2017年6月のIT総括

2017年6月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

脆弱性体験学習ツール「AppGoat」に複数の脆弱性が確認される

独立行政法人 情報処理推進機構(IPA)が提供する脆弱性体験学習用ツール「AppGoat」に複数の脆弱性が存在することが判明し、6月6日、IPAおよび脆弱性関連情報を提供するJVNが注意喚起しました。

脆弱性は、バージョン「V3.0.2」およびそれ以前に存在し、サーバー上で任意のコードを実行される可能性がある脆弱性など計4件(CVE-2017-2179、CVE-2017-2180、CVE-2017-2181、CVE-2017-2182)。IPAによれば、脆弱性を解消した最新バージョン(V3.0.3)が6月6日より公開されており、旧バージョンを利用しているユーザーは直ちに利用を停止し、最新バージョンを利用することが推奨されます。

脆弱性体験学習ツール「AppGoat」に複数の脆弱性が確認される(セキュリティニュース)

JNSAが情報漏えいインシデントの報告書を発表 「インターネット経由」の割合が増加

6月14日、日本ネットワークセキュリティ協会(JNSA)は、「2016年 情報セキュリティインシデントに関する調査報告書 〜個人情報漏えい編〜」を公開しました。

2016年に新聞やインターネットなどで報道された個人情報漏えいインシデントの情報を集計、分析したもので、2016年の情報漏えいインシデントの件数は468件、この数字は、2014年(1,591件)、2015年(788件)から減少傾向にあります。

これについて、同協会はインシデントの公表方針の変化、すなわち、1件あたりの漏えい人数が少ない場合や、漏えいした個人情報が暗号化されていたといった場合に、公表不要と判断されることが背景にあると指摘します。一方で、インターネット経由での漏えいは増加しており、2014年(84件)、2015年(119件)、2016年(108件)と全体に占める割合が増えています。

JNSAが情報漏えいインシデントの報告書を発表 「インターネット経由」の割合が増加(セキュリティニュース)

「フィッシングレポート2017」が公開される

6月16日、フィッシング対策協議会は、「フィッシングレポート2017〜普及が進むユーザー認証の新しい潮流〜」を公開しました。これによると、フィッシング件数自体は2016年春頃から減少しており、同協議会への届出件数は、2015年の11,408件から、2016年は10,759件と、若干減少しました。

しかし、LINEなど、SNSをかたるフィッシングの手口が目立つようになっており、こうした傾向は、フィッシングサイトの件数が1.3倍に増加したことや、ブランド名を悪用された企業の延べ件数が、2015年の164件から2016年は261件へと増加したことなどに反映されています。

「フィッシングレポート2017」が公開される(セキュリティニュース)

「利用者向けフィッシング詐欺対策ガイドライン」が改訂される

6月16日、フィッシング対策協議会は、「利用者向けフィッシング詐欺対策ガイドライン」を改訂、公開しました。ユーザー向けのフィッシング対策啓発教材として提供されているもので、近年、スマホユーザーを標的としたフィッシングが多数確認されている状況に鑑み、内容を改訂したものです。

具体的には、「3. 今すぐできるフィッシング対策」の中の、「3.2.1 正しい URL を確認し、ブックマークに登録する」の記載内容を変更し、新たに、「3.2.2 モバイル端末向けの注意事項」を追記、「3.4. 正しいアプリをつかう」の内容の変更と追記が行われ、よりモバイル利用を意識した内容にアップデートされました。また、「5. 付録:フィッシング事例」では、国内で確認されている主なフィッシング事例が紹介されています。

「利用者向けフィッシング詐欺対策ガイドライン」が改訂される(セキュリティニュース)

「Apache HTTP Web Server」に複数の脆弱性が確認される

Webサーバーのソフトウェア「Apache HTTP Web Server」に複数の脆弱性が確認され、6月20日、JVNが注意喚起を公開しました。

複数のモジュールにサービス運用妨害(DoS)などを引き起こす可能性のある計5件の脆弱性が確認されたというもので、影響を受けるシステムは以下の通りです。

・Apache HTTP Web Server 2.2.0から2.2.32まで(CVE-2017-3167、CVE-2017-3169、CVE-2017-7679)
・Apache HTTP Web Server 2.2.32(CVE-2017-7668)
・Apache HTTP Web Server 2.4.0から2.4.25まで(CVE-2017-3167、CVE-2017-3169、CVE-2017-7679)
・Apache HTTP Web Server 2.4.25(CVE-2017-7659、CVE-2017-7668)

開発元のThe Apache Software Foundationは、バージョン「2.4.26」を公開しました。これは、バージョン2.4系の最新版で、Web管理者などは、最新版へのアップデートを行うことが推奨されます。また、2.2系についても、各脆弱性に対応したパッチがリリースされているため、早急な適用が推奨されます。

Apache HTTP Web Server における複数の脆弱性に対するアップデート(JVNVU#98416507)
「Apache HTTP Web Server 2.4」v2.4.26が公開 〜複数の脆弱性を修正(窓の杜)
Apache HTTP Web Serverに複数の脆弱性、早急に対策を(マイナビニュース)

警察庁が「サイバーポリスエージェンシー」を開設

6月26日、警察庁はサイバー犯罪・サイバー攻撃の手口や情勢に関する情報を発信するポータルサイト「サイバーポリスエージェンシー」を開設しました。

サイバー犯罪・サイバー攻撃の被害防止を目的に、サイバー上の脅威に関する警察の"仮想"統合対策組織と位置づけられています。警察庁では、これまでもサイバーセキュリティに関する取り組みとして、セキュリティポータルサイト「@police」や、「サイバー犯罪対策プロジェクト」などのサイトで情報発信を続けてきましたが、サイバーポリスエージェンシーは、これらの情報などを取りまとめたサイトとなります。

"サイバーポリスエージェンシー"
"サイバーポリスエージェンシー"の開設に当たって(警察庁)
警察庁が「サイバーポリスエージェンシー」開設、サイバー犯罪・サイバー攻撃情報を発信(INTERNET Watch)

JPCERT/CCがネット接続状態にあるPCやサーバーのセキュリティ対策について注意喚起

6月28日、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、「インターネット経由の攻撃を受ける可能性のある PC やサーバーに関する注意喚起」を公開しました。

JPCERT/CCには、組織外に持ちだしたPCをネット接続している場合や、サーバーやPCにグローバルIPアドレスを割り当て、遠隔から管理するような場合に、マルウェアに感染したり、攻撃者に不正に侵入されたりするなどの報告が寄せられており、「特にここ数ヵ月において、同様の原因によって大きな被害が生じている」とのこと。

JPCERT/CCは、組織のネットワーク管理者や利用者に対し、使用するPCやサーバー等が、意図せずインターネットからアクセス可能な状態にないかを確認するとともに、「ファイアウォール等を適切に設定する」「不要なサービスを無効化する」「OSやソフトウェアのアップデートを行う」「デフォルトの設定を見直す」といった適切なセキュリティ対策を検討するよう呼びかけています。

インターネット経由の攻撃を受ける可能性のある PC やサーバーに関する注意喚起(JPCERT/CC)

関連キーワード:

Apache HTTP Web Server

AppGoat

JNSA

JPCERT/CC

JVN

LINE

SNS

サイバーポリスエージェンシー

サイバー攻撃

サイバー犯罪

スマホ

フィッシング

フィッシング対策協議会

マルウェア

情報漏えい

脆弱性

詐欺

  • JPCERT/CCがネット接続状態にあるPCやサーバーのセキュリティ対策について注意喚起
  • カテゴリートップへ
  • 6月はフィッシング報告件数が増加、「週末を狙いフィッシングメールが送信される傾向」との指摘