ＩＥの脆弱性もＸＰはＥＯＬなので、パッチ支給ないみたいね

Ｓｔｒｕｔｓ１の脆弱性同様・・・
ま、ＥＯＬなので、当然なのですが・・・

IEに脆弱性、「代替ソフト使用を」 米国土安全保障省
http://headlines.yahoo.co.jp/hl?a=20140429-00000012-jij_afp-int


具体的には、これ？

JVNVU#92280347
Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
http://jvn.jp/vu/JVNVU92280347/index.html


IPAは

Internet Explorer の脆弱性対策について(CVE-2014-1776)
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

サイバーセキュリティ攻撃の激化、標的型メールと各種対策など

４月２５日に聞いてきた


日経コンピューターサミット２０１４
～なぜこの技術に注目するのか～

の

「最近のサイバー攻撃と組織の対応」

について、聞いてきた内容をメモメモ

---

ご挨拶（日経ＢＰのひと）
・ＯｐｅｎＳＳＬ，Ｓｔｒｕｔｓの脆弱性
・標的型攻撃

東京電機大の先生のお話
１．サイバーセキュリティ攻撃の激化
・リスクの深刻化
・売り上げ１兆円以上の企業　５２％が攻撃受ける
　　→現実的脅威
・被害の実態
　　業務プロセスが中断した
・セキュリティインシデントの発見
　　自分で気づいた　１６％　発見まで４３日
　　第三者に指摘され８４％　発見まで１７３日

・セキュリティ対策日米の差
　　セキュリティ投資：日本のほうが投資少ない

・セキュリティ被害の歴史
　　第二のターニングポイント

　　第一：２０００年ごろ
　　　２０００年　科学技術庁ホームページ改ざん

　　第二：２０１０年ごろ　標的型攻撃、

・比較
　　第一：面白半分
　　第二：多種多様、お金儲けや国家の指示も
　　　　→７０００エンでパケット送り続けるサイトも：中国
　　第一：Ｗｅｂ、不特定多数
　　第二：基盤、標的

　　従来の攻撃が風邪ならば、最近のはインフルエンザ

・Ｓｔｕｘｎｅｔ：コンピューターウィルスにちかい
　　遠心分離機の回転数を変える
　　→同様攻撃は予測しておいたほうが。。。

・サイバー戦の分類
平時：一般の企業も対策
　軍事情報
　武器開発の遅延
　バックドア
戦時

■標的型メールと各種対策
・標的方攻撃の特徴・概要

今までと違う点
・巧妙
・限られた人に送る→チェックが化からない

初期侵入
ぜいじゃく性ついた攻撃
機密情報の盗み出し

だれかが標的型メールをあける確率　５００人で９９％
入口対策ではＸ
なにかがあったら直ちに気づく

ネットワークフォレンジックの対応フェーズ

内閣官房情報セキュリティセンター
適切なログの管理、プロキシ

先進的企業はネットワーク系ログを活用
イベントをトリガーに：ＳＩＥＭ、ＬＩＦＴ
　　→インテリジェント化、ガイド化

ＬＩＦＴシステム
　ＡＩベース：ＡＩは今使われている

組織内ＣＥＲＴ

なにをどうやって組み合わせるか？
　　→多重リスクコミュニケーターＭＲＣ

＜＜３．多重リスクコミュニケーター＞＞
リスク一般
・セロリスクない
・定量的リスク

　リスクの特定
　リスク分析
　リスク評価
　　　　リスク許容
　　　　リスク低減
　　　　リスク転嫁
　　　　リスク回避
リスク値算出方法の例
　リスク値＝資産価値ランクＸ脅威の発生頻度ランクＸ脆弱性の程度ランク

ＦＴＡ解析

・リスク対リスク、多重リスクへの考慮が必要
・多くの関与者とのリスクコミュニケーション大切

多重リスクコミュニケーター（ＭＲＣ）の対応
目的関数と制約条件
対策案
【ＩＴリスクの特徴】
・組み合わせ不可欠
・動的リスク対策

イベントツリーにすると応用できる

＜＜まとめ＞＞
・ＩＴリスクマネジメント技術の重要
　　動的リスク概念
・ＩＴリスク学の確立

ＭＲＣ適用例
　　・個人情報漏洩に対して：思った以上に合意は取れる

　ＩＴリスクの特徴

4月28日(月)のつぶやき

　ウィリアムのいたずら　@xmldtp　13:02

Struts2系の脆弱性（2.3.16.1でも直っていなかったもの）を修正した2.3.16.2が出たみたいね。パラメータだけでなく、Cookieの問題もあったの？詳しくは struts.apache.org/release/2.3.x/…

1 件 リツイートされました

from web

返信 リツイート お気に入り

---

Follow @xmldtp