2017年12月のIT総括

2017年12月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

「Apache Struts 2」が脆弱性を解消した更新版を公開

JavaのWebアプリケーションを作成するためのフレームワーク「Apache Struts」のバージョン2系列(Apache Struts 2)に、複数の脆弱性(「CVE-2017-15707」「CVE-2017-7525」)が存在することが確認されました。

開発元のApache Software Foundation(Apacheソフトウエア財団)より、12月1日、脆弱性が修正された最新版「Apache Struts 2.5.14.1」がすでに公開されており、Webサイト管理者は最新版への早急なアップデートが推奨されます。

・(英文)US-CERTの情報
Apache Struts2 の脆弱性対策情報一覧(IPA)
「Apache Struts 2」の更新版公開、複数の脆弱性に対処 (ITmedia)
【セキュリティ ニュース】「Apache Struts 2」の「RESTプラグイン」に脆弱性 - DoS攻撃受けるおそれ(Security NEXT)

バッファロー製の複数の有線ルーターに複数の脆弱性

12月1日、バッファロー製の有線ルーター「BBR-4HG」「BBR-4MG」に複数の脆弱性が確認されました。両製品にはクロスサイトスクリプティング(CVE-2017-10896)、入力値検査不備(CVE-2017-10897)の脆弱性があり、ファームウェアのバージョン「1.00〜1.48」および「2.00〜2.07」が影響を受けます。

問題を修正したファームウェア(バージョン1.49、および2.08)がすでに公開されており、開発者が提供する情報をもとに、各製品に対応した適切なファームウェアにアップデートすることが推奨されます。

バッファロー製の複数の有線ルーターに複数の脆弱性(セキュリティニュース)

2020年に向け実践的サイバー演習「サイバーコロッセオ」の実施を発表

12月7日、独立行政法人 情報通信研究機構(NICT)は、実践的なサイバー演習「サイバーコロッセオ」を、総務省と連携して2018年2月から実施すると発表しました。

東京2020オリンピック・パラリンピック競技大会に向け、大会関連組織のセキュリティ担当者等を対象に高度な攻撃に対処可能な人材育成をめざすもので、NICTは、これまで培ってきた大規模演習環境や、サイバーセキュリティ研究による知見を生かし、実際の機器やソフトウェアの操作を伴う「実践的なトレーニング」を担当します。

2020年に向けて継続的に実施し、参加人数も段階的に拡大しながら最終的には約220人のセキュリティ担当者等を育成する予定です。

2020年に向け実践的サイバー演習「サイバーコロッセオ」の実施を発表(セキュリティニュース)

複数のメールソフトで、送信者を偽装できる脆弱性「Mailsploit」が確認される

12月8日、JPCERT/CCは、複数のメールソフトに存在する「Mailsploit(メールスプロイト)」という脆弱性についての注意喚起を公開しました。脆弱性が悪用されると、DMARCやスパムフィルターといった、技術的に有効とされる偽装メール対策でも見破れないメールを送ることが可能となり、ユーザーにとって、不審なメールを見分けることがさらに難しくなる可能性があります。

ユーザーは、メールの取扱いに十分注意するとともに、ベンダーの情報を確認し、この問題に対応済みのメールクライアントを利用することが推奨されます。

複数のメールソフトで、送信者を偽装できる脆弱性「Mailsploit」が確認される(セキュリティニュース)

IPAが「2017年度情報セキュリティに対する意識調査」報告書を公開

12月14日、独立行政法人 情報処理推進機構(IPA)は、「2017年度情報セキュリティに対する意識調査」報告書を公開しました。

これは、13歳以上のパソコンおよびスマートデバイスのインターネット利用者を対象に2005年から毎年行われている調査で、「SNS等への悪意ある投稿経験の割合は、投稿経験者のうち22.6%を占めた」「自身の性的な姿を撮影した写真や動画を、近しい間柄の相手に共有しても構わないと考える回答者は、スマートデバイス利用者の7.4%、パソコン利用者の5.3%にのぼった」「基本的なセキュリティ対策の実施率は、PCの習熟レベルが最も低い層(レベル1)と、習熟レベルが最も高い層(レベル4)の間に40%〜60%の開きがあった」などの、5つのポイントが示されました。

「2017年度情報セキュリティに対する意識調査」報告書について(IPA)

IPAがネットワークカメラ調達に関する「要件チェックリスト」を公開

12月7日、独立行政法人 情報処理推進機構(IPA)は、「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」を公開しました。

これは、政府機関や自治体などの調達担当者が活用する目的で公開されたもので、ネットワークカメラを設置、運用する場合の「必須要件」「条件によっては必須とする要件」のチェックリストで構成されています。来年度にはインターネットに直接接続されたネットワークカメラシステムの追加要件の公開も計画されており、政府機関や自治体の調達だけでなく、民間組織における調達への活用も可能な内容となっています。

(Saving...) プレス発表 統一基準で求められる要件を満たした『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』を公開(IPA)
ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト(IPA)

2017年の最も破られやすいパスワードは今年も「123456」

12月19日、米スプラッシュデータ社は、2017年版の「破られやすいパスワード(Worst Passwords)」のランキングを発表しました。ワースト1は、「123456」で第2位は「password」。この2つは同社が年次ランキングを集計するようになった2011年版以降、常にトップを占め続けています。3位は「12345678」、4位はキーボード配列そのままの「qwerty」、5位は「12345」でした。

ユーザーは、このランキングに掲載されているような文字列をパスワードに使用することは避け、英文字、数字、記号などを組み合わせた8文字以上(可能であれば12文字以上)のできるだけ長い文字列に設定することが推奨されます。

・(英文)スプラッシュデータ社の発表
2017年の最悪なパスワードは? あの大ヒット映画もランクイン(TechCrunch Japan)
2017年ダメなパスワードトップ100発表、第1位は?(マイナビニュース)
2017年最悪のパスワード100発表、トップは不動の「123456」(GIGAZINE)
情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう(今すぐ見直したいセキュリティ対策)

関連キーワード:

Apache Struts

DMARC

IPA

JPCERT/CC

Mailsploit

NICT

Worst Passwords

サイバーコロッセオ

パスワード

ルーター

脆弱性

  • 2017年の最も破られやすいパスワードは今年も「123456」
  • カテゴリートップへ
  • 複数のCPUに、サイドチャネル攻撃を許す脆弱性(MeltdownとSpectre)が確認される