LACのサイバーリスク総合研究所(RRICS)のコンピュータセキュリティ研究所(CSL) 、データベースセキュリティ研究所(DBSL)が発行する定期レポートならびに緊急レポートです。近年のセキュリティ事件の解説、コンピュータセキュリティ に関する調査結果等を掲載しています。
弊社は、いかなる場合もこの情報の使用や配布で生じる直接及び間接を問わず生じる損害について責任を負いません。またこのレポートに記載されている情報は予告なしに変更されることがあります。
許可を得ずに、本ページに掲載されるレポートの転載・配布することを一切禁止いたします。
| 日付 | ダウンロード | 記事 |
|---|---|---|
| [2009年12月21日] | 【CSL】企業のインターネット利用実態調査から考察する情報漏えいリスクの可能性について 近年、コンピュータ・システムに関連した事件・事故が多発しており、企業においては事業継続上の問題に発展しかねない状況になっています。これらの状況を解消するためには、的確に情報セキュリティに関する現状の問題を把握し、今後起こりうる脅威を予測しておく必要があります。そこで、LACのコンピュータセキュリティ研究所では、日本国内における最新の傾向と新たなセキュリティ脅威について評価し、本レポートにまとめました。 |
|
| [2009年10月01日] | 【DBSL】ログ解析から見えた Web が抱える脅威 ~無料ログ解析ツール SecureSite Checker Freeの利用結果に基づく統計分析~ 多くの企業・商店などがWebサイトを開設して自社サービスの紹介や製品・商品のPRおよび販売などを行い、Webサイトは事業の中でも非常に重要な部分を占めるようになっています。さらに行政も情報発信や相談窓口、電子申請、施設予約など、さまざまなサービスを提供しています。このように、Webサイトは日常生活においても必要不可欠となっています。 しかし、報道でも騒がれているように、情報詐取や改ざんを目的としたWebサイトへの攻撃は後を絶たず、Webシステムにおけるデータベースにも被害が及んでいます。これらの攻撃からWebサイトや重要なデータを守るためのセキュリティ対策には、大きく分けて「攻撃に対抗する予防策」と「実害を最小限に抑える事後策」があります。実装する際には、合理的に予防策と事後策を組み合わせる必要があります。 本レポートは、Webサーバログ解析ツール「SecureSite Checker Free(以降、SSCF)」の最近1年間(2008年7月~2009年6月)の利用結果から統計データを分析し、攻撃の傾向をまとめています。 |
|
| [2009年02月12日] | 【DBSL】事故前提社会のデータベースセキュリティ ~データベースによるWebサイトセキュリティの実際~ Webサイトからの情報奪取や改ざんを目的としたSQLインジェクション攻撃は、現在も増加の一途をたどり、多くのサイトが被害に遭っています。基本的にこの攻撃で被害に遭うのは、Webアプリケーションに欠陥があるためで、根本的な対策はその欠陥を修復することです。日々、機能追加や改修が行われるアプリケーションすべてにセキュリティ対策を実施し、欠陥を取り除くことを目指すのは重要ですが、その前段のネットワークと後段のデータベースを含め、多層防御を構成することが極めて合理的かつ有効的なアプローチとなります。 本レポートは、アプリケーションに欠陥が存在するという可能性を前提に、後段のデータベースにおける事後の原因、被害状況分析に必要な情報の確保や攻撃検知の仕組みを準備し運用することで、不正アクセスを早期に検知し、被害を最小化するための対策をまとめました。 |
| 日付 | ダウンロード | 記事 |
|---|---|---|
| [2008年11月27日] | 【CSL】アンチフォレンジック機能を持つボットの出現 ~攻撃者のターゲットは個人情報から機密情報へ コンピュータセキュリティ研究所(CSL)は、国内で初めてアンチフォレンジック機能を持つボットによる標的型攻撃を確認しました。本ケースで確認したボットは、標的のPCのシステム日時を変更することにより自分自身の発見を遅らせます。その間に攻撃者はリモートで標的のPCへ侵入し、機密情報を奪ったり暗号化したりします。ターゲットデータは標的とされる組織の業種等にもよりますが、これらのデータが売買されるだけでなく、暗号化された場合には復号化することを条件に金銭を要求されるなどの脅迫被害に遭う可能性もあります。このアンチフォレンジック機能は、解析者の検体抽出作業を遅らせることを目的としているものと想定され、世界的にみても珍しいといえます。 |
|
| [2008年10月02日] | 【CSL】CSL緊急注意喚起レポート ~新手のSQLインジェクションを行使するボットの確認~ 新手のSQLインジェクション攻撃を実行するボットを確認しました。このボットに関しては海外 でも報告されています。この攻撃は、マイクロソフト社製のWebサーバIIS/ASP/ASP.NET上で開発されたWebサイトを狙ってデータベースの改ざんを行います。 改ざんを狙うボットや攻撃はこれまで数多く存在していました。今回、注意喚起を行う理由は、攻撃方法が、これまでほとんど観測されていない手法だからです。 |
|
| [2008年08月20日] | 【CSL】ビジネス化がさらに加速するサイバー攻撃 ~進化し続けるアンダーグラウンドビジネス 2008年3月以降急増する、中国方面からのSQLインジェクション攻撃は、Google検索機能を利用して脆弱性が存在するWebページを探索し、SQLインジェクション攻撃を試みるという手法を用いています。また、この一連の流れがボット化されており、その脅威は大きくなるばかりです。CSLの調査では、中国のアンダーグラウンドビジネスで用いられている犯罪手口は完全に自動化されており、その市場も大きく今後も成長するものと推測してます。 |
|
| [2008年08月06日] | 【DBSL】緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威~ 2008年に入って増加しているSQLインジェクション攻撃を中心に、LACで提供している個人情報漏えい緊急対応サービスである「個人情報119」を通して得た情報を基に、Webアプリケーションやデータベースセキュリティ対策の状況、および対策方法をまとめました。 |
| 日付 | ダウンロード | 記事 |
|---|---|---|
| [2007年02月13日] | 【CSL】マイクロソフト社オフィス製品に関連した脆弱性と脅威の動向~オフィス関連製品を介した攻撃が増加傾向~ |
| 日付 | ダウンロード | 記事 |
|---|---|---|
| [2006年10月20日] | 【DBSL】セキュアデータベースマトリクス~セキュアなデータベースを構築、運用するための対策~ セキュアDBマトリクスは、データベース内に格納された資産(データやリソース)を守るために、データベースや周辺ネットワーク、DB管理端末、アプリケ ーションなどそれぞれのレイヤ別に技術的対策、運用対策を箇条書きで記述したものです。 |
|
| [2006年10月10日] | 【CSL】コンピュータセキュリティ研究所動向調査報告書 2006上半期版~情報漏洩動向報告書 情報漏洩は増加傾向にあり~ 2006年上半期におけるコンピュータセキュリティの動向並びに独自の考察に関してコンピュータセキュリティ研究にてまとめたレポートになります。特に情報漏洩を引き起こす大きな要因となっている「マルウェア」と「ウェブアプリケーションの脆弱性の悪用」の二つのキーワードを中心としてご紹介しています。 |
|
| [2006年08月14日] | 【CSL】CSL 緊急レポート(システム管理者向け)~Microsoft WindowsにおけるMS06-040の脆弱性に対する注意喚起~ 先日発見されたMicrosoft Windows Server サービスの脆弱性を悪用した攻撃コード、マルウェアの存在が確認されました。早急に対策が必要と考えられますので、こちらにその影響や対策をまとめました。 |
|
| [2006年07月27日] | 【DBSL】SQLインジェクションとデータベースセキュリティ~情報漏洩と犯人特定の最後の砦~ 本レポートは、主として企業のシステム運用者や管理者を対象に、データベース に対するセキュリティ対策の必要性と、推奨される対策案をご紹介しています。 |
|
| [2006年07月04日] | 【CSL】無線LANアクセスポイントの不正利用実態調査-港区編~東京港区、おとり調査による実測値 本レポートでは、コンピュータセキュリティ研究所で保有しているWireless LAN のアクセスポイントの不正利用の実態調査結果と考えられる脅威並びにその対策をご紹介しています。 |
|
| [2006年02月23日] | 【CSL】「ネットワークセキュリティ動向」エグゼクティブレポート~データ分析から見るセキュリティトレンド~ 本レポートは2005年に発生したセキュリティ事件・事故についての解説と、2005年の各種データからみる傾向分析と最新トレンド、今後注意すべき点をあげ、推奨すべき対策案をご紹介しています。 |
|
| [2006年01月26日] | 【CSL】サイバー攻撃脅威分析レポート 2005年度版 本レポートはラックが定期的に発行している、インターネットの脅威に関する最新レポート(せきゅぷり)の総集編となります。2005年の傾向分析と今後の留意点、推奨すべき対策をご紹介いたします。 |
| 日付 | ダウンロード | 記事 |
|---|---|---|
| [2005年05月24日] | 【CSL】ホームページからの情報漏洩に対する脅威の現状~Webアプリケーションの脆弱性と脅威発生の実態をベースに~ 本レポートは2004年1月から12月の1年間に渡り、日本の大手企業対して実施したWebアプリケーション検査やセキュリティ監視、さらに実際に発生し、調査を担当した数十件の個人情報漏えい事件の調査結果を分析しています。 |
サイトガイド
セキュリティ情報
- セキュリティアラート
- JSOC侵入傾向分析レポート
- サイバーリスク総合研究所 発表レポート
- LAC Advisory
- SNSDB Advisory Report
- LACメルマガ購読
- 無料Webサイトログ診断ツール(SecureSite Checker Free)
- 外部脅威の世界地図
- 特集スペシャル・アーカイブ
教育・資格取得
セキュリティアカデミー
![[QRコード]](/common/img/guide_qr_lac.gif)
リファレンス
