ご愛読者様各位
株式会社インフィニティ
【B-2セキュアNews】は、サイバー空間の脅威に備えて不定期に発行しております。
─────────────────────────────────────────────────────
B-2セキュアNews/日本に対するサイバー攻撃対策
─────────────────────────────────────────────────────
1.9月のサイバー攻撃情勢の事例
─────────────────────────────────────────────────────
[1] 中国9.18国恥記念日に伴うサイバー攻撃
中国では、満州事変の発端となった柳条湖事件が発生した9月18日を、【国恥記念日】と指定し、例年、中国国内においては反日記念式典などが行われています。
中国ハッカー集団(中国紅客聯盟)などは、この機を捉えて日本の政府機関や企業、団体に対して、Webサイト改竄やDDoS攻撃を敢行し、過去には日本のWebサイトが被害に遭う事案も発生しています。
[2] イルカ追い込み漁解禁に伴うサイバー攻撃
毎年、9月1日から和歌山県太地町において、イルカの追い込み漁が解禁されることに伴い、国際的ハッカー集団(アノニマス)がイルカ漁への反対を表明し、日本政府機関や企業・団体などに対してDDoS攻撃を敢行しています。
さらに、本年9月10~14日には、IWC(国際捕鯨委員会)総会の開催が予定され、今回は日本が議長国で、「商業捕鯨の解禁」を提案する等の動きもあり、アノニマスがサイバー攻撃を敢行する可能性も否定できません。
─────────────────────────────────────────────────────
2.公開されている脆弱性情報
─────────────────────────────────────────────────────
[1] Apache Struts2の脆弱性(CVE-2018-11776)
・対象:2.3系列2.3.35より前のバージョン、2.5系列2.5.17より前のバージョン。
・詳細:細工したHTTPリクエストの送信により、サーバ 上で任意のコードが実行される。
・対策:Apache Software Foundationからの更新情報を元に最新版に更新。
[2] LinuxのIP実装におけるサービス運用妨害(DoS)の脆弱性(CVE-2018-5391)
・対象:Linuxカーネルversion3.9及びそれ以降のバージョン。
・詳細:LinuxカーネルのIPフラグメント再構築を行う実装には、細工したパケット列の処理によって高負荷状態になる。
・対策:パッチの適用(パッチを適用できない場合でも脆弱性の影響を軽減する方法あり。)
─────────────────────────────────────────────────────
3.Webサイトのセキュリティ対策の強化
─────────────────────────────────────────────────────
9月中は、上記の情勢からもWebサイトを狙ったサイバー攻撃を受ける可能性が高いため、以下のようなセキュリティ対策の強化をお願いします。
[1] Webサイトの管理端末のOSやアプリケーションをアップデートする。
[2] SQLインジェクションの脆弱性の有無を確認する。
[3] 推測されやすいログインIDやパスワードを使用しない。
[4] 攻撃元(海外等)となるIPアドレスからのアクセスを制限する。
─────────────────────────────────────────────────────
▲
福岡の情報通信企業インフィニティは業務システムの安定稼働と業務データの維持保全を支援します