Appleは、同社スマートフォン「iPhone」やタブレット「iPad」向けに複数の脆弱性を解消するセキュリティアップデートをリリースした。すでに脆弱性が悪用されているとの報告があるという。 現地時間6月21日に最新OSとなる「iOS 16.5.1」「iPadOS 16.5.1」をリリースし、2件の脆弱性へ対処したもの。 カーネルの権限でコードの実行が可能となる整数オーバーフローの脆弱性「CVE-2023-32434」を修正。細工されたウェブコンテンツを閲覧すると任意のコードを実行される「WebKit」の脆弱性「CVE-2023-32439」に対応した。 Appleは、ともに悪用の報告があると説明。「CVE-2023-32434」に関しては「iOS 15.7」より以前のバージョンを標的として攻撃が行われた可能性があるという。 さらに同社は「iPhone 6s」や「iPhone 7」のほか、

機械学習のライフサイクルを管理するプラットフォーム「MLflow」にパストラバーサルの脆弱性が明らかとなった。できるだけ早くアップデートを実施するよう呼びかけられている。 「同2.3.0」において「REST API」経由でモデルバージョンを作成した際、トラッキングサーバのローカルファイルにアクセスが可能となる相対パストラバーサルの脆弱性「CVE-2023-2356」が明らかとなったもの。 CVE番号を採番した脆弱性報告サイト「huntr」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値である「10」とし、重要度を「クリティカル（Critical）」とレーティングしている。 開発チームでは、バグなどとともに同脆弱性を修正したアップデート「同2.3.1」を現地時間4月29日にリリース。できるだけ早期に同バージョンへ更新するよう利用者に呼びかけている。 （Security

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、10件の脆弱性について積極的な悪用が確認されているとし、注意を呼びかけている。 「悪用が確認された脆弱性カタログ（KEV）」へ2013年以降に明らかとなった脆弱性10件を追加し、注意喚起を行ったもの。収録された脆弱性は積極的に悪用されており、関連する製品を利用している組織では警戒する必要がある。 2023年に入ってから明らかとなった脆弱性は、Linuxカーネルの「ALSA PCM」パッケージに明らかとなった「Use After Free」の脆弱性「CVE-2023-0266」のみ。他脆弱性は2022年以前に公表されたものとなる。 5件については、2022年に判明した脆弱性。ブラウザ「Chrome」に明らかとなった「CVE-2022-3038」をはじめ、「Cobalt Strike」における「CVE-2022-42948

デジタル庁、総務省、経済産業省は、「電子政府における調達のために参照すべき暗号のリスト（CRYPTREC暗号リスト）」を3月30日に改定した。 暗号技術の適切な実装や運用について調査、検討を行っている政府の暗号技術検討会や関連委員会のプロジェクト「CRYPTREC（Cryptography Research and Evaluation Committees）」では、電子政府推奨暗号の安全性評価や監視を行っており、「CRYPTREC暗号リスト」を提供しているが、同リストについてパブリックコメントを経て改定を実施したもの。 同資料では、プロジェクトを通じて安全性や実装性能を確認した暗号技術について、市場の利用実績が十分なものや、今後の普及が見込まれるものを「電子政府推奨暗号リスト」として提供。 今後リストに追加される可能性がある「推奨候補暗号リスト」や、危殆化によって非推奨となるものの、互換

インターネットイニシアティブ（IIJ）は、2月に同社で観測したDDoS攻撃の状況を取りまとめた。前月より減少したが、初旬の3日間に攻撃が集中するなど特徴も見られた。 同社が提供するサービスやバックボーンを通じて観測したDDoS攻撃の状況を取りまとめたもの。同月の攻撃は561件で、前月の687件から減少した。1日あたりの平均攻撃件数は20.0件で前月から2.2件減となる。 同月2日より4日にかけて攻撃が集中しており、3日間で200件を超える攻撃を観測。ピークを迎えた3日には約100件の攻撃が行われたという。 もっとも規模が大きかった攻撃は、DNSプロトコルを用いたリフレクション攻撃。約59万ppsのパケットにより、約4.5Gbpsのトラフィックが発生した。前月の約508万pps、約45.3Gbpsと比較すると約10分の1の規模に縮小している。 継続時間がもっとも長かったのは、DNSやNTPな

マイクロソフトは、2023年3月の月例セキュリティ更新プログラムを公開し、あわせて80件の脆弱性へ対応した。一部脆弱性はすでに悪用が確認されている。 今回のアップデートでは、「Windows」や「Office」をはじめ、「Azure」「Microsoft Dynamics」「Microsoft Windows Codecs Library」「Microsoft Graphicsコンポーネント」「Windows Hyper-V」などの脆弱性を修正した。 CVEベースであわせて80件の脆弱性に対応しており、最大重要度が4段階中もっとも高い「クリティカル（Critical）」とされる脆弱性は9件。次に高い「重要（Important）」とされる脆弱性が70件、「警告（Moderate）」とされる脆弱性が1件だった。 脆弱性によって影響は異なるが、27件については悪用されるとリモートよりコードを実行

「マルウェアに感染した」などと偽の警告画面を表示し、電話をかけさせて金銭などをだまし取る悪質な詐欺行為が横行している。ウェブサイトを閲覧している際に電話をかけるよう指示する表示が出ても、安易に応じないよう注意が呼びかけられている。 「偽セキュリティ警告」は、ウェブサイトなどを閲覧している際、実際はトラブルが発生していないにも関わらず、「マルウェアに感染した」などと警告画面に似せた画像を表示する詐欺の手口。 マイクロソフトやセキュリティベンダーなど著名企業の名をかたり、サポート窓口などを装う電話番号へ連絡を取るよう求め、言葉巧みに対応費用などと称して金銭をだまし取る。「サポート詐欺」などとも呼ばれている。 問題の「偽警告画面」は、攻撃者が設置したサイトや改ざん被害に遭ったサイト、ブラウザの通知機能など何らかの方法を用いて、攻撃者があらかじめ用意したウェブコンテンツを表示したものに過ぎないが、

Fortinet製品に複数の脆弱性が明らかとなった。「FortiOS」や「FortiProxy」では、重要度が「クリティカル（Critical）」とされる脆弱性「CVE-2023-25610」が判明している。 同社は現地時間3月7日にセキュリティアドバイザリ15件をリリースし、利用者に注意喚起を行った。脆弱性の重要度を見ると、5段階中もっとも高い「クリティカル（Critical）」とされる脆弱性は1件。2番目に高い「高（High）」とされる脆弱性が5件、続く「中（Medium）」が8件、「低（Low）」が1件となっている。 「クリティカル」とされる脆弱性は、「FortiOS」および「FortiProxy」が影響を受けるバッファアンダーフローの脆弱性「CVE-2023-25610」。管理画面インタフェースに対して細工したリクエストを送信されると、認証なしにコードを実行されたり、サービス拒否に

遠隔より端末の管理やモニタリングを行うために提供されている正規のソフトウェアが、攻撃者によって悪用されるケースがあるとして、米政府は注意を喚起した。 リモート管理ソフトウェアを悪用した広範なサイバー攻撃キャンペーンが展開されているとして、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）や米国家安全保障局（NSA）、米MS-ISAC（Multi-State ISAC）が共同で注意を呼びかけたもの。 攻撃者はメールを通じて被害者をだまし、本来端末の管理など正当な理由のもと一般的に提供されているプログラムをダウンロードさせ、被害者の端末を操作するバックドアとして悪用していた。 少なくとも2022年6月以降に連邦行政機関職員に対する攻撃が展開されていることを確認しており、メールではヘルプデスクに見せかけ、「Norton」「McAfee」「Microsoft」「Amazon」「P

情報処理推進機構（IPA）は、国家資格である「情報処理安全確保支援士（登録セキスぺ）」の試験について試験時間を短縮すると発表した。 「情報処理安全確保支援士試験」の午後試験において出題構成の見直しを実施したもの。「午後I試験」と「午後II試験」を統合し、あわせて210分としていた従来の試験時間を60分短縮し、今後は150分とする。 午後試験の解答数についても、これまであわせて3問に回答する必要があったが、今後は2問に回答するよう変更。人材やスキルの需要に応えるべく、受験しやすいよう変更したという。 また「情報処理安全確保支援士試験」以外に「エンベデッドシステムスペシャリスト試験」「ITストラテジスト試験」「システムアーキテクト試験」の午後試験についても変更を行っている。 （Security NEXT - 2022/12/20 ） ツイート

Fortinetは、同社ゲートウェイ「FortiGate」に採用されている「FortiOS」に深刻な脆弱性「CVE-2022-42475」が見つかった問題で、アップデートを追加した。 「CVE-2022-42475」は、バッファオーバーフローの脆弱性。リモートより悪用されるおそれがあり、すでに脆弱性を標的とした攻撃が確認されている。 同社では、現地時間12月12日にセキュリティアドバイザリを公開し、アップデートを提供するとともに、侵害の有無を確認するよう注意喚起を行ってきたが、あらたに2022年9月にサポートが終了した「同6.0」系に対しても脆弱性へ対処した「同6.0.16」を現地時間12月14日にリリースした。 同社では同バージョンも含め、修正版として「FortiOS 7.2.3」「同7.0.9」「同6.4.11」「同6.2.12」「同6.0.16」および「FortiOS-6K7K 6.

バッファローが提供する複数のWi-Fi関連製品に脆弱性が明らかとなった。ファームウェアのアップデートが呼びかけられている。 「WSR-3200AX4S」や「WSR-2533DHP」をはじめ、同社が提供するWi-Fiルータ11機種や、Wi-Fi中継機2機種に脆弱性が明らかとなったもの。3件の脆弱性が判明しており、製品によって影響を受ける脆弱性は異なるが、少なくとも2件の影響を受けるという。 ドキュメントに記載がないデバッグ機能が有効化される脆弱性「CVE-2022-43486」や、OSコマンドインジェクションの脆弱性「CVE-2022-43443」「CVE-2022-43466」などが判明した。 「CVE-2022-43466」「CVE-2022-43486」に関しては、悪用にあたり管理画面へのアクセス権限が必要だとしている。 共通脆弱性評価システム「CVSSv3.1」においてベーススコアは

テレビ朝日子会社の日本ケーブルテレビジョン（JCTV）がサイバー攻撃を受けたことがわかった。ファイルサーバやパソコン内のデータを使用できない状況となっており、内部の情報が流出した可能性もある。 同社によれば、11月6日に外部からの攻撃によって業務で用いるファイルサーバやパソコンに保存されていたデータを使用できない障害が発生したもの。ファイルを参照できず、事務作業などに支障が出ている。 端末内部には、2020年10月から2022年7月までの同社採用応募者、番組の出演者やスタッフ、退職者含む従業員などの個人情報約7000人分なども含まれており、外部に流出した可能性もあるという。 同社は本誌取材に対し、現在調査中の段階にあるとして原因などについてはコメントを避けた。同社では総務省へ事態を報告するとともに、外部事業者協力のもと対応を進めている。 同社では番組供給事業を展開しており、ニュース専門チャ