• ベストアンサー

脆弱性の詳細解説サイト

脆弱性の詳細についてMicrosoftや報道機関の発表 より詳しく解説されたサイトなどありますでしょうか? 例:2014.1 IEゼロデイなど 日本国内の情報では概略のみで、実際の脆弱性を引き起こす コード例や各プロセスレベルでの解説がされているサイトを 探しています。(英語ページでも可です) セキュリティー全般を勉強しており知識の参考にしたいと思います。 よろしくお願い申し上げます。

質問者が選んだベストアンサー

  • ベストアンサー
  • drum_KT
  • ベストアンサー率43% (1108/2554)
回答No.1

求めているレベルの情報は、すべてがまとまって解説されているようなサイトは存在しません。また、すべての情報が一般に公開されるとも限りません。ソフトウェアベンダーが独自に脆弱性を発見して修正した場合、その詳細は伏せられることもあります。理由は、詳細を開示してしまうと悪用が可能となるからです。 世界には、脆弱性を発見してソフトウェアベンダーに通報することで賞金稼ぎをしていたり、セキュリティベンダーに所属して研究していたりする人が大勢います。彼らは、他人がまだ発見していない新たな脆弱性を発見することを競っており、自分が新しい脆弱性の発見者である場合、その内容を自分のブログなどで詳細に公開していることがあります。 なので、個々の脆弱性について、詳細情報が知りたい場合はそういうサイトを探し回ることになります。脆弱性にはたいていCVE番号というものがついていて、その番号で一意に識別できるので、詳細を知りたい脆弱性のCVE番号をキーにして検索をかけてみるのが手っ取り早い方法です。 ちなみに、それら個々の脆弱性の詳細情報を読む以前の前提知識として、情報処理技術者試験の情報セキュリティスペシャリストの教科書に載っているような脆弱性の基本的な原理や攻撃手法の基礎について、十分な知識を持っているという自信がまだないようでしたら、先にそちらを勉強されることをお勧めします。 前提知識を十分に持っていれば、脆弱性の概略を読んだだけで、どういうタイプの脆弱性なのかはおおよそ判断がつくようになります。

vbsomen
質問者

お礼

大変参考になりました。 ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ieの脆弱性パッチは、どこからダウンロードできる?

    IEのバージョン6~11で、ゼロデイ脆弱性という深刻な脆弱性があるというニュースを見ました。 これに対してのパッチはどこからダウンロードできるのでしょうか? 検索したところ、下記の調査報告?は見つけたのですが、肝心のパッチのダウンロードページが見つかりませんでした…。 https://technet.microsoft.com/ja-JP/library/security/2963983

  • ブラウザの脆弱性

    IEの脆弱性はエンジン起源によるものでIEコンポーネントのタブブラウザもその脆弱性を共有しているといわれています。 Geckoの方はどうなんでしょう? Geckoの3大ブラウザのNN、Mozilla、FireFoxはよくブラウザの脆弱性として報道されているようなのですがGeckoエンジンには問題ないのでしょうか? また、Geckoによる脆弱性のニースサイトを教えて下さい。

  • IEに脆弱性、他のブラウザにということ

    ヤフーニュースで、米MicrosoftのInternet Explorer(IE)に、また新たな未解決の脆弱性が報告された。IE 7と8を標的とした攻撃が既に発生しているもようだ。米SANS Internet Storm Centerやセキュリティ企業各社が9月17日に一斉に伝えた。  IEの脆弱性を悪用するコードは、先に発覚したJavaの脆弱性(Oracleが8月30日に対処済み)について調べていた研究者が14日に発見し、最新のパッチを当てたWindows XP SP3上で悪用できることを確認した。  この脆弱性はIE 7/8/9に存在し、細工を施したWebサイトをユーザーが見ただけで被害に遭う可能性があるという。Microsoftはまだ、この脆弱性を解決するための更新プログラムをリリースしていない。  脆弱性検証ツール「Metasploit」の開発チームは17日、この脆弱性を突くモジュールをMetasploitに追加したと発表した。同モジュールはIE 7/8/9とWindows XP/Vista/7の組み合わせに対して通用するという。  SANSやMetasploitチームではIEのユーザーに対し、Microsoftがこの問題に対処するまでの間、ChromeやFirefoxなど別のWebブラウザに切り替えることを勧めている。 . とありました。私はパソコン初心者でchromeやFirefoxへの切り替え方がわからないのですがみなさんはどうしていますか?

  • 9月のIEの致命的な脆弱性について

    IE 9以前に深刻な脆弱性、パッチ提供までは他のブラウザ推奨 ttp://headlines.yahoo.co.jp/hl?a=20120918-00000002-zdn_ait-sci 何だかあまり話題になっていないようですね。 この発表を知らなくて、脆弱性が発覚してからパッチが配布されるまでの間に 結構IEで色々なサイトに行ってしまったのですが大丈夫でしょうか? 特に怪しいサイトにはアクセスしていないのですが…。一般的なウイルス対策はしています。 とりあえずF-secure,ノートン,Microsoft Safety Scannerでスキャンをかけたところ異常無しでした。 ウイルスに感染する類の脆弱性じゃないのでしょうか? アクセスしただけで任意のコードを実行されると聞いても、よく分かりません。 大げさかもしれませんが、最近ネット関連の物騒なニュースがあるのでちょっと心配です。 よろしくお願いします。

  • SunのJavaプラグインの脆弱性とブラウザの関係

    SunのJavaプラグインに2つの脆弱性、危険度は“高” http://internet.watch.impress.co.jp/cda/news/2005/01/21/6159.html というニュースが発表されましたが、これによって一般ユーザーはどのような不利益を受けるのでしょうか? 通常ではJREもSDKもインストールしないだろうから、安全なのでしょうか? あと、JavaVMについてはどうなのでしょうか?IEはJavaVMにMicrosoft製のものを使っているから問題ないが、Mozilla FirefoxなどはSun製のVMを使用しているから影響を受けるとどこかで読んだことがありますが、実際どうなのでしょうか?

  • MSの"脆弱性"情報にある「一般公開」について

    例として挙げた下記のサイトに「Kerberos のセキュリティ機能のバイパスの脆弱性 – CVE-2016-3237」という記載があり、「一般公開」が「なし」となっています。この「一般公開」が「なし」とはどういう意味かご教示を頂けますでしょうか。 「一般公開」が「なし」とは脆弱性をつくような攻撃手法を一般公開していないため、「なし」になっていると思っていますが、違いますでしょうか。 「悪用」が「なし」は、攻撃者が脆弱性をついて悪用した報告はないため、「なし」となっているのはわかるのですが、「一般公開」についてはよく理解できていません。 --------------------------------------------------------------------------------------- マイクロソフト セキュリティ情報 MS16-101 - 重要 Windows 認証方式用のセキュリティ更新プログラム (3178465) https://technet.microsoft.com/ja-jp/library/security/ms16-101.aspx ---------------------------------------------------------------------------------------

  • このサイトの仕組みわかりますか?

    ドコモのサイトを例にとってお伺いします。 http://www.nttdocomo.co.jp/info/news_release/page/20060525a.html http://www.nttdocomo.co.jp/info/news_release/page/20060525b.html この2つを見比べると、報道発表資料の中身だけが変わって後は全て同じです。 これは報道発表資料の中身だけをアドレス事に挿入している形になるのでしょうか?仕組みがよくわかりません。 ホームページビルダーでそのようなことはできますか???

  • 中国語のニュースを解説ください。

    先ほどテレビでニュースを見ていると、 中国の列車事故について、中国当局はテロの可能性を否定し、「人為的な事故」と断定した。 と報道されました。 あまりに時期尚早で、おかしいと思い、ネットの日本語と英語のニュースを比べてみました(中国語は全く読めません)。 確かに、日本語では、そのように記述されています。 http://www.daily.co.jp/gossip/2008/04/29/0000988571.shtml しかし、英語では、 http://afp.google.com/article/ALeqM5i9IHRFrFNS8MWEq6WxNHCzNxba_g the official Xinhua news agency said preliminary investigations found human error was to blame, without elaborating. (私の訳: 新華社通信は、詳細を示さずに、暫定的な調査で人為的ミスが見つかったと発表した。 ) はたして、中国国内のニュースではどういったニュワンスで報道されているのでしょうか。 ニュース源を示して解説いただければありがたいです。 よろしくお願いします。

  • Windows98のサポート打ち切り

    MicrosoftがWindows98などのサポート打ち切りを発表しましたが、 http://support.microsoft.com/gp/lifean18 予想されるセキュリティ低下の実害について教えてください。 私の場合、祖母宅が98を使っています。 (私自身はXPです) 祖母の使用頻度が低いせいか、未だにPC自体はとても調子がいいです。 もともとMSの技術サポートなどは全く受けていませんでしたので、 Windows Updateの緊急セキュリティパッチ公開が 「どんなことがあっても」なくなる、というのが気がかりです。 家族や家電量販店の人は「98はウィルスにかからない」 「使用者の少ない98を狙う人などいない」というのですが、 IEなど、Windows全般に共通する脆弱性だったら関係ないのではないか と私は思ってしまいます。 祖母のPCのアップデートも私の仕事で、 時々シマンテックなどのオンラインスキャンで ウィルスに感染していない事を確認していたのですが、 アップデートすら公開されないとなると 私にはどうしようもありません。 まだ使えるので「買い替えはしない」という事になったのですが、 やはりセキュリティ面では脆弱になるのでしょうか。 祖母のPCから我が家のメールアドレスを全部消すとか、 そういった方法をとった方が良いのでしょうか。 それとも気にしすぎでしょうか。 どのような被害が予測されるのか、そして対策は、 といったことを教えてください。

  • ISO9000 2000年版 プロセスフローチャートについて教えてください

    ISO9000:2000の品質マニュアルを作成しています。規格の要求事項の中に‘プロセスの順序及び相互関係を明確にする‘と有りますが、この方法として プロセスフローチャートを作って対応する、と参考書にはよく出ています。しかしながら、言ってる事は良くわかるのですがフローチャート図そのものを例として解説している資料がなかなか有りません。プロセスフローチャートの作り方のアドバイス、又は具体的にプロセスフローチャート図を用いて解説してくれているネット上のサイトがあれば教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する