• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

CSIRTメモ

チェックしておきたい脆弱性情報<2014.07.28>

寺田真敏=Hitachi Incident Response Team 2014/07/28 日経コミュニケーション
Hitach Incident Response Team

 7月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

国際的なボットネットのテイクダウン作戦(2014/07/11)

 2014年6月2日、金融機関関連情報を窃取する不正プログラム「Game Over Zeus(GOZ)」、身代金要求型不正プログラム「Cryptolocker」を駆除するための国際的な取り組みが始まりました。米国FBI(連邦捜査局)や警察庁の報告によれば、世界中で推定100万台近くの端末がGOZに感染しており、その約25%が米国、約20%が日本にあるとしています。この国際的な取り組みには、米国、オーストラリア、オランダ、ドイツ、フランス、イタリア、日本、ルクセンブルク、ニュージーランド、カナダ、ウクライナ、英国の法執行機関が関わっています。

 7月11日、米司法省から、取り組みの経過が発表されました。この発表によれば、指令サーバーとの通信から試算したボットの数は、2014年6月6日時点の20万407ノードから、7月7日時点で13万7863ノードと、31%減少したとのことです。

 感染有無を判定するサイト(https://goz.shadowserver.org/gozcheck/)も用意されていますので、感染有無を確認してみてください。感染の兆候がない場合には、次のような結果が表示されます。

図1●感染有無を判定するサイト(感染の兆候がない場合)
[画像のクリックで拡大表示]

Java SE 7 Update 65、Java SE 8 Update 11リリース(2014/07/16)

 Java SE 7 Update 65には、Java SE、JRockitコンポーネントに関する計19件のセキュリティアップデート、Java SE 8u11には計18件のセキュリティアップデートが含まれています。報告された脆弱性は、いずれも認証操作なしでリモートからの攻撃を許してしまう脆弱性です。また、これらのリリースには、JAXP(Java API for XML Processing)処理に、XMLドキュメントの要素の深度を制限するプロパティmaxElementDepth が導入されました。

 なお、Java SE 6に関しては、2013年2月の公式アップデート終了後も脆弱性が報告されていますので(図2)、Java 7にアップデートする必要があります。

図2●オラクルから報告されているJavaの脆弱性の件数

ここから先はITpro会員(無料)の登録が必要です。

次ページ オラクル2014年7月の四半期セキュリティアップ...
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る