【2022 年 01 月 セキュリティ事故 件数】
・Web サイト関連 : 53 件
・メール関連 : 28 件
2022 年 1 月 5 日
■ 半田病院、ランサム被害から復旧し通常診療を再開
徳島県のつるぎ町立半田病院は 2022 年 1 月 4 日、ランサムウェアによる被害から復旧し、通常診療を再開したと明らかにしました。
半田病院を巡る問題は、2021 年 10 月に同院のサーバーが外部からのサイバー攻撃を受けたことにより発生したものです。同院は攻撃の影響によりランサムウェアに感染し、約 8 万 5 千人分の患者情報が暗号化されたほか、プリンターが乗っ取られ大量の脅迫文を出力するなどの被害が発生。
さらに診療報酬計算や電子カルテ閲覧に使用する基幹システムが使用不能になったため、一部診療科を除き新規患者の受け入れを停止する事態に陥っていました。
2022 年 1 月 5 日
■ チチカカオンラインショップがサイバー被害、カード情報 861 件流出か
株式会社チチカカは 2021 年 12 月 23 日、同社が運営する中南米系ファッションのブランドショップ「チチカカオンラインショ
ップ」が何者かのサイバー攻撃を受けたことにより、過去同社サイトにてクレジットカード決済したユーザーのカード情報 861
件が流出した可能性があると明らかにしました。
サイバー攻撃の原因は被害サイトに内在していたシステム上の脆弱性です。同社によれば 2021 年 10 月 21 日、過去被害サイトを利用したユーザーから「身に覚えのない決済履歴がある」と連絡を受けたとのこと。同社が第三者調査機関を通じて事実関係を確認したところ、何者かが被害サイトの脆弱性を利用して決済フォームを改ざんしており、入力されたカード情報を外部に流出させていた可能性が判明しました。
http://www.titicaca.jp/company/news/post-7628/
2022 年 1 月 5 日
■ 「Apache Log4j」にあらたな脆弱性 – アップデートがリリース
ログ記録ライブラリ「Apache Log4j」の開発チームは、現地時間 2021 年 12 月 27 日に最新版となる「同 2.17.1」「同 2.12.4」
「同 2.3.2」をリリースした。
ログをデータベースへ保存する際に利用する「JDBCAppender」を用いて悪意ある設定が可能となる脆弱性「CVE-2021-44832」が明らかとなり、対処したもの。攻撃者がログ設定ファイルを変更する権限を持っている場合に、脆弱性を悪用することでリモートよりコードを実行することが可能だという。
共通脆弱性評価システム「CVSSv3」におけるベーススコアは「6.6」、重要度は「中(Moderate)」とレーティングされている。同脆弱性は、「log4j-core」の JAR ファイルのみに存在し、「log4j-api」の JAR ファイルのみを使用するアプリケーションについ
ては脆弱性の影響を受けないとしている。
https://www.jpcert.or.jp/at/2021/at210050.html
2022 年 1 月 5 日
■ 「VMware ESXi」などの CD-ROM エミュレーション機能に脆弱性
VMware は、「VMware ESXi」「VMware Workstation」「VMware Fusion」「VMware Cloud Foundation」に脆弱性が判明したことを明らかにした。アップデートの提供を順次開始している。
同社によると、外部より非公開で報告があり、これら製品における「CD-ROM デバイス」のエミュレーション機能にヒープオーバーフローの脆弱性「CVE-2021-22045」が判明したもの。
同機能を経由して仮想マシンにアクセスが可能な攻撃者は、ほかの問題と組み合わせて脆弱性を悪用することで、ハイパーバイザーにてコードを実行することが可能だという。
共通脆弱性評価システム「CVSSv3.1」によるベーススコアは「7.7」、重要度は4 段階中、上から2 番目にあたる「重要(Important)」とレーティングされている。
https://www.vmware.com/security/advisories/VMSA-2022-0001.html
2022 年 1 月 6 日
■ 大晦日未明にランサム被害、情報流出を確認 – ソフトウェア開発会社
ハードウェアの保守サービスやシステム導入支援などを展開する東京コンピュータサービス(東京都文京区)は、サイバー攻撃によりシステムがランサムウェアに感染したことを明らかにした。
同社によれば、2021 年 12 月 31 日未明にランサムウェアの感染被害が発生したもの。同社の内部管理情報については流出を確認したとしており、顧客の取引情報についても外部に流出した可能性があるという。
ウェブサイトで発表している内容以上のことはコメントできないとして、被害規模や把握した経緯などは明らかにしていない。
https://www.to-kon.co.jp/uploads/letter.pdf
2022 年 1 月 7 日
■ 対応予定だった脆弱性を利用されサイバー攻撃被害、NOK 株式会社
NOK 株式会社は 2021 年 12 月 28 日までに、同社が運用する業務サーバーに対する不正アクセスが発生し、一部業務を停止せざるを得ない状況に陥ったほか情報流出の可能性が生じたため、調査を実施したと明らかにしました。
同社によれば 2021 年 12 月 21 日、同社が運用している複数の業務サーバーに対する外部からのサイバー攻撃が発生し、業務に支障が生じかねない状態に陥ったとのこと。このため、同社が第三者調査機関を通じて調査を実施したところ、実際に攻撃者がシステムの内部に侵入しサイバー攻撃を仕掛けた形跡が確認されたとしています。
攻撃者が用いた手口は、同社のシステムに内在していた脆弱性を利用したものです。同社は 2021 年度中に脆弱性対策を実施する予定でしたが、実際に対策に踏み切る前に攻撃者に脆弱性を利用されたことにより、不正アクセス被害に発展したとしています。
https://www.nok.co.jp/wp/wp-content/uploads/2021/12/211228_information.pdf
2022 年 1 月 7 日
■ カネコ種苗株式会社、感染判明するも誤作動は不具合。流出も確認されず
カネコ種苗株式会社は 2022 年 1 月 5 日までに、同社の社内端末数台が何らかの要因によりマルウェアに感染したと明らかにしました。
同社は 2021 年 12 月 24 日に発した第1報にて、社内で運用している端末に異常動作を確認したため社内調査を実施したところ、マルウェア感染の事実およびこれを原因とする遠隔操作の痕跡が見つかったと説明していました。
ところが、その後に実施した第三者調査機関による調査にて、一部の端末にてマルウェア感染の事実は認められたものの、感染の拡大や情報流出の痕跡は確認されかったと判明。さらに、当初マルウェアによる遠隔操作と見られていた異常動作も機器の誤作動に過ぎない可能性があると説明しました。
http://www.kanekoseeds.jp/news/pdf/20220105.pdf
2022 年 1 月 7 日
■ 米FTC、「Log4j」問題で企業に警告 – 放置による事故は責任を追求
米連邦取引委員会(FTC)は、「Apache Log4j」に深刻な脆弱性が明らかとなった問題を受け、あらためて企業に対策を呼びかけた。合理的な対策が行われないまま、個人情報流出事故など消費者に不利益が生じた場合は、法的責任を追求していく構えだ。同ライブラリに別名「Log4Shell」とも呼ばれる脆弱性「CVE-2021-44228」をはじめ、複数の脆弱性が明らかとなり、攻撃者によって広く悪用されているとし、企業には対策を講じる責任があるとして警告を発したもの。
一般的には認知されていないものの、「Apache Log4j」はインターネットを活用する企業で広く利用されている重要なオープンソースのソフトウェアであり、脆弱性が悪用されると、金銭的な損失にくわえて、個人情報の漏洩など不可逆なダメージを及ぼすおそれがあるとして警鐘を鳴らしている。
2022 年 1 月 11 日
■ 「H2DB」に RCE 脆弱性 – 「Log4Shell」と同じく「JNDI」に起因
Java 環境向けに提供されている SQL データベース「H2」の管理コンソールに、コードを実行されるおそれがある脆弱性が明らかとなった。特に外部よりアクセスできる場合、深刻な影響を及ぼすおそれがある。
「H2」においてデータベースの管理に用いる「H2 コンソール」に、認証なしにコードを実行されるおそれがある「CVE-2021- 42392」が明らかとなったもの。JFrog が「Log4Shell」と類似する脆弱性を調査していたところ発見し、開発チームに報告した。同脆弱性は、ディレクトリサービスなどへアクセスするために用意された API「JNDI(Java Naming and Directory Interface)」の「lookup」機能に起因。リモートより読み込んだコードを実行されるおそれがある。
https://github.com/h2database/h2database/security/advisories/GHSA-h376-j262-vhq6 https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/
2022 年 1 月 11 日
■ サイバー攻撃、海外子会社サーバ経由で – パナソニック
パナソニックは、同社ファイルサーバが外部の第三者により複数回にわたりアクセスされた問題で、海外子会社のサーバ経由で攻撃が行われたことを明らかにした。ファイルサーバ内部には、採用関連の個人情報や取引先情報が含まれていたという。
国内に設置された同社のファイルサーバに対し、6 月から 11 月にかけて外部より複数回のアクセスがあり、サーバの一部データを不正に読み出されたことが 2021 年 11 月 11 日に発覚。同社は事態を公表するとともに、被害状況や原因について調査を進めていた。
その後の調査で、日本国内のファイルサーバに対し、海外子会社のサーバを経由してアクセスが行われていたことが判明。
サーバ内のファイルが外部に流出したことを示す痕跡は見つかっていないが、流出した可能性も踏まえてサーバ内部の保存情報についても調べた。
同社一部事業部門が管理する採用応募者やインターンシップ参加者の個人情報を含むファイルが保存されていたほか、同社取引先の役職員に関する連絡先などの個人情報、取引先から提供を受けた業務関連情報、同社の社内情報に関するファイルが含まれることがわかった。同社は対象となる関係者に対して順次報告するとしている。
https://news.panasonic.com/jp/press/data/2022/01/jn220107-2/jn220107-2-1.pdf
2022 年 1 月 11 日
■ 「WordPress」にセキュリティアップデート – 4 件の脆弱性を解消
コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、最新版となる「WordPress 5.8.3」を公開した。
今回のアップデートは、非公開で報告されたセキュリティに関する 4 件の脆弱性を修正したセキュリティリリース。「同 5.8.3」をはじめ、「同 3.7」以降の各ブランチ向けにアップデートを用意している。
具体的には、「WP_Query」や「WP_Meta_Query」に明らかとなった「SQL インジェクション」の脆弱性を解消。さらに投稿スラッグにおけるクロスサイトスクリプティング(XSS)の脆弱性や、マルチサイトにおけるオブジェクトインジェクションの脆弱性などに対処した。
自動更新に対応したサイトに対しては、すでに更新プロセスを開始しており、手動で更新している場合は、ダッシュボードよりアップデートを適用したり、最新版をダウンロードにより入手するよう求めている。
2022 年 1 月 12 日
■ 「Samba」に脆弱性、アップデートがリリース
「Samba」の開発チームは、脆弱性 1 件に対処した「Samba 4.13.16」をリリースした。できる限り早く更新するよう利用者へ呼びかけている。
「SMBv1」「NFS」のシンボリックリンクにおける競合エラーを用いて共有外部にディレクトリを作成されるおそれがある脆弱性「CVE-2021-43566」が判明し、セキュリティリリースを公開したもの。
「SMBv1」が有効な場合や、NFS 経由の共有が利用できる場合に影響を受ける。悪用は難しいと見られるが、概念実証コードでは高負荷がかかった環境下において悪用が成功したという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「2.6」。脆弱性の悪用は確認されていないとしている。
開発チームは脆弱性を解消した「同 4.13.16」を提供するとともに、「同 4.13.15」向けにパッチを用意。緩和策などもアナウン
スし、管理者に対してできるだけ早期に対処するよう呼びかけている。
https://www.samba.org/samba/security/CVE-2021-43566.html
2022 年 1 月 12 日
■ WordPress 向けクイズプラグインに 3 件の脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Quiz And Survey Master」に複数の脆弱性が含まれていることが明らかとなった。
同ソフトは、クイズやアンケートなどの機能を CMS に追加できる ExpressTech 製のプラグイン。脆弱性情報のポータルサイトである JVN によれば、「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-0181」「CVE-2022-0182」や「クロスサイトリクエストフォージェリ(CSRF)」の脆弱性「CVE-2022-0180」が明らかとなったもの。
共通脆弱性評価システム「CVSSv3.0」における脆弱性のベーススコアを見ると、今回明らかとなった脆弱性においてもっともスコアが高い「CVE-2022-0181」が「6.1」となっており、「CVE-2022-0182」が「5.4」、「CVE-2022-0180」が「4.3」と評価されている。
https://wordpress.org/plugins/quiz-master-next/
2022 年 1 月 12 日
■ 不正アクセスでクレカ情報流出の可能性 – 警察実務書扱う出版社
警察関係者向けの実務書や法律関連書籍を出版する立花書房のウェブサイトが不正アクセスを受け、顧客に関する個人情報が外部に流出した可能性があることがわかった。
同社によると、「立花書房ウェブサイト」の脆弱性を突かれ、クレジットカード決済に用いるモジュールを改ざんされたもの。
2021 年 9 月 8 日にクレジットカード会社から情報流出の可能性について指摘があり、問題が判明した。
同年 1 月 8 日から 8 月 20 日にかけて顧客 1144 人が商品購入時に利用したクレジットカード情報を窃取され、不正に利用された可能性がある。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。
同社では 8 月 21 日にシステムを移行しており、移行前のシステムが攻撃を受けたという。移行後は異なるサーバやアプリケーションを利用しているが、不正アクセス被害の判明を受けてクレジットカード決済を停止している。
2022 年 1 月 13 日
■ SAP、月例アドバイザリを公開 – 多数製品で「Log4Shell」に対応
SAP は、2022 年最初の月例セキュリティパッチを公開した。「Log4Shell」に対するアップデートもリリースしている。
各社が定例のセキュリティアップデートを公開する米時間毎月第 2 火曜日、いわゆる「パッチチューズデー」にあわせて 9 件のアドバイザリを公開したもの。
過去に公開したアドバイザリのアップデート 3 件を除くと、新規のアドバイザリは 6 件。CVE ベースで 7 件の脆弱性に対処した。
新規に公開したアドバイザリにおいて重要度がもっとも高い「HotNews」は 1 件。ログ記録ライブラリ「Apache Log4j」に明らかとなった別名「Log4Shell」としても知られる「CVE-2021-44228」に対する総合的なアドバイザリで、21 製品に対して 26
件のアドバイザリが別途用意されている。
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035
2022 年 1 月 13 日
■ 「Citrix Workspace App for Linux」に権限昇格の脆弱性
Citrix Systems が提供する「Citrix Workspace App for Linux」に権限昇格の脆弱性が明らかとなった。アップデートが提供されている。
同社によると、同製品においてアクセス制御に不備があり、権限の昇格が生じるおそれがある脆弱性「CVE-2022-21825」が明らかとなったもの。
脆弱性を悪用されると、アプリを実行している端末においてローカルユーザーにより root 権限を取得されるおそれがある「。App Protection」をインストールした環境のみ脆弱性の影響を受けるという。
同社では脆弱性を解消した「同 2112」をリリース。同製品の利用者に対して同バージョン以降へできるだけ早急にアップデートを実施するよう呼びかけている。
https://support.citrix.com/article/CTX338435
2022 年 1 月 13 日
■ Adobe、複数製品にセキュリティアップデート – 深刻な脆弱性を修正
Adobe Systems は、6 製品に対してセキュリティアップデートをリリースした。深刻な脆弱性の修正も含まれる。
各社が定例のセキュリティアップデートを公開する米時間毎月第 2 火曜日、いわゆる「パッチチューズデー」にあわせてアップデートをリリースしたもの。対象となる製品は、「Adobe Acrobat」「Adobe Reader」「Adobe Bridge」「Adobe InDesign」「Adobe InCopy」「Adobe Illustrator」の 6 製品。
いずれも今回のアップデートで複数の脆弱性を修正しており、「Adobe Illustrator」以外については、3 段階中もっとも重要度が高い「クリティカル(Critical)」とされる脆弱性が含まれる。
https://a1.security-next.com/l1/?u=https%3A%2F%2Fhelpx.adobe.com%2Fsecurity%2Fproducts%2Facrobat%2Fapsb22- 01.html%0D&c=421d01e8&s=1
https://a1.security-next.com/l1/?u=https%3A%2F%2Fhelpx.adobe.com%2Fsecurity%2Fproducts%2Findesign%2Fapsb22- 05.html%0D&c=e9eb906c&s=1
https://a1.security- next.com/l1/?u=https%3A%2F%2Fhelpx.adobe.com%2Fsecurity%2Fproducts%2Fillustrator%2Fapsb22- 02.html%0D&c=599fd8d1&s=1
2022 年 1 月 13 日
■ サーバに SQLi 攻撃、会員メアドが流出か – イシバシ楽器
石橋楽器店は、ウェブサイトの脆弱性を突く不正アクセスを受け、顧客のメールアドレスが流出した可能性があることを明らかにした。
同社によれば、ウェブサーバに対して 2021 年 12 月 20 日に SQL インジェクション攻撃が行われたもの。2006 年 9 月 5 日か
ら 2020 年 11 月 27 日にかけてポイントカード会員に登録した顧客のメールアドレス 9 万 8635 件が外部に流出した可能性があるという。
不正アクセスでは、データベースのテーブルにアクセスされた痕跡が残っていたが、メールアドレスを狙ったもので、氏名や住所、クレジットカードの流出はなかったとしている。
2022 年 1 月 14 日
■ 少年自然の家のホームページが改ざん被害、富山県が発表
富山県は 2022 年 1 月 6 日、県が運営する砺波青少年自然の家のウェブサイトが何者かのサイバー攻撃を受けたことにより、不正改ざん被害が生じたと明らかにしました。
情報によると、検索エンジンで被害サイト名を検索すると、表示されるインデックス名が通販サイトのような名称に書き換えられていたとのこと。改ざんが発覚したのは 2022 年 1 月 5 日のことで、富山県はホームページの緊急閉鎖を決定しました。
2022 年 1 月 14 日
■ 博物館情報サイトが改ざん – 不正サイトへ誘導
仙台や宮城地域の博物館情報を配信するウェブサイト「見験楽学」が、不正アクセスにより一時改ざんされた。すでに復旧している。
同サイトを運営する仙台・宮城ミュージアムアライアンス(SMMA)事務局によれば、2021 年 12 月 19 日 5 時 20 分から 21 日
13 時半にかけてウェブサイトを改ざんされたもの。
改ざん期間中にサイトを閲覧すると、外部の不正サイトへ誘導されたり、「ウイルスに感染しています」といった偽警告が表示される状態だった。
改ざんされたサイトを閲覧しただけでマルウェアに感染するおそれはないとしているが、期間中にウェブサイトを閲覧した場合は、マルウェアへ感染していないか確認するよう呼びかけている。
https://www.smma.jp/news/%e3%81%8a%e8%a9%ab%e3%81%b3%e3%81%a8%e3%81%8a%e9%a1%98%e3%81%84%ef% bc%9a%e3%82%a6%e3%82%a7%e3%83%96%e3%82%b5%e3%82%a4%e3%83%88%e3%81%ae%e6%94%b9%e3%81%96%e 3%82%93/
2022 年 1 月 14 日
■ ラベルプリンタ「テプラ」の一部製品に脆弱性 – Wi-Fi の認証情報が漏洩するおそれ
キングジムのネットワーク対応ラベルプリンタ「テプラ PRO SR5900P」「同 SR-R7900P」に脆弱性が含まれていることがわかった。アップデートが提供されている。
脆弱性情報のポータルサイトである JVN によれば、認証情報の保護に不備がある脆弱性「CVE-2022-0184」が明らかとなったもの。
ネットワーク経由でアクセスできる場合、インフラストラクチャモードでアクセスポイントに接続するための認証情報が漏洩するおそれがあるという。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「4.3」と評価されている。
https://jvn.jp/jp/JVN81479705/index.html https://www.kingjim.co.jp/download/security/#sr01
2022 年 1 月 17 日
■ デンソー海外子会社がランサム被害、パソコン 20 台が暗号化
自動車部品メーカーの株式会社デンソーの海外子会社がハッカー集団によるサイバー攻撃を受け、ランサムウェアに感染していた事実が明らかになりました。
情報によればデンソー社は 2021 年 12 月、自社のセキュリティシステムが外部からのサイバー攻撃を検出したため調査したと
ころ、メキシコ子会社で使用していた端末 20 台がランサムウェアに感染していた事実が判明。
さらに攻撃者と見られるハッカー集団「Rook(ルーク)」から、データと引き換えに金銭の支払いを要求されたほか、ダークウェブ上にある追跡できないサイト上で「デンソーから 1.1 テラバイト相当のデータを盗み出した」と犯行声明を受けたとのことです。
2022 年 1 月 17 日
■ 「Switch」が大幅割引とだます任天堂の偽サイトに注意
任天堂は、同社のウェブサイトを装い、同社製品を格安で購入できるなどとだます詐欺サイトが確認されているとして、注意を呼びかけた。
同社によれば、今回確認された偽サイトでは、同社のロゴなど盗用して同社が運営しているかのように見せかけ、家庭用ゲーム機「Nintendo Switch」をはじめ、同社製品を大幅に割り引きした価格で購入できるかのように装っていた。
偽サイトでは、購入手続きを行っても商品が届かない、個人情報が詐取されるといった被害に遭う可能性があるとして、同社では注意を呼びかけている。
https://www.nintendo.co.jp/corporate/release/2022/220114.html
2022 年 1 月 17 日
■ 旧サーバが改ざん、偽通販サイトを設置される – 江東区健康スポーツ公社
江東区健康スポーツ公社は、以前ウェブサイトを公開していたウェブサーバの一部ファイルが改ざんされ、不正なコンテンツが設置されたことを明らかにした。
同社によれば、不正アクセスを受けて旧サーバに同公社とは関係ない通販サイトを模したコンテンツが設置されたもの。検索エンジンの一部検索結果において、タイトルやウェブページの説明文となる「スニペット」にも不正な情報が表示される状態となった。
正規サイトのドメインには、サブドメインに「www」が含まれるが、改ざんされた旧サーバは、サブドメインのない「koto- hsc.or.jp」を用いていた。同社では、改ざんされたサイトより正規サイトへ強制的に転送するよう対策を講じたが、検索結果より改ざんされたウェブサイトにはアクセスしないよう注意を呼びかけている。
https://www.koto-hsc.or.jp/news/2022/detail_2575.html
2022 年 1 月 18 日
■ ジェック不正アクセス問題、個人情報約 2 万件の流出と発表
株式会社ジェックは 2022 年 1 月 13 日までに、同社が運用していた社内ストレージが第三者による不正アクセスを受け、取引
先担当者および同社が実施する研修受講者の個人情報合計約 2 万件の流出が確認されたと明らかにしました。
ジェックによれば 2021 年 11 月 4 日、社内ストレージにアクセス障害が発生したため調査したところ、原因が第三者による不正アクセスである可能性が判明。一旦流出懸念を公表したうえで、外部専門業者による詳細調査を実施した結果、ストレージ内の情報が攻撃者の手に渡ったと判断したとしています。
同社によれば、ストレージ内には取引先担当者の氏名や会社名に加えて電話番号やメールアドレス約 19,000 件が記録されてい
ました。また、同社が実施する研修受講者の氏名や部署名など約 1,000 件が含まれていた事実も判明。このため、同社は対象者らに個別に連絡を取り、謝罪しました。
https://www.jecc-net.co.jp/20220113
2022 年 1 月 18 日
■ オーガニック食品の通販サイトに不正アクセス – クレカ情報が流出
オーガニック食品を取り扱う通信販売サイト「ココシーズンズオンラインショップ」が不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性があることがわかった。
同サイトを運営するかわたによれば、2021 年 3 月 26 日から同年 8 月 19 日にかけて同サイトで商品を購入した顧客 303 人分のクレジットカード情報が外部に流出し、不正に利用された可能性があるという。
同サイトのシステムの脆弱性が突かれたことによる不正アクセスにより、ペイメントアプリケーションの改ざんが行われ、クレジットカードの名義、番号、有効期限、セキュリティコードなどが窃取された。2021 年 9 月 3 日にクレジットカード会社から情報流出の可能性について指摘があり、問題が判明した。
2022 年 1 月 19 日
■ サイバー攻撃でサイト壊滅、マルカンからカード情報 1,152 名流出か
株式会社マルカンは 2022 年 1 月 12 日、同社が運営するオンラインショップ「マルカンオンラインショップ(以下:被害サイト)」が何者かのサイバー攻撃を受けたことにより、過去被害サイトにてカード決済したユーザー1,152 名のクレジットカード情報が流出し、一部で不正利用が生じた可能性があると明らかにしました。
マルカンによれば同社は 2021 年 6 月 30 日、クレジットカード会社よりカード情報流出の懸念について指摘を受け、被害可能性を把握。事実関係を明らかにすべく第三者機関を通じた調査を実施したところ、何者かが同社サイトに内在していた脆弱性を利用して、決済フォームに入力されたカード情報が流出するよう手を加えていたことが判明しました。
https://www.mkgr-shopping.jp/top2.html
2022 年 1 月 19 日
■ 「VMware Workstation」「VMware Horizon Client」にサービス拒否の脆弱性
「VMware Workstation」「VMware Horizon Client for Windows」において、サービス拒否の脆弱性が明らかとなった。アップデートが提供されている。
両製品に含まれるコンポーネント「Cortado ThinPrint」の「TrueType フォント」を処理するパーサーにサービス拒否の脆弱性
「CVE-2022-22938」が明らかとなったもの。非公開で同社に対して報告があり、判明した。
脆弱性を悪用されると仮想マシンやリモートデスクトップより、ホストマシンで実行されている「Thinprint サービス」でサービス拒否を引き起こすことが可能だという。
https://a1.security-next.com/l1/?u=https%3A%2F%2Fwww.vmware.com%2Fsecurity%2Fadvisories%2FVMSA-2022- 0002.html%0D&c=f8ef3551&s=1
2022 年 1 月 19 日
■ トレンドの法人向けエンドポイント製品に複数脆弱性
「Trend Micro Apex One」「同 SaaS」「ウイルスバスターコーポレートエディション」「ウイルスバスタービジネスセキュリティ」「ウイルスバスタービジネスセキュリティサービス」に複数の脆弱性が明らかとなった。順次修正が実施されている。
脆弱性によって影響を受ける製品が異なるが、リンク解釈の脆弱性「CVE-2021-45231」や、同一生成元ポリシー違反の脆弱性
「CVE-2021-45441」をはじめ、「CVE-2021-45440」「CVE-2021-44024」「CVE-2021-45442」など 5 件の脆弱性が判明した。
「CVE-2021-45231」「CVE-2021-45441」「CVE-2021-45441」は、脆弱性を悪用されると権限の昇格が生じるおそれがあり、重要度が「高」とレーティングされている。「CVE-2021-44024」「CVE-2021-45442」はサービス拒否の脆弱性で、重要度は 1 段回低い「中」とした。
https://a1.security- next.com/l1/?u=https%3A%2F%2Fsuccess.trendmicro.com%2Fjp%2Fsolution%2F000290000%3FsfdcIFrameOrigin%3Dnull
2022 年 1 月 19 日
■ Check Point のエンドポイントソフトに権限昇格のおそれ
Check Point Software Technologies が提供する「Check Point Enterprise Endpoint Security Client for Windows」に脆弱性が明らかとなった。アップデートが提供されている。
インストールの修復が行われるディレクトリにアクセスが可能となっており、権限昇格が可能となる脆弱性「CVE-2021-30360」が明らかとなったもの。
攻撃者がインストール修復を実行することで、「Check Point Remote AccessClient」の権限で配置した不正なプログラムを実行することが可能だという。
https://a1.security- next.com/l1/?u=https%3A%2F%2Fsupportcenter.checkpoint.com%2Fsupportcenter%2Fportal%3FeventSubmit_doGoviews olutiondetails%3D%26solutionid%3Dsk176853%0D&c=676f634b&s=1
2022 年 1 月 20 日
■ Zoho の端末管理製品に深刻な脆弱性 – バグ報奨金制度通じて報告
Zoho が提供するエンドポイント管理ソリューション「Zoho ManageEngine Desktop Central」「同 MSP」に深刻な脆弱性が明らかとなった。アップデートがリリースされている。
認証のバイパスが可能となる脆弱性「CVE-2021-44757」が明らかとなったもの。悪用されると、リモートからサーバのデータを窃取されたり、任意の zip ファイルを書きこまれるおそれがある。
同社のバグバウンティプログラムを通じて外部のセキュリティ研究者より報告を受け、明らかになったという。
両製品に関しては 2021 年 12 月に「CVE-2021-44515」を修正しており、悪用も確認されているが異なる脆弱性のため注意が必要。
https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
2022 年 1 月 20 日
■ Oracle、四半期定例パッチをリリース – 約 500 件の脆弱性に対応
Oracle は、四半期ごとに公開している「クリティカルパッチアップデート(CPU)」をリリースした。広い製品に対してパッチを提供しており、対応した脆弱性はのべ 497 件にのぼっている。
今回のアップデートは、「Oracle Database Server」や「Oracle Java SE」をはじめ、「Oracle MySQL」「Oracle NoSQL Database」
「Oracle Fusion Middleware」「Oracle PeopleSoft」「Oracle Enterprise Manager」「Oracle Commerce」「Oracle Communications」
「Oracle REST Data Services」「Oracle Secure Backup」「Oracle Systems」ほか多くの製品向けに提供されている。対象となる脆弱性は CVE ベースでのべ 497 件。製品間の重複を除くと 266 件。
https://a1.security-next.com/l1/?u=https%3A%2F%2Fwww.oracle.com%2Fsecurity- alerts%2Fcpujan2022.html%0D&c=41e16414&s=1
2022 年 1 月 20 日
■ キヤノン製レーザープリンタや複合機に XSS 脆弱性
キヤノンのレーザープリンタやスモールオフィス向け複合機に脆弱性が明らかとなった。
脆弱性情報のポータルサイトである JVN によれば、複数製品にクロスサイトスクリプティングの脆弱性「CVE-2021-20877」が明らかとなったもの。
同脆弱性は、ウェブブラウザよりネットワーク経由でプリンタの管理が行える「リモート UI」機能に存在。悪用された場合、設定画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「4.8」とレーティングされている。対象となる製品は 15 製品で、国内と海外で製品名やバージョンが異なるケースがあるため注意が必要。
https://a1.security-next.com/l1/?u=https%3A%2F%2Fcweb.canon.jp%2Fe- support%2Finfo%2F211221xss.html%0D&c=8ed52b91&s=1https://a1.security-next.com/l1/?u=https%3A%2F%2Fjvn.jp%2Fjp%2FJVN64806328%2Findex.html%0D&c=b016cc80&s=1
2022 年 1 月 20 日
■ 「Java SE」に 18 件の脆弱性 – 定例パッチで修正
Oracle は、2022 年 1 月に公開した四半期に 1 度の定例パッチ「クリティカルパッチアップデート(CPU)」にて「Java SE」のアップデートを実施し、18 件の脆弱性を修正した。
バージョンによって影響を受ける脆弱性は異なるが、あわせて 18 件の脆弱性を解消したもの。これらは特定条件下でリモートよりコードを実行されるおそれがあるが、いずれも共通脆弱性評価システム「CVSSv3」のベーススコアは「7.0」未満と評価されている。
同社は、脆弱性に対処した「Java SE 17.0.2」「同 11.0.14」「同 8u321」「同 7u331」および「Oracle GraalVM Enterprise Edition 21.3.1」「同 20.3.5」をリリース。利用者へアップデートを呼びかけている。
https://a1.security-next.com/l1/?u=https%3A%2F%2Fwww.oracle.com%2Fsecurity- alerts%2Fcpujan2022.html%0D&c=41e16414&s=1
2022 年 1 月 20 日
■ PHP 向けメールフォームプログラムに脆弱性 – 昨年の更新で修正済み
エコノシスシステム設計事務所が提供する PHP 環境向けのメールフォームプログラム「php_mailform」に複数の脆弱性が明らかとなった。修正版は 2021 年 10 月にリリースされている。
添付ファイル名の処理やチェックボックスにおいて「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-21805」
「CVE-2022-22142」が含まれていることが判明したもの。
共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「6.1」とレーティングされている。
2022 年 1 月 21 日
■ F5 がセキュリティアップデート – 脆弱性 25 件を修正
F5 Networks の「BIG-IP」や「NGINX Plus」に関する脆弱性が明らかとなった。
脆弱性によって影響を与える製品、モジュールなど異なるが、今回のアップデートを通じてあわせて 25 件の脆弱性に対処した。
今回の更新で重要度が 4 段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。次に高い「高(High)」
とされる脆弱性は 15 件だった。
このほか、「中(Medium)」とされる 9 件や「低(Low)」とされる 1 件に対処した。あわせてセキュリティ対策におけるバグ 3
件を修正している。
https://support.f5.com/csp/article/K40084114
2022 年 1 月 21 日
■ ペット用品通販サイトに不正アクセス – 閉鎖直後に被害が判明
ペットフードやペット用品を取り扱うマルカンは、同社通信販売サイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、一部が不正に利用された可能性があることを明らかにした。
同社によれば、「マルカンオンラインショップ」に存在した脆弱性を突かれ、決済アプリケーションを改ざんされる不正アクセスを受けたもの。
2019 年 8 月 5 日から 2021 年 6 月 21 日にかけて、同サイトでクレジットカード決済を利用した顧客 1152 人のクレジットカードに関する名義、番号、有効期限、セキュリティコードを窃取され、不正に利用された可能性がある。
https://www.mkgr-shopping.jp/top2.html
2022 年 1 月 21 日
■ 「Drupal」に複数脆弱性 – サードパーティ製ライブラリに起因
コンテンツマネジメントシステム(CMS)である「Drupal」の開発チームは、脆弱性を解消したアップデートをリリースした。コア部分に実装されているサードパーティ製ライブラリ「jQuery UI」に起因するクロスサイトスクリプティング(XSS)の脆弱性「CVE-2021-41184」「CVE-2021-41182」「CVE-2021-41183」「CVE-2010-5312」「CVE-2016-7103」に対処したもの。
「CVE-2021-41184」については「Drupal 9」と「同 7」に存在。ほか 4 件については「同 7」のみ影響を受ける。また「CVE- 2010-5312」「CVE-2016-7103」については、「jQuery Update」に含まれる「jQuery UI」において未修正となっていたことが今回明らかになったという。
これら脆弱性の重要度は、5 段階中 3 番目にあたる「中(Moderately critical)」とレーティングされている。 https://www.drupal.org/
2022 年 1 月 24 日
■ 「McAfee Enterprise」の Windows 向けエージェントに複数の脆弱性
McAfee Enterprise が提供するセキュリティ製品の Windows 向けエージェントに複数の脆弱性が明らかとなった。
権限管理の不備により権限の昇格が可能となる脆弱性「CVE-2022-0166」や、コードインジェクションの脆弱性「CVE-2021- 31854」が判明したもの。
脆弱性の重要度は、いずれも「高(High)」。共通脆弱性評価システム「CVSSv3.1」におけるベーススコアはそれぞれ「7.8」「7.7」とレーティングされている。
同社はこれら脆弱性やバグの修正を含む「McAfee Agent 5.7.5」を現地時間 1 月 18 日にリリース。利用者にアップデートを呼びかけている。
https://kc.mcafee.com/corporate/index?page=content&id=SB10378
2022 年 1 月 24 日
■ DB 管理ツール「phpMyAdmin」にアップデート – 脆弱性など解消
データベース管理ツール「phpMyAdmin」の開発チームは、セキュリティに関する修正を実施したアップデート「同 5.1.2」「同4.9.8」をリリースした。
今回のアップデートでは、ユーザーが自身のアカウントにおける認証セッションを操作して 2 要素認証バイパスできる脆弱性に対処した。
またデータベース名など機密性が高い情報が URL の一部となるおそれがあることから、オプションで暗号化できる設定を用意。エラーメッセージにホスト名や IP アドレスが表示されることも、設定によって抑制することが可能となった。
さらに「同 5.1.2」では、設定ページにおいて「クロスサイトスクリプティング(XSS)」や「HTML インジェクション」といった攻撃において必要となる情報が窃取されるおそれがある問題へ対応。さらに互換性の向上やバグ修正などをあわせて実施している。
2022 年 1 月 25 日
■ 「Deep Security」などトレンド 2 製品に脆弱性 – 実証コードが公開済み
トレンドマイクロのセキュリティ対策製品「Trend Micro Deep Security」「Trend Micro Cloud One Workload Security」に複
数の脆弱性が明らかとなった。すでに実証コードが公開されているという。
両製品において Linux 環境向けのエージェントに複数の脆弱性が存在することが判明したもの。すでに脆弱性の実証コードが公開されているという。Windows 版は影響を受けない。
「CVE-2022-23120」はコードインジェクションの脆弱性。悪用されるとローカル環境において権限昇格が生じ、root 権限を奪われるおそれがある。またディレクトリトラバーサル「CVE-2022-23119」を悪用されると任意のファイルを窃取されるという。いずれも未アクティベート状態のエージェントへアクセスされた場合に影響を受ける。共通脆弱性評価システム「CVSSv3.1」のベーススコアはともに「7.0」。同社は脆弱性の重要度を「高」と評価している。
https://jvn.jp/vu/JVNVU95024141/index.html https://success.trendmicro.com/jp/solution/000290304
2022 年 1 月 25 日
■ EC サイト向けクレカ決済サービスに不正アクセス – メタップス P
メタップスの子会社であるメタップスペイメントの e コマース向けクレジット決済サービスが不正アクセスを受け、クレジットカード情報が外部に流出した可能性があることがわかった。
e コマースサイトに向けて展開しているクレジットカード決済サービスの「決済トークン方式」が不正アクセスを受けたもの。
「決済トークン方式」では、EC サイト側より「JavaScript」を呼び出し、外部ドメインに遷移することなく EC サイト上でクレジットカード決済が行えるしくみを提供している。
同社によると、関連アプリケーションの脆弱性を突かれ、システム環境下にあった「決済トークン方式」のデータベース内のデータがアクセスを受け、外部に情報が流出した可能性が高いことが判明した。流出したデータの内容、規模、原因などは明らかとなっておらず、調査を進めている。
https://www.metaps-payment.com/company/20220125.html
2022 年 1 月 26 日
■ 電カルや診療報酬システムに不具合、春日井リハビリテーション病院
春日井リハビリテーション病院は 2022 年 1 月 19 日、同院が運用する医療情報システムに不正アクセスが原因と思われる不具合が生じたと明らかにしました。
同院によれば、不具合が確認されたのは 2022 年 1 月 12 日のことで、医療会計システムおよび電子カルテデータプログラムへの影響が生じているとのこと。
記事発表時点で原因や情報流出の有無は明らかになっていませんが、同院は不正アクセスの可能性によるものと見て、各システムを運用するサーバーの停止措置を講じました。
セキュリティ上の理由から停止したシステムは 2022 年 1 月 21 日時点で復旧に至っていません。
http://www.kreh.or.jp/2022/01/19/3837/
2022 年 1 月 26 日
■ SonicWall 製 VPN 製品の脆弱性を狙った攻撃が発生 – 早急に更新を
SonicWall のリモートアクセス製品「SonicWall SMA 100 シリーズ」に深刻な脆弱性が明らかとなった問題で、悪用が観測され
ているとして JPCERT コーディネーションセンターが注意喚起を行った。
同シリーズに関しては、リモートよりコードを実行されるおそれがある脆弱性をはじめ、あわせて 8 件の脆弱性が 2021 年 12
月に判明。アップデートが提供されている。
バッファオーバーフローの脆弱性「CVE-2021-20038」「CVE-2021-20045」については、共通脆弱性評価システム「CVSSv3」のベーススコアが、それぞれ「9.8」「9.4」とレーティングされている。
アップデートのリリース時点でこれら脆弱性の悪用は確認されていなかったが、その後実証コード(PoC)を含む詳細が公開され、2022 年 1 月 24 日には「CVE-2021-20038」を悪用する通信が観測されたという。
https://www.jpcert.or.jp/at/2022/at220004.html
2022 年 1 月 26 日
■ Imperva のクラウドWAF にルール回避のおそれ – すでに修正済み
Imperva がクラウドで提供している「ウェブアプリケーションファイアウォール(WAF)」に、検知ルールを回避される深刻な脆弱性が含まれていたことがわかった。
「Imperva Cloud WAF」において、「Content-Encoding」を「gzip」とした HTTP POST リクエストに対し、WAF ルールが適用されずバイパスされる深刻な脆弱性「CVE-2021-45468」が含まれていたことが明らかになったもの。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアが最高値「10」のところ、「9.8」とレーティングされている。
2022 年 1 月 26 日
■ 「glibc」の非推奨関数に脆弱性 – 次期バージョンで修正予定
「GNU C ライブラリ(glibc)」に含まれる一部関数に任意のコードを実行される脆弱性が含まれていることがわかった。
同ライブラリの「sunrpc モジュール」に含まれる非推奨の互換性関数「clnt_create」や、廃止された「svcunix_create」にバッファオーバーフローの脆弱性が含まれていることが明らかとなったもの。
それぞれ「CVE-2022-23219」「CVE-2022-23218」が割り当てられており、脆弱性を悪用されるとサービス拒否が生じるおそれがあるほか、アプリケーションの構築時にオプションの「stack-protector」を有効化していない場合は任意のコードを実行されるおそれがあるという。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「9.8」とレーティングされている。
https://www.gnu.org/software/libc/
2022 年 1 月 27 日
■ ビーグレンHP が不正アクセス被害、カード情報 4 万 6,702 件流出か
ビバリーグレンラボラトリーズ株式会社は 2022 年 1 月 25 日、同社が運営するオンラインショップ「ビーグレン HP(被害サイト)」が何者かの不正アクセスを受けたことにより、過去同社サイトにて新規にカード情報を入力したユーザーのクレジットカード情報 4 万 6,702 件が流出した可能性があると明らかにしました。
発表によれば、同社は 2021 年 6 月 10 日、一部クレジットカード会社から被害サイトからカード情報が流出している懸念につ
いて連絡を受けています。同社が事実関係を明らかにするため第三者調査機関による調査を実施したところ、何者かが被害サイトの脆弱性を利用して、ユーザーが入力した情報が外部に流出するよう不正なプログラムを設置していた事実が判明しました。同社によれば、改ざんによる流出は 2020 年 12 月 5 日より発生し 2021 年 6 月 24 日に至るまで継続しています。流出した情報はカード名義人名にカード番号、セキュリティコードおよび有効期限で、一部において不正利用の可能性も生じています。 https://www.bglen.net/notice/security
2022 年 1 月 28 日
■ 個人情報が流出、元旦に脅迫メール – リラクゼーション店
エステやマッサージなどリラクゼーション店を展開するエーワン東京は、同社システムがサイバー攻撃を受け、顧客や従業員などの個人情報が外部に流出した可能性があることを明らかにした。
同社によれば、1 月 1 日にすべての店舗アカウントよりシステムへアクセスできない状態となっていることが判明。同時に求人応募者のメールアドレス宛てに、脅迫まがいのメールが数件届いたという。
同社がログを調査したところ、アカウントを削除され、顧客、求人応募者、スタッフなどのデータを窃取されたことが判明した。2021 年 12 月 31 日の時点でデータベースに登録されていた顧客、求人応募者、スタッフの氏名、電話番号、年齢、性別、メールアドレスなどが流出した可能性がある。
https://www.a1-tokyo.com/news01
2022 年 1 月 28 日
■ 土木防災情報システムのメールサーバに不正アクセス – 新潟県
新潟県は、土木防災情報システムが不正アクセスを受け、意図しないメールの送信に悪用されたことを明らかにした。詳細について調査を進めている。
同県によれば、同システムのメールサーバが不正アクセスを受け、外部へ不正にメールが送信された痕跡が 1 月 25 日に確認されたもの。同県に委託事業者から連絡があったという。
同県では、防止策を講じるまでの措置として、サーバを一時停止した。不正アクセスを受けた原因や期間、送信されたメールの内容、件数などについて調査を進めている。
https://www.pref.niigata.lg.jp/uploaded/attachment/300398.pdf
2022 年 1 月 31 日
■ 日能研が SQL インジェクション被害、最大 28 万アドレス流出の可能性
中学受験関連サービスを提供する株式会社日能研は 2022 年 1 月 29 日、同社のホームページデータの格納先であるウェブサー
バーが何者かのサイバー攻撃を受け、最大 28 万 106 件のメールアドレスが流出した可能性があると明らかにしました。
日能研によれば、同社が事態を把握したのは 2022 年 1 月 11 日のことで、攻撃者は不正なコードを注入し本来運営側が想定しない事態を引き起こす「SQL インジェクション」と呼ばれる手口で同社のウェブサーバー攻撃し、情報を窃取した疑いがあるとのこと。
ただし、同社が調査したところ、流出懸念の生じているデータはメールアドレスに限定され、住所や電話番号に講座情報および
成績関連データなどは流出対象外と判明。同社は攻撃者の接続元を遮断したうえで原因となった脆弱性を修正したとしています。
https://www2.nichinoken.co.jp/info/owabi/220129.html
2022 年 1 月 31 日
■ SMB 向けの SonicWall 製 VPN 製品、脆弱性未修正機器が多数稼働か
SonicWall のリモートアクセス製品「SonicWall SMA 100 シリーズ」の脆弱性を悪用する動きが観測されているが、未修正のまま多くの機器が運用されている可能性がある。同シリーズを導入している場合は、早急にアップデートの状況を確認する必要がある。
問題の脆弱性は、「SonicWall SMA 500v」「同 410」「同 400」「同 210」「同 200」で利用するファームウェアに明らかとなった脆弱性。
あわせて 8 件が明らかとなり、2021 年 12 月よりアップデートが提供されているが、1 月に入って実証コード(PoC)を含む詳細が公表され、リモートよりコードを実行されるおそれがある「CVE-2021-20038」については悪用する通信が確認されている。インターネットに公開されている対象機器の稼働状況をマクニカが調査したところ、グローバルで 1 万 9319 台、国内で 1609 台のサーバが稼働していることを確認した。
2022 年 1 月 31 日
■ 主要 Linux ディストロに脆弱性「PwnKit」 – 実証コードも
主要 Linux ディストリビューションをはじめ、UNIX 系の OS で広く導入されているコンポーネント「polkit」に権限昇格の脆弱性が明らかとなった。脆弱性を悪用されると root 権限を取得されるおそれがある。
権限の制御に利用される「PolKi(t 旧 PolicyKit)」の「pkexec」においてメモリ破損が生じ、権限の昇格が可能となる脆弱性「CVE-
2021-4034」が明らかとなったもの。
Qualys が 11 月に発見、報告したもので、「polkit」をもじって別名「PwnKit」と命名した。悪用には攻撃対象機器のローカル権限が必要となるが、root 権限を取得されるおそれがある。
https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
2022 年 1 月 31 日
■ 「Apache Tomcat」にあらたな脆弱性 – 脆弱性の修正に起因
「Apache Tomcat」に権限昇格が生じる脆弱性「CVE-2022-23181」が明らかとなった。
同脆弱性は、「CVE-2020-9484」の修正により生じた「TOCTOU(Time-of-check Time-of-use)」競合状態による脆弱性。
「FileStore」を利用してセッションを永続化を行っている場合にのみ影響を受けるという。
開発チームへ2021 年12 月10 日に脆弱性の報告があり、1 月20 日にリリースされた「Apache Tomcat 10.1.0-M10「」同10.0.16」
「同 9.0.58」「同 8.5.75」にて修正。1 月 26 日に脆弱性が公表された。