ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.27
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review (IIR)Vol.27
2015年5月27日
RSS

3月のインシデント

凡例

日付 分類 内容
3 空港会社のWebサイトが何者かに不正侵入され、別のWebサイトに誘導されるよう改ざんされる事件が発生した。
成田国際空港株式会社、「弊社ホームページ改ざんに関するお詫びと復旧のご報告」(http://www.narita-airport.jp/jp/news/150305.html)。
4 TLS/SSLプロトコルに、米国による暗号の輸出規制が行われた時の弱いRSA暗号に起因し、特定の条件下で中間者攻撃が可能な脆弱性など複数の脆弱性が見つかり、修正された。
この攻撃手法の詳細については次の発見者による解説などを参照のこと。"FREAK:Factoring RSA Export Keys"(https://www.smacktls.com/#freak)。
7 BitTorrentクライアントソフトの1つであるμTorrentでBitcoinのマイニングを行うソフトウェアがユーザーの許可なくインストールされるとして問題となった。
この問題に経緯については次のμTorrentのユーザフォーラムで確認できる。"Warning:EpicScale "riskware" installed with latest uTorrent"(http://forum.utorrent.com/topic/95041-warning-epicscale-riskware-installed-with-latest-utorrent/)。
10 DRAMの高密度化によるメモリアクセス時のメモリセル間の干渉によって発生するエラーの問題(Row Hammer問題)を利用し、権限昇格が可能なことが発表された。
詳細については次のGoogle社のProject Zeroによる発表を参照のこと。"Exploiting the DRAM rowhammer bug to gain kernel privileges"(http://googleprojectzero.blogspot.in/2015/03/exploiting-dram-rowhammer-bug-to-gain.html)。
政府は、個人情報保護法と番号利用法の改正案を閣議決定し、国会に法案を提出した。
内閣官房、第189回通常国会国会提出法案「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」(http://www.cas.go.jp/jp/houan/189.html)。
11 Microsoft社は、2015年3月のセキュリティ情報を公開し、MS15-018など5件の緊急と9件の重要な更新を含む合計14件の修正をリリースした。
「2015年3月のマイクロソフト セキュリティ情報の概要」(https://technet.microsoft.com/ja-jp/library/security/ms15-mar)。
国内の複数のWebサイトについて、WordPressの脆弱性を悪用したと考えられる改ざん事件が発生した。
警察庁、「『Islamic State(ISIS)』と称する者によるウェブサイト改ざんについて」(http://www.npa.go.jp/keibi/biki/201503kaizan.pdf)。
12 警察庁は、平成26年中のサイバー空間をめぐる脅威の情勢について公表した。サイバー犯罪の検挙件数が減少した一方で、都道府県警察の相談窓口で受理した相談件数は前年より増加し、過去最高の件数を記録している。また、手口が悪質化、巧妙化しており、インターネットバンキングに関わる不正送金事犯においては、発生件数、被害額共に過去最悪の被害となっていることなどが述べられている。
「平成26年中のサイバー空間をめぐる脅威の情勢について」(http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf)。
IPAは、Webサイトの情報漏えいや改ざんなどの意図しない被害を防ぐために開発者や運用者が考慮すべき点についてまとめた、「安全なウェブサイトの作り方」の改訂第7版を公開した。
今回の改訂ではパスワードリスト攻撃など複数の攻撃についての対策を追加している。「安全なウェブサイトの作り方」(https://www.ipa.go.jp/security/vuln/websecurity.html)。
13 Adobe Flash Playerに、任意のコード実行の可能性がある複数の脆弱性が発見され、修正された。
「APSB15-05:Adobe Flash Playerに関するセキュリティアップデート公開」(https://helpx.adobe.com/jp/security/products/flash-player/apsb15-05.html)。
17 国立国会図書館は、情報通信に関わる政策や深刻化しているサイバーセキュリティについて現状と課題をまとめた、調査報告書「情報通信をめぐる諸課題」「情報通信技術の進展とサイバーセキュリティ」を刊行した。
「情報通信をめぐる諸課題(平成26年度 科学技術に関する調査プロジェクト)」(http://www.ndl.go.jp/jp/diet/publication/document/2015/index.html)。
18 中国国内のサイトブロックの状況を知ることのできるGreatFire.orgが、大規模なDDoS攻撃を受けていることを公表した。
この攻撃についてはGreatFire.org、"We are under attack"(https://en.greatfire.org/blog/2015/mar/we-are-under-attack)を参照のこと。
26 シスコ社は、IOSに対する半年ごとの定例アップデートを公開し、DoS攻撃を誘発したり、メモリリークを引き起こしたりする恐れのある合計7件の修正をリリースした。
"Cisco Event Response:March 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication"(http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_mar15.html)。
米国のGitHub社が複数日に渡る大規模なDDoS攻撃を受けた。
GitHub社の発表は次の"Large Scale DDoS Attack on github.com"(https://github.com/blog/1981-large-scale-ddos-attack-on-github-com)で確認できる。
31 IPAより、効果的な脆弱性対策を行うための脆弱性情報の収集及び集めた情報の活用方法についての手引きをまとめた「脆弱性対策の効果的な進め方(実践編)」が公開された。
「IPAテクニカルウォッチ『脆弱性対策の効果的な進め方(実践編)』」(http://www.ipa.go.jp/security/technicalwatch/20150331.html)。

凡例

1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る