情報セキュリティ学院(Information Security Academy)

　　神奈川県教委、システム開発委託業者から生徒11万人分の個人情報が流出

　神奈川県教育委員会 は11日、

　　「神奈川県授業料徴収システム開発委託業者から同システム関連の情報が

　　インターネット上に流出しているおそれがある」

と発表しました

　以下、報道資料より引用

　　１．流出した恐れがある情報

　　　　

　　　　　神奈川県授業料徴収システム開発時のシステム関連情報

　　　　　　○平成18年度在籍生徒約11万人の住所、氏名、授業料振替口座等

　　　　　　○システム開発関連テストデータ等

　　２．経緯

　

　　　　○平成20年9月12日

　　　　　　ファイル共有ソフト「ウィニー」を介し、インターネット上に県庁内部情報が流出している

　　　　　　旨の匿名のファックスが送信された

　　　　○平成20年9月15日

　　　　　委託先である日本ＩＢＭ(株)に調査を指示し、平成17年度に実施した神奈川県授業料

　　　　　徴収システム開発の委託業者であるＩＢＭの協力企業社員所有のコンピューターの中に

　　　　　当該データが残存し、ウィルスに感染していたことが判明

　容易に業務データを自宅に持ち帰ることができるのでしょうね

------------------------------------------------------------------------
報道ページ：

神奈川県授業料徴収システム開発委託業者からの情報の流出について

クリックお願いします

　　マイクロソフト、11月の月例セキュリティパッチを公開

　マイクロソフト は12日、11月の月例セキュリティ修正プログラム(パッチ)を公開しました

　　マイクロソフト、11月の月例セキュリティパッチを予告(2008/11/08)

でお伝えしたとおり、

　最大深刻度

　　☆「緊急」

　　　Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (955218)

　　の1件

　　☆「重要」

　　　SMB の脆弱性により、リモートでコードが実行される (957097)

　　の1件

が公開されました

　そして、

　　「悪意のあるソフトウェアの削除ツール」のバージョンアップ

も行なわれました

　一刻も早いMicrosoft Update へのアクセスをお勧めします

------------------------------------------------------------------------
参考サイト：

2008 年 11 月のセキュリティ情報

クリックお願いします

　　IPA、SQLインジェクション検出ツール「iLogScanner」を機能強化

　情報処理推進機構（IPA） は11日、

　　「ウェブサイトのSQLインジェクション検出ツール「iLogScanner」（アイ・ログ・スキャナ）を、

　　検出可能な攻撃パターンの強化、検出対象のアクセスログフォーマットの追加、

　　動作プラットフォームの拡大など、バージョンアップした」

と発表しました

　強化されたのは、

　　１．検出可能な攻撃パターンの強化

　　　　　・「SQLインジェクション」攻撃として検出可能な攻撃パターンを、従来の1.5倍に強化

　　　　　・脆弱性を狙った攻撃として検出可能なパターンに、「OSコマンド・インジェクション」、

　　　　　　「ディレクトリ・トラバーサル」、「クロスサイト・スクリプティング」、

　　　　　　「その他（IDS回避を目的とした攻撃）」の4種類を追加

　　２．検出対象のアクセスログフォーマットの拡大

　　　　　・検出対象のアクセスログとして、Apache HTTP Server(1.3系、2.0系、2.2系)の

　　　　　　Common Log Format、Microsoft インターネット インフォメーション サービス(IIS) 6.0/5.0

　　　　　　に加えて、IIS 7.0/5.1のW3C拡張ログファイル形式を追加

　　３．動作プラットフォームの拡大

　　　　　・「iLogScanner」の動作OSとして、Microsoft Windows XP/2000に加えて、

　　　　　　Microsoft Windows Vista、Linux系OS(CentOS 5)を追加

　　　　　・「iLogScanner」の動作ウェブブラウザとして、Internet Explorer 7/6に加えて、

　　　　　　FireFox2を追加

です

　ますます高機能になる「iLogScanner」をどうぞご利用ください

------------------------------------------------------------------------
報道ページ：

SQLインジェクション検出ツール「iLogScanner」を機能強化

クリックお願いします

　　WPA-TKIPの暗号が部分的に解読された

　無線LANの暗号化規格「WPA（TKIP）」が部分的に解読されたそうです

　発表したのは、ドイツ人研究者、Martin Beck氏とErik Tews氏です

　Erik Tews氏といえば、2007年に

　　Breaking 104 bit WEP in less than 60 seconds

という論文を発表し、104ビットWEP（Wired Equivalent Privacy）キーの解読に成功している方です

　今回、解読されたのは、

　　「WPAで用いられる暗号化プロトコル「TKIP」において、定期的に更新される鍵（セッションキー）の

　　一部を12～15分で解読する攻撃方法を発見した」

ということであり、

　　「ネットワークへの侵入やすべてのデータの解読が行えるわけではない」

のでとりあえず安心を

　しかし、この研究により、WEPにつづいてWPAも安心して使うことができなくなります

　これからは、WPA２への設定が必須になってのはないでしょうか

------------------------------------------------------------------------
報道ページ：

Practical attacks against WEP and WPA

クリックお願いします

　　フェンリル、タブブラウザ Sleipnir 2.8.3正式版をリリース

　私も愛用しているタブブラウザ 「Sleipnir2.8.3正式版」が 7日に公開されました

　最新版では、　

　　・Sleipnir 動作中に再起動する必要がないエラーに関しての対処

　　・推奨ページを Sleipnir Start (http://www.sleipnirstart.com) に変更

等などが行われています

　詳しくは、Sleipnir 2.8.3 正式版 リリースノート をご覧ください

------------------------------------------------------------------------
公式ページ：
タブブラウザ Sleipnir 公式ページ

クリックお願いします