図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

セキュリティ対策

脆弱性情報の収集(OSINT)

投稿日:

脆弱性情報の入手(日本)

脆弱性の情報は様々な組織・機関・ベンダーのサイトから入手することができますが、以下の点に注意して情報を入手するサイトを選ぶ必要があります。

  • 信頼のおける情報かどうか?
  • 最新の情報が即時に入手できるか?

インターネット上には信頼できる情報もあれば、信頼できない情報も多々あります。また信頼できない情報の中には悪意を持って間違った情報を掲載しているサイトもあります。もし悪意を持って作成されたサイトの情報を基にパッチを適用したり回避策を実行したりすると、セキュリティレベルが低下したり、不正なソフトウェアをインストールしてしまったりします。ですので、信頼した情報を入手する事はとても大切です。

また、情報は最新のものでなければなりません。脆弱性が公開されると、悪意を持った人たちがその脆弱性を利用するために、不正なプログラムなどを作成したり攻撃をする準備を行います。ですので、その不正なプログラムや攻撃が開始される前に脆弱性の対応をしなければなりません。情報が遅いと先に攻撃されたり不正なプログラムによって脆弱性を悪用されてしまう可能性が高くなります。

日本の場合はJPCERTコーディネーションセンター(JPCERT CC)が信頼できる情報を提供しています。JPCERT/CCはJapan Computer Emergency Response Teamという非営利団体の略で主に脆弱性の情報の周知・注意感知、セキュリティインシデントの公開・報告の受付・対応の支援などを行っています。JPCERT/CCが発行するメーリングリストを購読しておけば、脆弱性が発見されたりインシデントが発生した場合にメールで通知してくれますので、いち早く情報を入手することができます。

海外での脆弱性情報の入手

JPCERT/CCで脆弱性の情報を入手できるとは言え、実はJPCERT/CCも海外からの情報提供を基に日本語で情報を提供しています。例えば、一番良く参照されるのはUS-CERTという組織の情報です。日本のJPCERT/CCとアメリカのUS-CERTは名前が似ていますが、US-CERTはUnited States Computer Emergency Readiness Teamの略で、日本のJPCERT/CCとはちょっと違いますね。

  • US-CERT: United States Computer Emergency Readiness Team
  • JPCERT: Japan Computer Emergency Response Team

この両団体は全く別団体ですが、お互いに情報の共有・提供を行っています。US-CERTはアメリカの国土安全保障省(U.S. Department of Homeland Security)の配下の組織で各ベンダーや各国の情報セキュリティ団体(各国のCERTなど)との情報共有を図ったり、国家のセキュリティを強化する為にセキュリティ情報や脆弱性情報を普及しています。一般の方でもUS-CERTからメーリングリスト等で情報を即時に入手することができますので、US-CERTのメーリングリストを購読することをお薦めします。

ベンダーからの脆弱性・パッチ・アップデート情報の入手

ベンダー1社1社から脆弱性の情報やパッチ・アップデート情報を入手するのは困難です。ですので、JPCERT/CCなどの情報を利用することをお薦めします。ただ、以下のベンダーの情報は良く利用され緊急の対応が必要とする場合が多いですので、定期的にチェックしましょう。

マイクロソフト

ほとんどの企業のユーザがWindowsを利用していると思いますので、毎月パッチの適用が必要となります。マイクロソフトのセキュリティパッチはセキュリティTech Centerから入手することができます。セキュリティパッチの公開は毎月アメリカ時間の第2火曜日となりますので、日本の場合は第2水曜日となります。マイクロソフトプロダクトセキュリティ警告サービスに登録すれば、随時にマイクロソフトからセキュリティ情報をいち早く入手することができます。

Adobe

AdobeはSecurity Notification ServiceというサイトでAdobe製品の脆弱性情報やアップデートの情報を提供しています。ここからAcrobatやFlash Playerのセキュリテイアップデートの情報を入手することができます。

広告

広告

-セキュリティ対策

関連記事

セキュリティコンサルがやっているWordPressですべき3つのセキュリティ対策

WordPressはどのバージョンにも必ず脆弱性が存在しており、その脆弱性が発見される度にWordPressの開発者が新しいバージョンを開発して提供しています。最近ではWordPressの脆弱性を悪用 …

アメリカンエクスプレスが購入時のサイン不要に

アメックスは、店舗でクレジットカードで購入する際に顧客に求めていたサインの記入を2018年4月から廃止するとのことです。アメックスでは既にアメリカで50ドル未満の買い物についてはサインを要求していませ …

脆弱性に関する識別子や略語およびそれらの関係

JPCERT/CCやUS-CERTやベンダーのサイトで脆弱性に関する情報を読んでいると様々な識別子や略語が登場します。ここではそれらの識別子や略語に関して説明します。 マイクロソフトのKB番号とMS番 …