情報セキュリティニュース（事故事例）をご案内します。4件

情報セキュリティニュース（事故事例）をご案内します。4件

◆金融機関の3割でサイバー攻撃が発生 - 1割が「経営に影響」と回答

2015年以降、約3分の1の金融機関がサイバー攻撃を経験しており、
1割は攻撃により業務や経営などに影響を及ぼしたことがわかった。

日本銀行が、サイバーセキュリティに関するアンケート調査を4月に
実施し、明らかになったもの。当座預金取引先金融機関のうち、
411機関が回答している。

2015年以降のサイバー攻撃について、31.3％が何らかの攻撃を経験。
回答者全体の20.4％が「業務や経営に影響はなかったものの、事後
対応を行った」と回答。一方で9.7％は「業務や経営に警備な影響が
あった」、1.2％は「攻撃が発生し、業務や経営に重大な影響があった」
としている。

サイバーセキュリティに関する投資額は、2015年から年々増加して
おり、1金融機関あたりの平均で見ると、2017年は1億4880万円。
2015年の8500万円から約2年で約1.7倍に拡大している。サイバーセキュ
リティに関連する経費も同様に増加傾向にあり、2015年の1億1380万円
から2017年は1億7830万円へと上昇した。

インシデント対応組織を見ると、10.9％は1名以上の専任者がいる専門
組織を常設。「専門組織を常設しているが、専任者はいない」が7.3％
だった。一方、76.9％が専門組織を備えていないという。

セキュリティ対策について見ると、脆弱性検査を実施している金融機関
は52.7％。

また脆弱性の修正プログラムの適用では、深刻な脆弱性について約半数
にあたる49.1％は機動的にパッチを適用するとした一方、6.8％は「原則
としてパッチを適用しない」と回答している。

文書作成などに用いる端末のマルウェア対策では、「外部記憶媒体の接続
を制限（91.2％）」「パターン検知型マルウェア対策製品を導入（82.2％）」
「ソフトウェアの実行権限を必要最小限に制限（75.9％）」「ネットワーク
をインターネットと分離（56.4％）」などが目立った。

（2017/10/20）

◆広く利用される暗号化ライブラリに脆弱性「ROCA」
　　 - 鍵長1024ビットなら解析コストは1万円以下

Infineon Technologiesが提供する「RSA暗号ライブラリ」に、脆弱な鍵ペア
を生成する脆弱性が存在することがわかった。ハードウェアなど影響が多岐
にわたるおそれがある。

「同1.02.013」で生成したプライベート鍵が、公開鍵から容易に解析される
おそれがある脆弱性「CVE-2017-15361」が明らかとなったもの。

暗号化されたデータの復号や署名の偽造など、悪用されるおそれがある。

脆弱性は同ライブラリに起因するもので、RSA暗号そのものの危殆化ではなく、
ほかのデバイスやライブラリなど、同ライブラリ以外によって生成されたRSA
キーであれば、同ライブラリでも安全に扱うことができるとしている。

同脆弱性は、チェコのマサリク大学やイタリアのヴェネツィア大学などの
研究者が1月に発見。その後調整を経て公開された。解析手法については、
別名「Return of Coppersmith’s Attack (ROCA）」と名付けられている。

研究者によれば、単一コアを持つ最近の一般的なCPUを利用した場合、1024
ビットの鍵長に関して3CPUで1カ月以内、2048ビットについては100CPU未満
で1年以内に解析できるとし、最悪の場合、これらの半分ほどの機関で解析
されるおそれもあるとしている。

クラウドサービスを利用した場合の解析コストは、512ビット長でわずか
6セント。1024ビット長で米76ドル、2048ビット長で4万ドルと試算した。

研究者によると、脆弱性が存在するライブラリは、SSL/TLS証明書やソフト
ウェア署名のほか、セキュリティトークンやスマートカードでも採用されて
おり、すでに約76万の脆弱な鍵を確認しているが、これらの2倍から3倍の鍵が
存在すると見ている。

脆弱性を発見した研究者は同脆弱性について少なくとも2012年以降に米政府
のセキュリティ認証基準である「NIST FIPS 140-2」や、コモンクライテリア
の評価保証レベル「CC EAL 5＋」の認定を受けたデバイスにも存在すると
指摘している。

一部PCメーカーでは、Trusted BootのためにInfineon製の
「TPM（Trusted Platform Module）」ファームウェアを採用しており、
対応に追われている。

脆弱性の判明を受けて、Google、HP、Lenovo、富士通など各ベンダーにおい
てもアップデートやガイドラインの提供を順次開始した。

またマイクロソフトでは、同社製品における脆弱性ではないとしつつも、
同脆弱性の影響を緩和する目的で10月の月例セキュリティ更新によりアップ
デートを提供した。アップデートを公開した、米時間10月10日の時点で脆弱性
の悪用などは確認されていないという。

（2017/10/19）

◆Oracle、定例アップデートで252件の脆弱性に対応
　　　　 - 半数弱が「緊急」または「重要」

Oracleは、四半期ごとに公開している定例アップデート「クリティカルパッチ
アップデート（CPU）」をリリースし、252件の脆弱性を解消した。

今回のアップデート「CPU」では、「Oracle Database Server」に関する脆弱性
6件をはじめ、「Oracle Communications Applications」では23件、
「Oracle E-Business Suite」では26件の脆弱性に対処。

そのほか「Java SE」「PeopleSoft」「Solaris Cluster」「MySQL」
「Oracle VM VirtualBox」など、あわせて252件にのぼる。

今回対応した脆弱性のうち、共通脆弱性評価システム「CVSS v3」でスコアが
「7.0」以上で「緊急」または「重要」とされる脆弱性は117件。155件に関して
はリモートより認証なく攻撃が可能だという。

同社は、脆弱性の悪用を防止するため、テスト環境で動作を確認したうえで、
早期にアップデートを適用するよう推奨している。

なお、次回の定例アップデートの公開は米国時間2018年1月16日が予定されている。

（2017/10/18）

◆Oracle、Java SEに関する脆弱性22件を修正

Oracleは、同社の定例アップデートである
「クリティカルパッチアップデート（CPU）」を公開し、「Java SE」
に関する脆弱性22件を解消した。

今回のアップデートは、CVEベースで22件の脆弱性に対処しており、
共通脆弱性評価システム「CVSS v3」においてスコアが「7.0」以上で
「緊急」または「重要」とされる脆弱性は4件。これらのうち、20件に
ついては認証なしでリモートよりコードの実行が可能となる脆弱性だという。

脆弱性により異なるが「同9」「同8 Update 144」「同7 Update 151」
「同6 Update 161」「Java Advanced Management Console: 2.7」および以前の
バージョンが影響を受ける。

同社では、脆弱性へ対処した「同9.0.1」「同8 Update 151」をリリース。
アップデートを実施するよう呼びかけている。また脆弱性の修正にくわえ、
バグへ対応した「同8 Update 152」についてもあわせてリリースされている。

（2017/10/18）