PR
Hitach Incident Response Team

 7月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

国際的なボットネットのテイクダウン作戦(2014/07/11)

 2014年6月2日、金融機関関連情報を窃取する不正プログラム「Game Over Zeus(GOZ)」、身代金要求型不正プログラム「Cryptolocker」を駆除するための国際的な取り組みが始まりました。米国FBI(連邦捜査局)や警察庁の報告によれば、世界中で推定100万台近くの端末がGOZに感染しており、その約25%が米国、約20%が日本にあるとしています。この国際的な取り組みには、米国、オーストラリア、オランダ、ドイツ、フランス、イタリア、日本、ルクセンブルク、ニュージーランド、カナダ、ウクライナ、英国の法執行機関が関わっています。

 7月11日、米司法省から、取り組みの経過が発表されました。この発表によれば、指令サーバーとの通信から試算したボットの数は、2014年6月6日時点の20万407ノードから、7月7日時点で13万7863ノードと、31%減少したとのことです。

 感染有無を判定するサイト(https://goz.shadowserver.org/gozcheck/)も用意されていますので、感染有無を確認してみてください。感染の兆候がない場合には、次のような結果が表示されます。

図1●感染有無を判定するサイト(感染の兆候がない場合)
図1●感染有無を判定するサイト(感染の兆候がない場合)
[画像のクリックで拡大表示]

Java SE 7 Update 65、Java SE 8 Update 11リリース(2014/07/16)

 Java SE 7 Update 65には、Java SE、JRockitコンポーネントに関する計19件のセキュリティアップデート、Java SE 8u11には計18件のセキュリティアップデートが含まれています。報告された脆弱性は、いずれも認証操作なしでリモートからの攻撃を許してしまう脆弱性です。また、これらのリリースには、JAXP(Java API for XML Processing)処理に、XMLドキュメントの要素の深度を制限するプロパティmaxElementDepth が導入されました。

 なお、Java SE 6に関しては、2013年2月の公式アップデート終了後も脆弱性が報告されていますので(図2)、Java 7にアップデートする必要があります。

図2●オラクルから報告されているJavaの脆弱性の件数