NISC 重要インフラニュースレター(2014年10月1日発行第131号)

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃ ◆◆　NISC 重要インフラニュースレター　◆◆
┃ (２０１４年１０月１日発行第１３１号)
┃ 発行：NISC 重要インフラグループ
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

┼─◎ はじめに ────────────────────────┼
　重要インフラニュースレターは、重要インフラの関係者に情報セキュ
リティに関する情報を幅広く紹介するものです。
　重要インフラ事業者等内の情報システム部門の担当者から管理職や経
営層の方まで必要に応じて幅広く共有いただければ幸いです。
┼───────────────────────────────┼

┌◆　第１３１号の目次　◆─────────────────────┐
　１．チェックが必要な情報
　２．政府機関の動向
　３．各分野の動き
　４．関係機関の動き
　５．海外の動き
　６．読者へのお願い
　７．次回予告
├────────────────────────────────┤
○ 今号は９月１１日～９月２４日頃の記事を集めて、編集しています。
└────────────────────────────────┘

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃１．チェックが必要な情報
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
・365 Links シリーズにおけるクロスサイトスクリプティングの脆弱性（JVN）
　https://jvn.jp/jp/JVN36205251/

・CENTUM および Exaopc において任意のファイルにアクセス可能な脆弱性（JVN）
　https://jvn.jp/vu/JVNVU95634161/

・複数の Apple 製品の脆弱性に対するアップデート（JVN）
　https://jvn.jp/vu/JVNVU93868849/

・Dotclear におけるクロスサイトスクリプティングの脆弱性（JVN）
　https://jvn.jp/jp/JVN61637002/

・FortiGate および FortiWiFi アプライアンスに複数の脆弱性（JVN）
　https://jvn.jp/vu/JVNVU96848844/

・iOS 版 jigbrowser+ における同一生成元ポリシー回避の脆弱性（JVN）
　https://jvn.jp/jp/JVN80531230/

・WordPress 用プラグイン N-Media file uploader におけるアップロード
されたファイルの取扱いに関する脆弱性（JVN）
　https://jvn.jp/jp/JVN87863382/

・Safari におけるアプリケーションキャッシュの取扱いに関する問題（JVN）
　https://jvn.jp/jp/JVN45442753/

・Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性
（JVN）
　https://jvn.jp/vu/JVNVU94190107/

・Bash の脆弱性対策について（IPA、JPCERT コーディネーションセンター、JVN)
　https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
　https://www.jpcert.or.jp/at/2014/at140037.html
　https://jvn.jp/vu/JVNVU97219505/

●──┼┼ NISC　memo ┼┼─────────────────●
　GNU bash の環境変数の処理には脆弱性があります。外部からの
入力が、GNUbash の環境変数に設定される環境において、遠隔の
第三者によって任意のコードが実行される可能性があります。
該当するバージョンの GNU bash を使用している場合は、至急修正
パッチを適用のうえ、回避策の実施を検討してください。
●─────────────────────────────●

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃２．政府機関の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）ＮＩＳＣ
・情報セキュリティ対策推進会議（ＣＩＳＯ等連絡会議）第１８回会合を開催
　http://www.nisc.go.jp/conference/suishin/index.html#2014_4

●──┼┼ NISC　memo ┼┼─────────────────●
　情報セキュリティ対策推進会議（ＣＩＳＯ等連絡会議）第１８回会合
が開催され、「情報セキュリティ緊急支援チームの運営等について」
の改正が決定されたほか、標的型攻撃等の脅威についての実演が
行われました。
●─────────────────────────────●
（２）総務省
・「ICTイノベーションフォーラム2014」の開催
　http://www.soumu.go.jp/menu_news/s-news/01tsushin03_02000102.html

（３）経済産業省
・ＩＴセキュリティ分野における国際相互承認アレンジメントが改正されました
　http://www.meti.go.jp/press/2014/09/20140910001/20140910001.html

（４）警察庁
・インターネット観測結果等（平成26 年上半期（１月～６月））
　http://www.npa.go.jp/cyberpolice/detect/pdf/20140911.pdf

・平成26年上半期のサイバー空間をめぐる脅威の情勢について
　http://www.npa.go.jp/kanbou/cybersecurity/H26_kami_jousei.pdf

・Bashの脆弱性を標的としたアクセスの観測について
　http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃３．各分野の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
情報通信分野
・平成２６年度「第２回関東テレコム講演会」
（2014年10月9日（木）13:30-17:00）（（一社）テレコムサービス協会）
　http://www.telesa.or.jp/branch/kantou/20141009_telecom.html

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃４．関係機関の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）IPA
・「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開
　https://www.ipa.go.jp/security/vuln/newattack.html

・ソフトウェア高信頼化セミナーのご案内
　システム障害や災害にも安心なITサービス継続のために
　～IT-BCPに向けた高回復力基盤導入と障害事例情報の共有活動に向けて～
　http://sec.ipa.go.jp/seminar/20141107.html

・「組織における内部不正防止ガイドライン」を改訂
　https://www.ipa.go.jp/about/press/20140926.html

（２）JPCERT コーディネーションセンター
・Weekly Report 2014-09-18号
　https://www.jpcert.or.jp/wr/2014/wr143601.txt

・脆弱性を識別するCVE番号の新体系による採番のお知らせ
　https://www.jpcert.or.jp/pr/2014/pr140006.html

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃５．海外の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
●US-CERT
・9月22日の週の脆弱性サマリーを更新
　https://www.us-cert.gov/ncas/bulletins/SB14-272

●米ICS-CERT
・Ecava Integraxor SCADA Server における不適切な特権管理の脆弱性
　https://ics-cert.us-cert.gov/advisories/ICSA-14-224-01

・Schneider Electric VAMPSETにおけるバッファオーバーフローの脆弱性
　https://ics-cert.us-cert.gov/advisories/ICSA-14-254-01

・Schneider Electric SCADA Expert ClearSCADAにおけるクロスサイト
スクリプティングの脆弱性
　https://ics-cert.us-cert.gov/advisories/ICSA-14-259-01

・Advantech WebAccess HMIにおける複数のバッファオーバーフローの脆弱性
　https://ics-cert.us-cert.gov/advisories/ICSA-14-261-01

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃６．読者へのお願い
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）ご意見、ご感想をお寄せ下さい
　ニュースレターについてのご意見、ご感想をお待ちしています。
　mailto:nisc-infra-letter@nisc.go.jp

（２）ニュースレターに掲載する記事があればご連絡下さい。
　ニュースレターに掲載する記事があれば、以下の連絡先にご連絡下さい。
　mailto:nisc-infra-letter@nisc.go.jp

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃７．次回予告
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　本ニュースレターは原則として、毎月第1、第3水曜日頃に発行します。
　次回は１０月１５日頃配信の予定です。

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
　◎本ニュースレターは、重要インフラに係る関係者に情報セキュリティに
　関する取組みなどについて、幅広く紹介しています。したがって本ニュー
　スレターに記載された情報の利用については、リンク先の情報を参照の上、
ご自身の責任でお願いいたします。
├─────────────────────────────────┤
　◎掲載する情報が重複する場合がありますが、ご容赦願います。
　　参考となる情報がございましたら、お知らせください。
├─────────────────────────────────┤
　◎本ニュースレターは、セプター、重要インフラ事業者等向けに発行して
　います。セプター、重要インフラ事業者等での転送については特に制限し
　ません。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　◎ニュースレターの編集に関するお問い合わせ、要望、感想などは以下の
　アドレスにお願いします。
　mailto:nisc-infra-letter@nisc.go.jp
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　◎このメールは等幅フォントでご覧頂くことを推奨します
├─────────────────────────────────┤
Copyright (c) 2014 NISC all rights reserved.
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■