2016年6月のIT総括

2016年6月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

「Apache Struts」バージョン1系列(Apache Struts 1)に新たに2つの脆弱性が確認される

JavaのWebアプリケーションを作成するためのフレームワーク「Apache Struts」のバージョン1系列(Apache Struts 1)に、新たに2つの脆弱性が存在することがわかり、6月7日、JVNが注意喚起を公開しました。

Apache Struts 1は開発者のサポートが終了しており、公式の修正プログラムは提供されないため、JVNは、各開発者が提供する情報をもとに、別のソフトウェアフレームワークへの移行などの対策を行うよう呼びかけています。

「Apache Struts」バージョン1系列(Apache Struts 1)に新たに2つの脆弱性が確認される(セキュリティニュース)

モジラがオープンソースのセキュリティ向上のための「Secure Open Source」プログラムを発表

6月9日(現地時間)、モジラは、オープンソースソフトウェア(OSS)のセキュリティ施策をサポートするプログラム「Secure Open Source」(通称:SOS)を開始することを発表しました。

OSSは、ソフトウェアを誰でも容易に、スピーディに開発できるメリットがあり、多くのソフトウェアに組み込まれている反面、サポート体制が不十分といった課題もあります。近年、OpenSSLの脆弱性「Heartbleed」や「Shellshock」といったOSSの脆弱性が大きな問題としてクローズアップされ、OSSを安全に利用するための支援体制の確立が急務でした。

SOSは、モジラの「Mozilla Open Source Support(MOSS)」事業の一環として、50万ドルの助成金を最初の資金とし、セキュリティ企業がオープンソースのライブラリーやプログラムの監査を行い、修正と公開作業を支援。必要に応じて修正のチェックを専門家に依頼するなどして、脆弱性の発生を未然に防ごうとするものです。

モジラがオープンソースのセキュリティ向上のための「Secure Open Source」プログラムを発表(セキュリティニュース)

セキュリティ対策状況に関する調査で、国内企業の65%が「サイバー攻撃は防げない」との回答

6月10日、KPMGコンサルティングは、国内企業のサイバーセキュリティに関する対応についての調査結果をまとめた「サイバーセキュリティ調査2016」を発表しました。これによると、調査回答企業のうち、過去1年間にサイバー攻撃を受けた企業は35%にのぼり、そのうち実際に被害が発生している企業は47%、10回以上の攻撃を受けた企業は10%にのぼります。

また、「サイバー攻撃は防ぐことができない」と回答した企業が65%に達しており、サイバー攻撃を受けたことを発見・対処するための対策導入が遅れている可能性があることがわかりました。サイバー攻撃の予防については、「テクノロジーだけに依存するべきではない」という回答が44%にのぼり、リーダーシップやガバナンス、人的要因、コンプライアンスなど、経営にとって適切なアプローチを検討していく必要があります。

セキュリティ対策状況に関する調査で、国内企業の65%が「サイバー攻撃は防げない」との回答(セキュリティニュース)

「Apache Struts 2」に深刻な脆弱性、攻撃コードも公開

JavaのWebアプリケーションを作成するためのフレームワーク「Apache Struts」のバージョン2系列(Apache Struts 2)に、深刻な脆弱性(「S2-037」)が存在することがわかり、6月20日、セキュリティ専門企業のラックが注意喚起を公開しました。

「S2-037」は、Apache Struts 2の「RESTプラグイン」と呼ばれる機能に存在します。ネットワークを介してWebサーバーで任意のOSコマンドが実行できてしまうもので、今後、深刻なサイバー攻撃に悪用される可能性が指摘されます。

対象となるバージョンは「2.3.20」から「2.3.28.1」まで。すでに脆弱性を悪用するサンプルコードが海外の掲示板に掲載されていることから、同社は、対策済みの最新バージョン「2.3.29」へのバージョンアップを強く推奨しています。

「Apache Struts 2」に深刻な脆弱性、攻撃コードも公開(セキュリティニュース)

IPAが「安心相談窓口だより」を公開。"偽警告"の手口に注意喚起

6月21日、独立行政法人 情報処理推進機構(IPA)は、「安心相談窓口だより」を公開しました。これは、注意喚起や「今月の呼びかけ」とは異なる新しいコンテンツで、IPAの情報セキュリティ安心相談窓口に寄せられる相談内容などをもとに、さまざまトピックスを紹介するものです。

これによると、ユーザーのパソコンにウィルスが感染したとの警告を表示し、サポートの連絡先に電話をかけるよう仕向ける、いわゆる「偽警告」の相談件数が、2015年末より増加傾向にあります。

Webサイトの閲覧中に「PCサポート」というページが表示され、音声やポップアップメッセージで「あなたのコンピューターでウィルスが見つかりました」などの警告が流れる手口で、なかには、「表示されたサイトを閉じる(ブラウザーを終了する)ことができない」との相談もあるとのことです。

IPAによると、実際のウィルス感染はなく、設定によりポップアップメッセージを繰り返し表示させているとのことで、ポップアップメッセージの表示を制限する事後対応の方法について案内しています。なお、実際のウィルス感染の有無の確認については、セキュリティソフトでウィルススキャンを実施する必要があることに注意が必要です。

"ウィルスに感染した"という偽警告でサポートに電話するように仕向ける手口に注意(IPA)

ガートナーが、デジタル・ビジネスの60%が大規模なサービス障害に直面する可能性を指摘

6月23日、調査会社のガートナージャパン社は、2020年までにデジタル・ビジネスの「60%」が、ITセキュリティ部門の能力不足によって大規模なサービス障害に直面するとの見解を公表しました。企業がデジタル・ビジネスへと移行する中で、クラウドの普及などにより、IT部門が直接保有していないインフラや、IT部門のコントロール外にあるサービスが新たなリスクとなる可能性があります。

このような、"管轄外"にあるインフラやサービスを保護していくために、同社は、「リーダーシップとガバナンスの向上」「高度化する脅威の環境」「デジタル・ビジネスのスピードに合わせたサイバーセキュリティ」「新しい境界(エッジ)におけるサイバーセキュリティ」「人とプロセス-カルチャーの変化」の5つのポイントを示しています。

ガートナー、2020年までにデジタル・ビジネスの60%が、デジタル・リスクに対応するITセキュリティ部門の能力不足によって 大規模なサービス障害に直面するとの見解を発表(ガートナージャパン)

IPAが「特定業界を執拗に狙う標的型サイバー攻撃の分析レポート」を公開

6月29日、独立行政法人 情報処理推進機構(IPA)は、「特定業界を執拗に狙う標的型サイバー攻撃の分析レポート」を公開しました。レポートはIPAのホームページからPDF形式で入手できます。

これは、サイバーレスキュー隊(J-CRAT)活動を通じて得られた標的型攻撃メールを対象に、攻撃手口などを分析したものです。

J-CRATは、2015年11月から2016年3月までの間、継続した攻撃において44の組織から137件の標的型攻撃メールを入手。レポートでは、攻撃の集合を「キャンペーン」と呼び、キャンペーンを構成する16の「オペレーション」の分析を通じ、攻撃の特徴、攻撃者の挙動、攻撃者の狙いなどを解説しています。

「特定業界を執拗に狙う標的型サイバー攻撃の分析レポート」を公開(IPA)

関連キーワード:

Apache Struts

Heartbleed

IPA

MOSS

OpenSSL

OSS

Shellshock

SOS

サイバー攻撃

標的型攻撃

脆弱性

  • ガートナーが、デジタル・ビジネスの60%が大規模なサービス障害に直面する可能性を指摘
  • カテゴリートップへ
  • 6月は新たなオンラインゲームをかたるフィッシングを確認、アップル社やクレジット会社をかたる手口も