脆弱性と脅威ニュース|ScanNetSecurity
2024.06.26(水)

脆弱性と脅威

Androidアプリ「ZOZOTOWN」にアクセス制限不備の脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

Androidアプリ「ZOZOTOWN」にアクセス制限不備の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月19日、Androidアプリ「ZOZOTOWN」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

VMware 製品にヒープベースのバッファオーバーフローの脆弱性や複数のローカル権限昇格の脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

VMware 製品にヒープベースのバッファオーバーフローの脆弱性や複数のローカル権限昇格の脆弱性

 独立行政法人情報処理推進機構(IPA)は6月19日、VMware 製品の脆弱性対策について発表した。影響を受けるシステムは以下の通り。

WordPress用プラグイン SiteGuard WP Plugin に変更したログインパスが漏えいする脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

WordPress用プラグイン SiteGuard WP Plugin に変更したログインパスが漏えいする脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月19日、WordPress用プラグインSiteGuard WP Pluginにおける変更したログインパスが漏えいする脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

複数のトレンドマイクロ製品に複数の脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

複数のトレンドマイクロ製品に複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月19日、複数のトレンドマイクロ製品における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月18日、ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入 画像
TheRegister
The Register
The Register

米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

 ちなみに保健福祉省の方針により、各病院は任意でヘルスケア特化型サイバーセキュリティのパフォーマンス目標を設定しているが、これが義務化される可能性が高い。

GLAYの偽ライブ生配信 生中継騙るフィッシングサイトに注意呼びかけ 画像
脅威動向
ScanNetSecurity
ScanNetSecurity

GLAYの偽ライブ生配信 生中継騙るフィッシングサイトに注意呼びかけ

 有限会社ラバーソウルは6月9日、「GLAY 30th Anniversary GLAY EXPO2024-2025」の偽ライブ生配信、生中継を騙るフィッシングサイトの注意喚起を「GLAY公式サイト」で発表した。

実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ 画像
脅威動向
ScanNetSecurity
ScanNetSecurity

実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

 国立大学法人東京大学は6月3日、東京大学役員を装った迷惑メールへの注意喚起を発表した。

マイクロソフトが 6 月のセキュリティ情報公開、適用を呼びかけ 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

マイクロソフトが 6 月のセキュリティ情報公開、適用を呼びかけ

独立行政法人 情報処理推進機構(IPA)は6月12日、「Microsoft 製品の脆弱性対策について(2024年6月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2024年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。

IPCOM の WAF 機能にサービス運用妨害(DoS)の脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

IPCOM の WAF 機能にサービス運用妨害(DoS)の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月12日、IPCOMのWAF機能におけるサービス運用妨害(DoS)の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者 画像
TheRegister
The Register
The Register

役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

 個人のある性格的特徴などの要因がリンクをクリックさせる場合もあれば、テストが行われた時点で特にストレスの多い仕事量を扱っているなどの状況的要因が結果に不利に作用する場合もあるかもしれない。

2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開 画像
調査・ホワイトペーパー
ScanNetSecurity
ScanNetSecurity

2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

 フィッシング対策協議会 技術・制度検討ワーキンググループは6月4日、フィッシングの被害状況や攻撃技術・手法などをとりまとめた「フィッシングレポート 2024」を発表した。

北の IT 技術者に懸賞金かかる/産経報道に世界注目/イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度] 画像
脅威動向
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

北の IT 技術者に懸賞金かかる/産経報道に世界注目/イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

 注目のインシデント情報ですが、産経新聞が、太陽光発電施設の遠隔監視機器約 800 台がサイバー攻撃を受け、その一部がインターネットバンキングによる預金の不正送金に悪用されたことを報じました。この報道に対しての海外の反応は興味深く、想像力豊かなリスクシナリオ策定はぜひ見習いたいところです。

スマートフォンアプリ「FreeFrom - the nostr client」に複数の脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

スマートフォンアプリ「FreeFrom - the nostr client」に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月7日、スマートフォンアプリ「FreeFrom - the nostr client」における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

WordPress 用プラグイン Music Store - WordPress eCommerce に SQL インジェクションの脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

WordPress 用プラグイン Music Store - WordPress eCommerce に SQL インジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月7日、WordPress用プラグインMusic Store - WordPress eCommerceにおけるSQLインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴 画像
TheRegister
The Register
The Register

失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

 セキュリティ上の脆弱性を特定することが彼の主な職務であった。解雇から 3 日後、彼は仕事用のノートパソコンを使って大量の機密と知的財産にアクセスし、個人のクラウドストレージアカウントにダウンロードしたとされている。これらファイルには「潜在的な脆弱性のリストとレポート」「攻撃を受けやすい特定のビジネス機器の詳細」等々が含まれており、まだ是正されていない脆弱性についても言及されていたようだ。

UNIVERSAL PASSPORT RX に複数の脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

UNIVERSAL PASSPORT RX に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月3日、UNIVERSAL PASSPORT RXにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report) 画像
エクスプロイト
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report)

2023 年 8 月に公開された、FileCatalyst Workflow の脆弱性の悪用を試みるエクスプロイトコードが公開されています。

千葉県感染拡大防止対策協力金で使用したドメインを利用、フィッシング詐欺メールに注意喚起 画像
脅威動向
ScanNetSecurity
ScanNetSecurity

千葉県感染拡大防止対策協力金で使用したドメインを利用、フィッシング詐欺メールに注意喚起

 千葉県は5月27日、千葉県感染拡大防止対策協力金に使用していたドメインを利用したフィッシング詐欺メールへの注意喚起を発表した。

セイコーソリューションズ製 SkyBridge MB-A100 / MB-A110 および SkyBridge BASIC MB-A130 にコマンドインジェクションの脆弱性 画像
セキュリティホール・脆弱性
ScanNetSecurity
ScanNetSecurity

セイコーソリューションズ製 SkyBridge MB-A100 / MB-A110 および SkyBridge BASIC MB-A130 にコマンドインジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月31日、セイコーソリューションズ製SkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130におけるコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

エスキュービズムが提供する「EC-Orange」に認可回避の脆弱性、対象は2015年6月以前のシステム 画像
セキュリティホール・脆弱性
吉澤 亨史( Kouji Yoshizawa )
吉澤 亨史( Kouji Yoshizawa )

エスキュービズムが提供する「EC-Orange」に認可回避の脆弱性、対象は2015年6月以前のシステム

IPAおよびJPCERT/CCは、エスキュービズムが提供する「EC-Orange」に認可回避の脆弱性が存在すると「JVN」で発表した。

このカテゴリの記事をもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×