ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.24
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review (IIR)Vol.24
2014年8月22日
RSS

4月のインシデント

凡例

日付 分類 内容
1 一般社団法人JPCERTコーディネーションセンターは、脆弱性対策情報ポータルサイトであるJVNにおける脆弱性の深刻度の評価尺度表示を、それまでの独自評価から、共通脆弱性評価システム(CVSS:Common vulnerability scoring system)とすることを公表した。
「JVN が脆弱性の深刻度評価尺度表示に国際標準の共通脆弱性評価システム(CVSS)を採用」(https://www.jpcert.or.jp/pr/2014/PR20140401-jvn.pdf)。
2 総務省より、クラウドサービス提供事業者が実施すべきセキュリティ対策や利用者との間で取り決めるべき合意事項のひな形などを示した「クラウドサービス提供における情報セキュリティ対策ガイドライン」が公表された。
「クラウドサービス提供における情報セキュリティ対策ガイドラインの公表」(http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000073.html)。
8 OpenSSLのTLS Heartbeat拡張処理の不具合により、メモリ上の情報が第三者に漏えいする脆弱性(CVE-2014-0160)が発見され、修正された。
詳細については次の解説も参照のこと。"The Heartbleed Bug"(http://heartbleed.com/)。
不特定のホストから送られた通信により、古いファームウェアのルータが再起動したりハングアップするなどの事象が報告された。
例えば、ヤマハ株式会社から次のアナウンスが行われている。「インターネットからの攻撃によるヤマハルーターのリブート等について」(http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/attack-from-internet-201404.html)。
9 Microsoft社は、2014年4月のセキュリティ情報を公開し、MS14-017とMS14-018の2件の緊急と2件の重要な更新をリリースした。
「2014 年 4 月のマイクロソフト セキュリティ情報の概要」(https://technet.microsoft.com/ja-JP/library/security/ms14-apr)。
Microsoft社は、Windows XP、Microsoft Office 2003、Internet Explorer6のサポートを終了した。
「Windows XP と Office 2003 のサポートを終了させていただきました」(http://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos.aspx)。
13 Google社は、AndroidのVerify apps機構を強化し、インストールしたアプリについてもセキュリティ上の問題がないか、常時監視する機構の提供を開始した。
詳細については次のGoogle Android Official Blogを参照のこと。"Expanding Google’s security services for Android"(http://officialandroid.blogspot.jp/2014/04/expanding-googles-security-services-for.html)。
14 Android版Adobe Reader Mobileに、リモートから任意のコード実行の可能性がある脆弱性が発見され、修正された。
「APSB14-12: Adobe Reader Mobile用のセキュリティアップデート公開」(http://helpx.adobe.com/jp/security/products/reader-mobile/apsb14-12.html)。
15 JPRSは、ソースポートランダマイゼーションが有効でないキャッシュDNSサーバに対するキャッシュポイズニング攻撃が増加しているとして注意喚起を行った。
「(緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」(http://jprs.jp/tech/security/2014-04-15-portrandomization.html)。
Oracle社はOracleを含む複数製品について、四半期ごとの定例アップデートを公開し、Java SEの37件の脆弱性を含む合計104件の脆弱性を修正した。
"Oracle Critical Patch Update Advisory - April 2014"(http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html)。
カナダ歳入庁のWebサイトに対して、OpenSSLの脆弱性(CVE-2014-0160)を悪用した攻撃が発生し、納税者およそ900人分の社会保障番号が漏えいしたことを発表した。なお、4月17日に学生が容疑者として逮捕された。
詳細については次のカナダ歳入庁の公式発表を参照のこと。"Notice - Heartbleed bug vulnerability"(http://www.cra-arc.gc.ca/gncy/sttmnt2-eng.html)。
16 国立感染症研究所は、Webメールの管理者を騙ったメールによって、メールアカウントのユーザ名とパスワードが盗取され、迷惑メールが送信されたことを公表した。
「国立感染症研究所のメールアカウントの不正利用と迷惑メール送出について」(http://www.nih.go.jp/niid/ja/maintenance/4575-incidence140416.html)。
22 米国立標準技術研究所(NIST)は、セキュリティ上の懸念が示されている擬似乱数生成アルゴリズム Dual_EC_DRBGについて、SP800-90/90Aから削除するドラフトを提示した。
"NIST Removes Cryptography Algorithm from Random Number Generator Recommendations"(http://www.nist.gov/itl/csd/sp800-90-042114.cfm)。
24 Apache Struts2の脆弱性(CVE-2014-0094)の修正に不十分なところがあり、第三者から特定の操作が可能となる脆弱性(CVE-2014-0112)(CVE-2014-0113)が見つかり、修正された。
この問題については、例えば4月17日にIPAより、CVE-2014-0094に対する注意喚起が行われていたが、その後、更新が行われて本脆弱性も含んだ注意喚起となっている。詳細については「Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)」(http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html)を確認のこと。
28 Microsoft社は、Internet Explorerの複数のバージョンにリモートでコードが実行可能な未修正の脆弱性があることを公表した。
「マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される」(https://technet.microsoft.com/ja-jp/library/security/2963983)。
29 Adobe Flash Playerに、不正終了や、任意のコード実行の可能性がある複数の脆弱性が発見され、修正された。
「APSB14-13: Adobe Flash Player用のセキュリティアップデート公開」(http://helpx.adobe.com/jp/security/products/flash-player/apsb14-13.html)。

凡例

1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る