ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.28
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review (IIR)Vol.28
2015年8月31日
RSS

5月のインシデント

凡例

日付 分類 内容
7 WordPressに、権限のないユーザによる任意のコード実行が可能なXSS脆弱性を含む複数の脆弱性が見つかり、更新された。
「WordPress 4.2.2 セキュリティとメンテナンスのリリース」(https://ja.wordpress.org/2015/05/07/wordpress-4-2-2/)。
12 IPAより、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインとして、SSL/TLS暗号設定ガイドラインが公表された。
「SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~」(http://www.ipa.go.jp/security/vuln/ssl_crypt_config.html)。
13 Microsoft社は、2015年5月のセキュリティ情報を公開し、MS15-043やMS15-044、MS15-045など3件の緊急と10件の重要な更新を含む合計13件の修正をリリースした。
「2015年5月のマイクロソフト セキュリティ情報の概要」(https://technet.microsoft.com/ja-jp/library/security/ms15-may)。
Adobe Flash Playerに、不正終了や任意のコード実行の可能性がある複数の脆弱性が見つかり、修正された。
「APSB15-09: Adobe Flash Player用のセキュリティアップデート公開」(https://helpx.adobe.com/jp/security/products/flash-player/apsb15-09.html)。
14 XenやKVMなどで使用されているQEMUのフロッピーディスクコントローラ(FDC)に、エラーによる異常終了や任意のコードを実行される可能性のある脆弱性(CVE-2015-3456)が見つかり、修正された。この脆弱性は発見者によりVENOMとの名称が付けられている。
詳細については次の発見者であるCrowdStrike社のWebサイトを参照のこと。"VENOM VIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATION"(http://venom.crowdstrike.com/)。
15 IETFで2月に承認されたHTTP/2について、RFCとして公開された。
"Hypertext Transfer Protocol Version 2(HTTP/2)"(http://www.rfc-editor.org/rfc/rfc7540.txt)。
21 TLSプロトコルのDH鍵交換に中間者攻撃により暗号強度の低い暗号を選択させることで通信内容の盗聴や改ざんが可能な脆弱性が見つかり、修正された。
詳細については次の発見者による解説を参照のこと。"The Logjam Attack"(https://weakdh.org/)。
22 複数の金融機関やオンラインショップなどに対し、脅迫を伴うDDoS攻撃が発生し、システムにアクセスしにくくなるなどの影響が出た。
総務省は、情報セキュリティアドバイザリーボードにて取りまとめられたサイバーセキュリティ政策推進に関する提言を公表した。
「『サイバーセキュリティ政策推進に関する提言』の公表」(http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000093.html)。
IPAとJPCERT/CCは、脆弱性関連情報の円滑な流通及び対策の普及を図るための取り組みである、情報セキュリティ早期警戒パートナーシップについて、脆弱性関連情報を届出や通知を受けた際に参考となる、「情報セキュリティ早期警戒パートナーシップガイドライン」の2015年版を公開した。
IPA、「情報セキュリティ早期警戒パートナーシップガイドライン」(http://www.ipa.go.jp/security/ciadr/partnership_guide.html)。
25 警察庁は、オンラインゲームのユーティリティツールを対象とした探索活動の増加について注意喚起を行った。
このツールにはプロキシ機能が実装されており、第三者が外部から利用できるいわゆるオープンプロキシの探査活動と考えられる。詳細については「特定のポートを対象としたプロキシ探索の増加について」(http://www.npa.go.jp/cyberpolice/detect/pdf/20150525.pdfPDF)を参照のこと。
サイバーセキュリティ戦略本部の第2回会合が行われ、サイバーセキュリティ施策の基本的な方針について定める、新たなサイバーセキュリティ戦略(案)について決定した。
NISC、「第2回会合(平成27年5月25日)」(http://www.nisc.go.jp/conference/cs/index.html#cs02)。
26 警察庁は、産業制御システムで使用される特定のPLCソフトウェアにおいて、脆弱性を狙った探査活動が増加しているとして注意喚起を行った。
「産業制御システムで使用されるPLCの脆弱性を標的としたアクセスの観測について」(http://www.npa.go.jp/cyberpolice/detect/pdf/20150526.pdfPDF)。
JPCERTコーディネーションセンターより、Webサイトのコンテンツ改ざんと、それによる攻撃サイトへの誘導によるランサムウェアに感染させる被害が発生しているとして注意喚起を行った。
「ランサムウエア感染に関する注意喚起」(http://www.jpcert.or.jp/at/2015/at150015.html)。
27 米国内国歳入庁(IRS)が不正アクセスを受け、社会保障番号など約10万人分の納税者に関する情報が漏えいする事件が発生した。
"IRS Statement on the "Get Transcript" Application"(http://www.irs.gov/uac/Newsroom/IRS-Statement-on-the-Get-Transcript-Application)。

凡例

1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る