━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.12.08配信
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。
師走の声を聞き、にわかにあわただしくなってまいりました。
西日本各地でも初雪が観測されましたが、お風邪などひいておられませんか?
筆者は、ノドに脆弱性があるようで、ウイルスに入り込まれてしまいました。
マスクのせいで、ダース・ベイダーのような呼吸音を立てながら
この原稿を書いております。
皆様、ご自愛ください。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今回は下記3点です。
[1] セキュリティー関連ニュース
[2] Tips
[3] 最近よくあるお問い合わせ
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆1.セキュリティー関連ニュース
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お伝えしたいことの1つ目は、
「各種ソフトウェアの脆弱性」についてです。
上記サイトでは、インターネットを使っている
多くの利用者が影響を受けるセキュリティ対策情報を
「重要なセキュリティ情報」として公開しています。
11月は、例えば下記のような情報が掲載されました。
・Microsoft Office の脆弱性(CVE-2017-11882)について
・Adobe Flash Player の脆弱性対策について
(APSB17-33)(CVE-2017-3112等)
・Adobe Reader および Acrobat の脆弱性対策について
+6+(APSB17-36)(CVE-2017-16377等)
特に「Microsoft Office の脆弱性」は、
緊急度が高い「緊急」情報として公開されています。
下記ページを参照して、Windowsに加え、Microsoft Officeなども
自動更新が有効になっているか確認をお薦めします。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆2.Tips
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2つ目は、「ソフトウェアの管理」についてです。
「Microsoft Office」など、ライセンスを購入して利用しているものは、
「ソフトウェア管理台帳」などを作成して、管理されているかと思います。
無料で提供されている「Adobe Flash Player」や「Adobe Reader」、
「各種のフリーソフト」などについては、いかがでしょうか。
なかなか管理しきれていない、というのが現状ではないでしょうか。
そんなシステム担当者さまの負担を軽減するため、弊社では
「ITあんしんサービスパックIII」を提供しております。
ITあんしんサービスパックIIIの「お客様専用サイト」では、
社内のパソコンにインストールされている
ソフトウェアの一覧を確認できます。
サービスの詳細につきましては、担当営業へお問い合わせください。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆3.最近よくあるお問い合わせ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3つ目は、最近よくあるお問い合わせについてです。
「不正な通信対策機能」で検知された通信の、詳細な内容について、
お問い合わせをいただくことがあります。
代表的なものを以下にあげてみます。
┏┓ 検知名(シグネチャー名)
┗□…
「Old Adobe Flash Request (1x.x.x.x : IE)」
「XSS attack 1」
「BaiduIME Block 3」
【Old Adobe Flash Request】
脆弱性が報告されている旧バージョンのAdobe Flashを検出します。
例にあげたバージョン(1x.x.x.x)に加え、
(20.x.x.x)~(26.x.x.x)も検出します。※
このパケット自体に直接の脅威はありませんが、
旧バージョンのAdobe Flashには、Web閲覧することで、DoS 攻撃や
任意のコード(命令)を実行される脆弱性があります。
検知された対象PCで、Adobe Flashのアップデートを行ってください。
※原稿編集時のAdobe Flash最新バージョンは(27.x.x.x)
【XSS attack 1】
クロスサイトスクリプティング(XSS)が疑われるWebサイトなどへの
通信を検知します。
もしくは、似た挙動をするサイトであっても検知する場合があります。
ブラウザーで<SCRIPT>タグの後に実行コードを挿入してクッキー及び
セッション情報を不正に探索するときに発生するイベントです。
クロスサイトスクリプティングについては、
以下のサイトが参考になります。
不正な通信対策機能で遮断されていれば、重大な危険はありませんが、
該当Webサイトへのアクセスは控えてください。
業務上、必須な場合は、Webサイトの管理者に以下の点を確認ください。
「Webアプリケーションで、ユーザの入力値をチェックしているかどうか」
【BaiduIME Block 3】
Baidu社の日本語入力エンジン「BaiduIME」の変換精度を向上させる
「クラウド入力」機能の通信を検知します。
この機能は、インターネット接続を前提とした機能です。
Baidu社が管理しているクラウドサーバーと連携しており、
入力した読みはサーバーに送られます。
関連情報が下記サイトなどから発信されています。
当該機能については情報漏えいリスクが含まれるなど、詳細ご理解の上、
意図してのご利用でない場合は、無効にしておくことをお薦めします。
この件に関するQ&AをBaidu社が公開しています。
「一連の報道によるBaidu IME へのお問い合わせについて」
http://ime.baidu.jp/type/lp/news_question/ ※
(※ 一部のコンテンツフィルターで
検知される恐れがあるためリンクを切っています。)
beatサービスの「不正な通信対策機能」は、標準機能です。
セキュリティリスク低減策として、機能を有効にすることをお薦めします。
最後までお読みいただき、ありがとうございました。
次回は2018年01月19日(金)に配信予定です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□ 編集後記 □■
今年も余すところあと3週間ほどとなりました。
皆様にとっては、どんな年でしたでしょうか。
2017年は、beatにとって節目の年でした。
2002年のサービスリリースから15年が経ちました。
当時、PCに搭載されるハードディスクは、ギガバイト単位のものでした。
インターネット回線は、ADSLがまだ全盛で、
各社が12Mbpsのスピードのサービスを提供し始めた頃です。
現在のハードディスクは、テラバイト単位になり、
回線は光が主流となり、Gbpsのスピードになっています。
自分自身は、いったい何が変わったのだろうと考えてみると、
「皺・・・白髪・・・どっこいしょ・・・」
とりあえず「継続は力なり」ということにしておきたいと思います。
本年中は大変お世話になりました。ありがとうございます。
来年もよろしくお願いいたします。よいお年をお迎えください。
(カガ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━