「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2021.04.23(金)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特集 コラム
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●EC-CUBEに危険度の高いものを含む6件の脆弱性が公表される

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特に個人情報漏洩の脆弱性は深刻度が高いようなので、EC-Cubeを使ってショッピングサイトを構築されている管理者の方は、すぐに最新版にアップデートするかパッチを適用した方がいいと思うにゃー。
http://www.ec-cube.net/info/weakness/

●標的型攻撃は手法の改良が顕著に、標的はより小規模企業へ

11月14日には株式会社シマンテックから「シマンテック インテリジェンス レポート 2013年9月号(日本語版)」が発表されたんだにゃー。9月号では2013年の標的型攻撃
について詳しく取り上げているんだにゃー。

レポートによると、従業員2500人以上の企業が標的型攻撃に遭った割合は減っているけれど、251~500人の企業は7%の増加、501~1000人の企業は8%の増加が見られているんだって。自分の会社は小さいから関係ないと思ってた人も注意しておく必要があるんだにゃー。
http://www.symantec.com/ja/jp/security_response/publications/monthlythreatreport.jsp

●三菱東京UFJ銀行を騙るフィッシングが行われているとの注意喚起

11月18日には三菱東京UFJ銀行をかたるフィッシングメールが出回っているとフィッシング対策協議会から注意が呼びかけられているよ。フィッシングメールは「三菱東京UFJ銀行――安全確認」というタイトルでフィッシングサイトへの誘導を行っているんだにゃー。

フィッシングサイトではログインに使う乱数表の数字を全部入れさせるみたいだけど、本物のサイトでは乱数表の数字を全部入れることなんてありえないから、絶対に騙されないようにしてほしいにゃー。あとブラウザーのEV-SSL表示もちゃんと確認してほしいにゃー。
http://www.antiphishing.jp/news/alert/mufg20131118.html

●Adobeユーザの盗まれたパスワードのうち200万人が「123456」を利用していた

AdobeのWebサイトが攻撃に遭い、1億5000万人ものユーザーのIDとパスワードハッシュなどの個人情報が明らかになってしまったんだけど、そのパスワードを調べてみると、なんと200万人ものユーザーがパスワードに「123456」を使用していたことがわかったんだにゃー。

その他にも「123456789」や「password」も何十万もの人が使っているみたいなんだにゃー。数字だけ見ると驚くしかないけれど、割合でいうと1.5%と他の会社とそれほど変わりはないのかもしれないにゃー。

・Adobeユーザの盗まれたパスワードは悲惨なものだった~約 200 万人の顧客がパスワード「123456」を利用(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/21/32990.html

●暗号化メールの解読に成功したら5%の株がもらえる!?

ハンガリーのスタートアップ企業MySecureZoneが面白い試みを始めているよ。同社が11月4日から開始したハッキングコンテストで、同社のシステムを使って暗号化したメールを最初に解読できた人に5%の株をプレゼントするんだにゃー。

株をもらえた人はスタートアップが成功したら大儲けなんだにゃー。でも自分が解読できてしまった暗号化の仕組みを使ったシステムが成功するとは信じられないかもしれないよにゃー。

・当社が「軍用レベル」で暗号化したメールを解読できた方に、当社の5%の株を譲渡します~ハンガリーのスタートアップ企業は、斬新なバグチェックシステムの導入を試みる(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/19/32972.html
先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Apex One、Apex One SaaS およびウイルスバスター コーポレートエディションに複数の脆弱性 画像

Apex One、Apex One SaaS およびウイルスバスター コーポレートエディションに複数の脆弱性
Oracle Java の脆弱性対策について発表、早急なアップデートを呼びかけ 画像

Oracle Java の脆弱性対策について発表、早急なアップデートを呼びかけ
複数のトレンドマイクロ製品に脆弱性 画像

複数のトレンドマイクロ製品に脆弱性
アイ・オー・データTwitter「なりすましアカウント」からのプレゼントキャンペーンDMに注意喚起 画像

アイ・オー・データTwitter「なりすましアカウント」からのプレゼントキャンペーンDMに注意喚起
規約違反となる情報自動収集の阻止、100人体制で行うFacebookの取り組み 画像

規約違反となる情報自動収集の阻止、100人体制で行うFacebookの取り組み
トレンドマイクロ製パスワードマネージャーに DLL 読み込みに関する脆弱性 画像

トレンドマイクロ製パスワードマネージャーに DLL 読み込みに関する脆弱性

インシデント・事故 記事一覧へ

雑貨取扱いECサイトへの不正アクセス続報、カード情報流出も判明 画像

雑貨取扱いECサイトへの不正アクセス続報、カード情報流出も判明
NTT Com「Bizメール&ウェブ プレミアム」ソフトウェア不具合でメール誤配送 画像

NTT Com「Bizメール&ウェブ プレミアム」ソフトウェア不具合でメール誤配送
福岡トヨペット、顧客の個人情報を承諾を得ずにTOYOTA・LEXUS共通ID発行に利用 画像

福岡トヨペット、顧客の個人情報を承諾を得ずにTOYOTA・LEXUS共通ID発行に利用
ランドブレインへの不正アクセスによるランサムウェア感染、2つのファイルを開封した痕跡 画像

ランドブレインへの不正アクセスによるランサムウェア感染、2つのファイルを開封した痕跡
岸和田市の委託事業者への不正アクセス、情報流出の痕跡は確認されずと報告 画像

岸和田市の委託事業者への不正アクセス、情報流出の痕跡は確認されずと報告
10年前札幌医科大学で紛失したUSBメモリ、第三者からのデータ送付で事件が明るみに 画像

10年前札幌医科大学で紛失したUSBメモリ、第三者からのデータ送付で事件が明るみに

調査・レポート・白書 記事一覧へ

JVNアクセスランキング、最多は「IPMI over LAN による RMCP 接続を行う日本電気製の複数製品に認証不備の脆弱性」 画像

JVNアクセスランキング、最多は「IPMI over LAN による RMCP 接続を行う日本電気製の複数製品に認証不備の脆弱性」
経産省、トヨタやソニーのOSS管理手法事例集を公開 画像

経産省、トヨタやソニーのOSS管理手法事例集を公開
コロナから1年経っても28%が業務「混乱中」~レノボ調査 画像

コロナから1年経っても28%が業務「混乱中」~レノボ調査
ITリテラシーの向上やネット・SNSでのマナーが上位、高校までのプログラミング教育に求める 画像

ITリテラシーの向上やネット・SNSでのマナーが上位、高校までのプログラミング教育に求める
ITR、国内のDDoS攻撃の対策市場規模の推移と予測を発表 画像

ITR、国内のDDoS攻撃の対策市場規模の推移と予測を発表
これまでは検証者の暗黙知に依存、経産省がIoTセキュリティ検証の指針示す 画像

これまでは検証者の暗黙知に依存、経産省がIoTセキュリティ検証の指針示す

研修・セミナー・カンファレンス 記事一覧へ

セキュリティ業界初の本格的 eスポーツ大会「LogStare eSports Series」開催、第1回種目は「Apex Legends」 画像

セキュリティ業界初の本格的 eスポーツ大会「LogStare eSports Series」開催、第1回種目は「Apex Legends」
Interop Tokyo Best of Show Award 審査プロセスと 2021 年セキュリティカテゴリ受賞製品一覧、及び贈賞理由 画像

Interop Tokyo Best of Show Award 審査プロセスと 2021 年セキュリティカテゴリ受賞製品一覧、及び贈賞理由
セキュリティ・キャンプ全国大会2021、今年はオンラインで開催 画像

セキュリティ・キャンプ全国大会2021、今年はオンラインで開催
SHIFT SECURITY「クラウド監視」テーマのオンラインセミナー、AWSやAzureの監視事例を紹介 画像

SHIFT SECURITY「クラウド監視」テーマのオンラインセミナー、AWSやAzureの監視事例を紹介
Office 365 のセキュリティ課題を整理する Gartner のフレームワークとは 画像

Office 365 のセキュリティ課題を整理する Gartner のフレームワークとは
グローバル 5 カ国の専門家が登壇、マキナレコードが「Cyber Intelligence Summit 2021」オンライン開催 画像

グローバル 5 カ国の専門家が登壇、マキナレコードが「Cyber Intelligence Summit 2021」オンライン開催

製品・サービス・業界動向 記事一覧へ

危険なAIを作らない、NTTデータの人工知能統治強化 アドバイザリーボード設置 画像

危険なAIを作らない、NTTデータの人工知能統治強化 アドバイザリーボード設置
LogStareシリーズに「Zabbixレポートテンプレート」機能を追加 画像

LogStareシリーズに「Zabbixレポートテンプレート」機能を追加
NRIセキュア、クレジットカード製造事業者対象に「PCI CP」準拠支援と審査 画像

NRIセキュア、クレジットカード製造事業者対象に「PCI CP」準拠支援と審査
子どもが安心・安全にスマートフォンを利用できるよう「情報モラルリーフレット教材」を無償配布 画像

子どもが安心・安全にスマートフォンを利用できるよう「情報モラルリーフレット教材」を無償配布
GSX、リモートワークのセキュリティ「3つの秘策」第2弾「i-FILTER@Cloud」取扱開始 画像

GSX、リモートワークのセキュリティ「3つの秘策」第2弾「i-FILTER@Cloud」取扱開始
ラック連結業績予想修正し特別損失計上、日本貿易保険元顧問の不適切行為に関与せずも協議長期化のため 画像

ラック連結業績予想修正し特別損失計上、日本貿易保険元顧問の不適切行為に関与せずも協議長期化のため

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×