NISC 重要インフラニュースレター(2014年7月23日発行第126号)

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃ ◆◆　NISC 重要インフラニュースレター　◆◆
┃ (２０１４年７月２３日発行第１２６号)
┃ 発行：NISC 重要インフラグループ
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

┼─◎ はじめに ────────────────────────┼
　重要インフラニュースレターは、重要インフラの関係者に情報セキュ
リティに関する情報を幅広く紹介するものです。
　重要インフラ事業者等内の情報システム部門の担当者から管理職や経
営層の方まで必要に応じて幅広く共有いただければ幸いです。
┼───────────────────────────────┼

┌◆　第１２６号の目次　◆─────────────────────┐
　１．チェックが必要な情報
　２．政府機関の動向
　３．関係機関の動き
　４．海外の動き
　５．読者へのお願い
　６．次回予告
├────────────────────────────────┤
○ 今号は６月２６日～７月１６日頃の記事を集めて、編集しています。
└────────────────────────────────┘

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃１．チェックが必要な情報
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）マイクロソフト社製品のセキュリティ情報
・Microsoft 製品の脆弱性対策について(2014年7月)
（IPA、JPCERT コーディネーションセンター）
　https://www.ipa.go.jp/security/ciadr/vul/20140709-ms.html
　https://www.jpcert.or.jp/at/2014/at140028.html

●──┼┼ NISC　memo ┼┼─────────────────●
　マイクロソフト社の月例のセキュリティ情報に係る関係機関からの
注意喚起です。2014年7月におけるMicrosoft製品に関する脆弱性の
修正プログラムは6件公表されており、深刻度が「緊急」2件を含む
Internet Explorer、その他Microsoft製品のセキュリティ更新プログ
ラムが公開されています。必要な対策を行うことを推奨します。
●─────────────────────────────●

・Windows Server 2003のサポート終了に伴う注意喚起（IPA）
　https://www.ipa.go.jp/security/announce/win2003_eos.html

●──┼┼ NISC　memo ┼┼─────────────────●
　マイクロソフト社が提供するソフトウェア製品のうち、Microsoft
Windows Server 2003については、約１年後の平成27年7月15日の
サポート期限後は、セキュリティ更新プログラム等の提供が行われな
くなる予定です。サポート期限までに適切な対応をお願いします。
●─────────────────────────────●

（２）アドビシステムズ社製品のセキュリティ情報
・Adobe Flash Player の脆弱性対策について(APSB14-17)(CVE-2014-4671等)
（IPA、JPCERT コーディネーションセンター）
　https://www.ipa.go.jp/security/ciadr/vul/20140709-adobeflashplayer.html
　https://www.jpcert.or.jp/at/2014/at140029.html
　※ URL が長いのでご注意ください。

（３）その他
・Oracle Java の脆弱性対策について(CVE-2014-4227等)
（IPA、JPCERT コーディネーションセンター）
　https://www.ipa.go.jp/security/ciadr/vul/20140716-jre.html
　https://www.jpcert.or.jp/at/2014/at140030.html

・SX-2000WG におけるサービス運用妨害 (DoS) の脆弱性（JVN）
　（２件）
　https://jvn.jp/jp/JVN85571806/
　https://jvn.jp/jp/JVN35998716/

・複数の Apple 製品の脆弱性に対するアップデート（JVN）
　https://jvn.jp/vu/JVNVU99696049/

・Netgear GS108PE Prosafe Plus Switch に認証情報がハードコードされて
いる問題（JVN）
　https://jvn.jp/vu/JVNVU91918249/

・Autodesk VRED に OS コマンドインジェクションの脆弱性（JVN）
　https://jvn.jp/vu/JVNVU91860797/

・CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性
（JVN）
　https://jvn.jp/vu/JVNVU95045914/

・Becky! Internet Mail におけるバッファオーバーフローの脆弱性（JVN）
　https://jvn.jp/jp/JVN35376006/

・AVG Safeguard および AVG Secure Search の ActiveX コントロールに
任意のコードを実行される脆弱性（JVN）
　https://jvn.jp/vu/JVNVU97652615/

・Liferay Portal に複数のクロスサイトスクリプティングの脆弱性（JVN）
　https://jvn.jp/vu/JVNVU98939460/

・Raritan PX Power Distribution ソフトウェアに cipher zero 攻撃を受ける
脆弱性（JVN）
　https://jvn.jp/vu/JVNVU94415561/

・Datum Systems の衛星モデムに複数の脆弱性（JVN）
　https://jvn.jp/vu/JVNVU91389735/

・サイボウズガルーンにおいて任意のコマンドが実行される脆弱性（JVN）
　https://jvn.jp/jp/JVN42024228/

・サイボウズガルーン 3 連携API におけるアクセス制限回避の脆弱性（JVN）
　https://jvn.jp/jp/JVN31082531/

・サイボウズガルーンの地図検索機能におけるクロスサイトスクリプティング
の脆弱性（JVN）
　https://jvn.jp/jp/JVN97558950/

・サイボウズガルーンのお知らせポートレット機能におけるクロスサイト
スクリプティングの脆弱性（JVN）
　https://jvn.jp/jp/JVN80583739/

・サイボウズガルーンにおいて他のユーザのポートレット設定へアクセス
可能な脆弱性（JVN）
　https://jvn.jp/jp/JVN75990997/

・サイボウズガルーンのメッセージ機能におけるクロスサイトスクリプティ
ングの脆弱性（JVN）
　https://jvn.jp/jp/JVN94838679/

・S2Struts において ClassLoader が操作可能な脆弱性（JVN）
　https://jvn.jp/jp/JVN19118282/

・Kaseya エージェントドライバーに NULL ポインタ参照の脆弱性（JVN）
　https://jvn.jp/vu/JVNVU90228827/

・多機能メールフォームフリーにおけるクロスサイトスクリプティングの脆弱性
（JVN）
　https://jvn.jp/jp/JVN41028866/

・Meridian におけるクロスサイトスクリプティングの脆弱性（JVN）
　https://jvn.jp/jp/JVN36028879/

・File Explorer におけるディレクトリトラバーサルの脆弱性（JVN）
　https://jvn.jp/jp/JVN84335912/

・FuelPHP において任意のコードが実行される脆弱性（JVN）
　https://jvn.jp/jp/JVN94791545/

・Huawei E355 にクロスサイトスクリプティングの脆弱性（JVN）
　https://jvn.jp/vu/JVNVU93289423/

・MicroPact icomplaints にクロスサイトスクリプティングの脆弱性（JVN）
　https://jvn.jp/vu/JVNVU93309335/

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃２．政府機関の動向
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）ＮＩＳＣ
・情報セキュリティ政策会議第４０回会合を開催
　http://www.nisc.go.jp/conference/seisaku/index.html#seisaku40

●──┼┼ NISC　memo ┼┼─────────────────●
情報セキュリティ政策会議第４０回会合が開催され、「情報セキュリ
ティ研究開発戦略（改定版）」の改定、「新・情報セキュリティ普及啓
発プログラム」、「サイバーセキュリティ政策に係る年次報告
（2013年度）」及び「サイバーセキュリティ2014」が決定されました。
●─────────────────────────────●

・ＩＴ利活用セキュリティ総合戦略推進部会第４回会合を開催
　http://www.nisc.go.jp/conference/seisaku/ituse/index.html#ituse4

●──┼┼ NISC　memo ┼┼─────────────────●
ＩＴ利活用セキュリティ総合戦略推進部会第４回会合が開催され、
ＩＴ利活用とサイバーセキュリティに関する新たな技術開発、人材
育成、産業活性化等の諸課題について議論が行われました。
●─────────────────────────────●

・メールマガジン（ＮＩＳＣ　ＮＥＷＳ）配信終了について
　http://www.nisc.go.jp/nisc-news/index.html

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃３．関係機関の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）IPA
・組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリ
ティ対策の見直しを！
　https://www.ipa.go.jp/security/announce/20140710-insider.html

・情報セキュリティ白書2014
　https://www.ipa.go.jp/security/publications/hakusyo/2014.html

・標的型サイバー攻撃への対策支援「サイバーレスキュー隊」を発足
　https://www.ipa.go.jp/about/press/20140716_1.html

・「スキル標準セミナー」開催について
　https://www.ipa.go.jp/jinzai/hrd/event_20140910.html

（２）JPCERT コーディネーションセンター
・JPCERT/CC 活動概要[2014年4月1日～2014年6月30日]
　https://www.jpcert.or.jp/pr/2014/PR20140710.pdf

・JPCERT/CC インシデント報告対応レポート
[2014年4月1日～2014年6月30日]
　https://www.jpcert.or.jp/pr/2014/IR_Report20140710.pdf

・インターネット定点観測レポート(2014年 4～6月)
　https://www.jpcert.or.jp/tsubame/report/report201404-06.html

・解説資料「Oracle Java 標準ライブラリ AtomicReferenceArray クラスに
おけるデシリアライズに関する脆弱性」
　https://www.jpcert.or.jp/securecoding/materials-java-casestudies.html

・Weekly Report 2014-07-02号
　https://www.jpcert.or.jp/wr/2014/wr142501.txt

・Weekly Report 2014-07-09号
　https://www.jpcert.or.jp/wr/2014/wr142601.txt

・Weekly Report 2014-07-16号
　https://www.jpcert.or.jp/wr/2014/wr142701.txt

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃４．海外の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
●US-CERT
・7月14日の週の脆弱性サマリーを更新
　https://www.us-cert.gov/ncas/bulletins/SB14-202

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃５．読者へのお願い
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）ご意見、ご感想をお寄せ下さい
　ニュースレターについてのご意見、ご感想をお待ちしています。
　mailto:nisc-infra-letter@nisc.go.jp

（２）ニュースレターに掲載する記事があればご連絡下さい。
　ニュースレターに掲載する記事があれば、以下の連絡先にご連絡下さい。
　mailto:nisc-infra-letter@nisc.go.jp

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃６．次回予告
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　本ニュースレターは原則として、毎月第1、第3水曜日頃に発行します。
　次回は８月６日頃配信の予定です。

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
　◎本ニュースレターは、重要インフラに係る関係者に情報セキュリティに
　関する取組みなどについて、幅広く紹介しています。したがって本ニュー
　スレターに記載された情報の利用については、リンク先の情報を参照の上、
ご自身の責任でお願いいたします。
├─────────────────────────────────┤
　◎掲載する情報が重複する場合がありますが、ご容赦願います。
　　参考となる情報がございましたら、お知らせください。
├─────────────────────────────────┤
　◎本ニュースレターは、セプター、重要インフラ事業者等向けに発行して
　います。セプター、重要インフラ事業者等での転送については特に制限し
　ません。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　◎ニュースレターの編集に関するお問い合わせ、要望、感想などは以下の
　アドレスにお願いします。
　mailto:nisc-infra-letter@nisc.go.jp
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　◎このメールは等幅フォントでご覧頂くことを推奨します
├─────────────────────────────────┤
Copyright (c) 2014 NISC all rights reserved.
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■