最新記事一覧
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2023 オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。
()
いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回は、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、昨今のインシデントを基に、いまそこにある問題点や「企業がどう対策すべきか」について聞いた。
()
コンテナ基盤にセキュリティリスクがあることは認識している。セキュリティのガイドラインなどもチェックしている。だが、いまひとつ攻撃やリスクのイメージが湧かない。そんな開発者に向けて、NTTデータのクラウドエンジニア、望月敬太氏が具体的な攻撃デモを通して、意識すべきリスクや対策について分かりやすく解説する。2021年11月4〜5日にオンラインで開催された「CloudNative Days Tokyo 2021」から「乗っ取れコンテナ!!〜開発者から見たコンテナセキュリティの考え方〜」で紹介された内容だ。
()
トレンドマイクロが無償提供するホームネットワークの安全性診断ツール「オンラインスキャン for Home Network」に、スマート家電の脆弱性の有無を診断する新機能を追加。スマート家電に潜む脆弱性の有無や、ホームネットワークにつながる不正デバイスの有無などを確認できる。
()
先日話題となった、WPA2の脆弱性に関する問題。初報は「やや大きく取りあげられすぎている」という印象だったが……。
()
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
()
Black Duck Softwareがオープンソースのアプリケーションを分析した結果、その多くでセキュリティ上の欠陥を内包していることが明らかになった。しかし、判明したリスクはセキュリティ面だけではなかった。
()
Windows 10に新しく搭載された、Linuxコマンドラインのネイティブバージョン「Bash on Ubuntu on Windows」は、新たな攻撃経路になり得るのか。専門家が解説する。
()
キヤノンITソリューションズがセキュリティ戦略を強化し、WAFをラインアップに加えた新ソリューションの提供を開始した。そこで選ばれたジェイピー・セキュアの「SiteGuard」。最近の脅威の動向やSiteGuard採用の理由などを聞いた。
()
IBMのセキュリティ研究機関の分析によれば、不特定多数を狙うサイバー攻撃の割合が減り、特定の企業や組織を狙う攻撃へのシフトが進んでいる。
()
2016年4月は、「Apache Struts2」の脆弱性や「OSコマンドインジェクション」を使った攻撃が騒ぎを呼ぶ一方で、突如「Yahoo!知恵袋」に注目が集まったのでした。
()
「クラウドの使い勝手」と「物理サーバーの性能」の両立をうたう「さくらの専用サーバ」がリニューアルされた。エンタープライズのニーズに応えるべく、専用サーバーサービスとしては珍しいSLAを導入した他、ジェイピー・セキュアのWebアプリケーションファイアウオールを追加コストなしで導入できるようにし、「性能」「安定性」「セキュリティ」「コストパフォーマンス」などを同時に満たすサービス提供を目指す。
()
アカマイ・テクノロジーズは2015年8月18日(米国時間)、セキュリティ脅威に関する分析リポート「インターネットの現状」の2015年第2四半期版を発表した。DDoS攻撃の件数が2014年同期に比べて2倍超に増加していた。
()
Akamaiによると、4〜6月期に発生したDDoS攻撃は前年同期比132%増、前期比では7%増。「DDoS攻撃やWebアプリケーション攻撃が投げかける脅威は四半期ごとに増大し続けている」という。
()
2015年も新たなセキュリティ上の脅威が出現し、企業や組織の担当者が対応すべき課題は多い。安全なシステムやネットワークを実現するために必要なものとは何か――。
()
Apache Sturtsの脆弱性や「Shellshock」に代表されるように、2014年以降相次いで深刻な脆弱性が公になっている。次々明らかになる脆弱性からWebアプリケーションを守るためのセーフティネットとして、あらためて注目を集めているソリューションがWebアプリケーションファイアウォール(WAF)だ。その中でも、ブラックリスト方式を採用することで、長年安定した保護を提供してきた国産WAF、「SiteGuard」の特徴とは何だろうか。
()
世界中で猛威を振るうサイバー攻撃。その対応に追われる企業も少なくない。今、サイバー脅威の実態はどのように変化しているのだろうか。最新の調査結果からサイバー犯罪の手口を明らかにする。
()
2015年5月13日から15日にかけて東京ビッグサイトにて開催された「第12回 情報セキュリティEXPO【春】」のブースで最も目立った言葉は「マイナンバー対応」だろう。だがそれ以外にも、情報セキュリティ対策の基礎を強化するためのソリューションが多数展示されていた。その一部を紹介しよう。
()
トレンドマイクロ、シマンテックが定期的に発表している分析リポートの最新版が公開された。今回この2社のリポートを基に、攻撃の高度化がどのように進化しているのか、そして企業をどのように守るべきかをまとめた。
()
米国で開催されているセキュリティイベント「RSA Conference 2015」の基調講演では、「Change(変化)」がキーワードとして語られた。
()
相次ぐWebサイト書き換え。とうとう日本のWebサイトがテロリストのターゲットになってしまった……と思いきや、共通点を探っていくとそんなわけでもなさそうです。
()
@IT主催のセキュリティセミナーリポート第2弾は、@IT筆者陣が登場したパネルディスカッションやインターポールの取り組み、そしてスポンサーセッションの様子をお送りしよう。
()
2014年4月のWindows XPサポート終了から間もなく1年になります。そして「2015年7月15日」のWindows Server 2003のサポート終了が迫っています。これらのOSに対するマイクロソフトのセキュリティ製品の対応状況について、あらためて注意喚起させてください。
()
情報漏えいやシステム障害といった重大な問題を引き起こすサイバー攻撃などのインシデントはどのような実態にあるのか。IPAやJPCERT/CCによる2014年の調査結果から紐解いてみたい。
()
「bash」シェルの脆弱性(Shellshock)を狙う攻撃が続いている。不正なPerlスクリプトを使って感染マシンを遠隔操作しようとする兆候も出てきた。
()
ブログやリポート、調査など、日々増え続けるセキュリティ関連情報の中から気になるものを掘り下げて紹介する新連載。第1回は、かつてないほど話題が多かった2014年のセキュリティ脅威リポートの「想定内」「想定外」を尋ねてみた。
()
2015年1月「GHOST」が登場します。名前の付いた脆弱性で、任意のコードが実行できるとあって大変なことになる……しかし、セキュリティクラスターは淡々と対応していたようです。
()
海外ではGoogleなどが導入している脆弱性報告者の報奨金制度をサイボウズも実施した。製品やサービスの品質改善につながったとして、2015年も実施することになった。
()
2014年12月18日、19日の2日間にわたって開催された日本発のセキュリティカンファレンス「CODE BLUE」には、国内はもちろん、イスラエルやベルギー、スウェーデン、米国、ロシア、韓国、香港など、多様な国から約450人が参加した。多数の講演の中から、脆弱性情報の扱い方に関する話題をピックアップしてお届けする。
()
TCP 8080番ポートスキャンが増加し、bashの脆弱性が標的とみられる攻撃のリクエストが送り付けられるという。
()
2014年は「Heartbleed」(OpenSSL)、「ShellShock」(GNU bash)、「POODLE」(SSL 3.0)と、Web関連の脆弱性が立て続けに見つかりました。今回は、個人や企業が「Internet Explorer」に対してできるPOODLE対策を紹介します。12月の更新プログラムで問題は解消したと勘違いしていませんか?
()
2014年後半も新規マルウェアやサイバー攻撃が激増しており、マカフィーはこうした実態をもとに2015年のセキュリティ脅威を予測する。
()
マカフィーが国内のビジネスパーソン1036人に聞いた2014年の国内セキュリティ事件トップ10を発表。セキュリティの専門家が注目した出来事も紹介している。
()
マカフィーが国内ユーザーを対象に、2014年に起きたセキュリティ事件の認知度調査を実施。今後増加が予想されるサイバー攻撃についても言及した。
()
2014年10月は、SSLv3の脆弱性、通称「POODLE」の対応に追われました。各種バグを見つけて報奨金を得るバグ・ハンターにも注目が集まります。
()
2011年に77億ドルのM&AでMcAfeeをグループ会社化したIntel。買収から3年を経て同社は「Intel Security」ブランドを打ち出すとともに、これからのセキュリティ戦略を明らかにした。
()
Shellshockの脆弱性が9月に発覚して以来、悪用を試みる動きは現在も続いているという。
()
ソフトバンク・テクノロジーは、ホスト単体の脆弱性の有無にとどまらず、現実の攻撃のシナリオを想定し、システム全体の耐性まで確認する「セキュリティ診断サービス」の提供を開始した。
()
NEC、富士通、アイ・オー・データ機器などの更新情報を追記した。
()
サーバ管理ソフト「Webmin」がデフォルトで使用している10000番ポートを狙ったスキャンが続き、JPCERT/CCでは注意を呼び掛けている。
()
2014年9月はまた、大きな大きな脆弱性に振り回されました。その裏では、セキュリティクラスターのみんなが大好きなあの議論も……
()
9月下旬から「bash」シェルの脆弱性を抱えたシステムを狙う攻撃が続いている。より標的を絞る傾向にあるという。
()
「Big Data Appliance」などの修正パッチを公開。「Java ME」「Java SE」など108製品は影響を受けない製品に分類されている。
()
バッファローやNECなど各社の主な更新情報をアップデートした。
()
Windowsのコマンドシェルスクリプトにコマンド挿入の脆弱性を発見したとセキュリティ企業が報告。ただしShellshockほどの重大な影響は及ぼさないとみられる。
()
9月24日以降、これまでに確認された脆弱性は計6件。「最初の修正パッチのみに頼っている場合、直ちに行動する必要がある」と専門家は指摘する。
()
日本や韓国の大学や研究機関で使われているNASを狙った標的型攻撃が確認された。
()
アイ・オー・データ機器やバッファローのNAS製品などについて追記した。
()
NECやトレンドマイクロ、ソリトンシステムなどの製品の脆弱性対応などについて追記した。
()