セキュリティホール
(セキュリティ問題 から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/08/23 23:59 UTC 版)
セキュリティホール(英: security hole)とは、情報セキュリティを脅かすようなコンピュータの欠陥をいう[1]。脆弱性ともいう[2]。
- ^ “基礎知識 セキュリティホールとは?”. www.soumu.go.jp. 2020年9月19日閲覧。
- ^ “脆弱性(ぜいじゃくせい)とは?|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト”. www.soumu.go.jp. 2020年9月19日閲覧。
- ^ a b ISO/IEC, "Information technology -- Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
- ^ British Standard Institute, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management BS ISO/IEC 13335-1-2004
- ^ a b Internet Engineering Task Force RFC 4949 Internet Security Glossary, Version 2
- ^ “CNSS Instruction No. 4009” (2010年4月26日). 2013年6月28日時点のオリジナルよりアーカイブ。2020年12月21日閲覧。
- ^ “FISMApedia”. fismapedia.org. 2020年12月21日閲覧。
- ^ “Term:Vulnerability”. fismapedia.org. 2020年12月21日閲覧。
- ^ NIST SP 800-30 Risk Management Guide for Information Technology Systems
- ^ “Glossary”. europa.eu. 2020年12月21日閲覧。
- ^ Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.
- ^ a b "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 Archived 2014-11-18 at the Wayback Machine.
- ^ Dennis Longley and Michael Shain. Data & Computer Security: Dictionary of standards concepts and terms. Stockton Press, ISBN 0-935859-17-9
- ^ Matt Bishop and Dave Bailey. A Critical Analysis of Vulnerability Taxonomies. Technical Report CSE-96-11, Department of Computer Science at the University of California at Davis, September 1996
- ^ Schou, Corey (1996). Handbook of INFOSEC Terms, Version 2.0. CD-ROM (Idaho State University & Information Systems Security Organization)
- ^ NIATEC Glossary
- ^ ISACA THE RISK IT FRAMEWORK (registration required) Archived July 5, 2010, at the Wayback Machine.
- ^ a b Wright, Joe; Harmening, Jim (2009). “15”. In Vacca, John. Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 257. ISBN 978-0-12-374354-1
- ^ Krsul, Ivan (April 15, 1997). Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University.
- ^ Pauli, Darren (2017年1月16日). “Just give up: 123456 is still the world's most popular password”. The Register 2017年1月17日閲覧。
- ^ a b Kakareka, Almantas (2009). “23”. In Vacca, John. Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 393. ISBN 978-0-12-374354-1
- ^ “The Six Dumbest Ideas in Computer Security”. ranum.com. 2020年12月21日閲覧。
- ^ “The Web Application Security Consortium / Web Application Security Statistics”. webappsec.org. 2020年12月21日閲覧。
- ^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
- ^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
- ^ Hacking: The Art of Exploitation Second Edition
- ^ Kiountouzis, E. A.; Kokolakis, S. A.. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4
- ^ Bavisi, Sanjay (2009). “22”. In Vacca, John. Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 375. ISBN 978-0-12-374354-1
- ^ “The new era of vulnerability disclosure - a brief chat with HD Moore”. The Tech Herald. 2010年8月26日時点のオリジナルよりアーカイブ。2010年8月24日閲覧。
- ^ “Browse - Content - SecurityStreet”. rapid7.com. 2020年12月21日閲覧。
- ^ Betz (2015年1月11日). “A Call for Better Coordinated Vulnerability Disclosure - MSRC - Site Home - TechNet Blogs”. blogs.technet.com. 2015年1月12日閲覧。
- ^ “Category:Vulnerability”. owasp.org. 2020年12月21日閲覧。
- ^ David Harley (2015年3月10日). “Operating System Vulnerabilities, Exploits and Insecurity”. 2019年1月15日閲覧。
- ^ Most laptops vulnerable to attack via peripheral devices. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Source: University of Cambridge]
- ^ Exploiting Network Printers. Institute for IT-Security, Ruhr University Bochum
- ^ [1] Archived October 21, 2007, at the Wayback Machine.
- ^ “Jesse Ruderman » Race conditions in security dialogs”. squarefree.com. 2020年12月21日閲覧。
- ^ “lcamtuf's blog”. lcamtuf.blogspot.com. 2020年12月21日閲覧。
- ^ “Warning Fatigue”. freedom-to-tinker.com. 2020年12月21日閲覧。
- ^ “ネットワークセキュリティ関連用語集(アルファベット順):IPA 独立行政法人 情報処理推進機構”. www.ipa.go.jp. 2020年9月19日閲覧。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/01/02 08:17 UTC 版)
「Adobe Flash」の記事における「セキュリティ問題」の解説
Flash Playerは、本格的なプログラミング言語であるActionScriptの処理系を含んでいる。そのためFlashデザイナーやFlexプログラマーは任意の機能を実現できるが、信頼性の保証がないサーバから読み込まれたコンピュータプログラムが動作することについて、コンピュータセキュリティ上の懸念が存在する。 Flash Player、にはサンドボックスモデルに基づいたセキュリティ機構が実装されている。ローカルストレージや周辺機器へのアクセス、ダウンロード元と異なるドメインのサーバとの通信は制限されており、例えば自由に読み書きできるローカルストレージはWebブラウザのCookieに相当するSharedObjectに限られ、ファイルの読み書きにはユーザの選択による許可を必要とする。 このため、通常はFlashによってシステムが破壊されたり、ローカルファイルに保存した情報が盗まれることはないが、Flash PlayerやPDFに埋め込まれたFlashを再生できるAdobe Readerには、コンピュータシステムのクラッシュや悪意のあるプログラムの実行を許す脆弱性が、過去にいくつか発見されている。多くのユーザは、ウェブブラウザに組み込まれたFlash Playerを有効にした状態でWebを利用しているので、それらの脆弱性を突くJSRedir-RやTROJ PIDIEF.INのようなコンピュータウイルスは、修正アップデートが公開されるまでの間に急速に感染を拡大した。 Flash 10以降では、ダウンロードのページにあるチェックボックスを手動で外さない限り、McAfee Security Scanが自動インストールされるようになった。旧版のアンインストールについては、アドビシステムズから「Flash Player Uninstaller」がリリースされており、それを利用すると、すべてのウェブブラウザのFlash Playerが削除される。 アドビは2020年12月31日でFlashの配布と更新を終了した。Maxthon Nitroでは現在もAdobe Flashを使用可能である
※この「セキュリティ問題」の解説は、「Adobe Flash」の解説の一部です。
「セキュリティ問題」を含む「Adobe Flash」の記事については、「Adobe Flash」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/07/26 14:38 UTC 版)
独自技術からより標準的でオープンな方式に移行することで、SCADAシステムはオフィスのネットワークやインターネットとの接続も増え、攻撃に対して脆弱になりつつある。結果として、サーバーテロ攻撃に対して無防備だと考えられるようになり、SCADAベースのシステムのセキュリティが問題視されるようになった。 特に、以下のような点が懸念されている。 設計上、セキュリティや認証が考慮されていない。また、既存のSCADAネットワークでは運用上もセキュリティが考慮されていないことが多い。 SCADAシステムは一般に馴染みがない技術なので、特殊なプロトコルやインタフェースを使っているから安全だという間違った信念を持っていることがある。 SCADAシステムは物理的に安全だという間違った信念を持っていることがある。 SCADAシステムはインターネットとは接続されていないので安全だという間違った信念を持っていることがある。 SCADAシステムの多くは重要な設備で使われているため、攻撃を受けた場合、多大な経済的損失や人命の危険を生じる可能性がある。このような懸念から、重要な設備にSCADAよりも安全なアーキテクチャを採用するという動きが生じるかどうかはまだ不明である。最近では、Byres Security, Inc.、Industrial Defender Inc.、チェック・ポイント・ソフトウェア・テクノロジーズ、Innominate、N-Dimension Solutions といった複数のセキュリティベンダーが、TCP/IPベースのSCADAネットワークのためのファイアウォールやVPNを開発することで、こういった問題に対処を開始している。 また、ISA Security Compliance Institute (ISCI) は早ければ2009年にも SCADA セキュリティテストを策定開始する予定である。ベンダーによるセキュリティ認証は既に2007年ごろから行われている。最終的には ISA SP99 WG4 が標準化を行う予定だが、完成するのは2011年以降になる。
※この「セキュリティ問題」の解説は、「SCADA」の解説の一部です。
「セキュリティ問題」を含む「SCADA」の記事については、「SCADA」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/07/30 10:11 UTC 版)
フリーウェアはフリーソフトウェアに比べ、有料化や開発停止になりやすく、セキュリティ的に安全な状態で使えなくなる場合が多い。特にlibpngやzlibなどの脆弱性が時々見つかっているが、それらを含むフリーウェアにおいてきちんと更新している例は少ない。フリーソフトウェアでは開発が停止しても、各ディストロのメンテナ等がセキュリティパッチを当てたりなどの対応をする場合が多いが、ソースコードが提供されていなかったり再配布が不可能だったりするフリーウェアにおいてそれは不可能である。 ファイル共有ソフトWinnyの作者逮捕による開発停止後、リモートでコードが実行可能な脆弱性が見つかる ペイントソフトSAIのシェアウェア化 漫画閲覧ソフトマンガミーヤによるXpdfのライセンス侵害による開発停止 (開発停止後にもXpdfの脆弱性は複数見つかっている) ウェブブラウザSleipnirのソースコード盗難による開発継続不可 (その後、スクラッチからSleipnir2が製作されたが、空白期間は脆弱性への対応などができない状態であった) UNLHA32 の開発停止及びセキュリティ脆弱性から来る使用中止の呼び掛け。開発停止したフリーウェアのなかにはUNLHA32を含むものが数多くあるが、それらが脆弱なままとなる。 フリーウェアでは電子署名が無いのにHTTPやFTPなどの中間者攻撃が可能な方法で公開されているという場合が多く、安全にダウンロードできない場合が多い (対してミラーされることの多いフリーソフトウェアでは、HTTPSで電子署名の公開鍵を配って、ソフトウェアには電子署名して公開しているという場合が多い)。特に二次配布サイトや雑誌収録において改竄されていないかを確認するには意識してチェックサムなどを確認する必要があるが、一次配布サイトにおいてチェックサムが安全な方法で公開されていない場合も多い。 窓の杜やVectorのようなフリーウェア配布サイトでは脆弱性の検査までは行っていないが、ウイルス検査は公開前と感染の疑いがある場合のみに行われている。しかし、2006年9月27日にはVectorにおいて新型ウイルスによって大規模なサイト内ウイルス感染が起きている。また、ウイルス感染したソフトウェアを使うことで開発環境に感染し、その開発環境で開発したソフトウェアにまで感染することもあり、2009年夏にはDelphiを狙ったInducが感染を拡大し、Vectorや窓の杜の他、雑誌のDTMマガジンにまで感染したソフトウェアが収録されている。
※この「セキュリティ問題」の解説は、「フリーウェア」の解説の一部です。
「セキュリティ問題」を含む「フリーウェア」の記事については、「フリーウェア」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/06/14 08:40 UTC 版)
2019年5月21日、Googleは、クラウド型グループウェア「G Suite」の少数の顧客のパスワードが、2005年以来14年間、誤って暗号化されず平文で保存されていたことを公表した。平文のパスワードはセキュアな暗号化されたインフラ上に保存されており、不正に使用された証拠は見つからなかったと説明した。
※この「セキュリティ問題」の解説は、「Google」の解説の一部です。
「セキュリティ問題」を含む「Google」の記事については、「Google」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2017/09/15 04:55 UTC 版)
GDTのあるメモリ領域が適切に保護されなければ、ユーザプログラムからコールゲートを設定することで任意のコードを特権レベル0で実行できるというセキュリティ上の欠陥として利用されうる。2006年に出現したMicrosoft WindowsのE-mailワームGurong.Aは\Device\PhysicalMemoryを通じてGDTを操作し、コールゲートを作ることで特権の昇格を行っている。
※この「セキュリティ問題」の解説は、「コールゲート」の解説の一部です。
「セキュリティ問題」を含む「コールゲート」の記事については、「コールゲート」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2018/02/27 17:34 UTC 版)
ネットワーク共有は、共有ファイルにアクセスしてはならない人々がその共有ファイルを得るための(しばし不正な方法で)アクセス権を得た場合、セキュリティ障害となる可能性がある。多くのコンピュータワームはネットワーク共有を通じて拡散する。ネットワーク共有は、非ブロードバンドネットワークアクセスにおいてコミュニケーションキャパシティを消費するだろう。そのため、共有プリンタやファイルアクセスは、LANや企業イントラネットの外部にあるコンピュータからはファイアウォールにより通常禁止される。しかしながら、Virtual Private Network (VPN) によって、ローカルネットワークの外側にいる認定されたユーザーが共有資源を安全に利用することが可能となる。 ネットワーク共有は通常、フォルダやファイルを共有にマークすること、またはファイルパーミッションやフォルダのプロパティにおけるアクセス権を変更することで他のユーザーからアクセスできるようになる。例えば、ファイルもしくはフォルダがあるユーザー(所有者)のみ、システム管理者、パブリックなユーザーのあるグループ(すなわち全ログインユーザー)にアクセス可能にすることができる。正確な手続きはプラットフォームにより異なる。 家庭向けやスモールオフィス向けのオペレーティングシステムでは、ローカルコンピュータにユーザーアカウントとパスワードを持つ全てのユーザーがアクセス可能な、特別な共有済フォルダがある。共有済フォルダへのネットワークアクセスを有効にすることができる。Windows XP Home Editionオペレーティングシステムの英語版において共有済フォルダは、通常はパスC:\Documents and Settings\All users\Shared documentsにありShared documentsと名付けられている。Windows VistaおよびWindows 7では、共有済フォルダは、通常はパスC:\Users\Public\Documentsにあり、public documentsとして名付けられている。
※この「セキュリティ問題」の解説は、「共有資源」の解説の一部です。
「セキュリティ問題」を含む「共有資源」の記事については、「共有資源」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/04/08 01:29 UTC 版)
2008年6月、無料アカウント向けの広告配信用サーバに、広告の一部としてオンラインゲームのIDを盗み出すウイルスをダウンロードさせようとするリンクが仕込まれる。また、運営者側での事態の把握が遅れたため一部のユーザーで騒動となり、INTERNET Watchに報じられた。 2009年7月、VALUE DOMAINのログインフォーム、AccessAnalyzerのトップページ・管理ページ全般に、Internet Explorerでアクセスすることによりウイルスが意図せずダウンロードされてしまう、ActiveXの脆弱性を用いた不正なJavaScriptが挿入される改竄が発覚。大手プロバイダSo-netやスキャン・ネットセキュリティなど多数のニュースサイトで報じられた。 公式のアナウンスによると、ともに外部受託業者から管理パスワードが漏れたのが原因である。当時の運営会社の社員は2人だけで、管理・サポート業務などを外部委託していたため、管理が行き届かなかったことが根本的な原因である。なお2011年7月にGMOインターネットの子会社になったことを機に、社員の増員と管理・サポートの強化が行われており、これ以降は大きなセキュリティ問題は報告されていない。
※この「セキュリティ問題」の解説は、「XREA」の解説の一部です。
「セキュリティ問題」を含む「XREA」の記事については、「XREA」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/08 06:04 UTC 版)
「LastPass」の記事における「セキュリティ問題」の解説
2011年5月3日火曜日、LastPassは自身の受信ネットワークトラフィックに異常を発見、その後送信ネットワークトラフィックにも同じような異常を発見した。管理者は従来のセキュリティ欠陥(例として非管理者が管理者権限を取得した証拠を残していないデータベースログ)を示す特徴は見つからなかったものの、異常の根本的な原因を特定することはできなかった。さらに、異常の重大さを考えると電子メードアドレス、サーバーのソルト、ソルトされたパスワードのハッシュがLastPassのサーバーから流出した可能性が取り沙汰され、対処として異常の発生したサーバーを撤去し再構築した。2011年5月4日、全ユーザーにマスターパスワードの変更を要請した。しかし、結果としてユーザートラフィックはログインサーバーを圧倒してしまい、一時的に管理者は追加の通知が有るまでマスターパスワードの変更作業を中止するように求めたが、パスワード流出の可能性は明確に小さくなったとかんがえられるようになっていった。LastPassはまた顧客情報流出の直接的な証拠は無いが用心に越したことはないと述べた。これらの予防措置により、以降顧客情報損失やパスワード流出は検証報告されていない。コメント6にて、ジョー・シーグリストは「確かに賢明」と言った上で第三者監査に委託。しかし、監査による結果はこれまでに発表されていない。
※この「セキュリティ問題」の解説は、「LastPass」の解説の一部です。
「セキュリティ問題」を含む「LastPass」の記事については、「LastPass」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/10/03 22:10 UTC 版)
「Zeroconf」の記事における「セキュリティ問題」の解説
ユニキャストの信頼できるDNSがネットワーク全体を管理するモデルとは異なり、mDNSはなりすましによって情報を盗まれる危険性が高いと指摘されている。SNMPなどのネットワーク管理プロトコルと同様、mDNSを使ってそのネットワークの構成や個々のホストについて詳細情報が容易に得られるという問題もある。
※この「セキュリティ問題」の解説は、「Zeroconf」の解説の一部です。
「セキュリティ問題」を含む「Zeroconf」の記事については、「Zeroconf」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/08/09 06:12 UTC 版)
「Adobe Acrobat」の記事における「セキュリティ問題」の解説
これまで多くのセキュリティホールが発見されており、問題のあるPDFファイルを閲覧、あるいは非表示のフレーム内にPDFファイルを表示するように細工されたウェブサイトを閲覧しただけでユーザのコンピュータでマルウェアが実行されるといった被害が世界中で発生している。特に、ウェブブラウザとリンクして、クリックするだけでPDFファイルが開かれる設定にしているユーザは、不正なコードを容易に実行される。 アドビはこれらの問題に対応するため四半期に一度の定期アップデート(クオータリーアップデート)を行うことを公表したが、脆弱性の発見とソフトウェアの修正はいたちごっことなっている。提供される最新版を適用することでその時点で発見・公開されている脆弱性へは対応すると発表されている。 AcrobatおよびReaderのサポート期間はリリース日から5年間としており、期間内であればアップデートを行っている。そのため、アップデートが最新版および1世代前の2世代分が常であるが、サポートが終了していない2世代前を含む3世代分が行われる場合もある。
※この「セキュリティ問題」の解説は、「Adobe Acrobat」の解説の一部です。
「セキュリティ問題」を含む「Adobe Acrobat」の記事については、「Adobe Acrobat」の概要を参照ください。
セキュリティ問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/19 14:33 UTC 版)
「グループポリシー」の記事における「セキュリティ問題」の解説
ユーザ単位のポリシーは、対象アプリケーションが自発的に受け入れるときだけ効果を発揮するという問題がある。悪意あるユーザはアプリケーションがグループポリシー設定を読み込むのを妨害したり(それによってセキュリティレベルが低いデフォルト状態になる)、任意の値を返す可能性もある。また、ユーザが書き込み可能な位置にアプリケーションをコピーし、ポリシー設定が無効化されるような変更を加えることもできる。
※この「セキュリティ問題」の解説は、「グループポリシー」の解説の一部です。
「セキュリティ問題」を含む「グループポリシー」の記事については、「グループポリシー」の概要を参照ください。
- セキュリティ問題のページへのリンク