- ホーム
- ニュース
ニュース一覧
-
2022.10.26
セキュリティ
Webアプリケーションにおけるパスワード再設定機能を安全に実装するために
パスワードを使用してユーザ認証を行うWebアプリケーションでは、パスワード再設定機能・パスワードリセット・パスワードリマインダーなどと呼ばれる、パスワードを忘れたユーザが自身のパスワードを変更できる機能が実装されることが多くあります。このような認証情報を扱う機能の性格上、機能に脆弱性があった場合には被害が甚大となる場合が少なくありません。 セブン&アイホールディングスの決済サービス「7pay」を廃止にまで追い込んだ2019年の不正アクセスは、パスワードリスト攻撃によってユーザ認証を不正に突破され、金銭的被害を発生させるものでした。この不正アクセスの直接の原因ではないとされていますが、パスワード再設定機能に脆弱性があったことが分かっています。最近では2022年9月に発生した「ニトリアプリ」への不正アクセスのように、パスワードリスト攻撃によってユーザ認証を不正に突破され、登録情報が漏えいする事例が発生しています。 本記事ではパスワード再設定機能を安全に実装するために重要なポイントを紹介します。Webアプリケーションのセキュリティ対策の一助になれば幸いです。
-
2022.9.24
セキュリティ
脆弱性スキャンツール「ZGrab」を悪用した攻撃と対策について
弊社セキュリティオペレーションセンター(SOC)であるe-Gateセンターにて直近1年間に検知数がおよそ2倍となっている攻撃があります。脆弱性スキャンツール「ZGrab」に関する攻撃です。ZGrabは脆弱性をスキャンすることで、企業のセキュリティなどを調査し強化することを目的としています。しかし、攻撃者によってスキャンが行われ一度脆弱性が見つかると、その種類に応じた攻撃が行われます。今回はZGrabを悪用した攻撃の手法と対策について紹介いたします。
-
2022.8.25
セキュリティ
Webアプリケーションにおける入力値検証について
Webアプリケーションの入力値検証に関する脆弱性は、弊社の脆弱性診断サービスでも頻繁に検出されています。今回の記事では、入力値検証についてセキュリティ面での有効性を解説します。Webアプリケーションのセキュリティ対策の一助になれば幸いです。本記事は、こちらよりPDFファイルにてご覧いただくこともできます。1.........
-
2022.7.28
セキュリティ
注意喚起:Windowsサポート診断ツールの脆弱性「Follina」について
2022年5月末にWindowsサポート診断ツール(MicrosoftSupportDiagnosticTool:MSDT)に関する脆弱性(CVE-2022-30190)が公開されました。この脆弱性は通称Follinaと命名されており、悪用されるとWordファイルやRTFファイルを開くまたはプレビューするだけで........
-
2022.6.30
セキュリティ
WordPressのプラグイン「WP Contacts Manager」における SQLインジェクションの脆弱性とその対策について
WordPress向けプラグイン「WPContactsManager」において、SQLインジェクションの脆弱性が報告されました。SQLインジェクションは現在でも多数報告され続けていることから、改めてSQLインジェクション、併せてオープンソースソフトウェアの対策についてご紹介いたします。このニュースはこちらより........
-
2022.6.16
会社
監視サービス提供先の独立行政法人国立印刷局様を主要取引様一覧に追記しました
弊社の総合セキュリティサービスは、セキュリティのスペシャリストを集めたセキュリティオペレーションセンター(SOC)を核に、セキュリティ運用監視サービスをはじめ、常駐型のセキュリティ人材サービス、セキュリティ診断サービスをご提供しています。これらを基盤にお客様の情報セキュリティ対策のニーズに対応しています。独立行政法........
-
2022.5.26
セキュリティ
Spring FrameworkとSpring Cloud Functionの脆弱性について
2022年3月末に相次いで、Javaアプリケーションフレームワーク「Spring」に関連する脆弱性が公開されました。情報の公開から1か月以上経過した現在でもこの脆弱性を悪用するサイバー攻撃は依然として続いており、e-Gateセンターでも本脆弱性を悪用した攻撃を観測しております。今回はこの脆弱性の詳細、攻撃手法と最新........
-
2022.4.28
セキュリティ
注意喚起:自動退会処理を騙るフィッシングとその対策について
フィッシングは金融機関や有名企業を騙って個人情報を奪う攻撃です。フィッシングの報告件数は増加し続けており、その手口も自動退会処理を騙るなど巧妙化しています。今回はこの自動退会処理を騙るフィッシング手口の特徴と、被害にあわないための対策をご紹介します。このニュースはこちらよりPDFファイルにてご覧いただくことができ........