ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.24
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review (IIR)Vol.24
2014年8月22日
RSS

6月のインシデント

凡例

日付 分類 内容
3 5月後半から発生していた複数サイトの不正アクセスによるコンテンツやファイルの改ざん事件について、利用していたCDNサービスの提供事業者が不正侵入を受けたことによるものと判明した。
米司法省は、オンラインバンキングなどの情報窃取を行うマルウェアであるGameOver Zeusについて、10ヵ国以上の法執行機関と共同でテイクダウンを実施し、関連サイトの差し押さえや管理者の逮捕などが行われたことを公表した。
Department of Justice、"U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator"(http://www.justice.gov/opa/pr/2014/June/14-crm-584.html)。日本では警察庁が協力している。この作戦についての説明は「国際的なボットネットのテイクダウン作戦」(http://www.npa.go.jp/cyber/goz/index.html)を参照のこと。
6 OpenSSLに、Man-in-the-middle(MITM)攻撃可能な脆弱性(CVE-2014-0224)が見つかり、修正された。
"OpenSSL Security Advisory [05 Jun 2014] SSL/TLS MITM vulnerabi lity (CVE-2014-0224)"(https://www.openssl.org/news/secadv_20140605.txt)。
11 Microsoft社は、2014年6月のセキュリティ情報を公開し、MS14-035とMS14-036の2件の緊急と5件の重要な更新をリリースした。
「2014 年 6 月のマイクロソフト セキュリティ情報の概要」(https://technet.microsoft.com/ja-jp/library/security/ms14-jun)。
Adobe Flash Playerに、任意のコード実行の可能性がある複数の脆弱性が発見され、修正された。
「APSB14-16: Adobe Flash Player用のセキュリティアップデート公開」(http://helpx.adobe.com/jp/security/products/flash-player/apsb14-16.html)。
12 BIND 9.10.xに、外部からのサービス不能(DoS)攻撃が可能となる脆弱性(CVE-2014-3859)が見つかり、修正された。
Internet Systems Consortium"CVE-2014-3859: BIND named can crash due to a defect in EDNS printing processing"(https://kb.isc.org/article/AA-01166/)。
サポート終了となった日本独自のブログ作成ツールについて、約8割が問題のある状態で運用されており、攻撃者の標的になっているとして注意喚起が行われた。
詳細については、次のKaspersky Lab社のBlogに詳しい。「日本独自のブログ作成ツールが攻撃者の標的に!」(http://blog.kaspersky.co.jp/obsolete-japanese-cms-targeted-by-criminals/)。
13 香港の民主化を求めて活動する団体の電子投票システムに対する大規模なDDoS攻撃が発生した。
詳細については、例えば次のHarvard University Internet Monitor Berkman Center for Internet & SocietyのBlogなどで確認できる。"DDoS Attacks in Hong Kong Target Pro-Democracy Websites"(https://blogs.law.harvard.edu/internetmonitor/2014/06/20/ddos-attacks-in-hong-kong-attack-silence-pro-democracy-websites/)。
18 単純所持の禁止などを追加した、改正児童買春・ポルノ禁止法が可決され、成立した。
この改正については、7月15日に施行された。詳細については次の法務省による解説も参照のこと。「児童買春,児童ポルノに係る行為等の処罰及び児童の保護等に関する法律の一部を改正する法律案」(http://www.moj.go.jp/keiji1/keiji11_00008.html)。
19 広告配信サーバによって、Adobe Flash Playerの更新を促す通知に見せかけた悪意あるサイトに誘導する広告が表示される事件が発生した。
「≪広告配信障害に関するプレスリリースの追記に関して≫」(http://www.microad.co.jp/news/detail.php?News_ID=252)。
第12回パーソナルデータに関する検討会が行われ、「パーソナルデータの利活用に関する制度改正大綱(検討会案)」が示された。
首相官邸、「第12回 パーソナルデータに関する検討会 議事次第」(http://www.kantei.go.jp/jp/singi/it2/pd/dai12/gijisidai.html)。
27 米国政府による、2013年度のTransparency Reportが公開された。
詳細については、次のレポートを参照のこと(http://icontherecord.tumblr.com/transparency/odni_transparencyreport_cy2013)。
29 Facebookが、約70万人のユーザを対象にニュースフィードの表示操作による心理実験を行っていたことが発表された論文から分かり、倫理的に問題がある可能性が指摘されたことから話題となった。
問題となった論文については"Experimental evidence of massive-scale emotional contagion through social networks"(http://www.pnas.org/content/111/24/8788.full)で確認できる。
30 Microsoft社は、Bladabindi(NJrat)とJenxcus(NJw0rm)の2つのマルウェアファミリーが利用していたダイナミックDNSサービスであるNO-IPの23ドメインについて、テイクダウンを実施したことを公表した。
The Official Microsoft Blog、"Microsoft takes on global cybercrime epidemic in tenth malware disruption"(http://blogs.microsoft.com/blog/2014/06/30/microsoft-takes-on-global-cybercrime-epidemic-in-tenth-malware-disruption/)。また、NO-IPを運用していたVitalwerks Internet Solutions, LLCからも声明が発表されている。"No-IP's Formal Statement on Microsoft Takedown"(https://www.noip.com/blog/2014/06/30/ips-formal-statement-microsoft-takedown/)。

凡例

1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る