独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月8日、TONEストアアプリがTONEストアと平文で通信している問題について「Japan Vulnerability Notes(JVN)」で発表した。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月8日、TONEストアアプリがTONEストアと平文で通信している問題について「Japan Vulnerability Notes(JVN)」で発表した。唐川幸大氏が報告を行っている。影響を受けるシステムは以下の通り。
TONEストアアプリ バージョン 3.4.2およびそれ以前
※当該アプリはTONEスマートフォンにプリインストールされている。
株式会社ドリーム・トレイン・インターネットが提供するTONEストアアプリには、TONEストアのウェブサイトと平文で通信している問題が存在し、中間者攻撃(man-in-the-middle attack)によって、第三者に通信内容を傍受されたり、改ざんされたりする可能性がある。
JVNでは、開発者が提供する情報をもとにアプリを最新版へアップデートするよう呼びかけている。なお、インターネット接続設定を有効にしている場合は、自動アップデートが適用される。
![裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]](/imgs/std_l/45530.jpg)
注目の脆弱性に関してですが、Broadcom社 Symantec が、Black Bastaランサムウェアを運営する Cardinalサイバー犯罪グループ(Storm-1811、UNC4393)が、Windowsエラーレポートサービスの脆弱性(CVE-2024-26169)を 0-day として悪用していた可能性を報告しています。
2016 年以降のエンドポイント製品では、セキュリティ保証に動きが見られる。ガートナーの評価データでも、上位に入るベンダーが 100 万ドル規模のセキュリティ保証を導入しはじめている。Sophos、SentinelOne、CrowdStrike 、Cybereason などがそれだ。
Java の使用が限定的な企業は最新のサブスクリプションモデルではソフトウェアライセンスを従業員単位で取得する必要があり、Oracle がそれ以前に提供していたモデルとは大きく異なると指摘している。Gartner の見積もりでは、新しい従業員単位のサブスクリプションモデルでの支払額は、従来モデルよりも 2 倍から 5 倍高くなる。
Uber はサイバー攻撃の事実を認識しながらそれを公表せず、バグバウンティプログラムで処理しようとした。サイバー攻撃事案では SEC や監督省庁への報告義務がある。陪審員はこれらの点などを重大としてサリバン氏を有罪とした。裁判では、Uber 従業員、サリバン氏の部下だけでなく、攻撃を行ったハッカーが証言台に立ち証言を行った。バグバウンティプログラムの賞金と引き換えに、攻撃やデータの秘匿など特別な NDA を交わしたとされる。
![裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度] 画像](/imgs/std_m/45530.jpg)
![脆弱性「診断」が大好きなニッポンに脆弱性「管理」を提案 ~ tenable one [Interop Tokyo 2024 REPORT] 画像](/imgs/std_m/45517.jpg)
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
