ウェブサイトの悪質なコードに関する指導書を刊行 (カーネギーメロン大学) | ScanNetSecurity
2023.06.09(金)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

ウェブサイトの悪質なコードに関する指導書を刊行 (カーネギーメロン大学)

 カーネギーメロン大学のコンピュータ緊急対応チーム(CERT)は2月1日、ウェブ運営者の知らぬ間に悪意あるソフトウェア・スクリプトが投稿されネット上に蔓延する危険性に関する指導書を刊行した。  CERTの指導書によると、そのプログラムはサイトに埋め込まれた特殊な

国際 海外情報
 カーネギーメロン大学のコンピュータ緊急対応チーム(CERT)は2月1日、ウェブ運営者の知らぬ間に悪意あるソフトウェア・スクリプトが投稿されネット上に蔓延する危険性に関する指導書を刊行した。
 CERTの指導書によると、そのプログラムはサイトに埋め込まれた特殊なリンクにより蔓延する。それらのリンクは、サイトがパスワードのような機密情報の収集を可能にするスクリプトや悪質なデータ、迷惑な写真などを送信するのを許してしまう。CERTは、ウェブ開発者とユーザはそのスクリプトを使って組織内の制限されたネットワークがインターネット上の攻撃者にさらされる危険性を認識すべきだと勧告した。(そのスクリプトの機能を停止させる手順は“CERTの悪質なコードに関するFAQ”、CERT's Malicious Code FAQに詳述されている)
 さらに指導書は、潜在的攻撃者がウェブサイトのデータ送受信の際のセキュリティ不備を利用する危険性があると指摘し、クライアントに送り返すデータに“不審な”文字がないことを保証するためデータを検証することを勧めている。
 「悪質なスクリプトの検出は困難なため、これまでCERTが直接報告を受けたことはない。我々はこの問題を理解し、そしてリスク軽減を図る防御措置のような技術情報を伝えるため作業に取り組んできた」とCERTテクニカル・コミュニケーション担当部長のBill Pollack氏が述べた。
 この指導書の刊行に際し、米国防総省の統合コンピュータ・ネットワーク防御対策特別捜査班、連邦コンピュータ事件対応局(FedCIRC)、全米社会基盤防衛センター(NIPC)が参画した。

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

金正恩国家主席 サイバー戦力を2倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度] 画像

金正恩国家主席 サイバー戦力を2倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]
ケービデバイス製デジタルビデオレコーダに複数の脆弱性 画像

ケービデバイス製デジタルビデオレコーダに複数の脆弱性
HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性(Scan Tech Report) 画像

HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性(Scan Tech Report)
WordPress Social Loginプラグインに脆弱性 画像

WordPress Social Loginプラグインに脆弱性
「日本で撮影されたUFO」写真からサポート詐欺に誘導 トレンドマイクロ注意喚起 画像

「日本で撮影されたUFO」写真からサポート詐欺に誘導 トレンドマイクロ注意喚起
WordPressサイトの複合的な強化を行う Jetpack プラグインに脆弱性 画像

WordPressサイトの複合的な強化を行う Jetpack プラグインに脆弱性

インシデント・事故 記事一覧へ

NHK放送文化研究所、世論調査対象者1,200人分の個人情報記載資料を紛失 画像

NHK放送文化研究所、世論調査対象者1,200人分の個人情報記載資料を紛失
エムケイシステムにランサムウェア攻撃、グループの業績に及ぼす影響については精査中 画像

エムケイシステムにランサムウェア攻撃、グループの業績に及ぼす影響については精査中
エーザイグループにランサムウェア攻撃、一部サーバが暗号化 画像

エーザイグループにランサムウェア攻撃、一部サーバが暗号化
業務委託先のサーバに不正アクセス、日本製紙クレシア「ポイズ 選べる試供品プレゼントキャンペーン」中止 画像

業務委託先のサーバに不正アクセス、日本製紙クレシア「ポイズ 選べる試供品プレゼントキャンペーン」中止
原因は推測可能なVPNのパスワード、村本建設へのランサムウェア攻撃 画像

原因は推測可能なVPNのパスワード、村本建設へのランサムウェア攻撃
海技教育機構職員のアカウントに不正アクセス、不審なSMSやメールに注意を呼びかけ 画像

海技教育機構職員のアカウントに不正アクセス、不審なSMSやメールに注意を呼びかけ

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア身代金支払率、日本は国際トレンドに逆行 ~ プルーフポイント年次レポート 画像

ランサムウェア身代金支払率、日本は国際トレンドに逆行 ~ プルーフポイント年次レポート
ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘 画像

ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘
中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023 画像

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023
ランサムウェア攻撃の 93%がバックアップストレージを標的に 画像

ランサムウェア攻撃の 93%がバックアップストレージを標的に
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料

研修・セミナー・カンファレンス 記事一覧へ

改訂 ISMS への移行や認証に必要な対策は? セコムトラストシステムズの現役コンサルタントが 6/22 解説 画像

改訂 ISMS への移行や認証に必要な対策は? セコムトラストシステムズの現役コンサルタントが 6/22 解説
NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演 画像

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演
東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY 創業7年、未経験採用/直接雇用の脆弱性診断士約250名体制に 画像

SHIFT SECURITY 創業7年、未経験採用/直接雇用の脆弱性診断士約250名体制に
脆弱性管理プラットフォーム「S4」無償プランの新規申込受付再開 画像

脆弱性管理プラットフォーム「S4」無償プランの新規申込受付再開
非エンジニアの文系ライターが挑んだSecuriST(セキュリスト)認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるなら 画像

非エンジニアの文系ライターが挑んだSecuriST(セキュリスト)認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるなら
最大16年の長期サポート、サイバートラストが「AlmaLinux OS」 を Neutrix Cloud 上で提供 画像

最大16年の長期サポート、サイバートラストが「AlmaLinux OS」 を Neutrix Cloud 上で提供
AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能 画像

AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能
6月4日まで「個人情報を考える週間」丹野委員長コメント 画像

6月4日まで「個人情報を考える週間」丹野委員長コメント

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×