ご愛読者様各位
株式会社インフィニティ
【B-2セキュアNews】は、サイバー空間の脅威に備えて不定期に発行しております。
─────────────────────────────────────────────────────
B-2セキュアNews/日本に対するサイバー攻撃対策
─────────────────────────────────────────────────────
1.9月のサイバー攻撃情勢の事例
─────────────────────────────────────────────────────
[1] 中国9.18国恥記念日に伴うサイバー攻撃
中国では、満州事変の発端となった柳条湖事件が発生した9月18日を、【国恥記念日】と指定し、例年、中国国内においては反日記念式典などが行われています。
中国ハッカー集団(中国紅客聯盟)などは、この機を捉えて日本の政府機関や企業、団体に対して、Webサイト改竄やDDoS攻撃を敢行し、過去には日本のWebサイトが被害に遭う事案も発生しています。
[2] イルカ追い込み漁解禁に伴うサイバー攻撃
毎年、9月1日から和歌山県太地町において、イルカの追い込み漁が解禁されることに伴い、国際的ハッカー集団(アノニマス)がイルカ漁への反対を表明し、日本政府機関や企業・団体などに対してDDoS攻撃を敢行しています。
さらに、本年9月10~14日には、IWC(国際捕鯨委員会)総会の開催が予定され、今回は日本が議長国で、「商業捕鯨の解禁」を提案する等の動きもあり、アノニマスがサイバー攻撃を敢行する可能性も否定できません。
─────────────────────────────────────────────────────
2.公開されている脆弱性情報
─────────────────────────────────────────────────────
[1] Apache Struts2の脆弱性(CVE-2018-11776)
・対象:2.3系列2.3.35より前のバージョン、2.5系列2.5.17より前のバージョン。
・詳細:細工したHTTPリクエストの送信により、サーバ 上で任意のコードが実行される。
・対策:Apache Software Foundationからの更新情報を元に最新版に更新。
[2] LinuxのIP実装におけるサービス運用妨害(DoS)の脆弱性(CVE-2018-5391)
・対象:Linuxカーネルversion3.9及びそれ以降のバージョン。
・詳細:LinuxカーネルのIPフラグメント再構築を行う実装には、細工したパケット列の処理によって高負荷状態になる。
・対策:パッチの適用(パッチを適用できない場合でも脆弱性の影響を軽減する方法あり。)
─────────────────────────────────────────────────────
3.Webサイトのセキュリティ対策の強化
─────────────────────────────────────────────────────
9月中は、上記の情勢からもWebサイトを狙ったサイバー攻撃を受ける可能性が高いため、以下のようなセキュリティ対策の強化をお願いします。
[1] Webサイトの管理端末のOSやアプリケーションをアップデートする。
[2] SQLインジェクションの脆弱性の有無を確認する。
[3] 推測されやすいログインIDやパスワードを使用しない。
[4] 攻撃元(海外等)となるIPアドレスからのアクセスを制限する。
─────────────────────────────────────────────────────
▲