ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.29
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review (IIR)Vol.29
2015年11月25日発行RSS

8月のインシデント

凡例

日付 分類 内容
5 CMSアプリケーションのWordPressにXSSの脆弱性などサイトへの不正侵入の可能性のある複数の脆弱性が見つかり、修正された。
WordPress.org、「WordPress 4.2.4 セキュリティとメンテナンスのリリース」(https://ja.wordpress.org/2015/08/06/wordpress-4-2-4-security-and-maintenance-release/)。
IPAより、標的型サイバー攻撃の被害拡大防止のため、被害の低減と攻撃の連鎖の遮断を支援する目的で発足したサイバーレスキュー隊(J-CRAT)の活動報告が公表された。
「サイバーレスキュー隊(J-CRAT)の活動報告」(http://www.ipa.go.jp/files/000047193.pdfPDF)。
6 ICANNは、Webサイトに登録されていたユーザ名やメールアドレスと暗号化されたパスワードが流出した可能性があるとしてパスワードのリセットを実施したことを公表した。
"Reset ICANN.org Website Login Password"(https://www.icann.org/news/announcement-2015-08-05-en)。
7 Android端末の多くにインストールされているモバイル遠隔サポートツール(mRST)の認証に脆弱性(Certifi-gate)があり、悪意のあるアプリケーションを使ってユーザデータへのアクセスが可能となる脆弱性が公表された。
詳細については、次のCheck Point Blogを参照のこと。"Certifi-gate:Hundreds of Millions of Android Devices Could Be Pwned"(http://blog.checkpoint.com/2015/08/06/certifigate/)。
12 Microsoft社は、2015年8月のセキュリティ情報を公開し、MS15-079、MS15-080、MS15-081、MS15-091の4件の緊急と10件の重要な更新を含む合計14件の修正をリリースした。
「2015年8月のマイクロソフト セキュリティ情報の概要」(https://technet.microsoft.com/ja-jp/library/security/ms15-Aug)。
Adobe Flash Playerに、任意のコード実行の可能性がある複数の脆弱性が見つかり、修正された。
「APSB15-19: Adobe Flash Player に関するセキュリティアップデート公開」(https://helpx.adobe.com/jp/security/products/flash-player/apsb15-19.html)。
Cisco社は、IOSデバイスに管理者権限でアクセスし、悪質なROMMONイメージをインストールする攻撃が確認されたとして注意喚起を行った。
"Evolution in Attacks Against Cisco IOS Software Platforms"(http://tools.cisco.com/security/center/viewAlert.x?alertId=40411)。
14 Apple社は、OS Xについて複数の脆弱性の修正を含むアップデートを公開した。
「OS X Yosemite v10.10.5 およびセキュリティアップデート 2015-006のセキュリティコンテンツについて」(https://support.apple.com/ja-jp/HT205031)。
17 イタリアのセキュリティ研究者により、OS Xの未修正の複数の脆弱性がPoCと共に公表された。
この脆弱性は他の脆弱性と併せ、10月1日に「OS X El Capitan v10.11のセキュリティコンテンツについて」(https://support.apple.com/ja-jp/HT205267)で修正されている。
18 古い無線LANルータに、SSDPリフレクター攻撃の踏み台にされ、DDoS攻撃に利用される可能性のあることが分かり、修正などの対応が行われた。なお、1つの製品についてはサポートが終了しているとして使用停止が呼び掛けられている。
JVN、「JVN#17964918 複数のアイ・オー・データ製ルータにおけるUPnPに関する脆弱性」(https://jvn.jp/jp/JVN17964918/index.html)。
19 Microsoft社は、Internet Explorerに細工されたWeb ページの閲覧による任意のコード実行の可能性がある脆弱性(CVE-2015-2502)が見つかったとして、修正を公開した。
「マイクロソフト セキュリティ情報 MS15-093 - 緊急 Internet Explorer 用のセキュリティ更新プログラム(3088903)」(https://technet.microsoft.com/ja-jp/library/security/ms15-093.aspx)。
20 日本年金機構で6月に発生した個人情報流出事件についての検証報告書が日本年金機構や関係省庁からそれぞれ公表された。
それぞれの報告書については次を参照のこと。内閣サイバーセキュリティセンター、「日本年金機構における個人情報流出事案に関する原因究明調査結果」(http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdfPDF)。日本年金機構、「不正アクセスによる情報流出事案に関する調査結果報告書」(http://www.nenkin.go.jp/files/e7wRRjRfiKiN1.pdfPDF)。厚生労働省(8月21日発表)、「日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書」(http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150821-02.pdfPDF)。
25 米国のGitHub社がDDoS攻撃を受け、サービス提供に障害が発生した。
この攻撃については次のGitHub社のStatusページ(https://status.github.com/messages/2015-08-26)で確認できる。
29 英国国家犯罪対策庁(NCA)はLizard Stresserを利用してDDoS攻撃を行った容疑で未成年6人を逮捕もしくは事情聴取していることを公表した。
National Crime Agency(NCA)、"Operation Vivarium targets users of Lizard Squad’s website attack tool"(http://www.nationalcrimeagency.gov.uk/news/691-operation-vivarium-targets-users-of-lizard-squad-s-website-attack-tool)。

凡例

1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る