セキュリティ最新ニュース

2010年6月30日

【セキュリティ最新ニュース】

JPCERTがWindowsの「ヘルプ」と「サポートセンター」機能の脆弱性に注意喚起
murotani(2010年6月30日 09:42)

6月11日にマイクロソフト社が公開した「ヘルプ」と「サポートセンター」機能における脆弱性を悪用したガンブラー攻撃が確認されたと、JPCERTが注意喚起を行っています。

2010年6月10日

【セキュリティ最新ニュース】

「skipfish」をWindowsで使用する方法
tadokoro (2010年6月10日 20:12)

Googleが公開している脆弱性スキャナ「skipfish」をWindowsマシンで使用する機会があったので、手順をまとめておきます。
Windowsでskipfishを使用するには「cygwin」をインストールしておく必要がありますので、その手順についても簡単に説明します。
■「cygwin」のインストール
cygwinは以下の手順でインストールします。

1.以下のサイトからcygwinのsetup.exeファイルをダウンロードする。
http://www.cygwin.com/

2.setup.exeを実行してインストールを開始し、「Select Packages」画面まで進む。
※最初の画面から「Choose A Download Site」画面までは、基本的にデフォルト設定のまま「次へ」を押せば問題ない。
必要であれば設定を変更すること。
  ※「Choose A Download Site」画面では、「.jp」で終わるサイトを選んだ方がよい。

3.「Select Packages」画面にて、デフォルトで選択されている項目に加えて下記のパッケージを選択して「次へ」を押す。
※下記のパッケージを選択した際に、他の幾つかのパッケージも同時に選択されるので、それらもインストールしておく。
 ・Devel / make
 ・Devel / gcc
 ・Devel / openssl-devel
 ・Devel / zlib-devel
 ・Libs   / libidn-devel

これでcygwinのインストールは完了です。

■skipfishの準備
続いてskipfishを使用するための準備です。

1.以下のサイトからskipfishをダウンロードする。
http://code.google.com/p/skipfish/
2.ダウンロードしたファイルを解凍し、skipfishフォルダを適当な場所に保存する。
3.cygwinを起動してskipfishフォルダを保存した場所に移動し、makeコマンドを実行する。
  makeが成功すると、skipfishフォルダ内にskipfish.exeファイルが作成される。
  ※下図はDドライブ直下にskipfishフォルダを保存し、makeを実行した場合。
make.jpg


4.skipfishフォルダのdictionariesから脆弱性スキャンに使用する辞書ファイルを一つ選択し、
  skipfish.exeと同じフォルダ内にコピーして「skipfish.wl」に名前を変更する。
  
以上でskipfishを使用するための準備は完了です。


あとはcygwin上で以下のようなコマンドを実行することで、脆弱性スキャンを実行できます。
./skipfish -o output_dir http://example.com/
【注意!】
「http://example.com/」の部分には調査したいサイトのURLを入力する。
 自分が管理するサイトか、調査の許可をもらっているサイトでのみ実行すること。
skipfish.jpg

上記コマンドを実行した場合、skipfishフォルダ内に「output_dir」フォルダが作成され、そこにスキャン結果が保存されます。

2010年6月8日

【セキュリティ最新ニュース】

IPAがクラウドセキュリティアライアンスと相互協力協定を締結
murotani(2010年6月 8日 19:53)

IPAがクラウドセキュリティアライアンスと相互協力協定を締結したことを発表しました。
クラウドセキュリティアライアンスとは、クラウドセキュリティのベストプラクティスの普及を目指す国際的な団体です。

2010年3月31日

【セキュリティ最新ニュース】

IEの定例外セキュリティ更新、3月31日に緊急リリース(INTERNET Watch)
murotani(2010年3月31日 09:26)

米マイクロソフト社が、「Internet Explorer」の脆弱性に対するセキュリティパッチを公開しました。
この脆弱性の深刻度は、最も高い"緊急"となっています。

2010年3月30日

【セキュリティ最新ニュース】

アップル、「Mac OS X v10.6.3」をリリース--サーバ版もアップデート(ZDNet Japan)
murotani(2010年3月30日 09:22)

米Apple社は、「Mac OS X Snow Leopard」のアップデート版をリリースしました。
セキュリティ関連の修正も含まれていますので、早急なアップデートをお勧めします。

2010年3月24日

【セキュリティ最新ニュース】

ロシアの「.ru」ドメインの登録手続きが厳格化へ――サイバー犯罪の防止がねらい(COMPUTERWORLD)
murotani(2010年3月24日 19:40)

中国が「.cn」ドメインの登録手続きを厳格化したのに続いて、4月1日からロシアでも「.ru」ドメインの登録が厳格化されるとのことです。

2010年3月19日

【セキュリティ最新ニュース】

「安全なSQLの呼び出し方」を公開(IPA)
murotani(2010年3月19日 10:53)

IPA(情報処理推進機構)が安全なSQLの実装方法を解説した資料を公開しました。
文字コードによるSQLインジェクションなど興味深い内容もあり、お薦めさせて頂きます。

2010年3月17日

【セキュリティ最新ニュース】

Microsoft Virtual PCに脆弱性情報、セキュリティ企業が公開(ITmedia)
murotani(2010年3月17日 09:13)

米Core Security Technologies社によるとMicrosoft社の仮想化ソフト「Virtual PC」には未修正の脆弱性が存在しているとのことです。

2010年3月11日

【セキュリティ最新ニュース】

マイクロソフト、月例のセキュリティ更新プログラムを公開(マイコミジャーナル)
murotani(2010年3月11日 09:23)

今月10日、マイクロソフト社がWindows ムービー メーカーとMicrosoft Office Excel の脆弱性に対するパッチを公開しました。

2010年3月9日

【セキュリティ最新ニュース】

「検索結果はPDF、クリックすると危険なHTML」、検索サイト悪用の新攻撃(ITpro)
murotani(2010年3月 9日 09:15)

googleなどの検索結果の上位にキーワードと無関係の悪質サイトを表示させるSEOポイズニング攻撃に、新たな手法を用いたものが登場しています。

2010年3月8日

【セキュリティ最新ニュース】

サイバー攻撃に無防備、193自治体(YOMIURI ONLINE)
murotani(2010年3月 8日 09:50)

財団法人「地方自治情報センター」の内部資料から、全国の自治体が管理するサーバーの多くがサイバー攻撃に対して無防備であることが判明しました。

2010年3月3日

【セキュリティ最新ニュース】

米マイクロソフト、IEで[F1]キーを押すと発生する重大なぜい弱性(RBB TODAY)
murotani(2010年3月 3日 10:27)

マイクロソフト社が提供するInternet Explorer(IE)に新たな脆弱性が見つかっています。
現時点(3/3)でセキュリティパッチの配布はされていません。

2010年2月18日

【セキュリティ最新ニュース】

Web誘導型マルウェア攻撃での注意点、カスペルスキーが解説(ITmedia)
murotani(2010年2月18日 10:33)

昨年末から猛威を奮っているGumblarに引き続き、カスペルスキー社が新たな脅威としてPegelを解説しています。

2010年2月15日

【セキュリティ最新ニュース】

ブルースクリーンはマルウェアが原因か、「MS10-015」の配布中止(ITmedia)
murotani(2010年2月15日 09:17)

今月公開されたマイクロソフト社の更新プログラム「MS10-015」がブルースクリーンを引き起こす問題について、同社はマルウェアによる原因の可能性があるとの見解を示しました。

2010年1月26日

【セキュリティ最新ニュース】

Google に対するサイバー攻撃、中国政府が関与否定(BBC)
simayi (2010年1月26日 17:10)

英BBCの報道によると、米Google社等に対する標的サイバー攻撃に中国政府が関与していたのではないかという疑惑について、中国政府は"根拠がない主張だ"と否定しています。

2010年1月21日

【セキュリティ最新ニュース】

「安全なウェブサイトの作り方 改訂第4版」を公開 (IPA)
kondo (2010年1月21日 09:45)

IPA が「安全なウェブサイトの作り方」を改訂し、第4版として公表しました。
チェックリストがEXCEL形式でダウンロードでき、使いやすくなりました。

2010年1月20日

【セキュリティ最新ニュース】

脆弱性対策情報データベースJVN iPediaの登録状況[2009年第4四半期(10月~12月)](IPA)
murotani(2010年1月20日 10:30)

IPAが2009年第4四半期の脆弱性対策情報データベース「JVN iPedia」の登録情報を公表しました。
2009年全体でみると2008年と同様に「バッファエラー」、「リソース管理の問題」、「認可・権限・アクセス制御の問題」、「クロスサイト・スクリプティング」、「不適切な入力確認」の5種類が全体の60%以上を占めています。

2010年1月15日

【セキュリティ最新ニュース】

米Adobe Systems社、中国からのサイバー攻撃の標的に(Help Net Security)
simayi (2010年1月15日 18:30)

米Adobe Systemsは中国からの標的型攻撃を受けたと発表しました。現在までの調査では被害はなかったということです。
この攻撃とGoogleへの攻撃は関連性があるということです。

2010年1月8日

【セキュリティ最新ニュース】

Adobe Illustratorのアップデート公開、深刻な脆弱性を修正(ITmedia)
murotani(2010年1月 8日 10:17)

米Adobe Systemsが1月7日に「Adobe Illustrator」のアップデートをリリースしました。
今回のアップデートは「Adobe Illustrator」のCS4とCS3に見つかっている脆弱性に対応したものとなります。

2010年1月6日

【セキュリティ最新ニュース】

murotani(2010年1月 6日 09:27)
「PDFファイルに要注意」、ADOBE READERの脆弱性を突くウイルス出回る(ITpro)

アドビシステムズの「ADOBE READER」と「ACROBAT」の脆弱性を突く新たなウイルスの出現が報告されています。
上記脆弱性に対するアップデートの公開は今月13日の予定です。

2010年1月5日

【セキュリティ最新ニュース】

偽「mixi」に偽「モバゲー」、国内ユーザーを狙うフィッシングが続出(ITpro)
murotani(2010年1月 5日 09:59)

国内人気サイトである「mixi」と「モバゲー」の偽サイトが確認されています。
いずれのサイトも、個人情報を送信させて盗むことが目的となっています。