-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-4401 JPCERT/CC 2014-11-12 <<< JPCERT/CC WEEKLY REPORT 2014-11-12 >>> ―――――――――――――――――――――――――――――――――――――― ■11/02(日)〜11/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Symantec Endpoint Protection Manager に複数の脆弱性 【2】Android 版 IBM Notes Traveler クライアントに HTTP 経由でユーザ認証情報を送信する問題 【3】フィッシング対策セミナー2014 開催のお知らせ 【今週のひとくちメモ】サイバーセキュリティ基本法が成立 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr144401.html https://www.jpcert.or.jp/wr/2014/wr144401.xml ============================================================================ 【1】Symantec Endpoint Protection Manager に複数の脆弱性 情報源 Symantec セキュリティ アドバイザリー SYM14-015 Symantec Endpoint Protection Manager に複数の問題 http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20141105_00 概要 Symantec Endpoint Protection Manager には、複数の脆弱性があります。結 果として、遠隔の第三者が、サーバ上の任意のファイルを読み書きするなどの 可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Endpoint Protection Manager 12.1 およびそれ以前 この問題は、Symantec が提供する修正済みのバージョンに Symantec Endpoint Protection Manager を更新することで解決します。詳細については、 Symantec が提供する情報を参照して下さい。 【2】Android 版 IBM Notes Traveler クライアントに HTTP 経由でユーザ認証情報を送信する問題 情報源 CERT/CC Vulnerability Note VU#432608 IBM Notes Traveler for Android transmits user credentials over HTTP https://www.kb.cert.org/vuls/id/432608 概要 Android 版 IBM Notes Traveler クライアントは、ユーザの認証情報を送信す る際、デフォルトで HTTPS ではなく HTTP を使用します。結果として、遠隔 の第三者が認証情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 IBM Notes Traveler 9.0.1.3 より前のバージョン この問題は、IBM が提供する修正済みのバージョンに Android 版 IBM Notes Traveler クライアントを更新することで解決します。詳細については、IBM が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97677963 Android 版 IBM Notes Traveler クライアントに HTTP 経由でユーザ認証情報を送信する問題 https://jvn.jp/vu/JVNVU97677963/ 関連文書 (英語) IBM Security Bulletin IBM Notes Traveler for Android client explicit warning against use of HTTP (CVE-2014-6130) https://www-01.ibm.com/support/docview.wss?uid=swg21688840 【3】フィッシング対策セミナー2014 開催のお知らせ 情報源 フィッシング対策協議会 フィッシング対策セミナー 2014 開催のご案内 https://www.antiphishing.jp/news/event/antiphishing_seminar2014.html 概要 2014年12月16日(火)、フィッシング対策協議会は、コクヨホールにて「フィッ シング対策セミナー2014」を開催します。今回は、警察庁、ライフカード、楽 天、金融 ISAC といった組織の方々が、それぞれの組織におけるサイバー犯罪 への対策や対応について講演されます。また、海外から APWG の Deputy Secretary-General である Foy Shiver 氏をお招きしてご講演いただきます。 逐次通訳も行う予定です。 参加費は無料ですが、事前に参加申込みが必要となります。お申込み締切は 2014年12月9日(月) までですが、満席になり次第受付終了となりますので、ご 了承ください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○サイバーセキュリティ基本法が成立 2014年11月6日、サイバーセキュリティ基本法が衆議院本会議で可決され成立 しました。国の行政機関等におけるサイバーセキュリティの確保、教育および 学習の振興・普及啓発、国際協力の推進などの施策が盛り込まれています。 参考文献 (日本語) 衆議院 サイバーセキュリティ基本法案 http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbun/houan/g18601035.htm 内閣官房情報セキュリティセンター サイバーセキュリティ基本法案の概要 http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUYrY/AAoJEDF9l6Rp7OBIiVcIAJzSelQGxSMoLEJOPoPF7SXC GEwTgfiSJS4zfN/DC8Hd9zqd42cHxEjJLwMlfImpuyW1UtNNgMN4WKEF3AUtIS3C F4sjVvjBkyv7ilOLlZFGeQbnp1z/hVcW5ZcvucMImTGzR9Fnj+XUdYdPczxQcxyI DHHogL+1Eo/cYFxSNCpzOVJJ73DuORUZ5CTSVz/tpaCFxOyTuDeCbETcNYpdIAdl Wl1xkZ+jYHQykq5anFhGPoo+aSifFvd66yKLbalEh1A1ziTH1TU7mF59VQrlnAqU KEfquqkQByKaL/s2uYmao9YSk16Lj8WRWM8Ztvpyg5e1BEiM1juJgMmKud51FzI= =mUjF -----END PGP SIGNATURE-----