セキュリティ・脆弱性情報の入手先

脆弱性情報の入手(日本)

脆弱性の情報は様々な組織・機関・ベンダーのサイトから入手することができますが、以下の点に注意して情報を入手するサイトを選ぶ必要があります。

  1. 信頼のおける情報かどうか?
  2. 最新の情報が即時に入手できるか?

インターネット上には信頼できる情報もあれば、信頼できない情報も多々あります。また信頼できない情報の中には悪意を持って間違った情報を掲載しているサイトもあります。もし悪意を持って作成されたサイトの情報を基にパッチを適用したり回避策を実行したりすると、セキュリティレベルが低下したり、不正なソフトウェアをインストールしてしまったりします。ですので、信頼した情報を入手する事はとても大切です。

また、情報は最新のものでなければなりません。脆弱性が公開されると、悪意を持った人たちがその脆弱性を利用するために、不正なプログラムなどを作成したり攻撃をする準備を行います。ですので、その不正なプログラムや攻撃が開始される前に脆弱性の対応をしなければなりません。情報が遅いと先に攻撃されたり不正なプログラムによって脆弱性を悪用されてしまう可能性が高くなります。

日本の場合はJPCERTコーディネーションセンター(JPCERT CC)が信頼できる情報を提供しています。JPCERT/CCはJapan Computer Emergency Response Teamという非営利団体の略で主に脆弱性の情報の周知・注意感知、セキュリティインシデントの公開・報告の受付・対応の支援などを行っています。JPCERT/CCが発行するメーリングリストを購読しておけば、脆弱性が発見されたりインシデントが発生した場合にメールで通知してくれますので、いち早く情報を入手することができます。

 

海外での脆弱性情報の入手

JPCERT/CCで脆弱性の情報を入手できるとは言え、実はJPCERT/CCも海外からの情報提供を基に日本語で情報を提供しています。例えば、一番良く参照されるのはUS-CERTという組織の情報です。日本のJPCERT/CCとアメリカのUS-CERTは名前が似ていますが、US-CERTはUnited States Computer Emergency Readiness Teamの略で、日本のJPCERT/CCとはちょっと違いますね。

  • US-CERT: United States Computer Emergency Readiness Team
  • JPCERT: Japan Computer Emergency Response Team

この両団体は全く別団体ですが、お互いに情報の共有・提供を行っています。US-CERTはアメリカの国土安全保障省(U.S. Department of Homeland Security)の配下の組織で各ベンダーや各国の情報セキュリティ団体(各国のCERTなど)との情報共有を図ったり、国家のセキュリティを強化する為にセキュリティ情報や脆弱性情報を普及しています。一般の方でもUS-CERTからメーリングリスト等で情報を即時に入手することができますので、US-CERTのメーリングリストを購読することをお薦めします。

 

ベンダーからの脆弱性・パッチ・アップデート情報の入手

ベンダー1社1社から脆弱性の情報やパッチ・アップデート情報を入手するのは困難です。ですので、JPCERT/CCなどの情報を利用することをお薦めします。ただ、以下のベンダーの情報は良く利用され緊急の対応が必要とする場合が多いですので、定期的にチェックしましょう。

マイクロソフト

ほとんどの企業のユーザがWindowsを利用していると思いますので、毎月パッチの適用が必要となります。マイクロソフトのセキュリティパッチはセキュリティTech Centerから入手することができます。セキュリティパッチの公開は毎月アメリカ時間の第2火曜日となりますので、日本の場合は第2水曜日となります。マイクロソフトプロダクトセキュリティ警告サービスに登録すれば、随時にマイクロソフトからセキュリティ情報をいち早く入手することができます。

Adobe

AdobeはSecurity Notification ServiceというサイトでAdobe製品の脆弱性情報やアップデートの情報を提供しています。ここからAcrobatやFlash Playerのセキュリテイアップデートの情報を入手することができます。

 

ウィルス情報

 

 

Twitterからの情報

hack_japan:Anonymousの攻撃情報などをオンタイムでツイート。

piyokango:セキュリティに関連するニュースやマルウェアのトレンド情報などをオンタイムでツイート。

icat alert (IPA):IPAセキュリティセンターの公式アカウント。脆弱性情報、パッチ情報。

JPCERTコーディネーションセンター:たまにしかアップデートはありませんが・・・

JPCERT/CC Analysis Center:脆弱性情報、脅威情報、攻撃情報(特にフィッシングメールなど)、ソフトウェアのアップデート情報など。

情報セキュリティのラック:LACのオフィシャルアカウント。

徳丸浩:HASHコンサルティングの代表である徳丸さんのアカウント。Webセキュリティを中心に幅広いセキュリティ情報をツイート。