「OpenSSH」に別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」が明らかとなった問題で、同脆弱性の影響についてセキュリティベンダーからもアナウンスが行われている。 Palo Alto Networksでは、同社ファイアウォール製品が搭載する「PAN-OS」について、「CVE-2024-6387」の影響を受けないと説明。ソフトウェアのアップデートなどは必要ないとしている。 一方SonicWallでは、同社のファイアウォールやウェブアプリケーションファイアウォール（WAF）、メールセキュリティ製品、リモートアクセス製品などにおいて脆弱性の影響を調査中であるとアナウンスしている。 （Security NEXT - 2024/07/02 ） ツイート

「OpenSSH」の開発チームは、脆弱性に対処したセキュリティアップデート「同9.8p1」をリリースした。リモートよりコードを実行されるおそれがある脆弱性へ対処している。 今回のアップデートでは、2件の脆弱性に対応した。サーバ「sshd」のシグナルハンドラにおいて競合状態が発生する「CVE-2024-6387」については、重要度を「クリティカル（Critical）」と説明している。 一定時間内に認証を行わない場合に非同期のSIGALRMハンドラが呼び出され、安全ではない関数を呼び出すおそれがあり、悪用されるとroot権限でコードを実行されるおそれがあるという。 脆弱性を報告したQualysは、2006年に報告され、修正された「CVE-2006-5051」の再発であるとし、脆弱性を「regreSSHion」と命名している。 「CVE-2006-5051」のパッチ適用後に生じた「CVE-200

広島県は、同県が主催するセミナーの事務局において、メールアカウントが不正アクセスを受けたことを明らかにした。フィッシングメールなど意図しないメールを送信するための踏み台に悪用されたという。 同県によれば、同県委託先のセミナー事務局で使用するメールアカウントが不正アクセスを受け、6月13日6時4分から7時7分までの約1時間に大量の迷惑メールを送信されたもの。 送信件数や送信されたメールなど詳細は不明。エラーのため戻ったメールを確認したところ、「PayPal」のブランドを悪用した英文によるフィッシングメールだった。 同日7時17分にサーバで異常を検知。メールアカウントのパスワードを強制的に変更。9時に委託先が不正アクセスを確認し、メールアカウントのパスワードを再設定している。 6月25日の段階で、アカウントを侵害された原因の特定には至っていない。関係者におけるフィッシングの被害やマルウェア感染

徳島県美馬市は、同市ウェブサイトにおいて、二十歳の集い対象者の個人情報を誤って公開したことを明らかにした。 同市によれば、6月7日に同市サイトで2024年度の企画運営委員の募集に関する記事を公開した際、誤ったファイルを公開したもの。 本来、申込用紙を添付するところ、誤って二十歳の集い対象者279人分の個人情報を含む名簿を公開するミスがあったという。氏名、住所、生年月日、卒業時就学校が含まれる。 6月12日に他部署の職員が添付ファイルの誤りに気づき、記事を公開を停止した。ウェブサイトに掲載する際、確認に不備があったとしている。 （Security NEXT - 2024/06/24 ） ツイート

5月のフィッシング報告数は前月から急増し、14万件超となる過去3番目に多い件数となった。「Amazon」をかたるケースが3割以上を占めている。 フィッシング対策協議会によれば、同月に寄せられたフィッシング攻撃の報告は14万3680件。前月の10万6757件から34.6％増加した。1日あたり約4634.8件の報告が寄せられている。 報告数は、2024年2月に5万5502件まで減少したものの、その後3カ月連続で増加。15万6804件で過去最多を記録した2023年10月以来の規模となり、過去3番目に多い報告数となった。 一方、フィッシングサイトに悪用されたURLは3万8089件。1日あたり約1228.7件だった。前月の3万9863件からは、4.5％減少している。 ランダムな文字列をサブドメインに指定し、リダイレクト用に使い捨てとして利用された「.cn」ドメインのURLが約31.5％を占めたという

奈良市は、消防局においてメールの送信ミスがあり、救命サポーターのメールアドレスが流出したことを明らかにした。 同市によれば、6月6日9時ごろ、スマートフォン活用型AED運搬システムの救命サポーター208人に対し、アンケートメールを送信したところ、送信先を誤って宛先に設定するミスがあったという。 受信者間でメールアドレスが閲覧できる状態となり、ほかのメールを確認した際、誤送信に気がついたという。 同市では同日、対象となるサポーターに対してメールで経緯の説明と謝罪を実施。誤送信したメールの削除を依頼した。 （Security NEXT - 2024/06/18 ） ツイート

茨城県は、県内の農林事務所において、個人情報含むメールを誤って関係ない自治体へ誤送信するミスがあったことを明らかにした。 同県によれば、5月31日に鹿行農林事務所で、本来鉾田市のみへ送付すべきメールを、管轄する他の4市にも誤って送信するミスがあったという。 問題のメールには、4人分の氏名、住所、電話番号が記載された国産飼料調査協力者リストが添付されていた。 誤送信の直後に気づき、誤送信先となった4市に電話とメールで謝罪。メールの削除を依頼した。また、個人情報が流出した4人に謝罪を行っている。 （Security NEXT - 2024/06/17 ） ツイート

静岡県は、県立高校において、中学生一日体験入学の参加申込者に関する個人情報がフォーム上で閲覧できる状態だったことを明らかにした。 同県によれば、中学生一日体験入学の申し込みに利用したGoogleフォームにおいて設定ミスがあったもの。5月17日から6月10日にかけて申込者136人に関する氏名が閲覧できる状態だった。 フォームより入力された氏名以外の項目については、集計結果のみ閲覧でき、氏名と紐づけされた状態ではなかったとしている。 6月10日に申込者の中学校から連絡があり問題が判明。同日フォームの設定を修正し、閲覧できないよう対策を講じた。 同校では、校長あてに謝罪文を送付。対象となる中学生にメールで謝罪を行っている。 （Security NEXT - 2024/06/14 ） ツイート

大阪市は、大阪港湾局のドライブレコーダーで利用する記録メディアが所在不明になっていることを明らかにした。 同市によれば、公用車に搭載されているドライブレコーダーに付属したmicroSDメモリカードが所在不明となっているもの。ドライブレコーダーで録画された通行人に関する映像が保存されている可能性がある。 5月29日にドライブレコーダーを確認したところ、本来は32Gバイトのカードが挿入されているべきところ、8Gバイトのカードが挿入されていることがわかった。 同車両のリース会社に問い合わせ、車両が納入された3月1日には32Gバイトのカードが挿入されていたことを確認。職員に聞き取り調査を行ったが、差し替えた職員はいなかったという。 公用車や執務室を探索したが見つからず、盗難に遭った可能性が高いと判断し、警察に被害を届けた。 同市ではリース契約会社に経緯を説明するとともに謝罪している。 （Secur

東京都立豊島病院において、臨床研修医向け見学説明会申込者の個人情報を誤ってウェブサイトで公開するミスが発生した。 東京都立病院機構によれば、5月30日11時半ごろ、病院の担当者が見学説明会の申し込み用の表計算ファイルをウェブサイトで公開したところ、ファイル内の別シートに個人情報が残存したままだった。 2023年度の臨床研修医合同見学説明会に申し込んだ32人に関する氏名、住所、電話番号、大学名、メールアドレスなどが含まれる。 6月3日より見学者の申し込みを開始したところ、同月5日に見学を希望する学生からメールで指摘があり、翌6日に担当者が確認した。問題が発覚するまで7人の申し込みを受理していたという。 問題が判明した同日、個人情報が含まれるファイルをサイトから削除。対象となる申込者に連絡し、説明と謝罪を進めている。申し込みを行った7人には、保有している申し込み用ファイルの削除を依頼した。 今

茨城県鉾田市は、学生応援事業の申請者に送信したアンケートメールにおいて送信ミスがあり、氏名とメールアドレスが流出したことを明らかにした。 同市によれば、5月30日10時ごろ、まちづくり推進課において、「がんばる鉾田の学生応援事業」に申請した674人に対し、3回にわけてアンケート調査メールを送信。 その際に送信先を誤って宛先に設定するミスがあり、同一グループ間で氏名とメールアドレスが閲覧できる状態となった。 同日受信者からの問い合わせがあり、問題が判明。同市では、対象となる申請者にメールで謝罪し、誤送信したメールの削除を依頼している。 （Security NEXT - 2024/06/05 ） ツイート

「PHP」の開発チームは現地時間6月6日、セキュリティアップデートとなる「PHP 8.3.8」「同8.2.20」「同8.1.29」をリリースした。 今回のアップデートでは、脆弱性や複数のバグへ対処。開発チームではセキュリティリリースと位置づけ、各系統の利用者に更新を呼びかけている。 「CGI」において、引数インジェクションの脆弱性「CVE-2024-4577」が判明し、修正を行った。Windowsプラットフォームが影響を受けるという。 Windowsにおけるエンコーディング変換機能の影響によるもので、過去に修正された「CVE-2012-1823」をバイパスし、リモートよりコードの実行が可能になる。 研究中に同脆弱性を発見し、5月7日に報告したDEVCOREは、重要度が「クリティカル（Critical）」にあたる脆弱性であると説明。注意を呼びかけている。 （Security NEXT - 2

徳島県は、業務委託先がランサムウェアに感染し、同県の委託業務に関する個人情報が外部に流出した可能性があることを明らかにした。 納税通知書などの作成業務を委託していたイセトーがサイバー攻撃を受け、一部サーバやパソコンがランサムウェアに感染し、データを暗号化されたことが判明。被害を受けたネットワーク内に同県に関するデータが保存されていたことが判明した。 対象となるのは、2023年度の自動車税種別割納税通知書96件88人分。住所、氏名、自動車登録番号、自動車車台番号、税額などが含まれる。 当初、同県に関する個人情報を含むデータは、被害が発生したネットワークに保存されていないとの報告を受けていたが、調査を進めたところ、被害を受けたネットワーク内に個人情報を含む画像データが保存されていたことが判明したという。 イセトーでは、データの外部流出の有無を含め、外部協力のもと調査を進めており、同県においても

大阪市は、個人情報含む精神通院医療受給者証等交付者リストを誤送付する事故があったことを明らかにした。 同市によれば、自立支援医療受給者証の発送業務を委託している事業者が、受給者証を医療機関へ送付する際、同封する交付者リストを誤って別の医療機関へ送付するミスがあったという。 交付者リストには、受給者15人分の氏名、住所、生年月日、性別、受給者番号などが記載されていた。 5月27日、大阪市こころの健康センターに、医療機関から受給者証に同封されているはずの交付者リストが足りないと連絡があり、誤送付先になった可能性がある別の医療機関に電話で確認したところ、誤送付していたことが判明した。 同市では、対象となる受給者に事情を説明して謝罪。誤って送付した交付者リストを、本来送付すべき医療機関に提供した。 （Security NEXT - 2024/06/10 ） ツイート

埼玉県上尾市は、「総合行政システム」のデータを不正に改ざんしたとして職員を懲戒処分とした。 2021年3月、当時行政経営部資産税課に所属していた職員が、固定資産税に関する「総合行政システム」の土地課税台帳を改ざんしたもの。 課税事務において、職員の兄が所有、職員自身が納税管理人である土地に対し、固定資産税や都市計画税における評価額や税額を引下げるよう数字を不正に操作していた。 別の職員が確認作業中に気付き、改ざん前の数値に戻したことで実被害は生じなかったが、同市では2021年6月に同職員を警察へ告発。2024年4月に起訴猶予による不起訴処分となったという。 同問題の発覚を受け、同市では同職員を5月28日付けで停職5カ月とする懲戒処分を行った。 （Security NEXT - 2024/05/31 ） ツイート

インターネットイニシアティブ（IIJ）は、4月に同社のサービスやバックボーンで観測したDDoS攻撃の状況を取りまとめた。攻撃件数は前月を上回り、54Gbps超の攻撃も観測したという。 同社によれば、4月に観測したDDoS攻撃は239件。前月の222件から7.7％増加した。増減は見られるものの、2023年10月以降、300件以下で推移している。 1日あたり約8件の攻撃が観測された。日によってばらつきが見られ、10件以上攻撃が観測された日は10日あり、多い日では19件の攻撃が発生している。一方5件以下の日も8日あり、1件しか観測されない日もあった。 期間中、もっとも規模が大きかった攻撃は、「WSD（WS-Discovery）」「SADP」「CoAP」など複数のプロトコルを組みあわせたリフレクション攻撃だった。約526万ppsのパケットにより54.9Gbpsのトラフィックが発生。前月の約6万pp

東京都は、東京都立中央・城北職業能力開発センターにおいて、企業の従業員に関する個人情報含むメールを、誤って第三者へ送信したことを明らかにした。 都によれば、5月17日16時半ごろ、再就職促進等委託訓練事業の企画提案を受け付けている同センターにおいて、1社から提出された企画提案書の内容に誤りがあったため、同社に企画提案書をメールで送付しようとした際、メールアドレスを誤ったため、関係ない第三者へ送信したもの。 誤送信したメールには、同社の従業員などの氏名、電話番号、年齢、メールアドレスが含まれていた。 5月20日に同社から都に連絡があり、メールが届いていないことやメールアドレスが誤っていたことが判明。都では、誤送信先に連絡し、メールの削除や都への連絡を依頼したが、5月21日の時点で返信はないという。 （Security NEXT - 2024/06/03 ） ツイート

神奈川県鎌倉市は、放課後子どもひろばだいいち・だいいち子どもの家「うみがめ」の指定管理者が送信した体験プログラムの抽選結果メールに、別の当選者の氏名を記載する事故があったことを明らかにした。 同市によれば、4月30日11時半ごろ、指定管理者が体験プログラムの抽選結果を当選者18人にメール送信したところ、同メール内に別人の氏名を誤って記載したという。1時間後、受信者から問い合わせがあり判明した。 指定管理者では、氏名が記載された当選者に対し、経緯を説明するとともに謝罪。また、誤送信先にも電話で連絡し、謝罪を行っている。 （Security NEXT - 2024/05/27 ） ツイート

埼玉県は、同県の公文書検索、閲覧システムにおいて個人情報など不開示情報を誤って掲載していたことを明らかにした。 同県によれば、4月11日に同県の公文書検索、閲覧システムで個人情報を含む文書を閲覧できることが判明したもの。 これを受け、農林部で点検したところ、農林部内3課と関係する11の地域機関において、不開示情報とすべき73件の文書を誤掲載していることがわかった。 187人分の氏名、59人分の住所、24人分の電話番号、20人分の生年月日、78人分の年齢、27人分のメールアドレスのほか、21法人分の印影などの不開示情報が掲載されていた。 同県では今回の問題を受けて不開示情報を削除。対象となる関係者に謝罪を行っている。 （Security NEXT - 2024/05/23 ） ツイート