■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃ ◆◆　NISC 重要インフラニュースレター　◆◆
┃ (２０１４年１１月１９日発行 第１３４号)
┃ 発行：NISC 重要インフラグループ
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

┼─◎ はじめに ──────────────────────────┼
　重要インフラニュースレターは、重要インフラの関係者に情報セキュ
リティに関する情報を幅広く紹介するものです。
　重要インフラ事業者等内の情報システム部門の担当者から管理職や経
営層の方まで必要に応じて幅広く共有いただければ幸いです。
┼─────────────────────────────────┼

┌◆　第１３４号の目次　◆─────────────────────┐
　１．チェックが必要な情報
　２．政府機関の動き
　３．関係機関の動き
　４．海外の動き
　５．読者へのお願い
　６．次回予告
├─────────────────────────────────┤
○ 今号は１０月３０日～１１月１２日頃の記事を集めて、編集しています。
└─────────────────────────────────┘

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃１．チェックが必要な情報
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）マイクロソフト社製品のセキュリティ情報
・Microsoft 製品の脆弱性対策について(2014年11月)
（IPA、JPCERT コーディネーションセンター）
　https://www.ipa.go.jp/security/ciadr/vul/20141112-ms.html
　https://www.jpcert.or.jp/at/2014/at140045.html

●──┼┼ NISC　memo ┼┼─────────────────●
　マイクロソフト社の月例のセキュリティ情報に係る関係機関からの
注意喚起です。2014年11月におけるMicrosoft製品に関する脆弱性の
修正プログラムは14件公表されており、深刻度が「緊急」4件を含む
Windows OLE、その他Microsoft製品のセキュリティ更新プログラム
が公開されています。必要な対策を行うことを推奨します。
※MS14-066の脆弱性について11月19日付で修正プログラムが再提供
されております。必要に応じて再適用を検討して下さい。
●─────────────────────────────●

・Microsoft Windows の Kerberos Key Distribution Center (KDC) に
Privilege Attribute Certificate (PAC) 署名検証不備の脆弱性
（IPA、JPCERT コーディネーションセンター、JVN）
　https://www.ipa.go.jp/security/ciadr/vul/20141119-ms.html
　https://www.jpcert.or.jp/at/2014/at140048.html
　https://jvn.jp/vu/JVNVU99458129/index.html

・Microsoft Windows OLE ライブラリに任意のコード実行が可能な脆弱性（JVN）
　https://jvn.jp/vu/JVNVU96617862/

・Microsoft Secure Channel (Schannel) に任意のコード実行が可能な脆弱性
（JVN）
　https://jvn.jp/vu/JVNVU99732679/

（２）アドビシステムズ社製品の脆弱性について
・Adobe Flash Player の脆弱性対策について(APSB14-24)(CVE-2014-0573等)
（IPA、JPCERT コーディネーションセンター）
　https://www.ipa.go.jp/security/ciadr/vul/20141112-adobeflashplayer.html
　https://www.jpcert.or.jp/at/2014/at140046.html

（３）その他
・「一太郎」シリーズにおいて任意のコードが実行される脆弱性対策について
(JVN#16318793)（IPA、JPCERT コーディネーションセンター、JVN）
　https://www.ipa.go.jp/security/ciadr/vul/20141113-jvn.html
　https://www.jpcert.or.jp/at/2014/at140047.html
　https://jvn.jp/jp/JVN16318793/

・「OpenAM」におけるサービス運用妨害(DoS)の脆弱性対策について（IPA、JVN）
　https://www.ipa.go.jp/security/ciadr/vul/20141110-jvn.html
　https://jvn.jp/jp/JVN65559247/

・複数のサイボウズ製品におけるバッファオーバーフローの脆弱性
（IPA、JVN）
　https://www.ipa.go.jp/security/ciadr/vul/20141111-jvn.html
　https://jvn.jp/jp/JVN14691234/

・iLogScanner におけるクロスサイトスクリプティングの脆弱性（JVN）
　https://jvn.jp/jp/JVN89852154/

・Direct Web Remoting (DWR) におけるクロスサイトスクリプティングの
脆弱性（JVN）
　https://jvn.jp/jp/JVN52422792/

・Direct Web Remoting (DWR) における XML 外部実体参照 (XXE) に関する
脆弱性（JVN）
　https://jvn.jp/jp/JVN91502163/

・Apple iOS に対する攻撃手法 Masque Attack（JVN）
　https://jvn.jp/ta/JVNTA14-317A/

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃２．政府機関の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）NISC
・平成26年度「情報セキュリティ月間」実施に伴う関連行事の募集について
　http://www.nisc.go.jp/press/pdf/securitymonth2014_press.pdf

（２）警察庁
・インターネット観測結果等(平成26年９月期)
　https://www.npa.go.jp/cyberpolice/detect/pdf/20141113.pdf

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃３．関係機関の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）JPCERT コーディネーションセンター
・Weekly Report 2014-11-06号
　https://www.jpcert.or.jp/wr/2014/wr144301.html

・Weekly Report 2014-11-12号
　https://www.jpcert.or.jp/wr/2014/wr144401.html

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃４．海外の動き
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
●US-CERT
・11月10日の週の脆弱性サマリーを更新
　https://www.us-cert.gov/ncas/bulletins/SB14-322

●米ICS-CERT
・ABB社のRobotStudioにおけるDLLハイジャックの脆弱性
　https://ics-cert.us-cert.gov/advisories/ICSA-14-308-01

・Rockwell Automation社のCCW（Connected Componets Workbench）上の
カスタムActiveXコンポーネントにおけるコードインジェクションの脆弱性
　https://ics-cert.us-cert.gov/advisories/ICSA-14-294-01

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃５．読者へのお願い
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
（１）ご意見、ご感想をお寄せ下さい
　ニュースレターについてのご意見、ご感想をお待ちしています。
　mailto:nisc-infra-letter@cas.go.jp

（２）ニュースレターに掲載する記事があればご連絡下さい。
　ニュースレターに掲載する記事があれば、以下の連絡先にご連絡下さい。
　mailto:nisc-infra-letter@cas.go.jp

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
┃６．次回予告
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　本ニュースレターは原則として、毎月第1、第3水曜日頃に発行します。
　次回は１２月３日頃配信の予定です。

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
　◎本ニュースレターは、重要インフラに係る関係者に情報セキュリティに
　関する取組みなどについて、幅広く紹介しています。したがって本ニュー
　スレターに記載された情報の利用については、リンク先の情報を参照の上、
ご自身の責任でお願いいたします。
├─────────────────────────────────┤
　◎掲載する情報が重複する場合がありますが、ご容赦願います。
　　参考となる情報がございましたら、お知らせください。
├─────────────────────────────────┤
　◎本ニュースレターは、セプター、重要インフラ事業者等向けに発行して
　います。セプター、重要インフラ事業者等での転送については特に制限し
　ません。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　◎ニュースレターの編集に関するお問い合わせ、要望、感想などは以下の
　アドレスにお願いします。
　mailto:nisc-infra-letter@cas.go.jp
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
　◎このメールは等幅フォントでご覧頂くことを推奨します
├─────────────────────────────────┤
Copyright (c) 2014 NISC all rights reserved.
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■