」はやっておこう──「WordPress実行環境とアプリ開発環境」のセキュリティ対策マニュアル
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、「WordPress実行環境としてのサーバのセキュリティ対策」と「開発者がWordPressアプリケーションを開発する際に実施すべき対策」のポイントを解説します。(2017/8/15)

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる
DoS攻撃ってドスドス攻撃することではないそうです。(2017/4/28)

ECサイト構築ソフト「CS-Cart」日本語版に複数の脆弱性 個人情報を不正に取得される恐れ
IPAが、ECサイト構築に利用する「CS-Cart」日本語版に発見された脆弱(ぜいじゃく)性を公表。悪用されると個人情報を不正に取得されたり、意図しない商品を購入させられたりする可能性があるという。最新バージョンに更新することで修正できる。(2017/4/6)

脆弱性別ではCSRFとSQLインジェクション、言語ではPHPが多く狙われた:
CDNetworksが2016年第4四半期サイバー攻撃の分析レポートを公開
シーディーネットワークス・ジャパンは、「2016年第4四半期サイバー攻撃の分析レポート」を公開した。脆弱性タイプ別で最も多かったものは、クロスサイトリクエストフォージェリー。最も頻繁に狙われる言語はPHPだった。(2017/3/14)

WordPressのアップデート公開、直ちに更新を 脆弱性悪用でWebサイト制御の恐れも
最新バージョンのWordPress 4.7.3では6件の脆弱性が修正された。(2017/3/8)

IPAの脆弱性体験学習ツールに4件の脆弱性、修正版が公開
脆弱性体験学習ツール「AppGoat」で任意のコードが実行されてしまうなどの複数の脆弱性が報告され、IPAが修正版へのアップデートを呼び掛けている(2017/2/9)

事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は?
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS(コンテンツマネジメントシステム)の意外な落とし穴と、お勧めの対策を解説する。(2016/12/26)

セキュリティ・キャンプ九州 in 福岡 2016レポート(後編):
サイバーセキュリティのプロになるための3箇条とは――熱気あふれた「セキュリティ合宿」
2016年9月16日から19日にかけて開催された「セキュリティ・キャンプ九州 in 福岡2016」から、専門講座のレポートをお届けする。(2016/10/21)

Cisco、多数製品のセキュリティアップデート公開 深刻な脆弱性も
Cisco Meeting Serverではクライアント認証を迂回されてしまう恐れがあるという。(2016/10/13)

Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。(2016/6/20)

システムインテグレーションとセキュリティ(3):
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか?
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。(2016/4/21)

Microsoftサービスでアカウント乗っ取りの問題報告
OutlookやAzureなどのアカウントを乗っ取ることができてしまうCSRF問題が発覚。Microsoftは連絡を受けてから2日で対処した。(2016/4/6)

BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開
BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。悪用された場合、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがある。(2015/12/11)

特集:セキュリティリポート裏話(2):
過去10年の「10大脅威」、決して変わらないセキュリティ対策とは
情報処理推進機構(IPA)が約10年にわたってまとめ、公表してきた「10大脅威」を参考に、セキュリティ脅威を取り巻く状況において何が変わり、何が変わらないのかを確認してみた。(2015/12/9)

Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。(2015/12/8)

攻撃者は何でもできるようになる
多くのルーターに存在するバックドア、最悪の悪用シナリオとは
米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか?(2015/11/6)

mixi Scrap Challengeリポート:
本番さながらの環境でXSSなどの脆弱性を探す、学生向けイベント
書籍などを通じて知識として知っているつもりの脆弱性。しかし、実際に手を動かしてその仕組みを体験するのは難しい。日本有数のSNS mixiや「モンスターストライク」などのサービスを展開しているミクシィが、同社本番環境のクローンに対する疑似攻撃を通じてWebサービスの脆弱性について学べる学生向けのイベントを開催した。(2015/9/14)

IT用語解説系マンガ:食べ超(78):
イカでも読めるJSON
異なる生物間でのデータのやり取りができるのは、DNAとJSONだけ! ※スマホでご覧の方は、「スマホ用」の画像「1」をタップして、右から左に順にスワイプしてください。(2015/9/2)

LINE、脆弱性情報への報奨金プログラムを実施へ
サイボウズなども導入している脆弱性報告者に報奨金を支払うプログラムを実施する。(2015/8/5)

最大で2万ドルの報奨金:
LINE、脆弱性の公募プログラム実施を発表
LINEは2015年8月5日、ユーザーが発見した脆弱性の公募プログラム「LINE Bug Bounty」の実施を発表した。脆弱性の報告者には、最大で2万ドルの報奨金が支払われるという。(2015/8/5)

米Honeywellのホームオートメーション用コントローラに脆弱性
悪用された場合、ホームオートメーション装置に対して攻撃者がコマンドを出し、玄関の開錠や施錠などの操作を行うことが可能とされる。(2015/7/28)

Adobe、Webアプリケーションの脆弱性情報の報告を要請
「HackerOne」サイト上に開設されたAdobeの脆弱性情報公開プログラムのページでは、研究者などが同社のオンラインサービスに存在するWebアプリケーションの脆弱性を非公開で報告できる。(2015/3/6)

Ubuntuがアップデート公開、深刻な脆弱性を修正
脆弱性を悪用された場合、任意のコードを実行されたりサービス妨害(DoS)攻撃を仕掛けられたりする恐れがある。(2015/1/21)

開発現場でちゃんと使えるRails 4入門(12):
Railsアプリの設計をMVCごとに見直しリファクタリングして連載総まとめ
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。最新版の4に対応しています。今回は、サンプルプロジェクトをMVCごとにRailsアプリの設計を見直してリファクタリングすることで、これまでの連載のおさらいをします。(2015/1/8)

WordPress、深刻な脆弱性を修正 XSS攻撃の恐れ
WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。(2014/11/21)

Microsoft、オンラインサービスの脆弱性情報に賞金制度を導入
まずOffice 365を対象として、同サービスの脆弱性を見つけてMicrosoftに報告した研究者に賞金を贈呈する。(2014/9/24)

Strutsへの脆弱性攻撃やパスワードリスト攻撃にも対応:
PR:「使い続けられるWAF」を実現、シマンテックのクラウド型WAFとは
手のかかるアプライアンスから、運用をアウトソースできるWAFへ。シマンテックがクラウド型WAFを推す理由とは。(2014/9/1)

開発現場でちゃんと使えるRails 4入門(8):
RailsのテンプレートエンジンSlimの書き方とActionViewのヘルパーメソッド、レイアウトの使い方
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。最新版の4に対応しています。今回は、Railsのテンプレートエンジン「Slim」の書き方やActionViewのヘルパーメソッド、レイアウトの使い方、ビューの実装時に押さえておきたいポイントなどについて。(2014/8/29)

セキュリティクラスター まとめのまとめ 2014年6月版:
LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
XSSに盗聴疑惑にチート摘発――ネットでは今月も、印象に残るさまざまな騒動が起きました。(2014/7/10)

Adobe、Flash Playerの更新版公開 JSONP関連の深刻な脆弱性が発覚
Flash Player更新版ではJSONPコールバックAPIの脆弱性に起因する問題など、3件の脆弱性を修正した。(2014/7/9)

詳報・遠隔操作事件・佐藤弁護士会見その2:
「サイコパスは自分」 有罪なら送信タイマーでメールを送るつもりだった 河川敷では見られていないと思っていた
横浜CSRF事件はやってみたら簡単にできてしまった。送信タイマーによるメールトリックは以前から考えていた。雲取山のUSBメモリは自分で埋めた。佐藤弁護士が事件について、片山被告から聞いたことを語った。(2014/5/20)

開発現場でちゃんと使えるRails 4入門(4):
現場で使えるか見極めたいRails 4.1の新機能8選
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。今回は、息抜きとして4.1の新機能を紹介。モデルで列挙型を簡単に扱えるEnumや新プリローダーSpringなど便利機能に加え、秘密鍵、署名付きトークン、CSRFプロテクションなどセキュリティ対策機能も紹介。(2014/5/16)

OWASP AppSec APAC 2014レポート:
404 Found――Webをセキュアに、ネットをセキュアに
Webサーバーを構成するソフトウェアやWebアプリケーションは頻繁に外部からの攻撃にさらされ、新たな脆弱性も発見されている。3月に開催された「OWASP AppSec APAC 2014」では、Webをセキュアなものにしていくために何が必要で、どんなポイントに注意すべきかといった知見が共有された。(2014/5/13)

@IT Security Live UP! 詳細レポート:
セキュリティの達人が語るこれからの対策と課題
「@IT Security Live UP! 絶対に守らなければならないシステムがそこにはある」の速報レポートではカバーし切れなかった、第一線の専門家による基調講演や特別講演、コミュニティセッションの模様を一挙に紹介する。(2014/3/27)

セキュリティクラスター まとめのまとめ 2014年2月版:
終わらないパスワード議論と、広告に求められる誠実さと
2014年2月は6桁のパスワードや人を騙す広告など、利用者側ではどうしようもないことに怒りが集中しました。(2014/3/11)

萩原栄幸の情報セキュリティ相談室:
元銀行員がひも解くフィッシング詐欺の中身と対策
警察庁によれば、昨年のフィッシング詐欺の国内被害は14億円を超え、2012年の30倍にもなった。メガバンク出身の筆者が、実際に直面したフィッシング詐欺の手口とその対策に迫る。(2014/2/28)

OWASP AppSec USA 2013 レポート(前編):
深刻な「ブラインドSQLインジェクション」の脅威
2013年11月18日から11月21日の4日間にわたり、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」がニューヨークで開催されました。その模様をお伝えします。(2014/2/4)

第8回OWASP Nightレポート:
PR:HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識
(2014/1/15)

エキスパートが注目:
2014年のセキュリティ脅威予測・Juniper編
セキュリティベンダー各社が2014年に予測されるセキュリティの動向や脅威などを専門家の見地から紹介している。Juniper Networksのトップ10予想はどのようなものか。(2013/12/26)

萩原栄幸の情報セキュリティ相談室:
2013年のセキュリティ事件簿・誤送信やWebサイト改ざんに学ぶ
情報セキュリティに関する事件は今年も多発し、収まる気配は感じられない。2013年に発生した事件を参考に、どうすればセキュリティを高めていけるかについて考えていく。今回は「誤送信」や「Webサイトの改ざん」がテーマだ。。(2013/12/6)

他人のアカウントからツイート投稿も、Twitterが脆弱性を修正
Twitterに存在していたCSRFの脆弱性を研究者が発見。悪用された場合、攻撃者が他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりすることが可能だった。(2013/11/7)

開発者にも、そして発注者にも安全なWebアプリの要件定義を:
OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開
OWASP Japanは2013年11月1日、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめた「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。(2013/11/1)



2013年のα7発売から5年経ち、キヤノン、ニコン、パナソニック、シグマがフルサイズミラーレスを相次いで発表した。デジタルだからこそのミラーレス方式は、技術改良を積み重ねて一眼レフ方式に劣っていた点を克服してきており、高級カメラとしても勢いは明らかだ。

言葉としてもはや真新しいものではないが、半導体、デバイス、ネットワーク等のインフラが成熟し、過去の夢想であったクラウドのコンセプトが真に現実化する段階に来ている。
【こちらもご覧ください】
Cloud USER by ITmedia NEWS
クラウドサービスのレビューサイト:ITreview

これからの世の中を大きく変えるであろうテクノロジーのひとつが自動運転だろう。現状のトップランナーにはIT企業が目立ち、自動車市場/交通・輸送サービス市場を中心に激変は避けられない。日本の産業構造にも大きな影響を持つ、まさに破壊的イノベーションとなりそうだ。