情報処理推進機構（IPA）は、国内において6月に判明した「PHP」の脆弱性「CVE-2024-4577」を悪用した「ネットワーク貫通型攻撃」による被害が確認されているとして注意喚起を行った。 問題とされる「CVE-2024-4577」は、PHPの「CGIモジュール」において引数インジェクションが可能となる脆弱性。Windowsにおけるエンコーディング変換機能の影響によるもので、Windows環境で利用している場合に影響を受ける。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル（Critical）」とレーティングされている。現地時間6月6日にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正された。 Impervaでは、「WebShell」の設置やランサムウェア「TellYouThePass」の感染活動に悪用されたこ

熊本市は、熊本市総合屋内プールの指定管理者である熊本市文化スポーツ財団が、スケート教室の申込者や参加者の個人情報を財団のウェブサイトに誤って掲載したことを明らかにした。 同市によれば、2月10日に同財団がウェブサイト上にスケート教室の告知と実施要項のPDFファイルをアップロードしようとした際、誤って申込者や参加者など50世帯111人分の個人情報を含むCSVファイルを誤ってアップロードしたもの。氏名や性別、生年月日、住所、電話番号、メールアドレスなどが含まれる。 財団ウェブサイトより、ファイルを閲覧したり、ダウンロードすることが可能となり、5月30日に申込者からインターネットで自分の名前を検索すると、文字化けしたスケート申込者らしきデータが表示されると電話連絡があり問題が発覚した。 同日同財団では、委託先業者に問題のデータについて削除を求め、検索エンジンに対しても、データの削除を依頼した。

OpenSSHにあらたな脆弱性が判明した。「regreSSHion」をレビューする過程で発見されたもので、旧バージョンが影響を受けるという。 リモートよりコードの実行が可能となる「CVE-2024-6409」が公表されたもの。2021年にリリースされた「OpenSSH 8.8」および「同8.7」が影響を受けるという。 別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」を調査する過程で発見され、調整を経て現地時間7月8日に公表された。 「CVE-2024-6387」と同じくシグナルハンドリングの競合状態に関する脆弱性としており、非同期に安全ではない関数が呼び出されるおそれがある。「CVE-2024-6387」に比べて権限が低い子プロセスで引き起こされる問題とし、発見者は即時に大きな影響を与えるものではないと説明している。 CVE番号を採番したRed Hatでは共

群馬県太田市は、メールの送信ミスで太田市20周年記念事業の参加者に関する氏名とメールアドレスが流出したことを明らかにした。 同市によれば、6月21日19時ごろ、2025年3月9日に開催を予定している「太田市20周年記念事業群馬交響楽団と20周年記念合唱団第九コンサート」の合唱参加者5人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態で誤送信したもの。 送信直後に問題に気づき、対象者に電話で連絡し。誤送信したメールの削除を依頼した。 また7月1日にも合唱参加者128人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態が発生した。 翌2日にメールの受信者から誤送信を指摘する連絡があり判明。同市では対象者に経緯の報告と謝罪を行い、誤送信したメールを削除するよう求めた。 （Security NEXT - 2024/07/09 ） ツイート

「Apache HTTP Server」の開発チームは現地時間7月3日、セキュリティアップデートとなる「同2.4.61」をリリースした。2日前にリリースした「同2.4.60」にて生じた問題へ対処したという。 ハンドラによるコンテンツタイプの設定が無視され、ソースコードが漏洩するおそれがある脆弱性「CVE-2024-39884」が明らかとなったもの。 現地時間7月1日にリリースした「同2.4.60」によってコア部分における過去の問題が再発。同日報告を受けた。 同脆弱性により、特定の状況下で「PHPスクリプト」などが正しく解釈されず、ソースコードが公開されるおそれがある。 開発チームでは、脆弱性を修正した「同2.4.61」を現地時間7月3日にリリース。利用者にアップデートを呼びかけている。 （Security NEXT - 2024/07/05 ） ツイート

和歌山市は、2023年度の「市県民税特別徴収税額決定通知書」の封入を委託していた業務委託先において個人情報が流出したことを明らかにした。 業務を委託していたイセトーのランサムウェア感染被害により、「市・県民税特別徴収税額決定通知書」のデータ15万1421件が流出したもの。氏名や住所、課税情報が含まれる。 当初5月28日に同社よりランサムウェア感染の報告を受けた際は、同市に関する情報流出はないとの説明を受けていた。 6月26日に同社で情報流出が確認された際も、同市関連情報は対象ではないとの報告だったが、一転7月1日に同市関連情報の流出が判明したとの報告を受けたという。 同社内において、コピーしたデータを別部門のサーバに保管し、契約終了後もデータが削除されていなかったという。 同市では、同社に対してさらなる調査の継続と、適切な対応、報告を引き続き求めるとしている。 （Security NEXT

日本ネットワークセキュリティ協会（JNSA）は、SECCON実行委員会が主催する「CTF for Girls」のイベントにおいて、参加申込者に関する個人情報が意図せず外部に公開されていたことを明らかにした。 同団体によれば、イベント「Kunoichi Cyber Game」予選会の申し込みに「Googleフォーム」を使用したが、アクセスや編集の権限を誤り、「リンクを知っている全員」に設定するミスがあったという。6月19日に外部から指摘があり問題が判明。同日フォームの権限を変更した。 同問題により、フォームを公開した5月31日14時半過ぎから6月19日13時過ぎにかけて特定動作から申込者の情報が閲覧できる編集ページへアクセスでき、予選会申込者26人の個人情報を閲覧可能だった。氏名やメールアドレス、国籍、「Beginners CTF」の登録チーム名などが含まれる。 Googleフォームから大会

新潟市は、秋葉区において不審者情報提供メールに被害児童の個人情報を誤って記載し、区内保育園へ送信するミスがあったことを明らかにした。 同市によれば、6月19日に秋葉区の職員が速報として「不審者情報」を区内25の保育園にメールで送信したが、被害に遭った児童3人に関する氏名などがマスキング処理されていなかったという。 同月21日にメールを見た保育園園長から電話で連絡があり問題が判明した。同日メール送信先である保育園にメールの削除を依頼。対象者に経緯の説明と謝罪を行った。 今回の問題を受け、今後は情報提供された書類の修正、メール送信を異なる職員が担当し、ダブルチェックを徹底して再発の防止を図るとしている。 （Security NEXT - 2024/07/02 ） ツイート

愛知県春日井市は、個人情報含む排水設備工事調書のデータを含む記録メディアが所在不明となっていることを明らかにした。 同市によれば、2022年度に作成した排水設備工事調書のスキャンデータ1133件が保存されたメディア1枚が所在不明となっているもの。5月22日に保管していた引き出しに見当たらないことが判明した。 申請者などの氏名、住所、電話番号のほか、排水工事設備調書、排水工事に関する付属資料などのデータが保存されていた。 同市は誤って廃棄した可能性が高いとしており、データの不正利用などは確認されていないという。 対象となる申請者に対しては、書面を通じて経緯を説明し、謝罪するとしている。 （Security NEXT - 2024/06/27 ） ツイート

静岡県浜松市は、同市ウェブサイトに掲載した表計算ファイルに個人情報が含まれていたことを明らかにした。 同市によれば、同ウェブサイトで5月24日に掲載した「ロコトレ事業登録団体一覧表」の表計算ファイルに団体登録申請者および事務担当者の個人情報が含まれていたもの。 6月13日に登録団体の関係者から指摘があり、ファイル内の別シートに個人情報が記載されていることが判明。同市では同日、個人情報を削除したファイルに差し替えた。 掲載ページには241件のアクセスがあったが、ファイルのダウンロード件数は不明としている。 同市では、期間中に問題のファイルをダウンロードしていた場合は、削除してほしいと呼びかけている。 （Security NEXT - 2024/06/26 ） ツイート

「OpenSSH」に別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」が明らかとなった問題で、同脆弱性の影響についてセキュリティベンダーからもアナウンスが行われている。 Palo Alto Networksでは、同社ファイアウォール製品が搭載する「PAN-OS」について、「CVE-2024-6387」の影響を受けないと説明。ソフトウェアのアップデートなどは必要ないとしている。 一方SonicWallでは、同社のファイアウォールやウェブアプリケーションファイアウォール（WAF）、メールセキュリティ製品、リモートアクセス製品などにおいて脆弱性の影響を調査中であるとアナウンスしている。 （Security NEXT - 2024/07/02 ） ツイート

「OpenSSH」の開発チームは、脆弱性に対処したセキュリティアップデート「同9.8p1」をリリースした。リモートよりコードを実行されるおそれがある脆弱性へ対処している。 今回のアップデートでは、2件の脆弱性に対応した。サーバ「sshd」のシグナルハンドラにおいて競合状態が発生する「CVE-2024-6387」については、重要度を「クリティカル（Critical）」と説明している。 一定時間内に認証を行わない場合に非同期のSIGALRMハンドラが呼び出され、安全ではない関数を呼び出すおそれがあり、悪用されるとroot権限でコードを実行されるおそれがあるという。 脆弱性を報告したQualysは、2006年に報告され、修正された「CVE-2006-5051」の再発であるとし、脆弱性を「regreSSHion」と命名している。 「CVE-2006-5051」のパッチ適用後に生じた「CVE-200

広島県は、同県が主催するセミナーの事務局において、メールアカウントが不正アクセスを受けたことを明らかにした。フィッシングメールなど意図しないメールを送信するための踏み台に悪用されたという。 同県によれば、同県委託先のセミナー事務局で使用するメールアカウントが不正アクセスを受け、6月13日6時4分から7時7分までの約1時間に大量の迷惑メールを送信されたもの。 送信件数や送信されたメールなど詳細は不明。エラーのため戻ったメールを確認したところ、「PayPal」のブランドを悪用した英文によるフィッシングメールだった。 同日7時17分にサーバで異常を検知。メールアカウントのパスワードを強制的に変更。9時に委託先が不正アクセスを確認し、メールアカウントのパスワードを再設定している。 6月25日の段階で、アカウントを侵害された原因の特定には至っていない。関係者におけるフィッシングの被害やマルウェア感染

徳島県美馬市は、同市ウェブサイトにおいて、二十歳の集い対象者の個人情報を誤って公開したことを明らかにした。 同市によれば、6月7日に同市サイトで2024年度の企画運営委員の募集に関する記事を公開した際、誤ったファイルを公開したもの。 本来、申込用紙を添付するところ、誤って二十歳の集い対象者279人分の個人情報を含む名簿を公開するミスがあったという。氏名、住所、生年月日、卒業時就学校が含まれる。 6月12日に他部署の職員が添付ファイルの誤りに気づき、記事を公開を停止した。ウェブサイトに掲載する際、確認に不備があったとしている。 （Security NEXT - 2024/06/24 ） ツイート

5月のフィッシング報告数は前月から急増し、14万件超となる過去3番目に多い件数となった。「Amazon」をかたるケースが3割以上を占めている。 フィッシング対策協議会によれば、同月に寄せられたフィッシング攻撃の報告は14万3680件。前月の10万6757件から34.6％増加した。1日あたり約4634.8件の報告が寄せられている。 報告数は、2024年2月に5万5502件まで減少したものの、その後3カ月連続で増加。15万6804件で過去最多を記録した2023年10月以来の規模となり、過去3番目に多い報告数となった。 一方、フィッシングサイトに悪用されたURLは3万8089件。1日あたり約1228.7件だった。前月の3万9863件からは、4.5％減少している。 ランダムな文字列をサブドメインに指定し、リダイレクト用に使い捨てとして利用された「.cn」ドメインのURLが約31.5％を占めたという

奈良市は、消防局においてメールの送信ミスがあり、救命サポーターのメールアドレスが流出したことを明らかにした。 同市によれば、6月6日9時ごろ、スマートフォン活用型AED運搬システムの救命サポーター208人に対し、アンケートメールを送信したところ、送信先を誤って宛先に設定するミスがあったという。 受信者間でメールアドレスが閲覧できる状態となり、ほかのメールを確認した際、誤送信に気がついたという。 同市では同日、対象となるサポーターに対してメールで経緯の説明と謝罪を実施。誤送信したメールの削除を依頼した。 （Security NEXT - 2024/06/18 ） ツイート

茨城県は、県内の農林事務所において、個人情報含むメールを誤って関係ない自治体へ誤送信するミスがあったことを明らかにした。 同県によれば、5月31日に鹿行農林事務所で、本来鉾田市のみへ送付すべきメールを、管轄する他の4市にも誤って送信するミスがあったという。 問題のメールには、4人分の氏名、住所、電話番号が記載された国産飼料調査協力者リストが添付されていた。 誤送信の直後に気づき、誤送信先となった4市に電話とメールで謝罪。メールの削除を依頼した。また、個人情報が流出した4人に謝罪を行っている。 （Security NEXT - 2024/06/17 ） ツイート

静岡県は、県立高校において、中学生一日体験入学の参加申込者に関する個人情報がフォーム上で閲覧できる状態だったことを明らかにした。 同県によれば、中学生一日体験入学の申し込みに利用したGoogleフォームにおいて設定ミスがあったもの。5月17日から6月10日にかけて申込者136人に関する氏名が閲覧できる状態だった。 フォームより入力された氏名以外の項目については、集計結果のみ閲覧でき、氏名と紐づけされた状態ではなかったとしている。 6月10日に申込者の中学校から連絡があり問題が判明。同日フォームの設定を修正し、閲覧できないよう対策を講じた。 同校では、校長あてに謝罪文を送付。対象となる中学生にメールで謝罪を行っている。 （Security NEXT - 2024/06/14 ） ツイート

大阪市は、大阪港湾局のドライブレコーダーで利用する記録メディアが所在不明になっていることを明らかにした。 同市によれば、公用車に搭載されているドライブレコーダーに付属したmicroSDメモリカードが所在不明となっているもの。ドライブレコーダーで録画された通行人に関する映像が保存されている可能性がある。 5月29日にドライブレコーダーを確認したところ、本来は32Gバイトのカードが挿入されているべきところ、8Gバイトのカードが挿入されていることがわかった。 同車両のリース会社に問い合わせ、車両が納入された3月1日には32Gバイトのカードが挿入されていたことを確認。職員に聞き取り調査を行ったが、差し替えた職員はいなかったという。 公用車や執務室を探索したが見つからず、盗難に遭った可能性が高いと判断し、警察に被害を届けた。 同市ではリース契約会社に経緯を説明するとともに謝罪している。 （Secur

東京都立豊島病院において、臨床研修医向け見学説明会申込者の個人情報を誤ってウェブサイトで公開するミスが発生した。 東京都立病院機構によれば、5月30日11時半ごろ、病院の担当者が見学説明会の申し込み用の表計算ファイルをウェブサイトで公開したところ、ファイル内の別シートに個人情報が残存したままだった。 2023年度の臨床研修医合同見学説明会に申し込んだ32人に関する氏名、住所、電話番号、大学名、メールアドレスなどが含まれる。 6月3日より見学者の申し込みを開始したところ、同月5日に見学を希望する学生からメールで指摘があり、翌6日に担当者が確認した。問題が発覚するまで7人の申し込みを受理していたという。 問題が判明した同日、個人情報が含まれるファイルをサイトから削除。対象となる申込者に連絡し、説明と謝罪を進めている。申し込みを行った7人には、保有している申し込み用ファイルの削除を依頼した。 今