目次 大学における最新の情報セキュリティ脅威事例 情報セキュリティ 10 大脅威 1. 情報セキュリティ 10 大脅威とは 2. 情報セキュリティ 10 大脅威の解説 脆弱性対策促進に向けた各種施策紹介 Copyright 2009, IPA all right reserved. 2

独立行政法人 情報処理推進機構 (IPA)

セキュリティセンター

情報セキュリィ技術ラボラトリー

大学における

目次

大学における最新の情報セキュリティ脅威事例

情報セキュリティ10大脅威

1. 情報セキュリティ10大脅威とは

2. 情報セキュリティ10大脅威の解説

脆弱性対策促進に向けた各種施策紹介

多様化するリスク

情報セキュリティ早期警戒パートナーシップ

（脆弱性関連情報の届出制度）

直近1年間の届出が

急増。

2008年8月以降、

DNSキャッシュポイズ

ニングの届出が多く

を占める。

クロスサイト・スクリプ

ティングやSQLイン

ジェクションの届出も

大学関係への

脆弱性情報の届出／対応状況

大学（関係組織含む）への

届出が増加。累計168件。

組織数は、102組織。

XSS、SQLI、DNSキャッシュ

ポイズニングで9割を占める。

脆弱性対応中案件 93 件。

攻撃を受ける前に対応を。

大学におけるセキュリティインシデント事例

その１

フィッシングの踏み台

日付

インシデント事例

2007年3月19日 Ａ大学のある研究室のウェブサイトに、フィッシング詐欺目的の偽サイトが構築されて いた。 偽サイトは、米国のWells Fargo銀行をかたるもの。 同銀行のログイン画面に見せかけたウェブページを用意し、ユーザ名やパスワードな どを入力させて盗むのが狙い。典型的なフィッシング詐欺である。 不正侵入により偽サイトを構築された可能性がある。 2007年10月22日 Ｂ大学のウェブサイトが不正アクセスを受け、フィッシング詐欺サイトが設置された。 21日深夜に海外のインターネット決済サービス会社から同大学に連絡メールがあり、 個人情報と財務情報を収集するための偽サイトが開設されているとして、閉鎖するよう 要請された。 同大学では翌朝にサーバを停止し、ウェブサイトへのアクセスを遮断した。 2008年4月27日 Ｃ大学にあるウェブサーバが外部より不正アクセスを受け、海外のインターネット決済 サービス会社を装ったフィッシング詐欺サイトが開設された。 26日に海外の決済サービス会社が同大に対し、不正サイトの閉鎖を要請するメールを 送信。翌27日、同大で不正サイトの設置を確認した。 問題判明後にウェブサーバへのアクセスを遮断した。 【以下に挙げる事例は全てニュースサイトからの情報】

大学におけるセキュリティインシデント事例

その２

不正アクセス

日付

インシデント事例

2009年4月3日 Ｄ大学は、一部サーバが不正アクセスを受けたおそれがあるとして、調査を進めた。同 大によれば、留学生課のサーバが、ネットワーク経由で不正アクセスを受けたもので、 一部データが削除されたという。

内部犯行

日付

インシデント事例

2004年6月2日 Ｅ大学の職員男性を不正アクセス禁止法違反容疑で逮捕した。男性は、昨年後半に 同大学のサーバへ自宅から不正アクセスを行い、掲示板の改ざんや消去、電子メー ルの盗聴などを行っていた。男性は、同大学の情報メディアセンターにてシステム管理 者を努めていたが、セキュリティ不備により配置変更され、そのことを不満に思ってい たという。 2009年6月30日 Ｆ大学のブログを書き換えたとして、警視庁○○署は電子計算機損壊等業務妨害の 疑いで、ブログを書く立場ではない同大職員を逮捕した。 2008年8月12日～18日頃までの間、自宅のパソコンから同大のブログにアクセスし、 ブログのタイトルを「【緊急】8/30、31のオープンキャンパスは中止になりました－Ｆ大 学生惨殺の哀悼のため」と書き換えたとしている。 書き込み直前の昨年7月下旬には、同大4年の女子学生がアルバイト先の○○市内 の書店で刺殺される通り魔事件が起きていた。

大学におけるセキュリティインシデント事例

その３

設定ミス

日付

インシデント事例

2008年10月29日 Ｇ大学は、卒業生や大学院修了生428人分の氏名、生年月日、卒業後の進路など個 人情報がネット上に流出していたことを明らかにした。 ファイアウォールの設定ミスが原因だという。 同大によれば、ファイアウォールの設定ミスにより、大量の内部資料がインターネット 上へ流出したもので、10月29日に卒業生から指摘を受け、問題が発覚した。不正利用 の報告などはないという。 2008年8月19日 Ｈ大学の教員が私的に利用していたレンタルサーバから、学生505人の氏名、学籍番 号、成績評価などの個人情報が流出していたことがわかった。 同教員が非常勤講師を務める Ｉ 大学の学生49人の情報も含まれる。 同教員が個人的に利用しているレンタルサーバ内のデータが外部から閲覧できる状 態となり、サーバに格納されていた担当科目の成績情報などに対して外部から閲覧さ れていたという。8月19日に流出を指摘するメールが教員に届き判明した。

大学におけるセキュリティインシデント事例

その４

ウイルス感染

日付

インシデント事例

2007年10月23日 Ｊ大学病院の患者127人分や○○病院の患者68人分について、患者の氏名や病名な どの情報がファイル交換ソフト「Winny」経由でインターネット上に流出したことがわ かった。 流出したデータは、現在Ｊ大学大学院医歯薬学総合研究科の大学院生が、研修医時 代に自宅の私用パソコンで作成したもので、ウイルス感染をきっかけにインストールさ れていたファイル交換ソフト「Winny」を通じて外部に流出したと見られている。10月23 日にＪ大学病院へ外部から指摘があり判明した。

紛失

日付

インシデント事例

2009年2月13日 Ｋ大学の○○学科の女性准教授が、学生72人分の氏名と学籍番号、29人分の成績 の点数が保存されたUSBメモリを紛失した問題で、同大は13日、USBメモリが発見さ れたと発表した。パスワードもかかったままで情報流出の可能性はないとみられるとい う。同大では「申し訳ない。情報管理を徹底する」とした。

情報セキュリティ10大脅威

～ 攻撃手法の『多様化』が進む ～

1. 情報セキュリティ10大脅威とは

1. 情報セキュリティ10大脅威とは

z

2008年にIPAへ届けられたウイルス・不正

アクセス・脆弱性に関する情報や、一般に

公開された情報を、「情報セキュリティ検討

会」で精査

z

社会的影響の大きさから情報セキュリティ上

の“10大脅威”を選考

z

利用者・管理者・開発者のそれぞれから見た

脅威を分析、今後の対策を記述

次の URL からダウンロードできます。

http://www.ipa.go.jp/security/vuln/10threats2009.html

2. 情報セキュリティ10大脅威の解説

組織への脅威

【1 位】 DNSキャッシュポイズニングの脅威

【2 位】巧妙化する標的型攻撃

【3 位】恒常化する情報漏えい

利用者への脅威

【1 位】多様化するウイルスやボットの感染経路

【2 位】脆弱な無線LAN暗号方式における脅威

【3 位】減らないスパムメール

【4 位】ユーザ ID とパスワードの使いまわしによる危険性

システム管理者・開発者への脅威

【1 位】正規のウェブサイトを経由した攻撃の猛威

【2 位】誘導型攻撃の顕在化

【3 位】組込み製品に潜む脆弱性

攻撃手法の「多様化」が進む

大学関係で

考慮すべき

脅威を紹介

組織への脅威

【1位】 DNSキャッシュポイズニングの脅威

DNS キャッシュポイズニング

DNSサーバの情報が偽の情報に書き

換えられると、正しいメールアドレスを

指定しても、偽のメールサーバに誘

導されてしまう。ウェブページの場合

は偽のウェブサーバに誘導されてしま

う。

example.jp example.jp 攻撃者 本来の example.jp 偽の example.jp 一般利用者 foo@example.jp example.jpの IPアドレスを改ざん

組織への脅威

【1位】 DNSキャッシュポイズニングの脅威

z

2008年7月 Dan Kaminsky 氏が新たな攻撃

手法を発見し、顕著となった脆弱性が原因

z

米国のISPが運営する DNS サーバが攻撃

され、本来辿りつくべきウェブサイトとは異なる

ウェブサイトに誘導される被害が発生

DNS：DNS(Domain Name System)は、ホスト名(例：www.ipa.go.jp)と

IPアドレス(例：202.229.63.242)とを結び付ける情報を提供する

仕組み

組織への脅威

【1位】 DNSキャッシュポイズニングの脅威

z

各ベンダから公表されている対策は、あくまで

暫定的な対策

IPA: DNSキャッシュポイズニング対策

http://www.ipa.go.jp/security/vuln/DNS_security.html

z

根本的な対策方法は、インターネット関連技術

の標準化を進めるIETF（Internet Engineering

Task Force）などで議論されている

z

システム管理者は本問題の被害を軽減する

ため、

_{DNS関連ソフトウェアを対策版}

へバー

ジョンアップした上で、

ファイアウォールや

ＤＮＳの設定による対策

を行う

組織への脅威

【2位】巧妙化する標的型攻撃

標的型攻撃の事例 From ●● 広報 <press@example.jp> 題名 ●●からのプレスリリースのお知らせ プレスリリース(詳細) (72kb) ▼▼▼社 営業部各位。 お世話になっております。●●の■■です。 日頃より●●をご愛顧頂きありがとうございます。 ●●はX月X日に、新商品として次の製品をリリースいたしました。 詳しくは、添付のファイルをご覧下さい。 ・△ △ △ △ △ △ ・◇ ◇ ◇ ◇ ◇ ◇

発信元を信頼ある

組織に偽装

実際の組織の

ウェブページの公表

内容等を元に偽装

攻撃の例 メールソフトウェア

組織への脅威

【2位】巧妙化する標的型攻撃

z

対象を

特定の組織や人

に限定した攻撃

z

ソーシャル・エンジニアリング

の手口により、

攻撃であることに気づきにくいことが最大の

脅威

¾信頼ある取引先や人物からのメールとして差出人を

偽装されている

¾信ぴょう性の高い内容

z

メールに

添付されている文書ファイル

や圧縮

ファイルには、

脆弱性を悪用するウイルス

が

仕込まれていることがある

組織への脅威

【2位】巧妙化する標的型攻撃

z

標的型攻撃の特徴

⑦情報窃取 無差別型攻撃 攻撃手法と対策の難しさ 標的型攻撃

z

感染予防策

¾

利用者のOS、アプリケーションソフトを常に最新の

状態にさせておく

¾

ウイルス対策ソフトのウイルス定義ファイルを

常に最新に維持し、定期的にスキャンを実施

¾標的型攻撃に関する情報収集

と組織内への

周知徹底

組織への脅威

【2位】巧妙化する標的型攻撃

z

二次被害の防止策

¾不要な外向け

TCPポートを閉じる

¾HTTP/HTTPSアクセスを

プロキシサーバ経由

に

限定する

組織への脅威

【3位】恒常化する情報漏えい

メール等の誤送信 記録媒体等の紛失・盗難 内部不正行為 ウイルス・ワーム 情報漏えいの様々な原因 ファイル交換ソフト 紙媒体の紛失・盗難

組織への脅威

【3位】恒常化する情報漏えい

出典：NPO日本ネットワークセキュリティ協会 - 「2008年上半期 情報漏えいインシデント報告書 速報版Ver1.1」

流出した情報は回収できない！

組織への脅威

z

漏洩させない為の

ルール

作り

¾

従業員の意識向上がキモ

組織への脅威

【3位】恒常化する情報漏えい

z

情報資産への

アクセス制限および管理

¾「いつ」、「誰が」、「どの権限」でアクセス

したかが調べられる仕組みも有効

z

情報を持ち出す場合には、「

暗号化

」が

必須条件

¾「

電子政府推奨暗号リスト

」に掲載されている

暗号アルゴリズムを推奨

利用者への脅威

【3位】減らないスパムメール

スパムメールをめぐる攻防のいろいろ 送信側 受信側 ブラック リスト コンテンツ フィルタ 画像 文書 ファイル 送信ドメイ ン認証 ○○○.com = OK! △△△.com = NG! ホワイト リスト グレイ リスト ボットネット 差出人 偽装 OP25B 第三者 中継 統計的 フィルタ

【参考】OP25B（Outbound Port25 Blocking）の仕組み

ISP会員

ISPネットワーク網

_{メールサーバ}

ISP

送信先

メールサーバ

外部の

メールサーバ

25

番ポ

ート

受信者

悪意あるユーザ

(送信側) (送信側) (受信側)

利用者への脅威

【3位】減らないスパムメール

【参考】 SPF（Sender Policy Framework）の仕組み

(a) 電子メールソフトから電子メールを送信する。 (b) メールサーバは送信先ドメインに対応するメールサーバへ配送する。 (c) 受信したメールサーバは、送信元のメールアドレスのドメイン（example.com）に 対しSPFリソースレコードを問い合わせる。 (d) 送信元のメールアドレスのドメイン（example.com）のDNS*_{サーバは、登録された} メールサーバのIPアドレスを回答する。

DNS

*

サーバ

メール

サーバ

メール

サーバ

(

c)SPFリソースレコード

(a)

(b)

(d)

(e)

example.com

example.com に 偽装しても送れない

受信者

送信者

悪意あるユーザ

利用者への脅威

【3位】減らないスパムメール

z

システム管理者向け対策

¾

メールサーバのログ管理

（特にエラーメール）

¾

メールサーバが不正なメール中継可能な

設定になっていないかの定期的な確認

¾

スパムメール対策アプライアンスの利用

利用者への脅威

【3位】減らないスパムメール

z

一般利用者向け対策

¾スパムメールフィルタや、プロバイダが提供する

フィルタリングサービスの利用

システム管理者・開発者への脅威

【1位】正規のｳｪﾌﾞｻｲﾄを経由した攻撃の猛威

正規ウェブサイトを改ざんして利用者が攻撃される ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ http://△△△.or.jp/ http://▼▼▼.ne.jp/ http://○○○.co.jp/

システム管理者・開発者への脅威

【1位】正規のｳｪﾌﾞｻｲﾄを経由した攻撃の猛威

z

DB(データベース)と連携したウェブサイトが一般的となっている

z

一方、

_{SQLインジェクション対策が不十分}

であるウェブサイトが

依然として減っていない

SQLインジェクション攻撃が

行われると・・

z

ウェブサイトで稼働している

_{DB内部の情報}

を

盗まれたり

、

改ざん

されたり、

消去

されたりする

z

さらに踏み台としてウェブサイトを悪用されてしまう

z

またはウェブサイトの一部にウイルスを仕込むように改ざんさ

れ、その

ウェブサイトを閲覧したユーザをウイルスに感染

させ

る。このような改ざんは目には見えない手法で行われ、この攻

撃手法が主流となり被害が拡大している

z

これらの

攻撃を自動的に行うツール

がインターネット上で

流通しており、誰でも比較的容易に入手が可能な状況

システム管理者・開発者への脅威

【1位】正規のｳｪﾌﾞｻｲﾄを経由した攻撃の猛威

z

ウェブサイトの脆弱性対策

¾新規開発：企画設計から運用を見据えたセキュリティ対策

z

組織内PCの保護

¾OS、ブラウザ、利用ソフトウェア製品の脆弱性解消

¾定期的なウェブアプリケーション検査および問題点解消

¾IDS/IPS や WAF の利用、リアルタイム監視

¾ウイルス対策ソフトのウイルス定義ファイルを常に最新に

維持し、定期的にスキャンを実施

¾ブラウザのセキュリティ設定を高めに

（通常はスクリプトを止める）

¾スパムメールフィルタの導入

¾URL フィルターの導入

脆弱性対策促進に向けた

IPAセキュリティセンターの活動とは

普及対策

調査普及啓発

¾ 組込みシステムセキュリティ、バイオメトリクス ¾ 中小企業のセキュリティ対策 ¾ 情報セキュリティ対策ベンチマーク （http://www.ipa.go.jp/security/benchmark/index.html）

ウイルス・不正アクセス対策

¾ ウイルス・不正アクセスの届出・相談受付 ¾ 「今月の呼びかけ」等の情報提供

セキュリティの第３者認証

脆弱性対策

¾ 脆弱性関連情報の届出受付・分析 ¾ 攻撃手法等の収集・分析 ¾ 脆弱性情報の提供 JVN （http://jvn.jp/）

調査・社会経済分析

¾ 意識調査、被害実態調査 ¾ 情報セキュリティ関連の社会経済的分析 ¾ 情報セキュリティ白書

国際協力・貢献

¾ ＩＴセキュリティ評価・認証制度 （コモンクライテリア） ¾ 暗号モジュール試験認証制度（ＪＣＭＶＰ） ¾ 世界の情報セキュリティ機関との連携 ¾ 安全性技術の国際標準化活動

IPAが取り組んでいる脆弱性対策

促進施策を、

１．脆弱性を作りこまない、

２．安全に運営する、

３．問題有無を確認する、

という3つの視点から紹介します。

IPAが取り組んでいる脆弱性対策促進施策

１．脆弱性を作りこまない

セキュリティを確保したウェブアプリケーションの開発や

ウェブサイトの構築にはセキュリティ(脆弱性)の知識が必要

脅威の仕組みや問題の原因を正しく理解する。

「知っていますか？脆弱性(ぜいじゃくせい)」

安全なプログラムを作成するためのマナーを身に付ける。

「セキュア・プログラミング講座」

失敗から学ぶ。

「安全なウェブサイトの作り方」

セキュリティの脅威を学ぶ。

「10大脅威 攻撃手法の『多様化』が進む」

「DNSキャッシュポイズニングの脆弱性」の対策を促進。

「DNSキャッシュポイズニング対策」

知っていますか？脆弱性 (ぜいじゃくせい)

http://www.ipa.go.jp/security/vuln/vuln_contents/index.html

脅威の仕組みや問題の原因を

正しく理解する。

ウェブサイト運営者や

ソフトウェア製品開発者や

一般利用者向け

ウェブサイトにおける代表的

な10種類の脆弱性につい

て、アニメーションでわかり

やすく解説

z

アクセス数

2007年7月 ~ 2009年6月の2年間で

23万7535件（就業日1日平均約500件）

セキュア・プログラミング講座

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/

安全なプログラムを作成する

ためのマナーを身に付ける。

安全なプログラムについて

要求定義や設計段階から

の対策について記載

WEBアプリケーション編

C/C++言語編

安全なウェブサイトの作り方

http://www.ipa.go.jp/security/vuln/websecurity.html

失敗から学ぶ。

IPAに届出られた脆弱性

関連情報をもとに、対策を

まとめたガイド

脆弱性ごとに解説と「根本

的解決」「保険的対策」を

記載

「失敗例」について記載

ウェブセキュリティの実装

状況のチェックリストつき

z

ダウンロード数

初版からの累計で、130万件

IPA

ヒット商品！

10大脅威 攻撃手法の『多様化』が進む

http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf

z

ダウンロード数

初版からの累計で、約7万件

組織への脅威

【1 位】 DNSキャッシュポイズニングの脅威

【2 位】巧妙化する標的型攻撃

【3 位】恒常化する情報漏えい

利用者への脅威

【1 位】多様化するウイルスやボットの感染経路

【2 位】脆弱な無線LAN暗号方式における脅威

【3 位】減らないスパムメール

【4 位】ユーザ ID とパスワードの使いまわしによる

危険性

システム管理者・開発者への脅威

【1 位】正規のウェブサイトを経由した攻撃の猛威

【2 位】誘導型攻撃の顕在化

【3 位】組込み製品に潜む脆弱性

DNSキャッシュポイズニング対策

http://www.ipa.go.jp/security/vuln/websecurity.html

第1章 DNSキャッシュポイズニング

1.1 DNSの仕組み

1.2 DNSキャッシュポイズニング

第2章 DNSの動作と関連ツール

2.1 DNSの動作概説

2.2 whoisサービス

2.3 nslookupコマンド

2.4 まとめ

第3章 検査ツールの使い方と注意点

3.1 Cross-Pollination Check

3.2 DNS-OARC Randomness Test （Web版）

3.3 DNS-OARC Randomness Test （コマンドライン版）

3.4 まとめ

第4章 再帰問合せ設定

4.1 BIND DNSサーバでの対策

4.2 Windows DNSサーバでの対策

4.3 まとめ

z

ダウンロード数

約5万件

２．安全に運営する

脆弱性は日々発見されるため、脆弱性情報を継続的に入手し、

ソフトウェアの更新や問題の回避が必要

事件や事故が発生した場合の被害を想定し、事前に対策を

準備することが必要

日頃から情報収集に心がける。

「脆弱性対策情報ポータルサイト ＆ データベース」

具体的な事件を体験する。

「安全なウェブサイト運営入門」

脆弱性が発見された際の対応。

「ウェブサイト運営者のための脆弱性対応ガイド」

生体認証活用による安全な運用環境の確保。

「生体認証システムの導入・運用事例集」他

脆弱性対策情報ポータルサイト ＆ データベース

http://jvn.jp/

http://jvndb.jvn.jp/

JVN

日頃から情報収集に心がける。

JVN

http://jvn.jp/

製品開発者と調整した脆

弱性対策情報をタイムリー

に公開

JVN iPedia

http://jvndb.jvn.jp/

国内で利用されている製

品を対象にした脆弱性対

策情報を網羅し蓄積

JVN iPedia

JVN iPedia

z

アクセス数 月間 40 万件

z

登録数 2009年6月末 6,666件

安全なウェブサイト運営入門

http://www.ipa.go.jp/security/vuln/7incidents/index.html

プレイヤーが主人公として

７つのセキュリティ事件を

題材に、ロールプレイング

形式で体験し、対応する。

z

ダウンロード数

2008年6月 ~ 2009年6月の

約1年間で、2万2150件

（就業日1日平均約90件）

７つのインシデント

1. 電子メールの誤送信

2. クロスサイト・スクリプティング

3. SSLサーバ証明書の期限切れ

4. ウイルス感染

5. サービス運用妨害

6. セッション管理の不備

7. SQLインジェクション

ウェブサイト運営者のための脆弱性対応ガイド

http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf

ウェブサイトで脆弱性が発見されたら？

ウェブサイト運営者に向けて、ウェブサイトの

脆弱性がもたらすトラブルや必要な対策の

概要、さらにウェブサイト運営者による脆弱性

対応の望ましい手順を紹介。

脆弱性や修正に関する基本的な知識。

脆弱性を放置することの問題。

外部から脆弱性の存在を指摘された場合

どうするべきか。

具体的な脆弱性の確認・修正の作業手順、

など

z

ダウンロード数 22,586件（2008年2月28日公開）

「生体認証システムの導入・運用事例集」他

•

各種啓発資料の作成

–

生体認証利用のしおり：

•

生体認証を使っていなかったり，不安がある

利用者

にむけた資料

–

生体認証導入・運用のためのガイドライン：

•

生体認証システムを管理する

管理者

にむけた資料

–

生体認証システムの導入・運用事例集：

•

これから生体認証を導入する

システム構築者

にむけた資料

•

生体認証に係る脆弱性についての報告書の公開

•

生体認証製品情報を収集したデータベース作成

生体認証利用のしおり （2007年19日公開） 生体認証導入・運用の ためのガイドライン （2007年12月公開 現在改訂作業中） 生体認証システムの 導入・運用事例集 （2008年8月公開 現在改訂作業中）

今後の活動

今後も国内外に関する生体認証のセキュリティに係

る事例の調査や脆弱性に関する情報を収集していく。

それらの結果を一般利用者やシステム管理者にむけた

啓発資料として取りまとめていく。

３．問題有無を確認する

セキュリティに関する作業を手作業で行なうと、設定ミスや

管理者のセキュリティ知識の程度や判断の相違などにより

セキュリティ要件を損なう可能性大

⇒ 脆弱性対策に関わる処理の機械化の推進

ウェブサイトへの危険な攻撃と思われる痕跡を確認する。

「iLogScanner(ウェブサイトの脆弱性検出ツール)」

製品視点から脆弱性対策情報を選別する。

「MyJVN脆弱性対策情報収集ツール」

ソフトウェアのバージョンが最新であるかを確認する。

「MyJVNバージョンチェッカ」

iLogScanner(ウェブサイトの脆弱性検出ツール)

http://www.ipa.go.jp/security/vuln/iLogScanner/

ウェブサイトへの危険な攻撃と

思われる痕跡を確認する。

ウェブサイトのアクセスログ

を解析し、攻撃痕跡の確

認が可能

一部の痕跡に関しては、

攻撃が成功した可能性を

確認可能

ただし、攻撃と思われる痕

跡を全て網羅し、確実に

検出するものではない。誤

検出もあり得る。

MyJVN脆弱性対策情報収集ツール

http://jvndb.jvn.jp/apis/myjvn/mjcheck.html

製品視点から脆弱性対策

情報を選別する。

JVN iPedia の情報を、利

用者が更に効率的に活用

できるように、製品視点の

フィルタリング条件設定機

能を有した脆弱性対策情

報収集ツール

常に、利用者に関係する

製品視点の脆弱性対策

情報のみの表示

z

アクセス数

2008年10月公開から10万2千件

MyJVNバージョンチェッカ

ソフトウェアのバージョンが

最新であるかを確認する。

利用者のPCにインストー

ルされているアプリケー

ションソフトウェアのバー

ジョンが最新であるかを、

簡単な操作で確認する

ツール

バージョンが最新であるか

どうかのチェックリストを手

作業ではなく、機械的に

確認

現在、準備中

（2009年11月予定）