日付 |
タイトル・内容 |
29日 |
|
29日 |
|
28日 |
|
|
|
【状況】
・3月17日に同一IPアドレス(中国及び国内)より、ID(メールアドレス)・パスワードを使って、2,929回にわたる“なりすまし”による不正アクセスが行われ、そのうち6件不正ログインされ、6名分のお客様情報(氏名、会員ランク、保有ポイント数)が、第三者に閲覧された可能性があることが判明
【対応】
・不正ログインされた顧客IDに、ただちにログインできないように対応
・不正ログインされた顧客及びログイン失敗IDに含まれていた顧客に対して、状況を速やかに連絡
・不正アクセスが行われた特定IPアドレスからのアクセスをブロック
・セシールオンラインショップの、ID・パスワード管理徹底のお願いと注意喚起
【再発防止】
セキュリティレベルの向上策を検討し、オンラインショップの信頼性向上に引き続き努める
|
|
|
|
|
|
27日 |
|
26日 |
|
26日 |
|
25日 |
|
20日 |
|
19日 |
|
16日 |
|
14日 |
|
09日 |
|
08日 |
|
06日 |
|
06日 |
|
06日 |
|
|
|
安全にウェブサイトを運用管理するために、ウェブサイト運営者、システムおよびネットワーク管理者が確認・対策すべき情報を公開
・「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」
https://www.ipa.go.jp/security/vuln/websitecheck.html
・「ウェブサイト運営のファーストステップ」
https://www.ipa.go.jp/files/000071949.pdf
1.ウェブアプリケーションのセキュリティ対策
(1)公開すべきでないファイルを公開していませんか?
(2)不要になったページやウェブサイトを公開していませんか?
(3)「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか?
(4)ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか?
(5)不必要なエラーメッセージを返していませんか?
(6)ウェブアプリケーションのログを保管し、定期的に確認していますか?
(7)インターネットを介して送受信する通信内容の暗号化はできていますか?
(8)不正ログインの対策はできていますか?
2.ウェブサーバのセキュリティ対策
(9)OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか?
(10)不要なサービスやアプリケーションがありませんか?
(11)不要なアカウントが登録されていませんか?
(12)推測されやすい単純なパスワードを使用していませんか?
(13)ファイル、ディレクトリへの適切なアクセス制御をしていますか?
(14)ウェブサーバのログを保管し、定期的に確認していますか?
3.ネットワークのセキュリティ対策
(15)ルータなどを使用してネットワークの境界で不要な通信を遮断していますか?
(16)ファイアウォールを使用して、適切に通信をフィルタリングしていますか?
(17)ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断していますか?
(18)ネットワーク機器のログを保管し、定期的に確認していますか?
4.その他のセキュリティ対策
(19)クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか?
(20)定期的にセキュリティ検査(診断)、監査していますか?
|
|
|
|
|
|
06日 |
|
|
|
【概要】
ウェブサイト運営者、システムおよびネットワーク管理者のための「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」を公開
1.ウェブアプリケーションのセキュリティ対策
2.ウェブサーバのセキュリティ対策
3.ネットワークのセキュリティ対策
4.その他のセキュリティ対策
上記のテーマで、20項目のポイントを解説
【チェックリストのダウンロード】
・ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 チェックリスト(エクセル)
【参考資料】
・知っていますか?脆弱性
・安全なウェブサイトの作り方
・ウェブサイト運営者のための脆弱性対応ガイド
・ウェブサイト構築事業者のための脆弱性対応ガイド
・セキュリティ担当者のための脆弱性対応ガイド
・ウェブサイト運営のファーストステップ〜ウェブサイト運営者がまず知っておくべき脅威と責任〜
【詳細ページ】
https://www.ipa.go.jp/security/vuln/websitecheck.html
|
|
|
|
|
|