ページの先頭です
- ページ内移動用のリンクです
- ホーム
- IIJの技術
- セキュリティ・技術レポート
- Internet Infrastructure Review(IIR)
- Vol.23
- 1.インフラストラクチャセキュリティ
Internet Infrastructure Review (IIR)Vol.23
2014年5月28日発行
3月のインシデント
| 日付 | 分類 | 内容 |
|---|---|---|
| 5 | 脆 |
フランス国立情報学自動制御研究所(INRIA)のセキュリティ研究者によって、中間者攻撃によりクライアント証明書が盗まれる可能性のあるTLSへの新たな攻撃手法が公表された。 詳細については次の発表を参照のこと。 "Triple Handshakes Considered HarmfulBreaking and Fixing Authentication over TLS"  |
| 6 | 脆 | GnuTLSに、特定の条件における証明書の検証に不具合があり、正規のWebサイトを装った中間者攻撃を仕掛けることが可能な脆弱性が見つかり修正された。 US-CERT、"GnuTLS Releases Security Update" |
| 7 | 他 | 日本政府は、ビットコインに関する質問主意書に対し、日本においては通貨に該当しないなどの政府見解をまとめ、閣議決定を行い公表した。 参議院、「ビットコインに関する質問主意書」 |
| 10 | セ | 別の航空会社の会員向けWebサイトで不正ログインが発生し、マイルを別のポイントに交換される事件が発生したことを公表した。 |
| 他 | IPAは、脆弱性の発見方法、対策について実習形式で体系的に学習できる脆弱性学習ツール「AppGoat」について、新しい演習テーマと脆弱性の修正演習を追加したウェブアプリケーション版を公開した。 「脆弱性体験学習ツール AppGoat」 |
|
| 12 | 脆 | Microsoft社は、2014年3月のセキュリティ情報を公開し、MS14-012とMS14-013の2件の緊急と3件の重要な更新をリリースした。 「2014年3月のセキュリティ情報」 |
| 脆 | Adobe Flash Playerに、情報漏えいの可能性がある脆弱性を含む複数の脆弱性が発見され、修正された。 「APSB14-08: Adobe Flash Player用のセキュリティアップデート公開」 |
|
| 脆 | Adobe Shockwave Playerに、不正終了や、任意のコード実行の可能性がある複数の脆弱性が発見され、修正された。 「APSB14-08: Adobe Flash Player用のセキュリティアップデート公開」 |
|
| セ | CMSであるWordPressで投稿にリンクが張られたことを知らせるPingback機能を悪用した大規模なDDoS攻撃が発生した。 Sucuri Blog、"More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack" |
|
| 13 | 脆 | Samsung Galaxyシリーズに、リモートからファイルの操作を実行可能な機能が含まれていることが公表された。 詳細については次のFree Software FoundationのBlogを参照のこと。 "Replicant developers find and close Samsung Galaxy backdoor" |
| 17 | セ | ブラジルとベネズエラでGoogle Public DNSの経路が一時的にBGPハイジャックされる事件が発生した。 この事件については次のBGP Monのtwitterのつぶやき で確認できる。 |
| 18 | 脆 | メッセージアプリのIP電話機能に発信者番号の偽装ができる不具合が見つかり、話題となった。 |
| 他 | 全府省庁や内閣官房情報セキュリティセンター、重要インフラ事業者などの担当者約100人が参加し、府省庁をまたがる情報の収集や共有、緊急対応の訓練を行った。 内閣官房情報セキュリティセンター、"全府省庁等の参加による 大規模な政府サイバー攻撃対処訓練を初実施~【3・18訓練】~"  |
|
| 19 | 脆 | Apache HTTP ServerにDoS攻撃可能な脆弱性を含む複数の脆弱性が見つかり修正された。 The Apache Software Foundation、"Apache HTTP Server 2.2.27 Released"
|
| 他 | 2002年に開設され、脆弱性情報の公開や論議の場として活用されてきたFull Disclosure MLが終了した。なお、3月25日に別の管理者によって、同名のFull Disclosure MLとして再開されている。 seclists.org、"Administrivia: The End" seclists.org、"Administrivia: A Fresh Start"
|
|
| 20 | 他 | 一般社団法人インターネットコンテンツセーフティ協会は、4月1日よりファイル共有ソフトを悪用した児童ポルノ流通防止対策の取り組みとして、当該ユーザに対する連絡メールの送信を実施することを発表した。 「ファイル共有ソフトを悪用した児童ポルノ流通への対策について」 |
| 25 | 脆 | Microsoft社は、Microsoft Wordに任意のコード実行が可能な未修正の脆弱性があり、この脆弱性を悪用した標的型攻撃が確認されたとして、アドバイザリーを公開した。 「Microsoft Wordの脆弱性により、リモートでコードが実行される」 |
| 26 | 他 | 防衛省は、高度化・複雑化するサイバー攻撃の脅威に対応するため、サイバー防衛隊を新編した。 防衛省、「サイバー防衛隊の新編について」 |
| 27 | 他 | 警察庁は、サイバー犯罪の検挙状況についてまとめた「平成25年中のサイバー犯罪の検挙状況等について」を公表した。検挙件数は8,113件で前年比10.6%増となっており過去最高を記録している。 警察庁、「平成25年中のサイバー犯罪の検挙状況等について」 |
| 31 | 他 | IPAより、「2014年版 情報セキュリティ10大脅威」が公表された。 「2014年版 情報セキュリティ10大脅威」 |
- 1.インフラストラクチャセキュリティ
ここからフッターメニューです
- © Internet Initiative Japan Inc.
ページの終わりです