2008年もいよいよ残り少なくなって参りました。今年もこの場をお借り して、担当者が選んだコンピュータセキュリティにおける 2008年の重 大ニュースをご紹介いたします。 - DNS キャッシュポイズニング 2008年7月 DNS キャッシュサーバの脆弱性に関する問題が大きな話題 となりました。米国のセキュリティ研究者が効率的に DNS キャッシュ ポイズニングを行う手法を公開しました。同時に DNS サーバソフト ウエアのベンダーは対策版を公開し、DNS サーバ管理者は対策に追わ れることになりました。 [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080014.txt - 大規模 SQL インジェクションと手法の進化 SQL インジェクションにより、正規のコンテンツに悪意あるサイトへ のリンクが埋め込まれるという事例が多発しました。IIS と SQL server の組み合わせに対する攻撃を行うツールやクッキーに SQL を 埋め込んで攻撃する手法などが確認されています。 SQL インジェクションによる Web サイト改ざんに関する注意喚起 http://www.jpcert.or.jp/at/2008/at080005.txt - Debian GNU/Linux の OpenSSL パッケージ問題 2008年5月 Debian の OpenSSL ライブラリで生成される乱数が推測さ れやすい事が発覚しました。問題は 2006年5月の修正によって起こり、 その後発見されないまま、放置されていました。「オープンソースの ソフトウエアでは多くの人によってコードをレビューされているため 安全」という神話が崩れ去りました。 OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) http://www.debian.or.jp/blog/openssl_package_and_its_vulnerability.html - スパムメールが一時的に減少 2008年11月 多くの C&C サーバをホスティングしていた McColo 社が上流 ISP によりインターネット接続を遮断されました。専門家 の調査では、この直後にスパムメールの量が最大 75%減少しました。 シリコンバレー スパム発信元疑惑の組織解体で世界のスパム送信量が 75%減少 http://www.sophos.co.jp/pressoffice/news/articles/2008/11/slb-1112-McColo.html - 迷惑メール対策 2法の改正 2008年12月 特定電子メール法、特定商取引法が改正施行され、広告 などのメールを送る事業者は、受信者の事前同意が必要となりました。 これにより、事前に同意を得ていないユーザに広告宣伝メールを送信 することは認められなくなりました。 迷惑メール対策 http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html http://www.meti.go.jp/policy/economy/consumer/consumer/tokutei/meiwaku/index.html - Google ストリートビューのサービス開始 2008年8月 Google マップのストリートビューのサービスが日本で開 始されました。便利なサービスとして評価される一方で、新たなプラ イバシー問題として議論を呼びました。また Google マイマップのデ フォルトの公開設定や、登録地点の管理方法などについても問題とな りました。 Googleストリートビュー,面白いけど目的は何? http://itpro.nikkeibp.co.jp/article/OPINION/20080905/314188/?ST=cloud&P=1 - 無線 LAN の暗号解読 無線 LAN で使用されている WEP について、以前より短時間で解読で きる手法が公開されました。2008年11月には WPA に対しても解読が 可能という発表がありました。今後、無線 LAN を導入する場合は、 WPA2 対応の機器を選定することをおすすめします。 無線LANセキュリティ規格「WPA」突破――その対策は? http://www.itmedia.co.jp/news/articles/0811/11/news083.html - USB メモリを介したウイルス感染 USB メモリを介したウイルス感染が大きな話題になりました。USB メ モリだけでなく、携帯音楽プレーヤやデジタルフォトフレームなども 同様の感染経路となります。 USB メモリを経由して感染するマルウェア http://www.jpcert.or.jp/wr/2008/wr080401.html#Memo - 原田ウイルス作者逮捕 2008年1月 主にファイル共有ソフト経由で流通する原田ウイルスの作 者が逮捕され、著作権法違反と名誉毀損の罪で刑事告訴されました。 現行の法制度ではウイルスを作成することを直接取り締まることがで きないという問題点が改めて浮き彫りになりました。 ウイルス作者逮捕、「放流神」を騙る http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080125nt0d.htm - 標的型攻撃の増加と対策手法の強化 JPCERT/CC や IPA などの調査によると標的型攻撃は今も増加してい ます。対策の一つとして、攻撃を模した無害なメールと添付ファイル を従業員に送信する「IT セキュリティ予防接種」などの訓練手法に 注目が集まっています。 標的型攻撃対策手法に関する調査報告書 http://www.jpcert.or.jp/research/2008/inoculation_200808.pdf 今年一年 JPCERT/CC REPORT のご愛読、誠にありがとうございました。 年内の JPCERT/CC REPORT 発行はあと 2回です。 2009年も JPCERT/CC REPORT をよろしくお願いいたします。
Weekly Report 2008-12-10号 に掲載