サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
都知事選
www.security-next.com
VMwareは、同社の仮想化ソフトウェア「VMware ESXi」「VMware Workstation」「VMware Fusion」のセキュリティアップデートをリリースした。いずれの環境についても重要度を「クリティカル」としており、重要度が高いことからサポートが終了した「ESXi 6.7」「同6.5」向けにもパッチを用意している。 製品によって影響を受ける脆弱性は異なるが、あわせて4件の脆弱性が明らかとなった。いずれも外部に非公開で報告を受けたという。 個々の脆弱性で見た場合、重要度がやや低くなる場合もあるが、組み合わせた場合の影響を踏まえると、いずれの製品においても重要度を4段階中もっとも高い「クリティカル(Critical)」と評価している。 「CVE-2024-22252」「CVE-2024-22253」は、USBコントローラにおいて解放後のメモリを使用するいわゆる「Use Af
米政府は、ロシア政府が関与するサイバー攻撃グループ「APT29」が、クラウド環境を標的に攻撃を展開しているとし、手法や対策などを取りまとめ注意を呼びかけた。「初期アクセス」の獲得を阻止することが「最初の防衛線」になると対策の重要性を訴えている。 「APT29」は、別名「Cozy Bear」「Dukes」「Midnight Blizzard」としても追跡されているロシアの攻撃者グループ。過去に「SolarWinds」のサプライチェーン攻撃や、新型コロナウイルスワクチンの開発情報を狙った攻撃などに関与したと見られている。 米国家安全保障局(NSA)、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)をはじめとする米当局では、同グループがロシア対外情報庁(SVR)の一部である可能性が高いと分析しており、イギリス、カナダ、オーストラリア、ニュージランドなど
大阪市は、消防局において、個人情報含む書類の誤交付が発生したことを明らかにした。 同市によれば、普通救命講習受講を申請した事業所に対し、消防局が行政オンラインシステムにより普通救命講習受講通知書を交付する際、誤って別の事業所の個人情報を含む書類を交付するミスがあったという。 誤って交付したのは、救命講習等受講申込書と救命講習等受講者名簿。申込書には申請者1人の氏名、名簿には受講予定者12人の氏名が記載されていた。 2月9日9時半ごろ、交付を受けた事業所から連絡があり誤交付が判明。誤って交付された書類は閲覧のみで、ダウンロードしていなかった。 同市では、両事業所に経緯を説明するとともに謝罪。本来の対象事務所に「普通救命講習受講通知書」を交付している。 (Security NEXT - 2024/02/21 ) ツイート
国内の主要上場企業において送信ドメイン認証技術である「DMARC」の導入が加速している。しかしながら、ドメイン全体で見ると導入されているのは3分の1ほどで、なりすましメールを「隔離」したり「拒否」するよう設定されていたドメインは4.8%にとどまった。 東京証券取引所のプライム市場へ上場し、株価指標に採用されている主要225社が管理、運用するドメイン8545件の状況についてTwoFiveが調査したもの。 「DMARC」を関しては、2023年10月にGoogleや米Yahoo!が迷惑メール対策を強化する方針を公表。1日あたり5000件以上のメールを送信する場合に、「DMARC」への対応などを求めており、2月から一部ガイドラインの運用も開始されている。 2月の時点で調査対象の85.8%にあたる193社が、少なくとも1つのドメインで「DMARC」を導入。2023年11月の153社から17.8ポイン
ビデオ会議サービスを提供するZoomは、現地時間2月13日にセキュリティアドバイザリを公開した。複数の脆弱性に対応しており、なかでもWindows向けのクライアントソフトやSDKでは、重要度が「クリティカル」とされる脆弱性を解消している。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて7件の脆弱性を公表したもの。 脆弱性によって影響を受けるプラットフォームは異なるが、パソコンやモバイルのクライアントソフトをはじめ、Windowsでは「Zoom VDI Client」「Zoom Video SDK」「Zoom Meeting SDK」なども影響を受ける。 なかでもWindows環境に影響がある「CVE-2024-24691」については、重要度が「クリティカル(Critical)」とレーティングされている。 入力の検証に不備があり、
Internet Systems Consortium(ISC)は、現地時間2月13日にDNSサーバ「BIND 9」のセキュリティアップデートをリリースした。一部脆弱性は影響範囲が広く、クエリ、応答のいずれにおいても悪用が可能であるとして関連機関から緊急で対策を講じるよう注意喚起が行われている。 脆弱性によって影響を受ける利用環境やバージョンは異なるが、あわせて7件の脆弱性が明らかとなった。 重要度が「クリティカル(Critical)」とされる脆弱性は含まれていないが、「CVE-2023-4408」「CVE-2023-5517」「CVE-2023-5679」「CVE-2023-6516」「CVE-2023-50387」「CVE-2023-50868」の6件については、上から2番目にあたる「高(High)」とレーティングされている。 DNSメッセージの解析に不備があり、細工したクエリや応答に
Fortinet製品に搭載されている「FortiOS」にリモートより攻撃を受けるおそれがある深刻な脆弱性が複数明らかとなった。「SSL VPN」機能に判明した脆弱性は、すでに悪用されている可能性もあるという。 同社は、現地時間2月8日にセキュリティアドバイザリを公開し、「FortiOS」に関する4件の脆弱性を明らかにした。 なかでも「CVE-2024-21762」「CVE-2024-23113」の2件については、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価し、重要度を5段階中もっとも高い「クリティカル(Critical)」とレーティングしている。 「CVE-2024-21762」は、「sslvpnd」において域外メモリに書き込みが行われる脆弱性。リモートより細工したHTTPリクエストを送信することで、認証なしに任意のコードを実行することが可能だとしている。同脆
ルーターやファイアウォールなどの機能を提供するLinuxディストリビューション「ZeroShell」に脆弱性が指摘されていた問題で、すでにプロジェクトは終了しているとして、利用の中止が呼びかけられている。 同製品については、2020年にコマンドインジェクションの脆弱性「CVE-2020-29390」が明らかとなっていた。ウェブインタフェースにアクセスできる攻撃者によって認証なしに悪用されるおそれがあり、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」と評価されている。 JPCERTコーディネーションセンターは、2月7日にJVNで同脆弱性に関する調整を行ってきたことを明らかにした。2020年8月にMYTコンサルティングの日留川紀彦氏による届け出を情報処理推進機構(IPA)が受理し、その後も対応が進められていた。 2023年11月に開発者と連絡が取れたが、開発者は「Zero
コンテナ関連のコアコンポーネントにコンテナによる制限を回避し、ホストOSのroot権限によるアクセスが可能となる脆弱性「Leaky Vessels」が明らかとなった。 「Dockerエンジン」で使用されるコンテナランタイム「runc」や、コンテナイメージをビルドするためのツールキット「BuildKit」に脆弱性が明らかとなったもの。発見したSnykの研究者は、これら脆弱性を「漏れる容器」を意味する「Leaky Vessels」と名付けている。 コンテナを起動、実行するために用いるOpen Container Initiative(OCI)の「runc」では、「同1.1.11」および以前のバージョンに「CVE-2024-21626」が判明。 またMoby Projectの「Buildkit」では、「同0.12.4」および以前のバージョンに「TOCTOU」によるマウントキャッシュの競合の脆弱性
京都市スポーツ協会は、同協会が主催した講座の参加者へメールを送信した際にミスがあり、メールアドレスが流出したことを明らかにした。 同協会によれば、1月23日、2023年度スポーツ講座に参加した67人に対し、謝意を伝えるメールを送信した際、受信者が互いのメールアドレスを閲覧できる状態で送信するミスがあったという。 同協会では、対象となる参加者に謝罪。誤送信したメールを削除するよう依頼している。 (Security NEXT - 2024/02/02 ) ツイート
NRIセキュアテクノロジーズは、日本企業約1600社をはじめ、米国やオーストラリアの企業を対象にセキュリティ対策の実態調査を実施し、結果を取りまとめた。「DMARC」の導入状況など大きな差が見られた。 同社が2023年8月から9月にかけて2783社を対象にセキュリティに関する実態調査を実施したもの。日本の1657社、米国の540社、オーストラリアの586社が回答した。 送信ドメイン認証技術である「DMARC」について、米国は81.8%、オーストラリアは89.4%の企業が、「reject(拒否)」「quarantine(隔離)」「none(何もしない)」のいずれかで「実施済み」であると答えた。日本では13.0%と2割に満たない。 ルールを「reject」あるいは「quarantine」としている企業に絞ると、やや減少して米国では71.8%、オーストラリアは72.5%となるが、それでも7割を超
米政府は、「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure Gateway」に深刻な脆弱性が見つかり、広範な攻撃も発生していることを受け、現地時間1月19日に緊急指令「ED 24-01」を発行した。同国内の行政機関に対し、調査を実施して結果を報告するよう求めるとともに、利用を再開する場合の条件なども示している。 「CVE-2023-46805」「CVE-2024-21887」について、広範かつ積極的に悪用されていることを確認しており、行政機関におけるセキュリティ上の重大な脅威になるとして、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が緊急命令を発行したもの。 これまでも現地時間1月10日にIvantiよりセキュリティアドバイザリがリリースされたことを受け、CISAでは同日脆弱性を「
JPCERTコーディネーションセンターは、2023年第4四半期に報告を受けたインシデントの状況について取りまとめた。脆弱性に対する探索、感染試行などの行為が前四半期から倍増している。 同センターによれば、同四半期に寄せられたインシデントの報告は1万273件。前四半期の1万6768件から39%減少した。一方重複を除いたインシデント件数は6448件で、前四半期の5903件から545件増加している。関係者などへ対応を依頼した調整件数は5444件だった。 同四半期にインシデントが増加した背景には、脆弱性の探索や侵入、感染の試行などを検知した「スキャン」が、前四半期の639件から倍増し、1393件となったことが大きく影響している。また「その他」と分類されたケースも292件から455件へと増加した。 一方、インシデントの約7割を占める「フィッシングサイト」をはじめ、「ウェブサイト改ざん」「マルウェアサ
コンテンツマネジメントシステム(CMS)である「Drupal」の旧版に脆弱性が明らかとなった。すでにサポートが終了しており、最新版への更新が呼びかけられている。 脆弱性情報のポータルサイトであるJVNによれば、「同9.3.6」において特定の構造を持つ入力に対して処理に不備があり、サービス拒否が生じる脆弱性「CVE-2024-22362」が明らかとなった。ただし、「同10」や「同9.5.x」において同脆弱性の影響は確認されていないという。 同脆弱性は、ブロードバンドセキュリティの志賀拓馬氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。 依存するサードパーティ製ソフトウェアのサポート終了なども受けて、「同9」は現地時間2023年11月1日にサポートが終了している。 「CVE-2024-22362」に関しては対象となるバージョンが限定的だが、
Synologyは、「Synology DiskStation Manager(DSM)」において脆弱性が明らかとなり、アップデートを順次提供している。 同製品において、ローカルユーザーによって任意のコードを実行することが可能となる脆弱性が明らかとなり、アップデートをリリースしたもの。 脆弱性の悪用にあたっては、ユーザーが同社非公式のサイトから悪意のあるパッチをダウンロードし、手動でインストールする必要があるという。 同社では識別子「SA-24:01」のもと対応を進めている。CVE番号は不明。重要度は、4段階中、上から2番目にあたる「重要(Important)」とレーティングした。 同社は脆弱性を修正した「DSM 7.2-64561」「DSMUC 3.1.2-23068」をリリース。「DSM7.1」「同6.2」のアップデートに関しても対応を進めている。 (Security NEXT - 2
2023年第3四半期に発生したオンラインバンキングの不正送金被害額は、前期を大きく上回る29億6000万円となり過去最悪を更新した。 全国銀行協会が、会員191行を対象に2023年7月から9月にかけて発生した不正送金被害の状況を調査し、結果を取りまとめたもの。預金者本人以外が不正に送金し、振込先から金銭が引き出されて返還できなかったケースを集計している。 被害件数は、個人と法人あわせて1582件。前四半期の1768件から減少するも高い水準が続いている。被害額は29億6000万円。過去最悪を記録した前四半期の20億2800万円を大きく上回った。 被害の内訳を見ると、個人における被害が1568件、被害額が29億2600万円と大半を占める。被害件数は前四半期の1743件から減少したが、被害額は前四半期の19億6600万円から約1.5倍に増加した。 1件あたりの平均被害額は約187万円。前四半期の
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、米行政機関向けに「Microsoft 365」を利用する際のセキュリティ構成ベースラインと評価ツールを公開した。 同庁では、クラウド環境に保存された行政機関の情報資産を保護するため、2022年4月にSecure Cloud Business Applications(SCuBA)プロジェクトを設置。同年10月に「Microsoft 365」のセキュリティ構成ベースラインのパブリックコメント案を公開し、意見を募集していた。 パブリックコメントに寄せられた数百件の意見をもとに100以上の見直しを実施。パイロットプロジェクトを経て、今回「Secure Configuration Baselines for Microsoft 365 Version 1.0」をリリースした。 具体的には、「Microsoft Teams」「D
米豪当局は、北南米やヨーロッパなどで被害が拡大しているランサムウェア「Play」の攻撃手法など詳細を明らかにし、注意を呼びかけた。 2022年6月以降、活動が確認されている同ランサムウェアについて、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、豪サイバーセキュリティセンター(ACSC)が共同でアドバイザリをリリースし、注意を呼びかけたもの。 攻撃グループは、ランサムウェアを用いてデータを盗み出し、さらに利用できないよう暗号化することで身代金を要求するいわゆる「二重脅迫」のモデルを採用していることで知られており、企業や重要インフラなどでも被害が発生した。 ファイルの拡張子を「.play」に変更する特徴があり、のこされる身代金のメモには要求金額など詳細は示されておらず、メールで連絡を取るよう促される。 FBIでは、10月の時点で同ランサムウェアに
「Perl」に脆弱性が明らかとなった。アップデートにて修正されている。 「同5.30.0」以降において、プロパティ名の処理に問題があり、未割り当てのメモリ領域に書き込むおそれがある脆弱性「CVE-2023-47100」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価。重要度を「クリティカル(Critical)」とレーティングしている。 ソースリポジトリにおいてパッチが提供されているほか、現地時間11月29日にリリースされた「同5.38.2」にて修正されている。 (Security NEXT - 2023/12/15 ) ツイート
Fortinetは、現地時間12月12日にセキュリティアドバイザリをリリースし、同社製品が影響を受ける複数の脆弱性について明らかにした。「クリティカル(Critical)」とされる脆弱性も含まれる。 同社製品にOSとして搭載されている「FortiOS」において、認証されたユーザーが悪用できるダブルフリーの脆弱性「CVE-2023-41678」、APIリクエストを介して不正なコードやコマンドを実行できる「CVE-2023-36639」をはじめ、、同社複数製品における12件の脆弱性について明らかにしたもの。 なかでも「FortiMail」の特定環境下でログインをバイパスし、管理者としてアクセスが可能となる脆弱性「CVE-2023-47539」については、同社において重要度を5段階中もっとも高い「クリティカル(Critical)」とレーティングした。 重要度が2番目に高い「高(High)」とされ
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているフォーム作成プラグイン「MW WP Form」に深刻な脆弱性が明らかとなった。早急にアップデートを実施するよう呼びかけられている。 「同5.0.1」および以前のバージョンにおいて、ファイルタイプの検証を行っているものの、ログに記録するだけで任意のファイルをアップロードできる脆弱性「CVE-2023-6316」が明らかとなったもの。 同脆弱性は、フォーム設定において問い合わせ内容をデータベースに保存するようオプションを設定している場合に影響があり、悪用されるとリモートよりコードを実行されるおそれがある。 同脆弱性を発見、報告したDefiantのWordfence脅威インテリジェンスチームは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレー
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、「悪用が確認された脆弱性カタログ(KEV)」より1件の脆弱性を削除した。脆弱性であるとの指摘そのものが誤りであることが判明し、CVE番号そのものが廃止となっている。 問題の脆弱性は、D-Link Systemsが提供するルータ製品「DIR-816L」の脆弱性として報告された「CVE-2022-28958」。2022年4月にCVE番号が採番され、「KEV」には現地時間2022年9月8日に追加された。 悪用されるとリモートよりコードを実行されるおそれがあるとされ、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」との評価だった。 同脆弱性に関しては、Palo Alto Networksによ
GNUプロジェクトによる標準Cライブラリの実装「GNU Cライブラリ(glibc)」に判明した権限昇格の脆弱性「CVE-2023-4911」が悪用されているとして米当局は注意喚起を行った。他脆弱性と組み合わせた攻撃が確認されている。 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、現地時間11月21日に「悪用が確認された脆弱性カタログ(KEV)」へ同脆弱性を追加。行政機関へ対策を促すとともに、広く注意を呼びかけた。 「CVE-2023-4911」は、「gclib」に判明したバッファオーバーフローの脆弱性。「SUID」が設定されたバイナリにおいて、同脆弱性を悪用することによりroot権限を取得することが可能となる。 9月にQualysが報告し、調整を経て現地時間10月3日にセキュリティアドバイザリがリリースされた。環境変数「GLIBC_TUNABLES」の処理に存在し
Fortinetは、現地時間11月14日にセキュリティアドバイザリ20件を公開し、複数製品に関する脆弱性を明らかにした。「FortiSIEM」「FortiWLM」では特に影響が大きい脆弱性が明らかとなっている。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせてセキュリティアドバイザリ20件を公開したもの。サードパーティに起因するものも含め、あわせて21件の脆弱性について明らかにした。 同社における5段階の重要度において、もっとも高い「クリティカル(Critical)」とされる脆弱性は「CVE-2023-36553」「CVE-2023-34991」の2件。 「CVE-2023-36553」は、「FortiSIEM」に明らかとなったOSコマンドインジェクションの脆弱性。細工したAPIリクエストにより認証なしにコマンドを実行されるおそれ
マイクロソフトは、11月の月例セキュリティ更新プログラムを公開した。3件の脆弱性についてはすでに悪用が確認されている。 今回のアップデートでは、「Windows」「Office」をはじめ、「Microsoft Exchange Server」「Microsoft Dynamics」「Azure」「ASP.NET」「.NET Framework」「Visual Studio」などに明らかとなった脆弱性を修正した。 CVEベースで58件の脆弱性に対応。最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性が3件。次に高い「重要(Important)」とされる脆弱性が55件となっている。 脆弱性によって影響は異なるが、15件についてはリモートよりコードを実行されるおそれがある。また権限昇格の脆弱性16件やなりすましの脆弱性10件、情報漏洩の脆弱性6件、セキュリ
フランスの非営利団体Videolanが開発するマルチメディアプレイヤー「VLC media player」に脆弱性が明らかとなった。10月末にリリースされたアップデートで修正されている。 「MMS(Microsoft Media Server)」プロトコルの処理を行う一部関数にヒープベースのバッファオーバーフローの脆弱性「CVE-2023-47359」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。 脆弱性の発見者は1月9日に開発者へ報告。9月7日に同問題を認識したとの返信があり、現地時間10月30日にリリースされた「同3.0.20」にて修正されたという。 (Security NEXT - 2
メッセージブローカー「Apache ActiveMQ」に脆弱性「CVE-2023-46604」が明らかとなった問題で、すでに実証コードが公開されており、悪用されていることがわかった。セキュリティベンダーや米当局では注意を呼びかけている。 「CVE-2023-46604」は、「OpenWire」の処理に不備があり、リモートよりコードを実行されるおそれがある脆弱性。共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値の「10」、重要度は4段階中もっとも高い「クリティカル(Critical)」と評価されている。 開発グループでは現地時間10月26日、「Apache ActiveMQ」および「Apache ActiveMQ Legacy OpenWire Module」向けに脆弱性を修正したアップデートをリリースした。 Rapid7によると、現地時間10月27日に同脆弱性の悪用を試みた
国立環境研究所は、同法人で利用していたオンラインストレージ「Proself」がゼロデイ攻撃を受け、同ツールでやり取りされた一部データが外部に流出した可能性があることを明らかにした。 同法人によれば、9月15日から同月22日にかけて、当時開発元であるノースグリッドにおいても把握しておらず、修正パッチや回避策なども用意されていなかった「Proself」の脆弱性「CVE-2023-45727」を突く不正アクセスを受けたという。 10月5日にベンダーより脆弱性に対するゼロデイ攻撃が発生しているとの情報提供があり調査を行ったところ、不正アクセスを受けた痕跡を確認。同日同製品の利用を停止した。 攻撃を通じてアカウントの一覧やパスワードのハッシュ値を窃取され、それら情報を用いてサーバ内に保存されていた一部データに対して不正アクセスが行われたことも10月10日に判明している。 同法人職員の健診受診者や
F5が提供するネットワーク製品「BIG-IP」に認証をバイパスできる深刻な脆弱性「CVE-2023-46747」が明らかとなった問題で、別の脆弱性を組み合わせた攻撃が発生していることがわかった。侵害されている可能性も考慮し、対処するよう同社は呼びかけている。 同社によると、「CVE-2023-46747」と「構成ユーティリティ」において任意のシステムコマンドを実行することが可能となる「SQLインジェクション」の脆弱性「CVE-2023-46748」を組み合わせた攻撃が確認されたもの。 F5では、10月27日にこれら脆弱性に関するセキュリティアドバイザリを公開。「BIG-IP 17」「同16」「同15」「同14」「同13」向けに脆弱性を修正するホットフィクスをリリースした。特に「CVE-2023-46747」に関しては、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」、重
次のページ
このページを最初にブックマークしてみませんか?
『セキュリティ、個人情報の最新ニュース:Security NEXT』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く