ブログ | 三和コムテック | セキュリティ (7)

サービスプロバイダーはPCI DSS準拠が必須か

2018.01.12

「実行計画」は2016版の時からサービスプロバイダーへのガイドが明確になっていませんでした。加盟店はできるだけカード情報を非保持にして、PCI DSS準拠する手間やコストを少なくしたいことからカード情報の取扱いは外部の委託先に任せようという...

TLS 実装で Bleichenbacher 攻撃対策が不十分な可能性

2017.12.20

Bleichenbacher 方式の攻撃に脆弱である可能性があります。この脆弱性は「ROBOT 攻撃」と呼ばれています。

バンキングアプリの脆弱性

2017.12.08

英国バーミンガム大学のセキュリティリサーチチームが、大手銀行のバンキングアプリから脆弱性を発見しています。

設定によりWindows8以降のASLRが不適切に行われる可能性

2017.11.29

Microsoft Windows 8 でのシステム全体への ASLR 強制方法の実装変更を受け、十分なエントロピーを持って ASLR 強制の動作を行わせるためには system-wide bottom-up ASLR を有効にする必要があ...

コード署名証明書付きのマルウェア

2017.11.10

ダークウェブの闇市場で、クレジットカード情報や偽造の身分証明書、銃などよりも高額で取引されるものがあります。コード署名証明書です。コード署名証明書は、ソフトウェアを頒布させる際に、その発行元の身元を証明するために使われる証明書です。

IEEE P1735に脆弱性

2017.11.07

IEEE P1735 は電子回路設計に関する知的財産を暗号化する方法、及び、そのような知的財産に対するアクセス権限の統制に関するメソッドを記したもので、複数の知的財産所有者が絡んだ複雑な電子回路開発に於いて、デザインフロー内の不正なエンティ...

心臓ペースメーカーの深刻な脆弱性

2017.09.08

ワイヤレスデバイスに付き物の脆弱性は広くセキュリティ上の課題として認識されていますが、直接生命に関わるようなデバイスも例外ではありませんでした。

紙情報はPCI DSSの対象から除外してよいか

2017.08.23

「実行計画2017」には、「紙媒体のまま保存する場合は非保持となる。(P14)」と書かれています。通販の申込みはがきやFAXに、クレジットカード番号が記入されていても、紙のままで保存するのであれば、カード情報非保持と認められます。とこ...

自動車会社が本物のソフトウェア会社になるためには

2017.06.15

ペンタセキュリティ社特別寄稿自動車会社の技術者と自動車セキュリティ関連の会議をするとき、前に比べて雰囲気が相当変わったことを直感する。何だか重工業系にはハードルの高さがあり、高い壁のように感じられたが、このごろは結構ソフトになった気がする...

Linux sudoコマンドに権限昇格の脆弱性が見つかる

2017.06.02

Linux のコマンドsudo に特権権限への脆弱性が報告されています。脆弱性の影響を受ける対象は、sudoのバージョンが1.8.6p7 から 1.8.20 で、SELinuxが有効の場合に脆弱性の影響を受けます。

IPAがWannaCryの感染実演デモを公開

2017.05.24

世界各国で被害を拡大し続けているランサムウェアWannaCry(WannaCrypt, WannaCryptor, Wcry等)への対応方法について、IPAは、相談窓口に寄せられた相談から、概要・予防策などを公開しています。

[WannaCrypt] MS17-010 の適用状況の確認方法について

2017.05.18

MicrosoftよりWannaCryptが使用する脆弱性を改修するパッチ、MS17-010 の適用状況の確認方法についての情報が公開されています。

順序保存暗号化(Order Preserving Encryption)は安全な暗号化なのか。

2017.05.17

一般企業で会社の情報セキュリティを担当しているKさんは、このごろ悩み事が多い。個人情報保護法の遵守のため、個人情報が保存されている業務システムに暗号化製品を導入しようとしている。暗号化製品を設置すれば、個人情報保護法の遵守は問題ないが、業務...

セキュリティ脅威にはアクセス制御より暗号化が効果的だ

2017.04.17

データベースのセキュリティにおいて「暗号化」と「アクセス制御」はどちらがより重要であるかを常に熾烈に競争してきた。この二つは、セキュリティに対するアプローチの仕方が全く異なり、長所と短所もそれぞれ違うのでユーザーたちを悩ませた。

クレジット取引セキュリティ、P2PE暗号化で安全

2017.03.16

どんな国であれ、外国を訪問すれば、大小のカルチャーショックを経験する。自分が精神的に属している母国の文化とは全く異なった異国の文化を経験した際感じる衝撃は、2回にわたって起こる。初めは、慣れていない文化と接したときの衝撃と、その国の文化にあ...

IPA「ファジング活用の手引き」が更新

2017.03.09

IPA(情報処理推進機構)で公開されている「ファジング活用の手引き」が2017年3月3日に更新されました。「ファジング活用の手引き」では、脆弱性検査の技術の一つである「ファジング」について、概要・実践方法・活用方法を記載しています。

Google がSHA-1衝突攻撃に成功

2017.03.01

GoogleとCWI研究所の研究において、全く異なるコンテンツのドキュメントから、同一のSHA-1のハッシュ値を生成することに成功したと、Googleのセキュリティブログで発表されました。

売買される企業秘密

2017.02.16

匿名ネットワークのダークウェブでは、違法薬物やハッキングツール、さらに個人情報や企業秘密などの盗まれたデータが売買されています。

自動車セキュリティ、「先セキュリティ、後の接続(Secure First、then Connect)」原則

2017.02.16

「Automotive World 2017」展示会が1月18日から01月20日まで3日間東京のビッグサイト展示場で開催された。 5つの分野の技術展が開かれ、961社が参加した大規模なイベントだ。

注意喚起 - 不正送金マルウェア「Ursnif」が再び活性化

2017.01.20

2016年に攻撃が拡大し同年末には沈静化した情報窃取型不正プログラム「Ursnif」に関して、2017年に入り再び攻撃が確認されるようになったことが、トレンドマイクロ社の調査により明らかになりました。

セキュリティ (7)

サービスプロバイダーはPCI DSS準拠が必須か

TLS 実装で Bleichenbacher 攻撃対策が不十分な可能性

バンキングアプリの脆弱性

設定によりWindows8以降のASLRが不適切に行われる可能性

コード署名証明書付きのマルウェア

IEEE P1735に脆弱性

心臓ペースメーカーの深刻な脆弱性

紙情報はPCI DSSの対象から除外してよいか

自動車会社が本物のソフトウェア会社になるためには

Linux sudoコマンドに権限昇格の脆弱性が見つかる

IPAがWannaCryの感染実演デモを公開

[WannaCrypt] MS17-010 の適用状況の確認方法について

順序保存暗号化(Order Preserving Encryption)は安全な暗号化なのか。

セキュリティ脅威にはアクセス制御より暗号化が効果的だ

クレジット取引セキュリティ、P2PE暗号化で安全

IPA「ファジング活用の手引き」が更新

Google がSHA-1衝突攻撃に成功

売買される企業秘密

自動車セキュリティ、「先セキュリティ、後の接続(Secure First、then Connect)」原則

注意喚起 - 不正送金マルウェア「Ursnif」が再び活性化

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧

SEARCHブログ内検索

セキュリティ (7)

サービスプロバイダーはPCI DSS準拠が必須か

TLS 実装で Bleichenbacher 攻撃対策が不十分な可能性

バンキングアプリの脆弱性

設定によりWindows8以降のASLRが不適切に行われる可能性

コード署名証明書付きのマルウェア

IEEE P1735に脆弱性

心臓ペースメーカーの深刻な脆弱性

紙情報はPCI DSSの対象から除外してよいか

自動車会社が本物のソフトウェア会社になるためには

Linux sudoコマンドに権限昇格の脆弱性が見つかる

IPAがWannaCryの感染実演デモを公開

[WannaCrypt] MS17-010 の適用状況の確認方法について

順序保存暗号化(Order Preserving Encryption)は安全な暗号化なのか。

セキュリティ脅威にはアクセス制御より暗号化が効果的だ

クレジット取引セキュリティ、P2PE暗号化で安全

IPA「ファジング活用の手引き」が更新

Google がSHA-1衝突攻撃に成功

売買される企業秘密

自動車セキュリティ、 「先セキュリティ、後の接続(Secure First、then Connect)」原則

注意喚起 - 不正送金マルウェア「Ursnif」が再び活性化

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧

SEARCHブログ内検索

自動車セキュリティ、「先セキュリティ、後の接続(Secure First、then Connect)」原則