Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる:セキュリティニュースアラート
Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる:セキュリティニュースアラート
Malwarebytesは12月14日(米国時間)、「Recently-patched Apache Struts vulnerability used in worldwide attacks|Malwarebytes」において、Apache Strutsの脆弱性が世界中でサイバー攻撃に悪用されているとして、注意を呼び掛けた。 Apache Strutsの脆弱性の概要 この脆弱性は2023年12月7日にApacheが公開した脆弱性(CVE-2023-50164)で、悪用されると攻撃者によって悪意のあるファイルがアップロードされ、リモートコードが実行される可能性がある(参考:「Apache Strutsにリモートコード実行の脆弱性、速やかに更新を | TECH+(テックプラス)」)。 Recently-patched Apache Struts vulnerability used in
【ファミマ】マイナカードを持ち歩かなくても、スマホだけで住民票の写しなど証明書がマルチコピー機から発行可能に ファミリーマートは12月20日、デジタル庁、総務省、地方公共団体情報システム機構と連携し、店内に設置のマルチコピー機(MX-3631DS)における、行政サービスのスマホ用電子証明書への対応を東京都内のファミリーマート店舗約2,400店で開始する。また、2024年1月22日から対象を全国のファミリーマート店舗約16,400店に拡大する予定。(一部サービス対象外の店舗もある) マルチコピー機(MX-3631DS) 同店のマルチコピー機では、マイナンバーカード/住民基本台帳カードを利用して、住民票の写しや印鑑登録証明書などの各種証明書を発行することができるサービスを提供している。このたび、スマホ用電子証明書にマルチコピー機が対応することにより、マイナンバーカードを持ち歩くことなく、スマホ
一般社団法人自治体DX推進協議会『自治体DXガイド』創刊&発行しました - 自治体のDXジレンマ、突破のヒントは? 創刊号は自治体DX対象20分野 進捗調査 一般社団法人自治体DX推進協議会(以下、本協議会)は、自治体のデジタルトランスフォーメーション(DX)に関わる全ての関係者向けに、情報満載の会報誌「自治体DXガイド」を発刊いたしました。このガイドは、DXの進捗と課題を深く掘り下げ、実践的な成功例から学べる内容で構成されています。 創刊号では、本協議会が実施した『令和5年度 第一回 自治体DX 意識・実態調査』の報告も含まれており、地域活性化からローカル5Gまで、20のDX分野における進捗状況を調査した結果が紹介しております。 「自治体DXガイド」は、自治体職員や地域を支える事業者、そして地方創生に興味を持つすべての人々にとって、貴重な情報源となることを目指します。 私たちは、皆様がこ
千葉県は2023年12月15日、県立君津亀山青少年自然の家のメールマガジンに登録していた利用者の個人情報であるメールアドレス613件が漏洩したと発表した。メールマガジンの運用は外部の事業者(マルミミ)に委託していた。メールアドレス以外の情報は漏洩していないとする。 2023年12月12日、メールマガジンの利用登録者から青少年自然の家に対し、メールマガジン「きみかめ通信」の名前をかたる不審なメールが届いたという連絡が入った。連絡を受けた青少年自然の家が同日マルミミに調査を依頼した結果、2023年12月11日に不正アクセスがあったことが判明した。不正アクセスによってメールマガジン配信システムからメールが配信されたほか、利用登録者のメールアドレス一覧がダウンロードされ外部に漏洩した。 マルミミによれば、きみかめ通信はWebサーバーにインストールしたメール配信システム「acmailer」を使って配
ペネトレーションテスト(ペンテスト、侵入テスト)とは、攻撃者の視点からシステムやネットワークのセキュリティ対策を評価するテストです。実際に攻撃者が行うような手法を用いて、システムに侵入できるかどうかを検証します。 ペネトレーションテストには、いくつかのツールがあり、対象システムやネットワークの規模や構成によっては、高機能なペネトレーションテストツールが必要になる場合があります。また、テストの目的や範囲に合わせて、必要な機能を備えたツールを選ぶ必要があります。したがって予算も考慮して、最適なツールを選びましょう。 この記事では、ペネトレーションテストの概要、具体的なツールを解説します。テストを検討している場合は、ぜひ本記事の内容を参考にしてください。 ペネトレーションテスト(侵入テスト)とは? ペネトレーションテスト(侵入テスト)とは、想定されるサイバー攻撃の手法に基づき、ホワイトハッカーが
令和5年12月5日、東京清瀬市みつばちプロジェクト会員を対象としたメール発信の際、事務担当者が誤って全会員のメールアドレスが閲覧可能な状態で送信する個人情報の流出事故が発生しました。なお、Eメール本文に個人情報を含む内容は入っていません。 関係者の皆様に多大なご迷惑をおかけし、深くお詫び申し上げます。今後、再発防止に向け、より一層の情報管理を徹底してまいります。 1.事故の概要 事務担当者が「東京清瀬市みつばちプロジェクト」の活動終了に係る案内を、各会員に対してメールで送信する際、全員のメールアドレスをBCC欄ではなく、誤って宛先欄に入力し送信してしまいました。 発生日時 令和5年12月5日(火曜日)午後1時16分 発生場所 清瀬市総務部建築管財課 流出した個人情報 会員944名分のメールアドレス 2.事故の経緯 12月5日(火曜日)午後1時16分 東京清瀬市みつばちプロジェクト会員を対象
画像:清瀬市より引用 東京都清瀬市は2023年12月6日、市が実施していた「東京清瀬市みつばちプロジェクト」に関する電子メールにて誤送信が発生し、会員944名のメールアドレスが流出したと明らかにしました。 清瀬市によると市は2023年12月5日、「東京清瀬市みつばちプロジェクト」の活動終了メールをプロジェクト会員に外部一斉送信しました。ところが、担当者がメールアドレスを入力する際、本来アドレスを非表示にするため「BCC」に入力すべきところを、「宛先」欄に入力したまま送信していたとのこと。 送信時、清瀬市は誤送信に気付いていませんでしたが、同日中に会員から「メールアドレスが非表示になっていない」旨の連絡を受けたとのこと。清瀬市が確認したことにより、流出の事実が判明しました。判明後、清瀬市は対象会員にメールで謝罪し、誤送信メールの削除を依頼しています。 なお、清瀬市は今後、送信前に複数名チェッ
山形市市民税課で保管していたUSBメモリが紛失し、53人分の個人情報漏えいの恐れがあることがわかりました。山形市によりますと、紛失したのは市民税課で管理している2019年から去年までの所得税確定申告の個人情…
〒863-8631 熊本県天草市東浜町8番1号 電話番号:0969-23-11110969-23-1111 Fax:0969-24-3501
この度、当院職員が患者さまの個人情報の一部が記録されたUSBメモリーを院内で紛失する事案が発生しました。 多くの患者さまの情報を扱う病院として、患者さまご本人やご家族、関係者の皆様に多大なご迷惑をおかけしておりますことを深くお詫び申し上げます。 なお、当該USBメモリーは現時点では発見できていませんが、紛失の経緯から病院外への個人情報の流出の可能性は低いと考えており、現在まで個人情報の漏えいなどの事実は報告されていません。 本件を重く受け止め、再発防止に取り組むとともに、個人情報の管理と保護の徹底に努めてまいります。 記 1 経緯について 11月30日(木)、11月21日(火)に業務で使用した当該USBメモリーを紛失していることに気づき、病院内を捜索したが発見できなかった。 12月6日(水)、当該USBメモリーに要配慮個人情報が保存されていたことが判明したため、改めて病院内を捜索したが発見
射水市民病院は13日、患者361人の名前や入院患者の病名などが記録されたUSBメモリーを紛失したと発表した。職員が別の職員らと患者の情報を共有するために、データをパソコンからUSBに移し、そのままなくしていた。 病院によると、USBには2021年5月~今年10月に医療相談を行った入院患者271人と外来90人の名前や年齢、市町村名までの住所がエクセルの一覧表となって保存され、入院患者の病名も記録されていた。 ●8日に報告 職員が11月21日に他の職員や医師と共有するため、データが記録されたUSBを電算室の担当者に渡そうとしたが、不在で自身のデスクに持ち帰った。30日に再び、USBを電算室に持っていこうとした際、保管していたデスクからなくなっていることに気付いた。8日に個人情報保護委員会に報告した。 再発防止策として記録媒体の管理徹底や情報セキュリティー研修などを行う。島多勝夫院長は「多くの患
Sophos製ファイアウォールに深刻な脆弱性「CVE-2022-3236」が見つかった問題で、同社はサポートがすでに終了している旧製品に対しても修正パッチをリリースした。 「CVE-2022-3236」は、ユーザー向けポータルやウェブの管理画面におけるコードインジェクションの脆弱性。2022年9月にセキュリティアドバイザリを公開し、アップデートを提供するとともに脆弱性が悪用されているとして注意を呼びかけていた。 すでにアドバイザリの公開から1年以上経過しているが、同社は現地時間12月11日にセキュリティアドバイザリを更新。脆弱性を悪用するあらたな動きを11月27日に観測したことを明らかにした。 すでにサポートが終了している同社ファイアウォールの旧製品に対して脆弱性の悪用を試みる動きがあるとし、脆弱性を解消するパッチを用意。ホットフィクスを受け入れる設定となっていれば自動的に適用されるとして
Palo Alto Networksは、現地時間12月13日にセキュリティアドバイザリをリリースし、複数の脆弱性に対処したことを明らかにした。 脆弱性によって影響を受けるバージョンは異なるが、同社製ファイアウォールに搭載されている「PAN-OS」の脆弱性7件について明らかにしたもの。4段階ある重要度において、もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。 重要度が2番目に高い「高(High)」とされるのは、クロスサイトスクリプティング(XSS)の脆弱性「CVE-2023-6790」の1件。 脆弱性を悪用されると、管理者のブラウザ上でスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv4.0」においてベーススコアは「7.5」と評価されている。 のこる6件についてはいずれもさらに1段階低い「中(Medium)」とレーティングした。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く