「サイボウズがクラウドの脆弱性発見コンテストを開催するんだにゃーの巻」（9月30日版）Scan名誉編集長りく君のセキュリティにゃークサイド

管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長（※自称です）のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●IEのゼロデイ脆弱性、実際に標的型攻撃の被害が確認される

IEのゼロデイ脆弱性が話題だけど、実際に標的型攻撃の被害が確認されているんだにゃー。8月23日から香港のサーバに攻撃用コードが置かれてて、ここにアクセスしたメディア企業や政府機関などのシステムが被害に遭ったみたいなんだにゃー。

自分の管理するサイトや会社が標的型攻撃に遭いそうなところは、もう一度管理しているPCにマルウェアが感染していないか調査した方がいいと思うにゃー。そしてFixItの適用を早めに行うといいと思うんだにゃー。
http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html
http://threatpost.com/compromised-japanese-media-sites-serving-exploits-for-latest-ie-zero-day/102384

●官公庁などを対象にした実践的サイバー防御演習「CYDER」が実施される

官公庁・大企業等のLAN管理者がサイバー攻撃へ対応する能力を向上させるため、9月25、26日に実践的なサイバー防御演習「CYDER」の第一回演習が実施されたんだにゃー。

官公庁や大企業は社内外から常に狙われているだろうから、演習で対応力を身につけて、インシデントが発生したときにも焦らず適切な行動が行えるようになってほしいもんだにゃー。ぼくも負けずにご飯がもらえなくなったときのために狩りの練習をするんだにゃー。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000057.html

●サイボウズ、クラウドの脆弱性発見コンテストを開催

サイボウズが国内商用クラウド初の脆弱性発見コンテスト「cybozu.com Security Challenge」を開催するんだって。賞金総額は300万円。評価ポイントに応じて報奨金が贈呈されるほか、上位者には賞金が上乗せされるんだにゃー。

国内では脆弱性を探す行為は必ずしも歓迎されているわけではないけれど、これを機会に他社の関係者も、善意の第三者が脆弱性を見つけることに関してもう少し寛容になればいいと思うんだにゃー。
http://group.cybozu.jp/news/13092401.html

●NIST、NSAを喜ばせるため故意に暗号規格を弱体化した疑いを否定

NISTの策定した乱数生成アルゴリズム「Dual_EC_DRBG」にNSAのバックドアが仕掛けられている恐れがあって、「Dual_EC_DRBG」を使用しないよう勧告が出ているんだにゃー。これについてNSAが暗号規格の策定時から関わって、弱いところをわざと残していたという意見もあるけれど、米国国立標準技術研究所（NIST）はこれを否定しているんだにゃー。

もともとバックドアの危険性が指摘されていた規格なので、NSAが関係したかどうかはわからないけれど、現在多数のアプリケーションがこのアルゴリズムで暗号生成を行っているので、アプリがどのように暗号を生成しているかは見直しておいた方がいいと思うにゃー。

・NIST、「NSA を喜ばせるため故意に暗号規格を弱体化した疑い」を否定～同機関の信頼は損なわれたと Bruce Schneier は発言（The Register）
http://scan.netsecurity.ne.jp/article/2013/09/24/32539.html

●IETFにPRISMによる盗聴を防止するための提案が行われる

エドワードスノーデン氏が暴露したPRISMプログラムがインターネットのさまざまなところに影響を与えているけれど、インターネット技術の標準化推進団体のインターネットエンジニアリングタスクフォース（IETF）にもPRISMなどによる盗聴を防止するための提案が行われているんだにゃー。

まだ提案が行われたばかりで、どのような手段を使って盗聴に対応するのかすらわからないけど、盗聴されなくなるのはいいことだと思うんだにゃー。

IETF「インターネットの耐 PRISM 化計画」浮上～その提案は「あらゆる形の隠れた傍受の試みに抵抗する、あるいはそれを予防する」ことを望んでいる（The Register）
http://scan.netsecurity.ne.jp/article/2013/09/20/32525.html

●Scan創刊15周年メルマガ半額キャンペーン実施中

ありがたいことにScanは今年の10月8日に創刊15周年を迎えるんだにゃー！パチバチー。
そこで15周年記念キャンペーンが行われるんだにゃー。
なんとScanのメルマガが全て半額で、しかも契約してくれた人全員に専門情報を収録したデジタルブック・調査レポートが贈呈されるんだにゃー。
先着150人には秘密の15周年記念ノベルティがもらえるんだって。僕のノベルティを作ってくれているみたいなんだにゃー。
これは申し込まずにはいられないんだにゃー。
http://goo.gl/pqgBdR

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

そして、「猫ジャーナル」さんに、猫編集長としてぼくが紹介されているんだにゃー。
ぼくの顔が他のサイトにも載るなんてすっかり有名猫なんだにゃー。
http://nekojournal.net/?p=1648

（りく）

筆者略歴：猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター吉澤亨史の指導にあたる

（翻訳・写真：山本洋介山）

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/