「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2020.07.03(金)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特集 コラム
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●EC-CUBEに危険度の高いものを含む6件の脆弱性が公表される

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特に個人情報漏洩の脆弱性は深刻度が高いようなので、EC-Cubeを使ってショッピングサイトを構築されている管理者の方は、すぐに最新版にアップデートするかパッチを適用した方がいいと思うにゃー。
http://www.ec-cube.net/info/weakness/

●標的型攻撃は手法の改良が顕著に、標的はより小規模企業へ

11月14日には株式会社シマンテックから「シマンテック インテリジェンス レポート 2013年9月号(日本語版)」が発表されたんだにゃー。9月号では2013年の標的型攻撃
について詳しく取り上げているんだにゃー。

レポートによると、従業員2500人以上の企業が標的型攻撃に遭った割合は減っているけれど、251~500人の企業は7%の増加、501~1000人の企業は8%の増加が見られているんだって。自分の会社は小さいから関係ないと思ってた人も注意しておく必要があるんだにゃー。
http://www.symantec.com/ja/jp/security_response/publications/monthlythreatreport.jsp

●三菱東京UFJ銀行を騙るフィッシングが行われているとの注意喚起

11月18日には三菱東京UFJ銀行をかたるフィッシングメールが出回っているとフィッシング対策協議会から注意が呼びかけられているよ。フィッシングメールは「三菱東京UFJ銀行――安全確認」というタイトルでフィッシングサイトへの誘導を行っているんだにゃー。

フィッシングサイトではログインに使う乱数表の数字を全部入れさせるみたいだけど、本物のサイトでは乱数表の数字を全部入れることなんてありえないから、絶対に騙されないようにしてほしいにゃー。あとブラウザーのEV-SSL表示もちゃんと確認してほしいにゃー。
http://www.antiphishing.jp/news/alert/mufg20131118.html

●Adobeユーザの盗まれたパスワードのうち200万人が「123456」を利用していた

AdobeのWebサイトが攻撃に遭い、1億5000万人ものユーザーのIDとパスワードハッシュなどの個人情報が明らかになってしまったんだけど、そのパスワードを調べてみると、なんと200万人ものユーザーがパスワードに「123456」を使用していたことがわかったんだにゃー。

その他にも「123456789」や「password」も何十万もの人が使っているみたいなんだにゃー。数字だけ見ると驚くしかないけれど、割合でいうと1.5%と他の会社とそれほど変わりはないのかもしれないにゃー。

・Adobeユーザの盗まれたパスワードは悲惨なものだった~約 200 万人の顧客がパスワード「123456」を利用(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/21/32990.html

●暗号化メールの解読に成功したら5%の株がもらえる!?

ハンガリーのスタートアップ企業MySecureZoneが面白い試みを始めているよ。同社が11月4日から開始したハッキングコンテストで、同社のシステムを使って暗号化したメールを最初に解読できた人に5%の株をプレゼントするんだにゃー。

株をもらえた人はスタートアップが成功したら大儲けなんだにゃー。でも自分が解読できてしまった暗号化の仕組みを使ったシステムが成功するとは信じられないかもしれないよにゃー。

・当社が「軍用レベル」で暗号化したメールを解読できた方に、当社の5%の株を譲渡します~ハンガリーのスタートアップ企業は、斬新なバグチェックシステムの導入を試みる(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/19/32972.html
先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report) 画像

LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report)
クラウド侵害の半数近くがホストアプリを経由(日本IBM) 画像

クラウド侵害の半数近くがホストアプリを経由(日本IBM)
サイボウズ「Garoon」に複数の脆弱性(JVN) 画像

サイボウズ「Garoon」に複数の脆弱性(JVN)
国税庁「e-Tax受付システムAP」にコマンド実行の脆弱性(JVN) 画像

国税庁「e-Tax受付システムAP」にコマンド実行の脆弱性(JVN)
復号代金だけでなくデータ漏えいでも脅迫「暴露型ランサムウェア」の手口と対応例(マクニカネットワークス) 画像

復号代金だけでなくデータ漏えいでも脅迫「暴露型ランサムウェア」の手口と対応例(マクニカネットワークス)
ECプラットフォーム Adobe「Magento」に複数の脆弱性、アップデートを呼びかけ(JPCERT/CC) 画像

ECプラットフォーム Adobe「Magento」に複数の脆弱性、アップデートを呼びかけ(JPCERT/CC)

インシデント・事故 記事一覧へ

「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器) 画像

「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器)
LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE) 画像

LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)
ABEイニシアティブポータルサイト、サイト開設時から44回の不正アクセスが新たに判明(JICE) 画像

ABEイニシアティブポータルサイト、サイト開設時から44回の不正アクセスが新たに判明(JICE)
海外グループ会社メールアカウントに不正アクセス、迷惑メール送信(古野電気) 画像

海外グループ会社メールアカウントに不正アクセス、迷惑メール送信(古野電気)
自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市) 画像

自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)
「GEKIROCK CLOTHING」への不正アクセス最終報、カード情報321件が流出の可能性(激ロックエンタテインメント) 画像

「GEKIROCK CLOTHING」への不正アクセス最終報、カード情報321件が流出の可能性(激ロックエンタテインメント)

調査・レポート・白書 記事一覧へ

金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁) 画像

金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁)
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について(ICT-ISAC) 画像

家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について(ICT-ISAC)
マルウェアの3分の2が暗号化、四半期レポート(ウォッチガード) 画像

マルウェアの3分の2が暗号化、四半期レポート(ウォッチガード)
新型コロナ関連攻撃の約8割がフィッシング--四半期動向(NTTデータ) 画像

新型コロナ関連攻撃の約8割がフィッシング--四半期動向(NTTデータ)
サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁) 画像

サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)
外交や安全保障、経済政策などの組織や人物に標的型攻撃--J-CRATレポート(IPA) 画像

外交や安全保障、経済政策などの組織や人物に標的型攻撃--J-CRATレポート(IPA)

研修・セミナー・カンファレンス 記事一覧へ

製品レビュー:北朝鮮 国産アンチウイルスソフト4種 画像

製品レビュー:北朝鮮 国産アンチウイルスソフト4種
CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会) 画像

CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会)
ネットを楽しく利用するための注意点をテーマに動画コンテスト開催(トレンドマイクロ) 画像

ネットを楽しく利用するための注意点をテーマに動画コンテスト開催(トレンドマイクロ)
ひとつのエージェントで多機能を実現、解説セミナー(CrowdStrike) 画像

ひとつのエージェントで多機能を実現、解説セミナー(CrowdStrike)
募集開始2時間で満席になった人気フォレンジック勉強会、第2回開催(イエラエセキュリティ) 画像

募集開始2時間で満席になった人気フォレンジック勉強会、第2回開催(イエラエセキュリティ)
打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊 画像

打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊

製品・サービス・業界動向 記事一覧へ

GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス) 画像

GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス)
フィッシング詐欺の予防から被害時の対応までワンストップでサポート(NTTドコモ) 画像

フィッシング詐欺の予防から被害時の対応までワンストップでサポート(NTTドコモ)
遭遇したインシデントも盛り込む、NTTドコモのクラウド利用ノウハウ集「ドコモ・クラウドパッケージ」 画像

遭遇したインシデントも盛り込む、NTTドコモのクラウド利用ノウハウ集「ドコモ・クラウドパッケージ」
子供にスマホを持たせる親へのハンドブックを無償提供(トレンドマイクロ) 画像

子供にスマホを持たせる親へのハンドブックを無償提供(トレンドマイクロ)
オンラインで受験可能、脆弱性診断ツール「Vex」の認定実技試験(ユービーセキュア) 画像

オンラインで受験可能、脆弱性診断ツール「Vex」の認定実技試験(ユービーセキュア)
脆弱性情報を一元化しランキング形式で閲覧できるサブスクサービス(エイチ・シー・ネットワークス) 画像

脆弱性情報を一元化しランキング形式で閲覧できるサブスクサービス(エイチ・シー・ネットワークス)

おしらせ 記事一覧へ

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×