サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
円安とは
www.security-next.com
総務省、情報通信研究機構(NICT)、ICT-ISACは、IoT機器を悪用したサイバー攻撃を防ぐ取り組みとして、あらたな枠組みのもと「NOTICE(National Operation Towards IoT Clean Environment)」を開始した。 これまでも、ボットネットの活動を抑制し、DDoS攻撃などを防止するため、脆弱なIoT機器を調査し、注意喚起を行う取り組みを「NOTICE」として2019年2月より展開。 約14万件の脆弱なIoT機器を特定し、プロバイダ経由で利用者に注意喚起を行ってきたが、2023年度末に期限を迎えたことから、あらたなプロジェクトとして4月より再始動した。 今回開始した「NOTICE」の実施にあたっては、2023年にNICT法が改正されており、従来の業務にくわえ、2024年度よりあらたにサイバーセキュリティ対策について助言する業務なども新設されている
玩具の製造販売を手がけるセガフェイブは、同社従業員が利用するクラウドサービスのアカウントが不正アクセスを受け、顧客や取引先などの個人情報が流出した可能性があることを明らかにした。 同社によれば、Toysカンパニーの従業員が使用するMicrosoft 365アカウントが不正アクセスを受けたもの。同社のセキュリティを管理するセガサミーホールディングスが4月4日に検知した。 問題のアカウントには、直近1年間の取引先に関する情報やグループ会社従業員の個人情報が含まれていることが同月9日に判明。同月17日には、同従業員が過去に従事したグループ会社の顧客情報も含まれていることが明らかとなっている。 対象となる個人情報は、取引先の氏名、会社住所、電話番号、メールアドレス、口座情報など約1900件、同社従業員とその家族、セガサミーグループの従業員の氏名、住所、電話番号、メールアドレスなど約300件。 さら
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を SSH接続などに利用されるターミナルソフトの「PuTTY」に脆弱性が明らかとなった。複数の署名されたデータから秘密鍵を復元されるおそれがある。 「同0.80」から「同0.68」までのバージョンにおいて、NIST P521楕円曲線を使用したECDSA秘密鍵から署名を生成するコードに脆弱性「CVE-2024-31497」が明らかとなったもの。「PuTTY」がバンドルされている「FileZilla」「WinSCP」「TortoiseGit」「TortoiseSVN」なども影響を受けるという。 ECDSA署名時に利用するランダム値の生成に大きな偏りが存在。60程度の署名されたデータと公開鍵から「ECDSA秘密鍵」を復元することが可能だとしている。 中間者攻撃はできないものの、悪意のあるサーバなど
新潟県は、同県ウェブサイトにおいて、個人情報含むファイルを誤って公開する事故があったことを明らかにした。 同県によれば、3月29日2時ごろ、県民が文書を検索する際の目録となるファイル基準表を委託事業者が公開したが、誤って個人情報が記載されたファイルを公開したという。 4月2日にウェブサイトを閲覧した同県職員から連絡があり判明した。問題のファイルには、用地買収や不利益情報に関する氏名112件と、企業や団体名37件が含まれる。 委託事業者の担当者が、情報公開用のデータではなく、別のデータを用いて公開作業を行ってしまったという。 同県では委託事業者に公開停止を指示し、同日17時過ぎに公開を停止した。部外者による閲覧は確認されていないとしている。 (Security NEXT - 2024/04/15 ) ツイート
大阪府の富田林病院は、職員がサポート詐欺に遭い、患者情報が保存されたパソコンが遠隔操作されたことを明らかにした。情報流出は確認されていないという。 同院によれば、2月29日に職員が個人で使用しているパソコンでインターネットを利用していたところ、いわゆる「サポート詐欺」の被害に遭い、パソコンを遠隔より操作できるアプリケーションをダウンロードさせられた。 被害を受けた端末内のデータを調べたところ、特定診療科の患者の診療内容などが保存されていたことが判明したという。 同端末は、第三者により20分程度遠隔操作が可能だった。端末やデータについて調査したところ、患者情報にアクセスし、抜き取られた形跡などは確認されていないとしている。 同院では、パソコンに情報が保存されていた患者に対し、個別に報告を行った。 (Security NEXT - 2024/04/12 ) ツイート
Palo Alto Networksが提供するファイアウォールに搭載されている「PAN-OS」のリモートアクセス機能に深刻な脆弱性が明らかとなった。悪用されると影響が大きく、すでにゼロデイ攻撃も確認されている。 現地時間4月12日にセキュリティアドバイザリを公開し、「PAN-OS」が備えるリモートアクセスVPN機能「GlobalProtect Gateway」にコマンドインジェクションの脆弱性「CVE-2024-3400」が見つかったことを明らかにしたもの。「GlobalProtect Gateway」とデバイステレメトリ機能のいずれも有効化している場合に影響を受ける。 脆弱性を悪用すると、認証を必要とすることなくファイアウォール上でroot権限により任意のコードを実行することが可能。共通脆弱性評価システム「CVSSv4.0」のベーススコアを、最高値となる「10.0」、重要度をもっとも高い
Fortinetのアプライアンス製品にOSとして搭載されている「FortiOS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。 「FortiOS」において3件の脆弱性が明らかとなったもの。「CVE-2023-41677」は、管理者の「Cookie」が漏洩する脆弱性。認証情報の保護が不十分であり、管理者をだまして「SSL VPN」経由で細工したサイトにアクセスさせることで、「Cookie」を取得されるおそれがあるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」で、重要度を4段階中、上から2番目にあたる「高(High)」とレーティングした。同脆弱性については「FortiProxy」も影響を受ける。 また特権を持つ場合にコマンドラインインターフェイスで任意のコードまたはコマンドを実行できる脆弱性「CVE-2023-48784」が判明。 さらに「HT
Linuxカーネルにおいてパケットのフィルタリング機能を提供するコンポーネントに脆弱性が判明した問題で、脆弱性の詳細や実証コードが公開された。 コンポーネント「nf_tables」に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2024-1086」に判明したもの。 ローカル環境において脆弱性を悪用すると権限の昇格が可能で、root権限を取得することが可能となる。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」、重要度は「高(High)」とレーティングされている。 米国立標準技術研究所(NIST)による脆弱性データベース「NVD」には、1月31日に登録されており、「JVN iPedia」にも2月7日に収録されているが、3月末に脆弱性を報告した研究者が詳細や実証コード(PoC)について公開した。 公開された実証コードは「バージョン5.14
クレジット取引セキュリティ対策協議会は3月15日、約1年ぶりの改訂版となる「クレジットカード・セキュリティガイドライン5.0版」を公開した。EC加盟店では2025年3月末までにチェックリストに示されたセキュリティ対策を講じる必要がある。 同ガイドラインは、クレジットカード会社、加盟店、決済サービス事業者(Payment Service Provider)などクレジットカード取引に関わる事業者が実施すべきセキュリティ対策について定めたもの。 2020年に初版が公開され、以降は毎年改定を重ねており、今回で「5.0版」となった。割賦販売法にあるセキュリティ対策義務の「実務上の指針」にあたる。 今回の改定では、「クレジットカード情報保護対策」として2025年4月以降、すべてのEC加盟店が「セキュリティ・チェックリスト」にあるセキュリティ対策を実施することを定めた。アクワイアラーやPSPからも準拠す
マイクロソフトは、2024年3月の月例セキュリティ更新を公開し、あわせて59件の脆弱性に対応した。脆弱性の悪用や公開は確認されていないという。 今回のアップデートでは、「Windows」や「Office」「Microsoft Authenticator」をはじめ、「Windows Defender」「Microsoft Exchange Server」「SQL Server」「Microsoft Intune」「Microsoft Dynamics」「.NET」「Visual Studio Code」「Microsoft Azure Kubernetes Service」などに明らかとなった脆弱性に対処した。 CVEベースで59件の脆弱性を修正している。脆弱性によって影響は異なるが、18件についてはリモートからコードを実行される脆弱性としており、24件では権限の昇格が生じるおそれがある。
奈良県宇陀市は、庁内システムに不正アクセスし、他職員のメールを閲覧していた市民環境部の職員に対し、懲戒処分を行った。 同市によれば、同職員は2020年度から2023年度にかけて、勤務時間中に庁内システムへ同市職員271人になりすまして不正にログインし、メールを閲覧していたもの。 1月7日に所属する上司が共有パソコンを立ち上げたところ、デスクトップに見覚えのないファイルが存在することに気づいたことから、問題が発覚したという。 メールを閲覧するには、各職員に割り振られたIDとパスワードが必要となるが、自らに割り振られたIDより他職員のIDを推測。またパスワードについても初期設定より変更されていないなど、容易に推測できるものに対して不正アクセスを行っていた。 住民の個人情報については、ログインの方法が異なるため不正閲覧はなかったとしている。同職員から外部に対する二次流出なども確認されていない。
ランサムウェア「LockBit」の対抗措置が各国法執行機関の連携により進められている。警察庁が開発した復旧ツールもそのひとつだ。すでに複数の被害者において暗号化されたファイルの復旧に成功している。 「LockBit」は、攻撃インフラを「RaaS(Ransam as a Service)」として提供し、参加者を広く募ることで大規模に攻撃が展開されてきたランサムウェア。いわゆるリークサイトへの投稿件数では、ランサムウェア全体の4分の1近くを占めるとの分析もある。 こうした犯罪グループの動きに対し、2月に14カ国の法執行機関が協力し、「Cronos作戦」を決行。一部関係者を逮捕したほか、リークサイトや暗号資産(仮想通貨)口座、復号鍵など関連資産を差し押さえるなど対抗措置を講じている。警察庁が開発した「復号ツール」もそのひとつだ。 「Cronos作戦」の発表を通じて、警察庁が開発した被害者を支援す
VMwareは、同社の仮想化ソフトウェア「VMware ESXi」「VMware Workstation」「VMware Fusion」のセキュリティアップデートをリリースした。いずれの環境についても重要度を「クリティカル」としており、重要度が高いことからサポートが終了した「ESXi 6.7」「同6.5」向けにもパッチを用意している。 製品によって影響を受ける脆弱性は異なるが、あわせて4件の脆弱性が明らかとなった。いずれも外部に非公開で報告を受けたという。 個々の脆弱性で見た場合、重要度がやや低くなる場合もあるが、組み合わせた場合の影響を踏まえると、いずれの製品においても重要度を4段階中もっとも高い「クリティカル(Critical)」と評価している。 「CVE-2024-22252」「CVE-2024-22253」は、USBコントローラにおいて解放後のメモリを使用するいわゆる「Use Af
米政府は、ロシア政府が関与するサイバー攻撃グループ「APT29」が、クラウド環境を標的に攻撃を展開しているとし、手法や対策などを取りまとめ注意を呼びかけた。「初期アクセス」の獲得を阻止することが「最初の防衛線」になると対策の重要性を訴えている。 「APT29」は、別名「Cozy Bear」「Dukes」「Midnight Blizzard」としても追跡されているロシアの攻撃者グループ。過去に「SolarWinds」のサプライチェーン攻撃や、新型コロナウイルスワクチンの開発情報を狙った攻撃などに関与したと見られている。 米国家安全保障局(NSA)、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)をはじめとする米当局では、同グループがロシア対外情報庁(SVR)の一部である可能性が高いと分析しており、イギリス、カナダ、オーストラリア、ニュージランドなど
大阪市は、消防局において、個人情報含む書類の誤交付が発生したことを明らかにした。 同市によれば、普通救命講習受講を申請した事業所に対し、消防局が行政オンラインシステムにより普通救命講習受講通知書を交付する際、誤って別の事業所の個人情報を含む書類を交付するミスがあったという。 誤って交付したのは、救命講習等受講申込書と救命講習等受講者名簿。申込書には申請者1人の氏名、名簿には受講予定者12人の氏名が記載されていた。 2月9日9時半ごろ、交付を受けた事業所から連絡があり誤交付が判明。誤って交付された書類は閲覧のみで、ダウンロードしていなかった。 同市では、両事業所に経緯を説明するとともに謝罪。本来の対象事務所に「普通救命講習受講通知書」を交付している。 (Security NEXT - 2024/02/21 ) ツイート
国内の主要上場企業において送信ドメイン認証技術である「DMARC」の導入が加速している。しかしながら、ドメイン全体で見ると導入されているのは3分の1ほどで、なりすましメールを「隔離」したり「拒否」するよう設定されていたドメインは4.8%にとどまった。 東京証券取引所のプライム市場へ上場し、株価指標に採用されている主要225社が管理、運用するドメイン8545件の状況についてTwoFiveが調査したもの。 「DMARC」を関しては、2023年10月にGoogleや米Yahoo!が迷惑メール対策を強化する方針を公表。1日あたり5000件以上のメールを送信する場合に、「DMARC」への対応などを求めており、2月から一部ガイドラインの運用も開始されている。 2月の時点で調査対象の85.8%にあたる193社が、少なくとも1つのドメインで「DMARC」を導入。2023年11月の153社から17.8ポイン
ビデオ会議サービスを提供するZoomは、現地時間2月13日にセキュリティアドバイザリを公開した。複数の脆弱性に対応しており、なかでもWindows向けのクライアントソフトやSDKでは、重要度が「クリティカル」とされる脆弱性を解消している。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて7件の脆弱性を公表したもの。 脆弱性によって影響を受けるプラットフォームは異なるが、パソコンやモバイルのクライアントソフトをはじめ、Windowsでは「Zoom VDI Client」「Zoom Video SDK」「Zoom Meeting SDK」なども影響を受ける。 なかでもWindows環境に影響がある「CVE-2024-24691」については、重要度が「クリティカル(Critical)」とレーティングされている。 入力の検証に不備があり、
Internet Systems Consortium(ISC)は、現地時間2月13日にDNSサーバ「BIND 9」のセキュリティアップデートをリリースした。一部脆弱性は影響範囲が広く、クエリ、応答のいずれにおいても悪用が可能であるとして関連機関から緊急で対策を講じるよう注意喚起が行われている。 脆弱性によって影響を受ける利用環境やバージョンは異なるが、あわせて7件の脆弱性が明らかとなった。 重要度が「クリティカル(Critical)」とされる脆弱性は含まれていないが、「CVE-2023-4408」「CVE-2023-5517」「CVE-2023-5679」「CVE-2023-6516」「CVE-2023-50387」「CVE-2023-50868」の6件については、上から2番目にあたる「高(High)」とレーティングされている。 DNSメッセージの解析に不備があり、細工したクエリや応答に
Fortinet製品に搭載されている「FortiOS」にリモートより攻撃を受けるおそれがある深刻な脆弱性が複数明らかとなった。「SSL VPN」機能に判明した脆弱性は、すでに悪用されている可能性もあるという。 同社は、現地時間2月8日にセキュリティアドバイザリを公開し、「FortiOS」に関する4件の脆弱性を明らかにした。 なかでも「CVE-2024-21762」「CVE-2024-23113」の2件については、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価し、重要度を5段階中もっとも高い「クリティカル(Critical)」とレーティングしている。 「CVE-2024-21762」は、「sslvpnd」において域外メモリに書き込みが行われる脆弱性。リモートより細工したHTTPリクエストを送信することで、認証なしに任意のコードを実行することが可能だとしている。同脆
ルーターやファイアウォールなどの機能を提供するLinuxディストリビューション「ZeroShell」に脆弱性が指摘されていた問題で、すでにプロジェクトは終了しているとして、利用の中止が呼びかけられている。 同製品については、2020年にコマンドインジェクションの脆弱性「CVE-2020-29390」が明らかとなっていた。ウェブインタフェースにアクセスできる攻撃者によって認証なしに悪用されるおそれがあり、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」と評価されている。 JPCERTコーディネーションセンターは、2月7日にJVNで同脆弱性に関する調整を行ってきたことを明らかにした。2020年8月にMYTコンサルティングの日留川紀彦氏による届け出を情報処理推進機構(IPA)が受理し、その後も対応が進められていた。 2023年11月に開発者と連絡が取れたが、開発者は「Zero
コンテナ関連のコアコンポーネントにコンテナによる制限を回避し、ホストOSのroot権限によるアクセスが可能となる脆弱性「Leaky Vessels」が明らかとなった。 「Dockerエンジン」で使用されるコンテナランタイム「runc」や、コンテナイメージをビルドするためのツールキット「BuildKit」に脆弱性が明らかとなったもの。発見したSnykの研究者は、これら脆弱性を「漏れる容器」を意味する「Leaky Vessels」と名付けている。 コンテナを起動、実行するために用いるOpen Container Initiative(OCI)の「runc」では、「同1.1.11」および以前のバージョンに「CVE-2024-21626」が判明。 またMoby Projectの「Buildkit」では、「同0.12.4」および以前のバージョンに「TOCTOU」によるマウントキャッシュの競合の脆弱性
京都市スポーツ協会は、同協会が主催した講座の参加者へメールを送信した際にミスがあり、メールアドレスが流出したことを明らかにした。 同協会によれば、1月23日、2023年度スポーツ講座に参加した67人に対し、謝意を伝えるメールを送信した際、受信者が互いのメールアドレスを閲覧できる状態で送信するミスがあったという。 同協会では、対象となる参加者に謝罪。誤送信したメールを削除するよう依頼している。 (Security NEXT - 2024/02/02 ) ツイート
NRIセキュアテクノロジーズは、日本企業約1600社をはじめ、米国やオーストラリアの企業を対象にセキュリティ対策の実態調査を実施し、結果を取りまとめた。「DMARC」の導入状況など大きな差が見られた。 同社が2023年8月から9月にかけて2783社を対象にセキュリティに関する実態調査を実施したもの。日本の1657社、米国の540社、オーストラリアの586社が回答した。 送信ドメイン認証技術である「DMARC」について、米国は81.8%、オーストラリアは89.4%の企業が、「reject(拒否)」「quarantine(隔離)」「none(何もしない)」のいずれかで「実施済み」であると答えた。日本では13.0%と2割に満たない。 ルールを「reject」あるいは「quarantine」としている企業に絞ると、やや減少して米国では71.8%、オーストラリアは72.5%となるが、それでも7割を超
米政府は、「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure Gateway」に深刻な脆弱性が見つかり、広範な攻撃も発生していることを受け、現地時間1月19日に緊急指令「ED 24-01」を発行した。同国内の行政機関に対し、調査を実施して結果を報告するよう求めるとともに、利用を再開する場合の条件なども示している。 「CVE-2023-46805」「CVE-2024-21887」について、広範かつ積極的に悪用されていることを確認しており、行政機関におけるセキュリティ上の重大な脅威になるとして、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が緊急命令を発行したもの。 これまでも現地時間1月10日にIvantiよりセキュリティアドバイザリがリリースされたことを受け、CISAでは同日脆弱性を「
JPCERTコーディネーションセンターは、2023年第4四半期に報告を受けたインシデントの状況について取りまとめた。脆弱性に対する探索、感染試行などの行為が前四半期から倍増している。 同センターによれば、同四半期に寄せられたインシデントの報告は1万273件。前四半期の1万6768件から39%減少した。一方重複を除いたインシデント件数は6448件で、前四半期の5903件から545件増加している。関係者などへ対応を依頼した調整件数は5444件だった。 同四半期にインシデントが増加した背景には、脆弱性の探索や侵入、感染の試行などを検知した「スキャン」が、前四半期の639件から倍増し、1393件となったことが大きく影響している。また「その他」と分類されたケースも292件から455件へと増加した。 一方、インシデントの約7割を占める「フィッシングサイト」をはじめ、「ウェブサイト改ざん」「マルウェアサ
コンテンツマネジメントシステム(CMS)である「Drupal」の旧版に脆弱性が明らかとなった。すでにサポートが終了しており、最新版への更新が呼びかけられている。 脆弱性情報のポータルサイトであるJVNによれば、「同9.3.6」において特定の構造を持つ入力に対して処理に不備があり、サービス拒否が生じる脆弱性「CVE-2024-22362」が明らかとなった。ただし、「同10」や「同9.5.x」において同脆弱性の影響は確認されていないという。 同脆弱性は、ブロードバンドセキュリティの志賀拓馬氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。 依存するサードパーティ製ソフトウェアのサポート終了なども受けて、「同9」は現地時間2023年11月1日にサポートが終了している。 「CVE-2024-22362」に関しては対象となるバージョンが限定的だが、
Synologyは、「Synology DiskStation Manager(DSM)」において脆弱性が明らかとなり、アップデートを順次提供している。 同製品において、ローカルユーザーによって任意のコードを実行することが可能となる脆弱性が明らかとなり、アップデートをリリースしたもの。 脆弱性の悪用にあたっては、ユーザーが同社非公式のサイトから悪意のあるパッチをダウンロードし、手動でインストールする必要があるという。 同社では識別子「SA-24:01」のもと対応を進めている。CVE番号は不明。重要度は、4段階中、上から2番目にあたる「重要(Important)」とレーティングした。 同社は脆弱性を修正した「DSM 7.2-64561」「DSMUC 3.1.2-23068」をリリース。「DSM7.1」「同6.2」のアップデートに関しても対応を進めている。 (Security NEXT - 2
2023年第3四半期に発生したオンラインバンキングの不正送金被害額は、前期を大きく上回る29億6000万円となり過去最悪を更新した。 全国銀行協会が、会員191行を対象に2023年7月から9月にかけて発生した不正送金被害の状況を調査し、結果を取りまとめたもの。預金者本人以外が不正に送金し、振込先から金銭が引き出されて返還できなかったケースを集計している。 被害件数は、個人と法人あわせて1582件。前四半期の1768件から減少するも高い水準が続いている。被害額は29億6000万円。過去最悪を記録した前四半期の20億2800万円を大きく上回った。 被害の内訳を見ると、個人における被害が1568件、被害額が29億2600万円と大半を占める。被害件数は前四半期の1743件から減少したが、被害額は前四半期の19億6600万円から約1.5倍に増加した。 1件あたりの平均被害額は約187万円。前四半期の
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、米行政機関向けに「Microsoft 365」を利用する際のセキュリティ構成ベースラインと評価ツールを公開した。 同庁では、クラウド環境に保存された行政機関の情報資産を保護するため、2022年4月にSecure Cloud Business Applications(SCuBA)プロジェクトを設置。同年10月に「Microsoft 365」のセキュリティ構成ベースラインのパブリックコメント案を公開し、意見を募集していた。 パブリックコメントに寄せられた数百件の意見をもとに100以上の見直しを実施。パイロットプロジェクトを経て、今回「Secure Configuration Baselines for Microsoft 365 Version 1.0」をリリースした。 具体的には、「Microsoft Teams」「D
次のページ
このページを最初にブックマークしてみませんか?
『セキュリティ、個人情報の最新ニュース:Security NEXT』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く