Feb 20, 2010

安全強化ガラスの修理

安全性を強化していくことは、ガラスのようなものです。ガラスの修理を適切に行なっていくことで、生活水準も維持していくことができます。また、割れたガラスは非常に危険なので取り扱いには注意するようにしましょう​​。一つずつの日程を終えていくことで、作業も効率的に進行します。ガラスの修理は重要です。
主に一人暮らしの場合がありますが、セキュリティを考えると定期的な鍵交換が望ましいと考えています。それは家にいる時間があまり多くないため、盗難などのターゲットが容易です。また、友人や知人に合鍵を渡す場合、次の関係の必要がない場合、キーの交換が必要になっています。そのままにしておくと知らない間に家の中に入ってしまう可能性もあるからです。
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は10月14日、OneOrZeroが提供するエンタープライズ向け生産性向上ツール「OneOrZero AIMS(Action & Information Management System)」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

「OneOrZero AIMS」には、認証回避とSQLインジェクションの脆弱性が存在する。この脆弱性が悪用されると、リモートの攻撃者に認証を回避され、データベースで管理している情報が漏えいする可能性がある。なお、現時点において対策方法は公開されていない。
(吉澤亨史)

【関連記事】
OneOrZero AIMS に複数の脆弱性
BlueZの「hcidump ツール」にヒープオーバーフローの脆弱性(JVN)
VLC Media Playerにサーバプロセスをクラッシュされる脆弱性(JVN)
「DAEMON Tools」にシステムをクラッシュされる脆弱性(JVN)
「宴会くん」にクロスサイトスクリプティングの脆弱性(JVN)


警察庁は10月14日、「サイバーインテリジェンスに係る最近の情勢(平成23年4月〜9月)」を発表した。これによると警察庁は同期間に、震災や原発事故に関する情報の提供を装った標的型メールが日本の民間企業などに合計約540件送付されていたことを把握した。また、震災と関連のない標的型メールも合計約350件送付されていたことを把握している。

また、「サイバーインテリジェンス情報共有ネットワーク」を構成する約4,000の事業者等に対し、対策の実施状況について聴取した結果として、「ウイルス対策ソフトは同ネットワークを構成するすべての事業者などが導入しており、約92%の事業者等が週1回以上定期的なフルスキャンを実施」「組織内のコンピュータが不正な接続先と通信していないか調査を行うため、全体の約95%の事業者などが通信状況に関する記録を保存」「標的型メールなどのサイバー攻撃に関する職員教育については、全体の約92%が実施していた一方、不審なメールに関する報告規定があるのは全体の約16%」であったことを紹介している。
(吉澤亨史)

【関連記事】
サイバーインテリジェンスに係る最近の情勢 (平成 23 年4月~9月)
個人、企業経営者向けにサイバー犯罪などへの注意喚起を発表(警察庁)
3月に発生した韓国政府機関等に対するサイバー攻撃への対応について発表(警察庁)
「地震情報」「資料送付」などの標的型メールを800件以上確認(警察庁)
9月18日満州事変80周年のサイバー攻撃についての概要を発表(警察庁)


独立行政法人 情報処理推進機構(IPA)は10月14日、株式会社ロックオンが提供するオープンソースのショッピングサイト構築システム「EC-CUBE」の脆弱性について注意喚起を発表した。EC-CUBEには、データベースを操作する際の処理の問題が原因で、SQLインジェクションの脆弱性が存在する。この脆弱性が悪用されると、EC-CUBEに保存されている個人情報が悪意あるユーザに漏えいしてしまう可能性がある。

IPAでは対策方法として「開発者が提供する修正済みバージョンに更新する」こととしており、バージョンアップを呼びかけている。なお、本脆弱性の深刻度は「II(警告)」、CVSS基本値の評価では攻撃区分「ネットワーク」、攻撃条件の複雑さ「低」、攻撃前の認証要否「不要」、機密性への影響「部分的」、完全性への影響「なし」、可用性への影響「なし」としている。
(吉澤亨史)

【関連記事】
「EC-CUBE」におけるセキュリティ上の弱点(脆弱性)の注意喚起
「標的型攻撃メール」のテクニックや対策をまとめたレポートを公開(IPA)
APT攻撃への対策の徹底を呼びかけ、対策を公開(IPA)
IPAとKISAが定期トップ会談、クラウドとスマートフォンの問題で情報交換(IPA)
要件定義を容易にする「セキュリティ要件確認支援ツール」を公開(IPA)


ホビーボックス株式会社は10月11日、同社が運営する「CLUB HOBi」のサーバが不正アクセスによる攻撃を受け、顧客情報の一部が不正に閲覧、取得された可能性があると発表した。これは10月4日7時55分から9時30分にかけて、CLUB HOBiのデータベースサーバに大量かつ断続的なSQLインジェクションが実施されたというもの。

この攻撃により、のべ3,471件の個人情報(指名、住所、ID、パスワード、暗号化されたクレジットカード情報)が不正に閲覧、取得された可能性があるという。同社では調査結果を受けて所轄警察署への被害の届出や経済産業省への報告などを行い、対策を実施。該当するユーザへの案内メール送信や問い合わせコールセンターの開設などを実施している。
(吉澤亨史)

【関連記事】
CLUBHOBi★PCゲーム関連情報&通信販売サイト【お詫びとご報告】
Kernel.orgのサーバに不正アクセス、システムを改ざんされる(Kernel.org)
アルテイルネットのサーバ群に不正アクセス、最大20万件の顧客情報流出か(ゲームポット)
テニス用品のネットショップに不正アクセス、クレジットカード情報が漏えい(スポーツギア)
2010年の情報漏えい総覧レポート発行(ネットセキュリティ総合研究所)


Posted at 18:36 in Work | WriteBacks (0) | Edit
WriteBacks
TrackBack ping me at
Post a comment

writeback message: Ready to post a comment.