はてなブックマーク

ウェブサーバ「Apache HTTP Server」の開発チームは現地時間2025年7月23日、アクセス制御の処理に関する脆弱性が判明したことを受け、セキュリティアップデートをリリースした。 「同2.4.64」の「mod_rewrite」モジュールにおいて、リダイレクトなどのルール設定における条件処理に脆弱性「CVE-2025-54090」が明らかとなったもの。2025年7月16日に報告があったという。 関数の戻り値を正しく評価しておらず、一部指定において本来は条件に応じて動作が分岐するところ、すべての条件が「真」として評価されるという。 意図しないアクセス制御やリダイレクトが発生するおそれがあり、設定内容によってセキュリティポリシーやアクセス制御の回避につながるおそれがある。 米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）による共通脆弱性評価システム「CVSSv3.

国内主要上場企業の9割超が、少なくとも1件以上のドメインで「DMARC」の運用に取り組んでいるが、大学では45.1％と半数に届かなかった。 2025年5月時点における送信ドメイン認証技術である「DMARC」の導入実態について、TwoFiveが調査を実施し、結果を取りまとめたもの。 「日経225」に採用されている上場企業225社では、92.4％にあたる208社において少なくとも1件以上のドメインで「DMARC」を導入していた。前年同月の調査からは0.8ポイント増。 1件以上のドメインでポリシーを「隔離（quarantine）」や「拒否（reject）」に設定している企業は124社。1年間で6.7ポイント増加しており、55.1％と半数を超えている。 一方、225社で管理、運用されている8889件のドメインにおいて、「DMARC」が導入済みなのは、37.9％にあたる3367件。ドメイン全体に対す

国土交通省東北地方整備局は、全国道路施設点検データベースで公開している国道の一部図面に、個人情報の削除漏れがあったことを明らかにした。 同局によれば、2022年7月12日に全国道路施設点検データベースで有料公開した国道の図面のうち、同局管内の13道路事務所において個人情報の削除漏れが確認された。 土地所有者あわせて6万5488人の氏名が削除されていなかった。2024年11月1日に判明し、氏名が掲載されている図面の特定と氏名数の調査を進めていたが、データベースに登録された施設数が多く、確認に時間を要したという。 削除漏れの判明以降、氏名が掲載されている図面の公開を停止している。利用規約では、図面の閲覧は有料会員のみとされており、閲覧情報を無断で第三者へ提供することは禁止されているとしている。 （Security NEXT - 2025/07/07 ） ツイート

オープンソースのマルウェア対策ソフトウェア「ClamAV」に深刻な脆弱性が明らかとなった。開発チームではアップデートを呼びかけている。 バージョンによって影響を受ける脆弱性は異なるが、複数の脆弱性が報告されたことを受け、開発チームでは現地時間2025年6月18日にセキュリティパッチをリリースした。 「CVE-2025-20260」は、「PDFファイル」の解析処理に判明したヒープベースのバッファオーバーフローが生じる脆弱性。 特定以上のスキャンサイズが設定された環境において、細工されたPDFファイルをスキャンするとプロセスがクラッシュし、任意のコードを実行されたり、サービス拒否に陥るおそれがある。 また「UDFファイル」の解析においてもバッファオーバーフローにより、サービス拒否や情報漏洩が生じる「CVE-2025-20234」が判明した。

東京都教育委員会は、都立多摩図書館のメールアカウントに、大量の不達メールが届いたことを明らかにした。メールアカウントが不正アクセスを受けた可能性があるとして調べている。 同委員会によれば、5月13日23時から翌14日13時にかけて、同図書館のメールアカウントに大量の不達メールが着信したもの。 原因は調査中としているが、同メールアカウントが不正アクセスを受け、同メールアカウントで送受信されたメールに記載されていた個人情報が外部に流出した可能性があるという。 5月19日10時の時点で判明している対象範囲は、同図書館の利用者など60人と、同図書館と業務上の連絡を行っている団体90団体で、氏名や住所、電話番号、メールアドレスなどが記載されていた。 都教委では関係者に注意喚起のメールを送付。同メールアカウントの業務利用を停止し、関連するメールアカウントのパスワードを変更した。 使用する端末においてマ

キヤノン製のプリンタや複合機など、200モデル以上が影響を受ける脆弱性が判明した。ファームウェアの更新や緩和策の実施が呼びかけられている。 外部の「SMTPサーバ」や「LDAPサーバ」などと連携設定を行っている環境において、「passback攻撃」が可能となる脆弱性「CVE-2025-3078」「CVE-2025-3079」が判明したもの。管理者権限が必要となるが、認証情報を平文で取得されるおそれがある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「8.7」、「CVSSv4.0」では「6.3」と評価されている。脆弱性の悪用による被害は確認されていない。 「imageRUNNERシリーズ」「同ADVANCEシリーズ」「imagePRESSシリーズ」「同Vシリーズ」「Sateraシリーズ」などあわせて200モデル以上がこれら脆弱性の影響を受けるという。 同社は一部モデル

名古屋市は、鶴舞中央図書館で公開した行政文書において、一部墨塗り処理に不備があったことを明らかにした。 同市によれば、公開請求があり、光ディスクに保存して交付した行政文書に不備があったもの。個人情報にあたる利用者番号を墨塗り処理していたが、一定の操作により参照できることが4月29日に判明した。 2月28日時点で鶴舞中央図書館にて貸出中状態にあった個人の利用者番号4352件が含まれる。文書作成時に複数でチェックしていたが、担当者2人とも問題を認識していなかったという。 同市は、図書館における問い合わせやインターネット予約において、利用者番号のみでは情報を閲覧できず、氏名やパスワードが必要とし、現段階で影響はないと説明している。 同市では、文書公開請求者に謝罪し、メディアの回収を依頼。謝罪文を図書館ウェブサイトに掲載するとともに、市内の図書館で掲出している。 （Security NEXT -

「Node.js」の開発チームは、現地時間5月14日に複数の脆弱性を修正するセキュリティアップデートを公開した。 ブランチによって影響を受ける脆弱性は異なるが、事前予告が行われた3件の脆弱性に対処している。 「CVE-2025-23166」は、暗号処理中の例外処理に問題があり、プロセスがクラッシュするおそれがある脆弱性。重要度を「高（High）」としており、いずれのブランチも影響を受ける。 一方「CVE-2025-23167」は、「llhttp」のHTTPヘッダの終端処理における不備に起因。不正な改行シーケンスによりプロキシのアクセス制御を回避して「リクエストスマグリング」が可能となる。重要度は1段階低い「中（Medium）」とした。 あわせてメモリが枯渇し、サービス拒否に陥るおそれがある重要度「低（Low）」の脆弱性「CVE-2025-23165」が明らかとなっている。 開発チームは、こ

ウェブメールシステム「Active! mail」に深刻な脆弱性が存在し、脆弱性に対するゼロデイ攻撃なども確認されている問題で、クオリティアは侵害状況の確認方法を引き続き調査中であるとアナウンスした。 同製品に関しては、スタックベースのバッファオーバーフローの脆弱性「CVE-2025-42599」が見つかり、2025年4月16日にアップデートが緊急リリースされた。セキュリティ機関からも注意喚起が行われており、回避策などもアナウンスされている。 同脆弱性については、同製品を以前採用していたサービスプロバイダにおいて実際に侵害される被害が発生。少なくとも2024年8月以降、悪用されていることが判明している。 同社では同脆弱性の悪用により攻撃を受けた可能性があるか確認する方法について、脆弱性の公表時より調査を行っているが、5月8日時点でも調査を継続中であるとしている。 脆弱性に対する攻撃が確認され

情報処理推進機構（IPA）は、「情報セキュリティ10大脅威 2025」の解説書を公開した。同機構ウェブサイトよりダウンロードできる。 「情報セキュリティ10大脅威」は、前年に発生したセキュリティに関する事故や脅威のうち、社会的影響が大きかったものを専門家や実務者の観点からまとめたもの。 選出したトピックそのものは1月末に発表済みだが、「組織編」の解説書と活用法をまとめた資料をあらたに公開した。あわせて「セキュリティ対策の基本と共通対策」を提供しており、同機構ウェブサイトよりダウンロードできる。 「情報セキュリティ10大脅威 2025」のランキングは以下のとおり。なお「個人編」の解説書については、5月末に公開予定。「個人編」については「50音順」となっており、自身に関係のある脅威に対して対策を行うよう求めている。 2024年の組織における10大脅威（カッコ内は前回順位） 1位：ランサムウェア

macOS向けターミナルエミュレーター「iTerm2」に脆弱性が明らかとなった。アップデートなどが呼びかけられている。 同ソフトウェアにおいて、情報漏洩の脆弱性「CVE-2025-22275」が判明したもの。特定環境においてログファイルが作成され、攻撃者が読み取ることで、ターミナルコマンドなどの機密情報を取得することが可能になる。 「SSH」を利用する環境において、リモートホストにPython 3.7以降がインストールされている場合に脆弱性の影響を受ける。 CVE番号を採番したMITREでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.3」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 開発者は2025年1月2日にリリースした「同3.5.11」で脆弱性を修正した。脆弱性の影響を受ける環境で利用していた場合は、アップデートすると

大和ハウス工業は、ネットワーク対応ストレージ（NAS）の設定不備により、一部顧客情報がインターネットからアクセスでき、流出したことを明らかにした。 同社によれば、同社が施工する物件の仮設現場事務所内で使用していた「NAS」に設定不備があったもの。顧客情報を含むプロジェクト情報の一部が外部からアクセス可能だった。 具体的には、集合住宅事業部門の一部工事現場に関する情報で、図面や工事概要書、工程表、施工計画書、竣工検査報告書、発注先リストなどとしている。 個人情報としては、物件名称に含まれる施主の氏名約5500件、取引先担当者の氏名や作業員に関する情報など約8300件が含まれる。 そのほか、近隣住民説明会の参加者の氏名約50件、物件に関係する施主の氏名、工事関係資料など36件なども対象としている。

システム監視ソフトウェア「Zabbix」において権限の昇格が可能となる脆弱性が明らかとなった。重要度が「クリティカル」とレーティングされており、アップデートが呼びかけられている。 一部関数にSQLインジェクションの脆弱性「CVE-2024-42327」が明らかとなったもの。バグ報奨金プログラムを通じて報告を受けた。「同7.0.0」「同6.4.16」「同6.0.31」および以前のバージョンに影響がある。 フロントエンドにおけるデフォルトのユーザーロールを持つか、APIに対するアクセスが可能であるロールを持つ場合に、ネットワーク経由で権限の昇格が可能になるという。 Zabbixは、同脆弱性について共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」と評価。重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 同社は「同7.0.1rc1」「同6

データベース「PostgreSQL」の開発チームは、現地時間11月14日にアップデートをリリースした。報告を受けた4件の脆弱性や35件以上のバグを修正している。 今回のアップデートでは、「PL/Perl」の環境変数を操作することでコードを実行されるおそれがある「CVE-2024-10979」を修正した。 セキュリティポリシーを回避してデータを操作できる可能性のある「CVE-2024-10976」や、セッションの認可において誤ったユーザーIDにリセットされる脆弱性「CVE-2024-10978」に対処。あわせて「libpq」におけるエラーメッセージ処理に関する脆弱性「CVE-2024-10977」を解消している。 共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、今回修正されたなかで「CVE-2024-10979」がもっとも高く、「8.8」と評価した。「CVE-2024-10

GNUプロジェクトのコマンドラインツール「Wget」に脆弱性が明らかとなった。アップデートが提供されている。 「同1.24.5」および以前のバージョンにおいて、URLスキームを省略したURLを処理すると意図しない挙動が発生し、細工されたホストへ誘導される脆弱性「CVE-2024-10524」が判明したもの。 CVE番号を採番し、脆弱性を報告したJFrogによると、「CVE-2024-38428」の調査中に発見した脆弱性で、サーバサイドリクエストフォージェリ（SSRF）やフィッシング攻撃、中間者攻撃（MITM）などにつながるおそれがあると同社は指摘している。 共通脆弱性評価システム「CVSSv3.1」のベーススコアを「6.5」と評価しており、重要度を「中（Medium）」とレーティングした。 悪用には認証部分を制御できる必要があり、ユーザーの入力においてURLスキームが省略されることは少ない

Appleは現地時間11月19日、「iOS」および「iPadOS」向けに複数の脆弱性を修正するセキュリティアップデートをリリースした。すでに悪用されている可能性があるという。 「iOS 18.1.1」および「iPadOS 18.1.1」、さらに「iOS 17.7.2」「iPadOS 17.7.2」をリリースした。これらアップデートにおいて2件の脆弱性に対処している。 具体的には、JavaScriptエンジン「JavaScriptCore」において、任意のコードを実行されるおそれがある「CVE-2024-44308」を修正した。 さらに「WebKit」においてCookie管理の不備に起因するクロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-44309」を解消している。 いずれの脆弱性もGoogleの研究者より報告を受けた。Intel製CPU上で稼働するmacOSを標的に攻撃が

コーヒーの輸入販売をはじめ、食品事業を手がける石光商事は、同社国内グループ会社のサーバがランサムウェアの被害を受けた問題で、対応状況を明らかにした。データ流出の痕跡が確認されたものの、個人情報は含まれていないとしている。 同社やグループ会社である東京アライドコーヒーロースターズ、関西アライドコーヒーロースターズ、ユーエスフーズで利用している一部サーバーが外部よりサイバー攻撃を受けたもの。ランサムウェアによってサーバ内に保存されていたファイルを暗号化された。 同社は9月20日に事態を公表。個人情報保護委員会へ報告するとともに警察へ相談、外部協力のもと、原因や影響範囲の調査や復旧作業を進めていた。 同社によると、SIMカードを搭載するノートパソコンがリモートデスクトップ接続を介した攻撃を受け、同端末経由でグループで利用するサーバにアクセス。データの暗号化が行われたと見られている。 攻撃を通じて

QNAP SystemsのNAS製品向けに提供されているファイル共有やバックアップツールに深刻な脆弱性が明らかとなった。 2件の脆弱性「CVE-2024-50387」「CVE-2024-50388」について、10月29日、30日にアドバイザリを公表したもの。いずれもバグバウンティコンテスト「Pwn2Own 2024」で報告を受けたという。 「CVE-2024-50387」は、ファイルやプリンタの共有に用いられる「SMB Service」に明らかとなった脆弱性で、同社は「同4.15.002」および「同h4.15.002」にて修正した。 またバックアップ機能を提供するアプリ「HBS 3 Hybrid Backup Sync」に「CVE-2024-50388」が判明。「同25.1.1.673」以降で解消されている。 いずれもアドバイザリで脆弱性の具体的な影響について言及していないが、重要度を4段

「SharePoint」においてリモートよりコードを実行されるおそれがある脆弱性「CVE-2024-38094」の悪用が確認された。米政府が注意を呼びかけている。 同脆弱性は、「SharePoint」においてサイト所有者の権限を持つ場合にリモートより任意のコードを実行できる脆弱性。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.2」、重要度は「Important」と評価されており、現地時間7月9日の月例セキュリティ更新にて修正を行っている。 同脆弱性に関しては、7月の月例更新プログラムで修正されており、当初悪用は確認されていなかったが、公表の翌日には「CVE-2024-38023」「CVE-2024-38024」などとあわせて実証コード（PoC）が公開されている。 現地時間10月22日に米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「CVE-20

Grafana Labsが開発するオープンソースのデータ可視化ツール「Grafana」において、試験的に導入されている機能に脆弱性が明らかとなった。アップデートが呼びかけられている。 ユーザーが「SQL Expressions機能」を有効化している場合に、コマンドインジェクションやローカルファイルインクルージョン（LFI）が可能となる脆弱性「CVE-2024-9264」が明らかとなったもの。 「duckdb」が導入されている環境において、クエリのサニタイズが十分行われていないことに起因し、「VIEWER」以上の権限を持つユーザーによって悪用されるおそれがある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.9」、「CVSSv4.0」のスコアは「9.4」と評価されており、重要度は「クリティカル（Critical）」とレーティングされている。 開発チームは脆弱性を修正した「同

コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されているプラグイン「WordPress File Upload」に脆弱性が判明した。アップデートが提供されている。 「同4.24.11」および以前のバージョンに「パストラバーサル」の脆弱性「CVE-2024-9047」が明らかとなったもの。リモートより認証を必要とすることなく、ファイルの読み取りや削除が可能となる。 DefiantのWordfenceによると、特に「PHP 7.4」以下で同プラグインを使用している場合に影響を受けるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。 最新版となる「同4.24.12」において同脆弱性は修正されており、アップデートが呼びかけられている。 （Securit

2024年第2四半期におけるクレジットカードの不正利用被害額は、前四半期から16.1％増となる約144億1000万円で、過去最悪を更新した。 日本クレジット協会が、国際ブランドカードの発行事業者を中心に、銀行、信販会社、流通関連事業者、中小の小売団体など40社を対象としてクレジットカードの不正使用被害の状況を調査し、取りまとめたもの。 同四半期におけるクレジットカードの不正利用被害額は約144億1000万円。前四半期の約124億1000万円から16.1％増加した。 2022年第1四半期以降、被害額が100億円を超える状況が続いている。2023年第2四半期をピークに3期連続で減少するも、2024年第2四半期に再び増加し、過去最多を記録した。 被害の内訳を見ると、番号盗用による被害が約134億3000万円で被害額全体の93.2％を占める。前四半期から16.7％の増加となった。7四半期連続で10

400近いセイコーエプソン製品に脆弱性が明らかとなった。初期設定を行わずにネットワークへ接続している場合、機器を乗っ取られるおそれがあるという。 複数の同社製品では、ブラウザより本体の設定を確認、変更できる「Web Config（Remote Manager）」機能が提供されているが、初期状態では管理者パスワードが未設定となっている脆弱性「CVE-2024-47295」が判明した。 初期設定を行わずにネットワークへ接続している場合、機器にネットワーク経由でアクセスできる攻撃者が任意のパスワードを設定し、管理者権限で操作を行うことが可能となる。 インクジェットプリンタ220モデル、レーザープリンタ58モデルをはじめ、ドットインパクトプリンタ、大判プリンタ、レシートプリンタ、スキャナ、ネットワークインターフェイスなど、あわせて393製品が脆弱性の影響を受けるという。 共通脆弱性評価システム「C

大阪市は、研修受講者に受講票をメール送信する際、誤って研修受講者の個人情報含むリストを添付して送信するミスがあったことを明らかにした。 同市によれば、9月18日に委託先の東住吉区中野地域包括支援センターが、研修受講者25人に表計算ソフトで作成された受講票をメールで送信する際、2023年度の研修受講者の個人情報が記載されているリストを誤って添付して送信するミスがあったという。 翌19日に受信者から連絡があり誤送信が判明。問題のリストには、研修受講者41人分の氏名、電話番号、メールアドレス、資格、介護支援専門員登録番号が記載されていた。 同市では、誤送信先となった研修受講者にメールの削除を依頼。リストに記載されていた研修受講者には、事情の説明と謝罪を行っている。 （Security NEXT - 2024/09/30 ） ツイート

PHPの開発チームは現地時間9月26日、セキュリティアップデートとなる「PHP 8.3.12」「同8.2.24」「同8.1.30」をリリースした。 これらアップデートでは、CVEベースで4件の脆弱性を解消した。なかでも「CVE-2024-4577」の修正をバイパスされ、パラメータを不正に挿入できる脆弱性「CVE-2024-8926」への対処も含まれる。 「CVE-2024-4577」はWindows版に影響があり、「CVE-2012-1823」の修正を回避されることに起因。6月にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正されていた。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」と高く、ウェブシェルの設置やランサムウェア「TellYouThePass」の感染活動に悪