「CSRF」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
Cisco ExpresswayにCVSS9.6の脆弱性　回避策はないため急ぎアップデートを
CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」（Critital）と評価されている。（2024/2/13）

これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは？　「Webアプリの脆弱性対策＝WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。（2024/2/19）

「CWE Top 25」2023年版、MITREが発表：
ソフトウェア開発で気を付けたい脆弱性トップ25　3位は「SQLインジェクション」　2位は「XSS」　1位は？
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。（2023/7/13）

パッと見分からないけど笑うと……？　菊地亜美、別人級のコスプレ披露も「口みてすぐわかりました」とバレバレ
パッと見分からないけど……。（2023/5/19）

どうなった「Exchange Server」の“あの脆弱性”【第2回】
Exchange Serverの脆弱性「ProxyLogon」を今でも軽視してはいけない理由
2020年に見つかった、Microsoftの「Exchange Server」の一連の脆弱性。最初に発見されたのは、「ProxyLogon」と呼ばれる脆弱性だ。その危険性とは。（2023/2/10）

Azure App Serviceのデプロイエンジン「Kudu」にCSRFの脆弱性　得られる教訓は？
Ermeticの研究チームがMicrosoft Azureのサービスやアプリに影響を与える脆弱性を発見した。これを悪用されると、リモートからのコード実行が可能になるため注意が必要だ。（2023/1/21）

富士ソフトのモバイルルーター「＋F FS040W」に脆弱性　ソフトウェア更新で対処
富士ソフトのモバイルルーター「＋F FS040W」に「クロスサイトリクエストフォージェリ」の脆弱（ぜいじゃく）性が判明。悪用された場合に初期化（工場出荷設定）や再起動される可能性があり、ソフトウェアをバージョンアップで対処できる。（2022/10/31）

サイバー攻撃者に悪用されやすい脆弱性タイプは？ 2022年版「CWE Top 25」が公開
HSSEDIは「CWE Top 25 Most Dangerous Software Weaknesses」の2022年版を公開した。サイバー攻撃者が悪用する脆弱性タイプがランキング形式で紹介されている。参考の上、対処することが望まれる。（2022/7/2）

VMwareの複数製品に「緊急」の脆弱性　サイバー攻撃への悪用を確認済み
VMwareは複数の自社製品に脆弱性が存在すると発表した。既にサイバー攻撃に悪用されている深刻度「緊急」（Critical）に分類される脆弱性も含まれており注意が必要だ。（2022/4/16）

8万4000超のWebサイトに乗っ取りのリスク　WordPressプラグインの脆弱性、確認とアップデートを
述べ8万4000を超えるWebサイトで利用されているWordPressプラグインに乗っ取りの脆弱性が存在することが明らかになった。攻撃が成功するには管理者の操作が必要になるためハードルは高いと見られているが、成功した場合にはサイトの乗っ取りが可能であることから注意が必要だ。（2022/1/18）

個人情報漏えいにつながる恐れも：
AmazonのAlexaに脆弱性、修正もスマートデバイス経由の個人情報流出に警鐘
Amazonは問題を修正。「IoTデバイスは本質的に脆弱で、適切なセキュリティ対策が欠如していることから、攻撃の格好の標的になる」と、セキュリティ企業は警鐘を鳴らしている。（2020/8/14）

Webアプリケーションを脅かす5つの脆弱性【後編】
バッファオーバーフロー、CSRF、アクセス権限の不備とは？　危険なWeb脆弱性
主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。（2020/5/1）

Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは？　Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。（2020/4/16）

「Google Chrome 80」リリース、新しいCookieの分類システムを導入
Chrome 80では新しいCookieの分類システムを導入。多数の脆弱性に対処し、通知許可のリクエストを目立たせないUIを採用してユーザーのプライバシー保護を強化した。（2020/2/7）

権利は国民の不断の努力によって保持しなければならない：
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか（Coinhive事件解説 前編）
Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。（2019/6/13）

セキュリティ・アディッショナルタイム（32）：
深夜のXSS講座も？　サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。（2019/6/6）

Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表
オープンソースCIツール「Jenkins」の脆弱性を突いて仮想通貨Moneroを採掘しようとするマルウェアが出回っているという。また、Jenkinsのプラグインの多くで脆弱性が放置されている問題も指摘された。（2019/5/9）

これからは継続的な脆弱性チェックが必須に：
PR：日常化するWebサイトの脆弱性を突く攻撃――“すぐそこにある脅威”に企業がとる最善の方法とは？
FinTechやIoTなど、デジタル変革の取り組みが進む中、Webサイトの更新サイクルはますます速まっている。同時に、攻撃者が新しいサービスに潜む脆弱性を見つけ出し、それを悪用する動きも加速している。これまでの手動の脆弱性検査では追随できなくなっているのが現状だ。そうしたWebサイトの現状にいま、求められるセキュリティサービスとはどのようなものなのか。（2019/3/27）

OpenSCAPで脆弱性対策はどう変わる？（2）：
SCAPの構成要素、CWE（共通脆弱性タイプ）、CCE（共通セキュリティ設定一覧）とは
本連載では、グローバルスタンダードになっている「SCAP」（セキュリティ設定共通化手順）、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE（共通脆弱性タイプ）、CCE（共通セキュリティ設定一覧）について。（2018/9/5）

特集：セキュリティリポート裏話（8）：
「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ
セキュリティ対策をまとめ、強化する際に役立つ資料がある。政府やコミュニティーがまとめた公開ドキュメントだ。経済産業省の「サイバーセキュリティ経営ガイドライン Ver 2.0」とOWASPの「OWASP Top 10 - 2017（日本語版）」を中心に内容を紹介する。（2018/1/17）

Microsoft Azure、AWS Elastic Beanstalkを利用
DjangoとCakePHPを比較、あのPaaSと相性の良いWeb開発フレームワークは？
PaaSサービスとWeb開発フレームワークの相性が良いかどうかを確かめるのは難しい。本稿では、ニーズに最適なフレームワークを選ぶ方法を考える。（2017/12/5）

デジタルID最新動向（2）：
図解：OAuth 2.0に潜む「5つの脆弱性」と解決法
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱（ぜいじゃく）性と攻撃手法、対策についてシーケンス図を使って解説する。（2017/10/24）

とにかく速いWordPress（19）：
「これだけ」はやっておこう──「WordPress実行環境とアプリ開発環境」のセキュリティ対策マニュアル
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、「WordPress実行環境としてのサーバのセキュリティ対策」と「開発者がWordPressアプリケーションを開発する際に実施すべき対策」のポイントを解説します。（2017/8/15）

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる
DoS攻撃ってドスドス攻撃することではないそうです。（2017/4/28）

ECサイト構築ソフト「CS-Cart」日本語版に複数の脆弱性 個人情報を不正に取得される恐れ
IPAが、ECサイト構築に利用する「CS-Cart」日本語版に発見された脆弱（ぜいじゃく）性を公表。悪用されると個人情報を不正に取得されたり、意図しない商品を購入させられたりする可能性があるという。最新バージョンに更新することで修正できる。（2017/4/6）

脆弱性別ではCSRFとSQLインジェクション、言語ではPHPが多く狙われた：
CDNetworksが2016年第4四半期サイバー攻撃の分析レポートを公開
シーディーネットワークス・ジャパンは、「2016年第4四半期サイバー攻撃の分析レポート」を公開した。脆弱性タイプ別で最も多かったものは、クロスサイトリクエストフォージェリー。最も頻繁に狙われる言語はPHPだった。（2017/3/14）

WordPressのアップデート公開、直ちに更新を　脆弱性悪用でWebサイト制御の恐れも
最新バージョンのWordPress 4.7.3では6件の脆弱性が修正された。（2017/3/8）

IPAの脆弱性体験学習ツールに4件の脆弱性、修正版が公開
脆弱性体験学習ツール「AppGoat」で任意のコードが実行されてしまうなどの複数の脆弱性が報告され、IPAが修正版へのアップデートを呼び掛けている（2017/2/9）

事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は？
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS（コンテンツマネジメントシステム）の意外な落とし穴と、お勧めの対策を解説する。（2016/12/26）

セキュリティ・キャンプ九州 in 福岡 2016レポート（後編）：
サイバーセキュリティのプロになるための3箇条とは――熱気あふれた「セキュリティ合宿」
2016年9月16日から19日にかけて開催された「セキュリティ・キャンプ九州 in 福岡2016」から、専門講座のレポートをお届けする。（2016/10/21）

Cisco、多数製品のセキュリティアップデート公開　深刻な脆弱性も
Cisco Meeting Serverではクライアント認証を迂回されてしまう恐れがあるという。（2016/10/13）

Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。（2016/6/20）

システムインテグレーションとセキュリティ（3）：
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか？
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。（2016/4/21）

Microsoftサービスでアカウント乗っ取りの問題報告
OutlookやAzureなどのアカウントを乗っ取ることができてしまうCSRF問題が発覚。Microsoftは連絡を受けてから2日で対処した。（2016/4/6）

BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開
BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。悪用された場合、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがある。（2015/12/11）

特集：セキュリティリポート裏話（2）：
過去10年の「10大脅威」、決して変わらないセキュリティ対策とは
情報処理推進機構（IPA）が約10年にわたってまとめ、公表してきた「10大脅威」を参考に、セキュリティ脅威を取り巻く状況において何が変わり、何が変わらないのかを確認してみた。（2015/12/9）

Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。（2015/12/8）

攻撃者は何でもできるようになる
多くのルーターに存在するバックドア、最悪の悪用シナリオとは
米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか？（2015/11/6）

mixi Scrap Challengeリポート：
本番さながらの環境でXSSなどの脆弱性を探す、学生向けイベント
書籍などを通じて知識として知っているつもりの脆弱性。しかし、実際に手を動かしてその仕組みを体験するのは難しい。日本有数のSNS mixiや「モンスターストライク」などのサービスを展開しているミクシィが、同社本番環境のクローンに対する疑似攻撃を通じてWebサービスの脆弱性について学べる学生向けのイベントを開催した。（2015/9/14）

IT用語解説系マンガ：食べ超（78）：
イカでも読めるJSON
異なる生物間でのデータのやり取りができるのは、DNAとJSONだけ！ ※スマホでご覧の方は、「スマホ用」の画像「1」をタップして、右から左に順にスワイプしてください。（2015/9/2）

LINE、脆弱性情報への報奨金プログラムを実施へ
サイボウズなども導入している脆弱性報告者に報奨金を支払うプログラムを実施する。（2015/8/5）

最大で2万ドルの報奨金：
LINE、脆弱性の公募プログラム実施を発表
LINEは2015年8月5日、ユーザーが発見した脆弱性の公募プログラム「LINE Bug Bounty」の実施を発表した。脆弱性の報告者には、最大で2万ドルの報奨金が支払われるという。（2015/8/5）

米Honeywellのホームオートメーション用コントローラに脆弱性
悪用された場合、ホームオートメーション装置に対して攻撃者がコマンドを出し、玄関の開錠や施錠などの操作を行うことが可能とされる。（2015/7/28）

Adobe、Webアプリケーションの脆弱性情報の報告を要請
「HackerOne」サイト上に開設されたAdobeの脆弱性情報公開プログラムのページでは、研究者などが同社のオンラインサービスに存在するWebアプリケーションの脆弱性を非公開で報告できる。（2015/3/6）

Ubuntuがアップデート公開、深刻な脆弱性を修正
脆弱性を悪用された場合、任意のコードを実行されたりサービス妨害（DoS）攻撃を仕掛けられたりする恐れがある。（2015/1/21）

開発現場でちゃんと使えるRails 4入門（12）：
Railsアプリの設計をMVCごとに見直しリファクタリングして連載総まとめ
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。最新版の4に対応しています。今回は、サンプルプロジェクトをMVCごとにRailsアプリの設計を見直してリファクタリングすることで、これまでの連載のおさらいをします。（2015/1/8）

WordPress、深刻な脆弱性を修正　XSS攻撃の恐れ
WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ（CSRF）攻撃を仕掛けられたりする恐れがある。（2014/11/21）

Microsoft、オンラインサービスの脆弱性情報に賞金制度を導入
まずOffice 365を対象として、同サービスの脆弱性を見つけてMicrosoftに報告した研究者に賞金を贈呈する。（2014/9/24）

Strutsへの脆弱性攻撃やパスワードリスト攻撃にも対応：
PR：「使い続けられるWAF」を実現、シマンテックのクラウド型WAFとは
手のかかるアプライアンスから、運用をアウトソースできるWAFへ。シマンテックがクラウド型WAFを推す理由とは。（2014/9/1）

開発現場でちゃんと使えるRails 4入門（8）：
RailsのテンプレートエンジンSlimの書き方とActionViewのヘルパーメソッド、レイアウトの使い方
エンタープライズ領域での採用も増えてきたRuby on Railsを使ってWebアプリケーションを作るための入門連載。最新版の4に対応しています。今回は、Railsのテンプレートエンジン「Slim」の書き方やActionViewのヘルパーメソッド、レイアウトの使い方、ビューの実装時に押さえておきたいポイントなどについて。（2014/8/29）