ページの先頭です
- ページ内移動用のリンクです
- ホーム
- IIJの技術
- セキュリティ・技術レポート
- Internet Infrastructure Review(IIR)
- Vol.27
- 1.インフラストラクチャセキュリティ
Internet Infrastructure Review (IIR)Vol.27
2015年5月27日発行
1月のインシデント
| 日付 | 分類 | 内容 |
|---|---|---|
| 1 | セ | カナダや米国のニュースサイトで利用していた広告配信基盤を経由してマルウェアが配布される事件が複数発生した。 詳細については次のCyphort社のBlogに詳しい。"HuffingtonPost Serving Malware via AOL Ad-Network"(http://www.cyphort.com/huffingtonpostserving-malware/  )。 |
| 9 | 脆 | OpenSSLにサービス停止や任意のコード実行の可能性を含む複数の脆弱性が発見され、修正された。 "DTLS segmentation fault in dtls1_get_record(CVE-2014-3571)"(https://www.openssl.org/news/secadv_20150108.txt )。 |
| 他 | Microsoft社は、毎月定例で行われているセキュリティ更新プログラムについて、BlogやWebでの概要の事前通知を停止することを発表した。 「2015年にマイクロソフトの事前通知サービス(ANS)を変更」(http://blogs.technet.com/b/jpsecurity/archive/2015/01/09/evolving-microsofts-advance-notification-service-ans-in-2015.aspx )。 |
|
| 他 | 政府は、サイバーセキュリティ基本法の施行に基づき、サイバーセキュリティ戦略本部を設置し、政府のサイバーセキュリティの司令塔機能を担う組織として、内閣官房の情報セキュリティセンターを改称した内閣サイバーセキュリティセンターを設置した。 「内閣サイバーセキュリティセンターの設置について」(http://www.nisc.go.jp/press/pdf/reorganization.pdf )。 |
|
| 12 | 他 | オバマ大統領は、情報漏えいの発覚後、30日以内に情報が流出したことを顧客に通知するよう企業に求めるなど、個人情報保護の対策強化に向けた複数の法律案を公表した。 Whitehouse.gov、"FACT SHEET: Safeguarding American Consumers & Families"(https://www.whitehouse.gov/the-press-office/2015/01/12/fact-sheet-safeguarding-american-consumers-families )。 |
| 13 | セ | 何者かにより、米国中央軍のTwitterアカウント(@CENTCOM)とYouTubeアカウントが乗っ取られ、極秘情報とされるファイルが複数公開された。 なお、公開されたファイルについてはその後公開情報であったことが確認された。 U.S. Central Command、"Statement from U.S. Central Command Regarding Twitter/YouTube Compromise"(http://www.centcom.mil/en/news/articles/statement-from-u.s.-central-command-regarding-twitter-youtube-compromise )。 |
| 14 | 脆 | Microsoft社は、2015年1月のセキュリティ情報を公開し、MS15-002の1件の緊急と7件の重要な更新を含む合計8件の修正をリリースした。 「2015年1月のマイクロソフト セキュリティ情報の概要」(https://technet.microsoft.com/ja-jp/library/security/ms15-jan )。 |
| 脆 | Adobe Flash Playerに、任意のコード実行の可能性がある、複数の脆弱性が発見され、修正された。 「APSB15-01:Adobe Flash Player用のセキュリティアップデート公開」(https://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html )。 |
|
| 19 | セ | 公立大学法人首都大学東京は、学校内で利用していたNASがFTP接続によって外部からアクセス可能な状態となっており、格納していた個人情報データが閲覧できるようになっていたことを公表した。 「首都大学東京における個人情報を含むNASに対する外部からのアクセスについて<お詫び>」(http://www.tmu.ac.jp/news/topics/8448.html?d=assets/files/download/news/press_150119.pdf  )。 |
| 他 | ENISAは、脅威情報の組織間共有を行うためのフォーマットや基準、ツールなどの情報をまとめ公表した。 "Standards and tools for exchange and processing of actionable information"(https://www.enisa.europa.eu/activities/cert/support/actionable-information/standards-and-tools-for-exchange-and-processing-of-actionable-information )。 |
|
| 21 | 脆 | Oracle社は、Oracleを含む複数製品について、四半期ごとの定例アップデートを公開し、Java SEの19件の脆弱性を含む合計169件の脆弱性を修正した。なお、Java7は2015年4月でサポートが終了となることから、自動更新機能を有効にしていた場合には自動的にJava8にアップデートされる措置が実施されている。 "Oracle Critical Patch Update Advisory - January 2015"(http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html )。 |
| 他 | FBIは、CryptolockerやCryptWallなどのランサムウェアによる被害が増加しているとして注意喚起を行った。 FBI、"Ransomware on the RiseFBI and Partners Working to Combat This Cyber Threat"(http://www.fbi.gov/news/stories/2015/january/ransomware-on-the-rise )。 |
|
| 23 | 脆 | ASUSTeK社の複数の無線LANルータにおいて、管理画面にログインした状態で悪意あるWebサイトを閲覧した場合にクロスサイトリクエストフォージェリ及びOSコマンドインジェクションにより意図しない操作が行われる可能性のある脆弱性が見つかり、修正された。 「無線LANルーター製品のクロスサイトリクエストフォージェリおよびOSコマンドインジェクションの脆弱性に対する対策済みファームウェア適用のお願い」(http://www.asus.com/jp/News/PNzPd7vkXtrKWXHR )。 |
| 脆 | Adobe Flash Playerに、任意のコード実行の可能性がある脆弱性が発見され、修正された。 「APSB15-02:Adobe Flash Playerに関するセキュリティアップデート公開」(https://helpx.adobe.com/jp/security/products/flash-player/apsb15-02.html )。 |
|
| 他 | テレコム・アイザック推進会議の主催により、会員企業であるISPや重要インフラ事業者など12組織が参加する大規模な通信インフラへのサイバー攻撃を想定した演習を実施した。 「通信インフラへのサイバー攻撃を想定した演習の実施【2014年度サイバー攻撃対応演習(CAE2014:Cyber Attack Exercise)】」(https://www.telecom-isac.jp/news/news20150120.html )。 |
|
| 25 | 脆 | Adobe Flash Playerに、任意のコード実行の可能性がある脆弱性が発見され、修正された。 「APSB15-03:Adobe Flash Playerに関するセキュリティアップデート公開」(https://helpx.adobe.com/jp/security/products/flash-player/apsb15-03.html )。 |
| 26 | 脆 | 2004年に発売された有線LANルータに、SSDPリフレクション攻撃の踏み台となる可能性のある脆弱性が確認されたとして、設定でUPnP機能を無効にする対応情報を公開した。 JVN、「JVN#27142693 NP-BBRMにおけるUPnPに関する脆弱性」(http://jvn.jp/jp/JVN27142693/ )。 |
| 28 | 脆 | glibcライブラリに、バッファオーバーフローにより、サービス停止や任意のコード実行が可能な脆弱性が見つかり、修正された。 "Qualys Security Advisory CVE-2015-0235 GHOST:glibc gethostbyname buffer overflow"(https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt )。 |
- 1.インフラストラクチャセキュリティ
ここからフッターメニューです
- © Internet Initiative Japan Inc.
ページの終わりです