サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
夏の料理
www.security-next.com
パソコンやサーバにおいて起動制御に用いられるPhoenix Technologies製のファームウェア「UEFI(Unified Extensible Firmware Interface)」に脆弱性が明らかとなった。 「CVE-2024-0762」は、「TPM(Trusted Platform Module)」を構成する変数処理のコードに明らかとなった脆弱性で、バッファオーバーフローが生じるおそれがある。脆弱性を発見、報告したEclypsiumは、「UEFIcanhazbufferoverflow」と名付けている。 Eclypsiumによれば、当初Lenovoの一部機種において脆弱性を発見したが、その後、特定のIntelプロセッサファミリにおいて実行される「Phoenix SecureCore UEFIファームウェア」に影響があることが判明したという。 具体的には「AlderLake」「
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「SiteGuard WP Plugin」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。 同ソフトウェアは、ログインページを保護するため、URLの変更機能、管理ディレクトリへのアクセス制限、画像認証、ログインロックなど「WordPress」向けのセキュリティ機能を追加するプラグイン。 ログインページの変更機能を利用し、ログインページへリダイレクトを行わない設定としていた場合も、特定ファイルに対するアクセスをリダイレクトし、ログインページのURLが漏洩する脆弱性「CVE-2024-37881」が判明したという。 共通脆弱性評価システム「CVSSv3.0」のベーススコアは「5.3」と評価されている。同脆弱性はSTNetの渡邉優太氏が情報処理推進機構(IPA)へ報告。JPCER
仮想化環境の管理運用ツール「VMware vCenter Server」において、複数の深刻な脆弱性が明らかとなった。同製品を提供するBroadcomは、重要度をもっとも高い「クリティカル(Critical)」とし、利用者に注意を呼びかけている。 現地時間6月17日にセキュリティアドバイザリを公開し、「VMware vCenter Server」に関する3件の脆弱性「CVE-2024-37079」「CVE-2024-37080」「CVE-2024-37081」について明らかにしたもの。 アドバイザリの重要度を4段階中もっとも高い「クリティカル(Critical)」として注意を喚起した。これら脆弱性は外部より報告を受けたとしており、セキュリティアドバイザリをリリースした時点で悪用は確認されていないとしている。 「CVE-2024-37079」「CVE-2024-37080」の2件は、「DCE
ASUSが提供する無線ルータにおいて複数の脆弱性が明らかとなった。最新版のファームウェアへ更新するよう呼びかけられている。 現地時間6月14日にセキュリティアドバイザリ2件を公開し、あわせて7件の脆弱性について明らかにしたもの。 「CVE-2024-3080」「CVE-2024-3079」は、「XT8」「XT8 V2」「RT-AX88U」「RT-AX58U」「RT-AX57」「RT-AC86U」「RT-AC68U」の7モデルが影響を受ける脆弱性。 特に「CVE-2024-3080」については認証をバイパスされ、リモートよりログインが可能となるなど影響が大きい。同時に明らかとなったバッファオーバーフローの脆弱性「CVE-2024-3079」は、管理者権限を持つ攻撃者によってデバイス上で任意のコマンドを実行されるおそれがある。 TWCERT/CCは、共通脆弱性評価システム「CVSSv3.1」に
茨城県は、県内の農林事務所において、個人情報含むメールを誤って関係ない自治体へ誤送信するミスがあったことを明らかにした。 同県によれば、5月31日に鹿行農林事務所で、本来鉾田市のみへ送付すべきメールを、管轄する他の4市にも誤って送信するミスがあったという。 問題のメールには、4人分の氏名、住所、電話番号が記載された国産飼料調査協力者リストが添付されていた。 誤送信の直後に気づき、誤送信先となった4市に電話とメールで謝罪。メールの削除を依頼した。また、個人情報が流出した4人に謝罪を行っている。 (Security NEXT - 2024/06/17 ) ツイート
「PHP 8.3.8」「同8.2.20」「同8.1.29」で修正された深刻な脆弱性に対する攻撃が観測された。ランサムウェアの感染活動などに悪用されている。 脆弱性「CVE-2024-4577」は、「CGI」モジュールに判明した脆弱性。過去に修正された「CVE-2012-1823」をバイパスし、リモートよりコードを実行されるおそれがある。Windows環境で利用している場合にのみ影響を受ける。 すでに同脆弱性の悪用がはじまっている。Impervaでは、「WebShell」の設置やランサムウェア「TellYouThePass」の感染活動に悪用されたことを観測したという。 また「PHP 8.3.8」「同8.2.20」「同8.1.29」に関しては、「CVE-2024-4577」以外に複数の脆弱性が修正されたことも明らかとなっている。 別名「BatBadBut」として修正された脆弱性のひとつである「
Fortinetの「FortiSIEM」に判明している既知の脆弱性「CVE-2024-23108」について詳細が公開された。影響が大きく、未修正の場合は早急に対応が必要となる。 詳細が公開された「CVE-2024-23108」は、コマンドインジェクションの脆弱性。リモートより認証を必要とすることなくコードの実行が可能となる。 同時に報告された「CVE-2024-23109」とともに共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」と最高値で、重要度は「クリティカル(Critical)」とレーティングされている。 1月以降に公開された「FortiSIEM 7.2.0」「同7.1.3」「同7.0.3」「同6.7.9」「同6.6.5」「同6.5.3」「同6.4.4」にて修正された。 一定期間を経て、脆弱性を報告したHorizon3.aiが、脆弱性の詳細とともに実証コード(Po
MIXIは、同社が運営するソーシャルネットワーキングサービス「mixi」が2月から3月にかけてパスワードリスト攻撃を受けたことを明らかにした。複数サービスでパスワードを使いまわしている場合は、すぐに変更するよう呼びかけている。 同社によれば、2月15日から3月16日にかけて、第三者が利用者本人になりすましてログインする不正アクセスが行われたという。 原因は、同社以外から入手したメールアドレスとパスワードを使用し、ログインを試みるパスワードリスト攻撃であるとの見方を示した。 不正ログインされた場合、サービスへ登録している氏名、性別、生年月日、メールアドレスなどの個人情報を第三者に閲覧された可能性がある。 同社では、対象アカウントを一時停止したり、パスワードリセットを行うなど対策を実施。対象アカウントのユーザーにメールで通知した。複数サービスで同じメールアドレスとパスワードを使いまわしている場
Broadcomは現地時間5月21日、セキュリティアドバイザリを公開し、「VMware ESXi」をはじめ、傘下のVMwareブランドで展開する複数製品に脆弱性が見つかったことを明らかにした。 「VMware ESXi」「VMware Workstation」「VMware Fusion」「VMware vCenter Server」など複数製品に脆弱性が明らかとなったもの。重要度は4段階中、2番目に高い「重要(Important)」とレーティングしている。 「CVE-2024-22273」は、域外のメモリに書き込みを行うおそれがある脆弱性。仮想マシンにおいて「ストレージコントローラー」を有効化している「VMware ESXi」「VMware Workstation」「VMware Fusion」が影響を受ける。 攻撃者が「ストレージコントローラー」にアクセスできる場合、サービス拒否を引き
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
マイクロソフトは現地時間5月14日、5月の月例セキュリティ更新プログラムを公開した。61件の脆弱性を修正しており、2件の脆弱性いついてはすでに悪用が確認されているという。 今回のアップデートでは、「Windows」や「Office」をはじめ、「Azure」「Power BI」「Microsoft Intune」「Microsoft Dynamics 365」「.NET Core」「Visual Studio」などに明らかとなった脆弱性に対処した。 CVEベースで61件の脆弱性を修正しており、最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は、「Microsoft SharePoint Server」に判明した「CVE-2024-30044」の1件。 サイト所有者の権限を持つ場合、「SharePoint Server」の権限で任意のコードを実行するこ
Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。 同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。 具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。 同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。 攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アク
日本シーサート協議会が執筆したセキュリティエンジニアを目指す人などを対象とする書籍「改訂新版セキュリティエンジニアの教科書」が発売された。 同書は、セキュリティエンジニアを目指す学生や、人事異動などであらたにセキュリティ部署へ異動し、セキュリティに関する知識をあまり持たない社会人などを想定した書籍。同協議会のシーサート人材ワーキンググループが執筆を担当した。 セキュリティエンジニアが身につけておきたい基礎的な知識やセキュリティ分野のキャリアについて、現職のセキュリティエンジニアが解説。 セキュア開発や脆弱性対応、インシデント対応、セキュリティマネジメントなどのトピックも扱っている。 出版社はシーアンドアール研究所でA5判208ページ。価格は2882円(税込)。ISBNは「978-4863544376」。 (Security NEXT - 2024/05/02 ) ツイート
マイクロソフトが4月の月例セキュリティ更新で修正した「SmartScreenプロンプト」の脆弱性「CVE-2024-29988」がサイバー攻撃の標的となっている。他脆弱性と組み合わせて悪用されているとして、米当局が注意を呼びかけた。 「CVE-2024-29988」は、「SmartScreenプロンプト」に明らかとなった脆弱性。インターネットからダウンロードしたファイルに付与され、ファイルを開く際に信頼できるか判断するために使用される「Mark of the Web(MotW)」機能のバイパスが可能となる。 悪用にあたっては、細工したファイルを開かせる必要があり、重要度は4段階中、上から2番目にあたる「重要(Important)」、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。2024年4月の月例セキュリティ更新で修正された。 米サイバーセキュリティ
総務省、情報通信研究機構(NICT)、ICT-ISACは、IoT機器を悪用したサイバー攻撃を防ぐ取り組みとして、あらたな枠組みのもと「NOTICE(National Operation Towards IoT Clean Environment)」を開始した。 これまでも、ボットネットの活動を抑制し、DDoS攻撃などを防止するため、脆弱なIoT機器を調査し、注意喚起を行う取り組みを「NOTICE」として2019年2月より展開。 約14万件の脆弱なIoT機器を特定し、プロバイダ経由で利用者に注意喚起を行ってきたが、2023年度末に期限を迎えたことから、あらたなプロジェクトとして4月より再始動した。 今回開始した「NOTICE」の実施にあたっては、2023年にNICT法が改正されており、従来の業務にくわえ、2024年度よりあらたにサイバーセキュリティ対策について助言する業務なども新設されている
玩具の製造販売を手がけるセガフェイブは、同社従業員が利用するクラウドサービスのアカウントが不正アクセスを受け、顧客や取引先などの個人情報が流出した可能性があることを明らかにした。 同社によれば、Toysカンパニーの従業員が使用するMicrosoft 365アカウントが不正アクセスを受けたもの。同社のセキュリティを管理するセガサミーホールディングスが4月4日に検知した。 問題のアカウントには、直近1年間の取引先に関する情報やグループ会社従業員の個人情報が含まれていることが同月9日に判明。同月17日には、同従業員が過去に従事したグループ会社の顧客情報も含まれていることが明らかとなっている。 対象となる個人情報は、取引先の氏名、会社住所、電話番号、メールアドレス、口座情報など約1900件、同社従業員とその家族、セガサミーグループの従業員の氏名、住所、電話番号、メールアドレスなど約300件。 さら
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を SSH接続などに利用されるターミナルソフトの「PuTTY」に脆弱性が明らかとなった。複数の署名されたデータから秘密鍵を復元されるおそれがある。 「同0.80」から「同0.68」までのバージョンにおいて、NIST P521楕円曲線を使用したECDSA秘密鍵から署名を生成するコードに脆弱性「CVE-2024-31497」が明らかとなったもの。「PuTTY」がバンドルされている「FileZilla」「WinSCP」「TortoiseGit」「TortoiseSVN」なども影響を受けるという。 ECDSA署名時に利用するランダム値の生成に大きな偏りが存在。60程度の署名されたデータと公開鍵から「ECDSA秘密鍵」を復元することが可能だとしている。 中間者攻撃はできないものの、悪意のあるサーバなど
新潟県は、同県ウェブサイトにおいて、個人情報含むファイルを誤って公開する事故があったことを明らかにした。 同県によれば、3月29日2時ごろ、県民が文書を検索する際の目録となるファイル基準表を委託事業者が公開したが、誤って個人情報が記載されたファイルを公開したという。 4月2日にウェブサイトを閲覧した同県職員から連絡があり判明した。問題のファイルには、用地買収や不利益情報に関する氏名112件と、企業や団体名37件が含まれる。 委託事業者の担当者が、情報公開用のデータではなく、別のデータを用いて公開作業を行ってしまったという。 同県では委託事業者に公開停止を指示し、同日17時過ぎに公開を停止した。部外者による閲覧は確認されていないとしている。 (Security NEXT - 2024/04/15 ) ツイート
大阪府の富田林病院は、職員がサポート詐欺に遭い、患者情報が保存されたパソコンが遠隔操作されたことを明らかにした。情報流出は確認されていないという。 同院によれば、2月29日に職員が個人で使用しているパソコンでインターネットを利用していたところ、いわゆる「サポート詐欺」の被害に遭い、パソコンを遠隔より操作できるアプリケーションをダウンロードさせられた。 被害を受けた端末内のデータを調べたところ、特定診療科の患者の診療内容などが保存されていたことが判明したという。 同端末は、第三者により20分程度遠隔操作が可能だった。端末やデータについて調査したところ、患者情報にアクセスし、抜き取られた形跡などは確認されていないとしている。 同院では、パソコンに情報が保存されていた患者に対し、個別に報告を行った。 (Security NEXT - 2024/04/12 ) ツイート
Palo Alto Networksが提供するファイアウォールに搭載されている「PAN-OS」のリモートアクセス機能に深刻な脆弱性が明らかとなった。悪用されると影響が大きく、すでにゼロデイ攻撃も確認されている。 現地時間4月12日にセキュリティアドバイザリを公開し、「PAN-OS」が備えるリモートアクセスVPN機能「GlobalProtect Gateway」にコマンドインジェクションの脆弱性「CVE-2024-3400」が見つかったことを明らかにしたもの。「GlobalProtect Gateway」とデバイステレメトリ機能のいずれも有効化している場合に影響を受ける。 脆弱性を悪用すると、認証を必要とすることなくファイアウォール上でroot権限により任意のコードを実行することが可能。共通脆弱性評価システム「CVSSv4.0」のベーススコアを、最高値となる「10.0」、重要度をもっとも高い
Fortinetのアプライアンス製品にOSとして搭載されている「FortiOS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。 「FortiOS」において3件の脆弱性が明らかとなったもの。「CVE-2023-41677」は、管理者の「Cookie」が漏洩する脆弱性。認証情報の保護が不十分であり、管理者をだまして「SSL VPN」経由で細工したサイトにアクセスさせることで、「Cookie」を取得されるおそれがあるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」で、重要度を4段階中、上から2番目にあたる「高(High)」とレーティングした。同脆弱性については「FortiProxy」も影響を受ける。 また特権を持つ場合にコマンドラインインターフェイスで任意のコードまたはコマンドを実行できる脆弱性「CVE-2023-48784」が判明。 さらに「HT
Linuxカーネルにおいてパケットのフィルタリング機能を提供するコンポーネントに脆弱性が判明した問題で、脆弱性の詳細や実証コードが公開された。 コンポーネント「nf_tables」に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2024-1086」に判明したもの。 ローカル環境において脆弱性を悪用すると権限の昇格が可能で、root権限を取得することが可能となる。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」、重要度は「高(High)」とレーティングされている。 米国立標準技術研究所(NIST)による脆弱性データベース「NVD」には、1月31日に登録されており、「JVN iPedia」にも2月7日に収録されているが、3月末に脆弱性を報告した研究者が詳細や実証コード(PoC)について公開した。 公開された実証コードは「バージョン5.14
クレジット取引セキュリティ対策協議会は3月15日、約1年ぶりの改訂版となる「クレジットカード・セキュリティガイドライン5.0版」を公開した。EC加盟店では2025年3月末までにチェックリストに示されたセキュリティ対策を講じる必要がある。 同ガイドラインは、クレジットカード会社、加盟店、決済サービス事業者(Payment Service Provider)などクレジットカード取引に関わる事業者が実施すべきセキュリティ対策について定めたもの。 2020年に初版が公開され、以降は毎年改定を重ねており、今回で「5.0版」となった。割賦販売法にあるセキュリティ対策義務の「実務上の指針」にあたる。 今回の改定では、「クレジットカード情報保護対策」として2025年4月以降、すべてのEC加盟店が「セキュリティ・チェックリスト」にあるセキュリティ対策を実施することを定めた。アクワイアラーやPSPからも準拠す
マイクロソフトは、2024年3月の月例セキュリティ更新を公開し、あわせて59件の脆弱性に対応した。脆弱性の悪用や公開は確認されていないという。 今回のアップデートでは、「Windows」や「Office」「Microsoft Authenticator」をはじめ、「Windows Defender」「Microsoft Exchange Server」「SQL Server」「Microsoft Intune」「Microsoft Dynamics」「.NET」「Visual Studio Code」「Microsoft Azure Kubernetes Service」などに明らかとなった脆弱性に対処した。 CVEベースで59件の脆弱性を修正している。脆弱性によって影響は異なるが、18件についてはリモートからコードを実行される脆弱性としており、24件では権限の昇格が生じるおそれがある。
奈良県宇陀市は、庁内システムに不正アクセスし、他職員のメールを閲覧していた市民環境部の職員に対し、懲戒処分を行った。 同市によれば、同職員は2020年度から2023年度にかけて、勤務時間中に庁内システムへ同市職員271人になりすまして不正にログインし、メールを閲覧していたもの。 1月7日に所属する上司が共有パソコンを立ち上げたところ、デスクトップに見覚えのないファイルが存在することに気づいたことから、問題が発覚したという。 メールを閲覧するには、各職員に割り振られたIDとパスワードが必要となるが、自らに割り振られたIDより他職員のIDを推測。またパスワードについても初期設定より変更されていないなど、容易に推測できるものに対して不正アクセスを行っていた。 住民の個人情報については、ログインの方法が異なるため不正閲覧はなかったとしている。同職員から外部に対する二次流出なども確認されていない。
ランサムウェア「LockBit」の対抗措置が各国法執行機関の連携により進められている。警察庁が開発した復旧ツールもそのひとつだ。すでに複数の被害者において暗号化されたファイルの復旧に成功している。 「LockBit」は、攻撃インフラを「RaaS(Ransam as a Service)」として提供し、参加者を広く募ることで大規模に攻撃が展開されてきたランサムウェア。いわゆるリークサイトへの投稿件数では、ランサムウェア全体の4分の1近くを占めるとの分析もある。 こうした犯罪グループの動きに対し、2月に14カ国の法執行機関が協力し、「Cronos作戦」を決行。一部関係者を逮捕したほか、リークサイトや暗号資産(仮想通貨)口座、復号鍵など関連資産を差し押さえるなど対抗措置を講じている。警察庁が開発した「復号ツール」もそのひとつだ。 「Cronos作戦」の発表を通じて、警察庁が開発した被害者を支援す
VMwareは、同社の仮想化ソフトウェア「VMware ESXi」「VMware Workstation」「VMware Fusion」のセキュリティアップデートをリリースした。いずれの環境についても重要度を「クリティカル」としており、重要度が高いことからサポートが終了した「ESXi 6.7」「同6.5」向けにもパッチを用意している。 製品によって影響を受ける脆弱性は異なるが、あわせて4件の脆弱性が明らかとなった。いずれも外部に非公開で報告を受けたという。 個々の脆弱性で見た場合、重要度がやや低くなる場合もあるが、組み合わせた場合の影響を踏まえると、いずれの製品においても重要度を4段階中もっとも高い「クリティカル(Critical)」と評価している。 「CVE-2024-22252」「CVE-2024-22253」は、USBコントローラにおいて解放後のメモリを使用するいわゆる「Use Af
米政府は、ロシア政府が関与するサイバー攻撃グループ「APT29」が、クラウド環境を標的に攻撃を展開しているとし、手法や対策などを取りまとめ注意を呼びかけた。「初期アクセス」の獲得を阻止することが「最初の防衛線」になると対策の重要性を訴えている。 「APT29」は、別名「Cozy Bear」「Dukes」「Midnight Blizzard」としても追跡されているロシアの攻撃者グループ。過去に「SolarWinds」のサプライチェーン攻撃や、新型コロナウイルスワクチンの開発情報を狙った攻撃などに関与したと見られている。 米国家安全保障局(NSA)、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)をはじめとする米当局では、同グループがロシア対外情報庁(SVR)の一部である可能性が高いと分析しており、イギリス、カナダ、オーストラリア、ニュージランドなど
大阪市は、消防局において、個人情報含む書類の誤交付が発生したことを明らかにした。 同市によれば、普通救命講習受講を申請した事業所に対し、消防局が行政オンラインシステムにより普通救命講習受講通知書を交付する際、誤って別の事業所の個人情報を含む書類を交付するミスがあったという。 誤って交付したのは、救命講習等受講申込書と救命講習等受講者名簿。申込書には申請者1人の氏名、名簿には受講予定者12人の氏名が記載されていた。 2月9日9時半ごろ、交付を受けた事業所から連絡があり誤交付が判明。誤って交付された書類は閲覧のみで、ダウンロードしていなかった。 同市では、両事業所に経緯を説明するとともに謝罪。本来の対象事務所に「普通救命講習受講通知書」を交付している。 (Security NEXT - 2024/02/21 ) ツイート
次のページ
このページを最初にブックマークしてみませんか?
『セキュリティ、個人情報の最新ニュース:Security NEXT』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く