対重要インフラの標的型攻撃で狙われる主要30の脆弱性

セキュリティ機関が、重要インフラ業者を対象とした標的型攻撃で使われるリスクの高い脆弱性のリストを取りまとめた。既知の脆弱性を利用しており、対策を講じるよう呼びかけている。

「Canadian Cyber Incident Response Centre（CCIRC）」による検証をもとに、カナダ、ニュージーランド、イギリス、オーストラリアのサイバーセキュリティセンターが協力して緩和策トップ4をまとめ、さらにUS-CERTがトップ30の脆弱性を選出した。

「Windows」や「Internet Explorer」「Office」などMicrosoft製品から16の脆弱性をピックアップ。Adobe Systemsの「Flash Player」や「Adobe Reader」「Adobe Acrobat」など11の脆弱性のほか、Oracle Javaに関する2件の脆弱性やOpenSSLの脆弱性についても注意する必要がある。

いずれも既知の脆弱性であり、セキュリティパッチの適用により修正が可能。また総合的な緩和策として、「ホワイトリストによるアプリケーションの実行制限」「JavaやPDFビューア、Adobe Flash Player、ウェブブラウザ、Officeに対するパッチの適用」「OSに対するパッチの適用」「管理者権限の利用を必要最低限にする」などを実行するよう呼びかけている。

（Security NEXT - 2015/05/12 ） ツイート

PR

関連記事

監視ツール「Nagios XI」に複数脆弱性、アップデートを - PoC公開済み
米政府、イランによるサイバー攻撃の警戒呼びかけ - 大統領選が標的に
「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府
脆弱性「Zerologon」の悪用確認 - 侵害封じ込めが困難に、影響多大のため早急に対策を
8月修正「Windows Server」の脆弱性狙う悪用コードが公開 - 米政府警告
CODE BLUE、全講演者が決定 - 特別講演にAudrey Tang氏
脆弱性「Zerologon」でドメイン管理者権限奪取のおそれ - 詳細明らかに
「ランサムDDoS」を国内で観測 - 支払有無で結果変わらず
DoS/DDoS攻撃キャンペーンに警戒を - 各国機関が注意喚起
財務省、実践的サイバー防御演習の見直し求める