脆弱性と脅威ニュース|ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.06.16(日)

脆弱性と脅威

WordPress用プラグイン「Contest Gallery」に意図しない操作される脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

WordPress用プラグイン「Contest Gallery」に意図しない操作される脆弱性(JVN)

IPAおよびJPCERT/CCは、Contest-Galleryが提供するWordPress用プラグイン「Contest Gallery」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在すると「JVN」で発表した。

マイクロソフトが月例セキュリティ情報を公開、9製品を更新(IPA、JPCERT/CC) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

マイクロソフトが月例セキュリティ情報を公開、9製品を更新(IPA、JPCERT/CC)

IPAは「Microsoft 製品の脆弱性対策について(2019年6月)」を発表した。JPCERT/CCも「2019年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。これは、マイクロソフトが2019年6月度のセキュリティ更新プログラムを公開したことを受けたもの。

「Adobe Flash Player」のセキュリティアップデートを公開(JPCERT/CC、IPA) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

「Adobe Flash Player」のセキュリティアップデートを公開(JPCERT/CC、IPA)

アドビ システムズは、「Adobe Flash Player」のセキュリティアップデート(APSB19-30)を公開した。JPCERT/CCおよびIPAが注意喚起を発表している。

Minecraftサーバ向けプラグイン「Dynmap」に画像を取得される脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Minecraftサーバ向けプラグイン「Dynmap」に画像を取得される脆弱性(JVN)

IPAおよびJPCERT/CCは、Webbukkitが提供するMinecraftサーバ向けプラグイン「Dynmap」にアクセス制限不備の脆弱性が存在すると「JVN」で発表した。

Appleが「iCloud for Windows」のアップデートを公開(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Appleが「iCloud for Windows」のアップデートを公開(JVN)

IPAおよびJPCERT/CCは、Appleが提供する「iCloud for Windows」に複数の脆弱性が存在すると「JVN」で発表した。

Intelがアドバイザリを公開、対象製品はアップデートを(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Intelがアドバイザリを公開、対象製品はアップデートを(JVN)

IPAおよびJPCERT/CCは、Intelが複数の製品に対するアップデートを公開したと「JVN」で発表した。

CrowdStrike Blog:APT 攻撃に立ち向かう~世界のサイバー攻撃者リスト 画像
海外情報 Adam Meyers (CrowdStrike)

CrowdStrike Blog:APT 攻撃に立ち向かう~世界のサイバー攻撃者リスト

私たちはこれまで、国家主導の犯罪グループや金銭を目的としたネット犯罪者、ハクティビストなど、さまざまな形態・規模の攻撃者グループを合計100以上も追跡してきました。

日本を発信源とするIoT機器への攻撃を検知、ハニーポット500台による調査(アバスト) 画像
脅威動向 吉澤 亨史( Kouji Yoshizawa )

日本を発信源とするIoT機器への攻撃を検知、ハニーポット500台による調査(アバスト)

アバストは、日本からIoTデバイスへの攻撃の可能性のあるトラフィックが急増していると発表した。

2つのWordPress用プラグインに複数の脆弱性、アップデートを呼びかけ(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

2つのWordPress用プラグインに複数の脆弱性、アップデートを呼びかけ(JVN)

IPAおよびJPCERT/CCは、SUKIMALAB.COMが提供する複数の「WordPress」用プラグインの脆弱性について報告が行われていると「JVN」で発表した。

「ハッキングにはハッキングで報復」英閣僚発言、NATO同調か(The Register) 画像
TheRegister The Register

「ハッキングにはハッキングで報復」英閣僚発言、NATO同調か(The Register)

ハント氏は次のようにも述べている。「サイバー攻撃による他国への干渉が一般的なものになってしまえば、民主主義に対する国民の信頼を独裁国家が揺るがす危険がある」

アップデートの仕組みを悪用したPlead感染を台湾で確認--月例レポート(キヤノンMJ) 画像
脅威動向 吉澤 亨史( Kouji Yoshizawa )

アップデートの仕組みを悪用したPlead感染を台湾で確認--月例レポート(キヤノンMJ)

キヤノンMJは、2019年4月のマルウェア検出状況に関するレポートを公開した。

メーラー「Joruri Mail」に複数の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

メーラー「Joruri Mail」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、サイトブリッジが提供する、Webブラウザで動作するメーラー「Joruri Mail」に複数の脆弱性が存在すると「JVN」で発表した。

Wikiシステム「GROWI」に複数の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Wikiシステム「GROWI」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、WESEEKが提供するオープンソースのWikiベースとしたコミュニケーションツール「GROWI」に複数の脆弱性が存在すると「JVN」で発表した。

「Joruri CMS 2017」にスクリプト実行の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

「Joruri CMS 2017」にスクリプト実行の脆弱性(JVN)

IPAおよびJPCERT/CCは、サイトブリッジが提供する「Joruri CMS 2017」にクロスサイトスクリプティング(XSS)の脆弱性が存在すると「JVN」で発表した。

Windowsリモートデスクトップに、ロックスクリーンを回避される脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Windowsリモートデスクトップに、ロックスクリーンを回避される脆弱性(JVN)

IPAおよびJPCERT/CCは、Microsoft Windows リモートデスクトップのネットワークレベル認証に、Windowsロックスクリーンをバイパスされる問題が存在すると「JVN」で発表した。

CrowdStrike Adversary Calender 2019 年 6 月 画像
脅威動向 ScanNetSecurity

CrowdStrike Adversary Calender 2019 年 6 月

「CrowdStrike アドバーサリーカレンダー」は「アドバーサリー(敵性国家)」に関わる、サイバー攻撃に影響を及ぼす可能性がある(あるいは過去影響を及ぼした)地政学的出来事の情報を提供している点に最大の特長があります。記事末尾には当月の記載事項を付記します。

Google Play で迷惑アプリ拡散、ネットバンキングやオーディオプレーヤ(Dr.WEB) 画像
調査・ホワイトペーパー 吉澤 亨史( Kouji Yoshizawa )

Google Play で迷惑アプリ拡散、ネットバンキングやオーディオプレーヤ(Dr.WEB)

Dr.WEBは、「2019年5月のモバイルマルウェアレビュー」を発表した。主な傾向として、「Google Playから拡散される悪意のあるアプリケーション」を挙げている。

Scan PREMIUM Monthly Executive Summary 2019 年 5 月のふりかえり:G20 大阪サミットの情報収集か 画像
脅威動向 株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

Scan PREMIUM Monthly Executive Summary 2019 年 5 月のふりかえり:G20 大阪サミットの情報収集か

同脆弱性の検証コードは世界中で開発中ですので、悪用を目的とした攻撃ツールが登場するのも時間の問題とされています。なお、公開されている検証コードの開発状況は BlueKeepTracker などで確認することができます。

MyJCBを騙るフィッシング報告、口座情報などの確認装う(フィッシング対策協議会) 画像
脅威動向 吉澤 亨史( Kouji Yoshizawa )

MyJCBを騙るフィッシング報告、口座情報などの確認装う(フィッシング対策協議会)

フィッシング対策協議会は、MyJCBを騙るフィッシングの報告を受けているとして、注意喚起を発表した。

Quest(Dell)製アプライアンス「Kace K1000」に複数の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Quest(Dell)製アプライアンス「Kace K1000」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、Quest(Dell)が提供するシステム管理アプライアンス「Kace K1000」に複数の脆弱性が存在すると「JVN」で発表した。

WordPress用プラグイン「Zoho SalesIQ」に複数の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

WordPress用プラグイン「Zoho SalesIQ」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、Zoho SalesIQ Teamが提供するWordPress用プラグイン「Zoho SalesIQ」に複数の脆弱性が存在すると「JVN」で発表した。

このカテゴリの記事をもっと見る

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×