2021年5月の脆弱性と脅威ニュース記事一覧

セキュリティホール・脆弱性 2021.5.31 Mon 8:05

Checkbox Survey に安全でないデシリアライゼーションの脆弱性、アップグレードできない場合は利用停止を推奨

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月27日、Checkbox Survey の安全でないデシリアライゼーションの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

脅威動向 2021.5.31 Mon 8:05

イエラエセキュリティ CSIRT支援室第 13 回イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート

「IoTサイバーセキュリティ認定ラボ」の創設を記念して、無料オンラインセミナー「IoTセキュリティのあるべき姿」を開催。昨今のサイバーセキュリティを取り巻く環境について、また世界の最新事情や国内の実例を交えご紹介しましたので、レポートします。

セキュリティホール・脆弱性 2021.5.28 Fri 8:05

VMware vCenter Serverの複数の脆弱性に注意を呼びかけ

一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月26日、VMware vCenter Serverの複数の脆弱性に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

セキュリティホール・脆弱性 2021.5.28 Fri 8:05

Pulse Secure 製 Pulse Connect Secure にバッファオーバーフローの脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月26日、Pulse Secure 製 Pulse Connect Secure のバッファオーバーフローの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

インシデント・情報漏えい 2021.5.28 Fri 8:00

富士通のプロジェクト情報共有ツール「ProjectWEB」に不正アクセス、国土交通省とNISCで被害確認

富士通株式会社は5月25日、同社がプロジェクト運営に社内外の関係者と情報共有するためのツール「ProjectWEB」を利用する一部プロジェクトに第三者から不正アクセスがあり、保存されている顧客から預った情報の一部が不正に窃取されたことが判明したと発表した。

脅威動向 2021.5.27 Thu 8:05

トレンドマイクロ、ECサイト狙う攻撃「Water Pamola」を注意喚起～注文フォームの住所や社名欄にXSS脆弱性突くコード入力

トレンドマイクロ株式会社は5月24日、「不正注文」で国内オンラインショップサイトを侵害する攻撃キャンペーン「Water Pamola」について同社のブログで発表した。

業界動向 2021.5.27 Thu 8:05

日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得

日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

脅威動向 2021.5.26 Wed 8:15

proofpoint Blog 第1回「さよなら PPAP ～やってはいけない PPAP 代替策」

海外ではパスワード付き Zip ファイルがメールで来ると「マルウェア(ウイルス)が来た！」とセキュリティチームで盛り上がるという話もあるなど、その扱いが日本とはまったく違った状況です。

エクスプロイト 2021.5.25 Tue 8:15

ExifTool において DjVu 形式ファイルの検証不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report）

2021 年 4 月に、ファイル解析ツールである ExifTool に、任意のコードが実行可能となる脆弱性が報告されています。

脅威動向 2021.5.25 Tue 8:10

メディア向けプレスセンター準備し慈善団体に2万ドル寄付、米パイプライン止めたサイバー犯罪組織「Darkside」とは？

トレンドマイクロは、「ランサムウェアを用いるサイバー犯罪者グループ『Darkside』」と題する記者説明を開催した。

セキュリティホール・脆弱性 2021.5.24 Mon 8:05

ScanSnap Manager のインストーラに DLL 読み込みに関する脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月21日、ScanSnap Manager のインストーラにおける DLL 読み込みに関する脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

脅威動向 2021.5.24 Mon 8:05

JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説～対策マニュアルとしても有効

一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は5月20日、2021年2月頃に確認した仮想通貨マイニングツールのXMRigの設置を狙った攻撃についてブログで紹介した。

脅威動向 2021.5.20 Thu 8:15

イエラエセキュリティ CSIRT支援室第 12 回「ハードウェアとソフトウェア、セキュリティの交わるところ」

今回は2 人のイエラエメンバーにIoT や車など、ハードウェアを伴うセキュリティ脆弱性とその対策について、顧問・川口洋が詳しく聞きます。どうぞお楽しみください！

脅威動向 2021.5.20 Thu 8:05

新型コロナワクチン接種にまつわる世界各国の詐欺事例を紹介

Whoscall株式会社は5月17日、世界のコロナワクチン詐欺の実態の事例についてレポートを発表した。

業界動向 2021.5.19 Wed 8:10

CrowdStrike Blog：CrowdStrike、MITRE ATT&CK 評価テストの 20 すべてのステップにおいて 100% の検知率を達成

MITRE Engenuityの評価方法は、勝者を選抜するためのものではありません。むしろ、「敵の攻撃情報を得て、ノイズが排除された完璧な状況下において、特定のATT&CKで定義される攻撃手法に製品ユーザーがどのように対処できたか」に注目するものです。

脅威動向 2021.5.19 Wed 8:00

偽の「読売新聞オンライン」ページへ注意喚起、暗号資産取引を推奨する架空記事を掲載

読売新聞社は5月15日、同社が運営するニュースサイト「読売新聞オンライン」に似せた偽のWebページへの注意喚起を発表した。

セキュリティホール・脆弱性 2021.5.18 Tue 8:05

Cisco Small Business Series Wireless Access Points に複数の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月14日、Cisco Small Business Series Wireless Access Points における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2021.5.17 Mon 8:05

KonaWiki2にSQL インジェクションと任意のファイルのアップロードの脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月13日、KonaWiki2 における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

脅威動向 2021.5.17 Mon 8:05

AHD/SPレコーダーへの不正アクセスに注意喚起、ID・パスワードが初期値の場合は変更を呼びかけ

監視カメラシステムの卸販売などを行う株式会社NSSは5月11日、AHD/SPレコーダーへの第三者からの不正アクセス被害に注意喚起を行った。

セキュリティホール・脆弱性 2021.5.17 Mon 8:05

Adobe Acrobat および Reader に脆弱性、悪用も確認済みのため修正プログラム適用を呼びかけ

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月12日、Adobe Acrobat および Reader の脆弱性対策について発表した。影響を受けるシステムは以下の通り。

セキュリティホール・脆弱性 2021.5.17 Mon 8:05

マイクロソフトが5月のセキュリティ情報公開、HTTPプロトコルスタックのリモートでコードが実行される脆弱性への対応を推奨

独立行政法人情報処理推進機構（IPA）は5月12日、「Microsoft 製品の脆弱性対策について(2021年5月)」を発表した。一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）も「2021年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。

2021年5月の脆弱性と脅威ニュース記事一覧

Checkbox Survey に安全でないデシリアライゼーションの脆弱性、アップグレードできない場合は利用停止を推奨

イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート

VMware vCenter Serverの複数の脆弱性に注意を呼びかけ

Pulse Secure 製 Pulse Connect Secure にバッファオーバーフローの脆弱性

富士通のプロジェクト情報共有ツール「ProjectWEB」に不正アクセス、国土交通省とNISCで被害確認

トレンドマイクロ、ECサイト狙う攻撃「Water Pamola」を注意喚起 ～ 注文フォームの住所や社名欄にXSS脆弱性突くコード入力

日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得

proofpoint Blog 第1回「さよなら PPAP ～ やってはいけない PPAP 代替策」

ExifTool において DjVu 形式ファイルの検証不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report）

メディア向けプレスセンター準備し 慈善団体に2万ドル寄付、米パイプライン止めたサイバー犯罪組織「Darkside」とは？

ScanSnap Manager のインストーラに DLL 読み込みに関する脆弱性

JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説～対策マニュアルとしても有効

イエラエセキュリティ CSIRT支援室 第 12 回「ハードウェアとソフトウェア、セキュリティの交わるところ」

新型コロナワクチン接種にまつわる世界各国の詐欺事例を紹介

CrowdStrike Blog：CrowdStrike、MITRE ATT&CK 評価テストの 20 すべてのステップにおいて 100% の検知率を達成

偽の「読売新聞オンライン」ページへ注意喚起、暗号資産取引を推奨する架空記事を掲載

Cisco Small Business Series Wireless Access Points に複数の脆弱性

KonaWiki2にSQL インジェクションと任意のファイルのアップロードの脆弱性

AHD/SPレコーダーへの不正アクセスに注意喚起、ID・パスワードが初期値の場合は変更を呼びかけ

Adobe Acrobat および Reader に脆弱性、悪用も確認済みのため修正プログラム適用を呼びかけ

マイクロソフトが5月のセキュリティ情報公開、HTTPプロトコルスタックのリモートでコードが実行される脆弱性への対応を推奨

イエラエセキュリティ CSIRT支援室第 13 回イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート

トレンドマイクロ、ECサイト狙う攻撃「Water Pamola」を注意喚起～注文フォームの住所や社名欄にXSS脆弱性突くコード入力

proofpoint Blog 第1回「さよなら PPAP ～やってはいけない PPAP 代替策」

メディア向けプレスセンター準備し慈善団体に2万ドル寄付、米パイプライン止めたサイバー犯罪組織「Darkside」とは？

イエラエセキュリティ CSIRT支援室第 12 回「ハードウェアとソフトウェア、セキュリティの交わるところ」