・Web サイト関連 : 49件
・メール関連 : 47件
2022 年 2月 1 日
■化学メーカーのダイセル、グループ運用サーバーが不正アクセス被害
大手化学メーカーの株式会社ダイセルは 2022 年 1 月 27 日、同社グループが運用しているサーバーに対する外部からのサイバー攻撃が確認されたと明らかにしました。
同社によると、不正アクセスが確認されたのは 2021 年 12 月 22 日のことで、攻撃の影響でグループが保有する情報の一部が流出した可能性があるとのこと。
同社は事案発覚後、不正アクセス対策を講じたうえで第三者調査機関に調査を依頼しましたが、記事発表時点で情報流出の有無や規模などは明らかになっていない状況です。
https://www.daicel.com/news/2022/20220127_628.html
2022年 2月 1 日
■ 「Samba」に深刻な脆弱性 – リモートよりコード実行のおそれ
「Samba」の開発チームは、最新版となる「Samba 4.15.5」「同 4.14.12」「同 4.13.17」をリリースし、深刻な脆弱性に対処した。早急にアップデートを実施するよう求めている。
今回のアップデートは、3 件の脆弱性に対応したセキュリティリリース。「CVE-2021-44142」「CVE-2022-0336」「CVE-2021-44141」を修正した。「CVE-2021-44142」は、VFS モジュールである「vfs_fruit」を使用している場合に、域外のメモリへアクセスするおそれがある脆弱性。リモートより root 権限でコードを実行されるおそれがある。
https://a1.security-next.com/l1/?u=https%3A%2F%2Fwww.samba.org%2F&c=4421e863&s=1
2022 年 2 月 1日
■ 県民プール利用者情報が流出、マルウェア感染で – 和歌山県
和歌山県は、秋葉山公園県民水泳場の管理事務所のパソコンがマルウェアに感染し、同施設ウェブサイトの利用者に関する個人情報が外部に流出した可能性があることを明らかにした。
同県によれば、秋葉山公園県民水泳場のウェブサイトの問い合わせ欄と予約キャンセル欄でやり取りしたメール最大約 2000 件が外部に流出した可能性があることが 1 月 25 日に判明したもの。氏名やメールアドレス、電話番号、問い合わせ内容、予約日時などが含まれる。
同水泳場になりすまし、返信を装い、添付ファイルを確認するよう求めるメールが利用者に対して送信されているとの連絡が管理者にあり、調査したところ、管理事務所のパソコンが「Emotet」と見られるマルウェアに感染し、利用者の個人情報が外部に流出した可能性があることが判明した。
2022 年 2月 1 日
■ 不正アクセスでクレカ情報流出の可能性 – 化粧品メーカー
スキンケア商品の製造と販売を手がけるビバリーグレンラボラトリーズは、同社運営サイト「ビーグレン HP」が不正アクセスを受け、顧客のクレジットカード情報が流出し、一部が不正利用された可能性があることを明らかにした。
同社によれば、脆弱性を突く不正アクセスにより不正なプログラムが設置され、同サイトにおいて顧客が入力したクレジットカード情報が外部へ送信されていたことが判明したもの。
2020 年 12 月 5 日から 2021 年 6 月 24 日までに同サイトでクレジットカード情報を新規に入力した顧客 4 万 6702 人に影響があり、クレジットカードの名義や番号、有効期限、セキュリティコードなどが外部に流出し、不正に利用された可能性がある。
https://www.bglen.net/notice/security
2022 年 2 月2 日
■ エーワン東京、外部からのサイバー攻撃で顧客やスタッフ情報流出
株式会社エーワン東京は 2022 年 1 月 24 日、同社が運用する専用システム「IP システム」に対する外部からのサイバー攻撃が発生し、同社が保有するスタッフや顧客の個人情報が流出したと明らかにしました。
エーワン東京によれば同社では 2022 年 1 月 1 日より、社内の全店舗アカウントに対するシステム障害が発生しており、同時に同社応募者用アドレスが攻撃者からの脅迫メールを受信している事態を確認したとのこと。
https://www.a1-tokyo.com/news01
2022 年 2月 2 日
■ テキストエディタ「vim」に脆弱性 – パッチで修正
UNIX 系 OS をはじめ、広く利用されているテキストエディタ「vim」に脆弱性が明らかとなった。パッチにて修正されている。
ヒープバッファオーバーフローの脆弱性「CVE-2022-0318」が明らかとなったもの。脆弱性報告サイト「huntr」を通じて開発者に報告された。実証コード(PoC)も公開されている。「huntr」では共通脆弱性評価システム「CVSSv3」のベーススコアを
「6.6」とし、重要度を「中(Medium)」とレーティング。Red Hat も同様に「6.6」とし、「中(Moderate)」と評価している。
「huntr」では、脆弱性の悪用にはローカル環境においてログイン権限が必要と評価しているが、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、ネットワーク経由で攻撃が可能であり、権限も不要として CVSS 基本値を「9.8」、重要度を「クリティカル(Critical)」とした。
2022 年 2 月 2 日
■ API ゲートウェイ「Apache ShenYu」に深刻な脆弱性
Apache Software Foundation のインキュベーターである API ゲートウェイ「Apache ShenYu」に深刻な脆弱性が明らかとなっ
た。
■API ゲートウェイ「Apache ShenYu」に深刻な脆弱性「Apache ShenYu」は、複数の言語やプロトコルに対応し、プラグインによる拡張やクラスターの展開にも対応した API ゲートウェイ。
「同 2.4.1」「同 2.4.0」に、「Groovy」のコードや「Spring Expression Language(SpEL)」を挿入し、リモートよりコードの実行が可能となるコードインジェクションの脆弱性「CVE-2021-45029」が明らかとなったもの。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」。重要度は「クリティカル(Critical)」とレーティングされている。
2022 年 2月 2 日
■ 「Dell EMC AppSync」に複数脆弱性 – アカウント乗っ取りのおそれも
アプリケーションにおけるデータをコピーし、管理する Dell Technologies 製のソフトウェア「Dell EMC AppSync」に複数の脆弱性が明らかとなった。アップデートが提供されている。
同社のアドバイザリによると、「GET リクエスト」により機密性の高いクエリ文字列を送信するため、セッションを乗っ取られるおそれがある脆弱性「CVE-2022-22551」が判明。
さらに認証 試行の 制限が 甘く 、ブルート フォー ス攻撃 によ ってアカウ ントを 乗っ取 られ るおそれが ある脆 弱性「 CVE-2022-22553」、クリックジャッキングの脆弱性「CVE-2022-22552」のあわせて 3 件が明らかとなった。
共通脆弱性評価システム「CVSSv3.1」のベーススコアはそれぞれ「8.3」「 8.1」「 6.9」とレーティングされている。
2022 年 2 月 3 日
■ XML パーサーライブラリ「Expat」に複数の深刻な脆弱性
XML パーサーのライブラリ「Expat(libexpat)」に複数の深刻な脆弱性が明らかとなった。脆弱性を修正したアップデートがリリースされている。関数「XML_GetBuffer」に整数オーバーフローの脆弱性「CVE-2022-23852」が明らかとなったもの。特定の構成において影響を受ける。また関数「doProlog」においても整数オーバーフローの脆弱性「CVE-2022-23990」が判明した。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「9.8」。重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。
2022 年 2 月 4 日
■ Cisco 製ルータ「RV シリーズ」に複数の脆弱性 – コード実行など深刻な影響
Cisco Systems 製ルータ「Cisco Small Business RV シリーズ」に複数の脆弱性が明らかとなった。深刻な脆弱性も含まれており、同社はアップデートを順次リリースしている。
「RV345 シリーズ」「RV340 シリーズ」「RV260 シリーズ」「RV160 シリーズ」に 10 件の脆弱性が明らかとなったもの。これにくわえて「RV345 シリーズ」「RV340 シリーズ」では、さらに 5 件の脆弱性が存在するという。これら脆弱性を悪用されるとコードやコマンドを実行されたり、権限の昇格、認証のバイパス、サービス拒否などが生じるおそれがある。15 件のうち 5 件は重要度が 4 段階中もっとも高い「クリティカル(Critical)」とレーティングされており、特に影響が大きい。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D
2022 年 2 月 4 日
■ サイト改ざんでフィッシングサイト設置される – 地質調査会社
地質調査を手がける応用地質は、グループ会社のウェブサイトが不正アクセスを受けて改ざんされ、フィッシングサイトが設置されたことを明らかにした。
同社によれば、1 月 24 日にグループ会社であるケー・シー・エスのウェブサイトが不正アクセスを受けて改ざんされ、フィッシングサイトを設置されたもの。同社ではウェブサイトを停止し、ネットワークを切断した。同社ウェブサイトの閲覧者におけるフィッシング被害については、否定的な見方を示しているが、同サイトのログなどを調査して確認するとしている。
https://www.oyo.co.jp/oyocms_hq/wp-content/uploads/2022/01/20220128_news-release_oyo.pdf
2022 年 2月7日
■ 主要 PC メーカーが採用する「InsydeH2O UEFI」に脆弱性 – 侵害されると影響大
OEM も含め、広く採用されている Insyde Software の「InsydeH2O UEFI」に複数の脆弱性が明らかとなった。OS より高い権限で動作しており、侵害されると影響が大きく、セキュリティ機関が注意を呼びかけている。
「UEFI」は、OS とファームウェアをつなぐインタフェースを提供し、ハードウェアの制御などにも用いられているソフトウェア。今回、パソコン、サーバ、モバイル端末など広く採用されている Insyde Software の「InsydeH2O Hardware-2-OperatingSystem UEFI」に、あわせて 23 件の脆弱性が明らかとなった。
具体的には、「InsydeH2O UEFI」において、OS のカーネルより高い権限で動作する「System Management Mode(SMM)」に、メモリ破壊の脆弱性 12 件や権限昇格の脆弱性 10 件が判明。「Driver eXecution Environment(DXE)」にもメモリ破壊の脆弱性 1 件が明らかとなった。共通脆弱性評価システム「CVSSv3」によるベーススコアは、「8.2」から「7.5」となっている。
https://a1.security-next.com/l1/?u=https%3A%2F%2Fwww.insyde.com%2Fsecurity-pledge%0D&c=86ebdcbd&s=1
https://a1.security-next.com/l1/?u=https%3A%2F%2Fkb.cert.org%2Fvuls%2Fid%2F796611%0D&c=63270979&s=1
2022 年 2月 7 日
■ 顧客のクレカ情報流出の可能性 – 医薬品容器メーカー
医薬品容器の製造、販売を手がける馬野化学容器のオンラインショピングサイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性があることがわかった。
同社によれば、脆弱性を突く不正アクセスを受けて決済アプリケーションを改ざんされたもので、クレジットカード情報が外部に流出し、不正利用された可能性があることが判明したもの。
対象となる顧客は、2020 年 8 月 13 日から 2021 年 2 月 20 日にかけて同サイトでクレジットカード決済を利用した 191 人。クレジットカードの名義、番号、有効期限、セキュリティコードなどが被害に遭ったと見られる。
クレジットカード会社から 2021 年 2 月 25 日に情報流出の可能性について連絡を受け、問題が発覚した。一方同社では、直前となる同月 19 日にカートシステムを切り替えるため、クレジットカード決済を停止していたという。
2022 年 2 月 8日
■ Fortinet 製 WAF「FortiWeb」に複数脆弱性 – アップデートで修正応
Fortinet が提供するウェブアプリケーションファイアウォール「FortiWeb」に複数の脆弱性が含まれていることが明らかとなった。アップデートで修正されている。
脆弱性によって影響を受けるモデルやバージョンは異なるが、あわせて 4 件の脆弱性が判明したもの。いずれも社内のセキュリティチームが発見、報告したものだという。
入力検証の不備に起因する「CVE-2021-41018」や、API コントローラーに明らかとなった「CVE-2021-43073」は、いずれも「OS コマンドインジェクション」の脆弱性。悪用にはユーザー権限が必要となるが、細工した HTTP リクエストにより、コードやコマンドを実行されるおそれがある。
さらにパストラバーサルの脆弱性「CVE-2021-42753」や、スタックバッファオーバーフローの脆弱性「CVE-2021-36193」が判明した。
2022 年 2月 8 日
■防災システムへの不正アクセス、スパム約 31 万件が送信される – 新潟県
新潟県は、1 月に土木防災情報システムのメールサーバより意図しないメールが送信された問題で、調査結果を明らかにした。
約 31 万件のスパムメールが外部へ不正に送信されたという。
同県土木防災情報システムのメールサーバが不正アクセスを受け、不正なメールの送信に悪用されたもの。1 月 25 日に委託事業者からの連絡で問題が判明。原因や被害状況など調査を進めていた。
同県によれば、1 月 22 日 11 時前から同月 24 日 22 時過ぎにかけて、同県メールアカウントより 31 万 1871 件のスパムメールが外部へ送信された。ただし、12 万 3434 件については送信エラーになったという。
メールアカウントでは、脆弱なパスワードを使用しており、同サーバは庁外からもアクセスできる状態だったため、不正なメール送信の踏み台として悪用された。サーバ内のデータを改ざんされたり、個人情報の流出といった被害については否定している。
https://www.pref.niigata.lg.jp/sec/kasenkanri/20220207-bousaisystem.html
2022 年 2月 9 日
■HIS 子会社がサイバー被害、最大 1,846 名のパスポート情報等流出懸念
旅行会社大手の株式会社エイチ・アイ・エスは 2022 年 2 月 8 日、同社のベトナム子会社の運用するサーバーが何者かのサイバ
ー攻撃を受けたことにより、最大 1,846 名の個人情報が流出した可能性があると明らかにしました。
エイチ・アイ・エスによれば不正アクセスが検出されたのは 2021 年 10 月 25 日のことで、セキュリティシステムが異常を発し事態を把握したとのこと。これ受け同社が外部専門家による遠隔簡易調査を実施したところ不正アクセスが発生していた事実が判明。同社はこの時点でサーバーをネットワークから切断し、外部アクセス制限を行ったとしています。
その後、同社は被害サーバーの輸送が困難であったため、代替策としてサーバーデータを記録した HDD を日本に郵送し詳細調査を実施しています。調査の結果、不正アクセスにより子会社が保有する個人情報が外部に流出した可能性が明らかとなりました。
https://www.his.co.jp/wp-content/uploads/n_co_20220208.pdf
2022 年 2月 9 日
■ 「Adobe Illustrator」など Adobe 複数製品に深刻な脆弱性 – イシバシ楽器
Adobe Systems は、「Adobe Illustrator」をはじめ、5 製品に対してセキュリティアップデートをリリースした。深刻な脆弱性などを修正している。
各社が定例のセキュリティアップデートを公開する米時間毎月第 2 火曜日、いわゆる「パッチチューズデー」にあわせ、「AdobeIllustrator」「Adobe Photoshop」「Adobe After Effects」「Adobe Creative Cloud Desktop」「Adobe Premiere Rush」向けのアップデートを公開したもの。
「Adobe Illustrator」では 13 件の脆弱性に対応。バッファオーバーフローの脆弱性「CVE-2022-23188」や域外メモリに書き込みが可能となる「CVE-2022-23186」については、コードを実行されるおそれがあり、3 段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
https://www.his.co.jp/wp-content/uploads/n_co_20220208.pdf
2022 年 2月 9 日
■ エレコム製の複数ルーターに脆弱性 – 開発画面よりコマンド実行が可能に
エレコム製の複数ルーターに脆弱性が明らかとなった。アップデートが呼びかけられている。
「WRH-300WH3」「WRH-300WH3-S」「WRH-300BK3」「WRH-300BK3-S」「WRH-300DR3-S」「WRH-300LB3-S」「WRH300PN3-S」「WRH-300YG3-S」の 8 機種において、ドキュメントなどに記載のない「開発画面」が存在。LAN 側よりアクセス
することで任意の OS コマンドを実行される脆弱性「CVE-2022-21173」が判明した。
また「WRC-300FEBK-R」では、クロスサイトスクリプティング(XSS)の脆弱性「CVE-2022-21799」が明らかとなっている。
共通脆弱性評価システム「CVSSv3.0」のベーススコアを見ると、「CVE-2022-21173」が「8.8」、「CVE-2022-21799」が「5.2」とレーティングされている。
「CVE-2022-21173」は、三井物産セキュアディレクションの米山俊嗣氏、「CVE-2022-21799」は RyotaK 氏が情報処理推進機構(IPA)へ報告したもので、JPCERT コーディネーションセンターが調整を実施した。
https://www.elecom.co.jp/news/security/20220208-02/
https://jvn.jp/jp/JVN17482543/index.html
2022 年 2月 9 日
■ オンライン会議「Zoom」のチャット機能に脆弱性 – 「zip 爆弾攻撃」受けるおそれ
オンライン会議システムを提供する Zoom は、セキュリティアップデートをリリースした。
「Zoom Client for Meetings」のチャット機能において高圧縮ファイルを用いた「zip 爆撃攻撃」を受けるおそれがある脆弱性「CVE-2022-22780」が判明したもの。
脆弱性を悪用され、巨大なファイルが展開されるとリソースが枯渇し、サービス拒否に陥るおそれがある。脆弱性の重要度は「中(Medium)」、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「4.7」とレーティングされている。
「Windows」や「macOS」をはじめ、「Linux」「iOS」「Android」向けに提供されているクライアントに影響があり、脆弱性を修正した最新版へアップデートするよう求めている。
2022 年 2 月 9 日
■ 「Citrix Hypervisor」「XenServer」に脆弱性 – ホットフィクスが公開
Citrix Systems は、「Citrix Hypervisor」「XenServer」に複数の脆弱性が明らかになったとしてホットフィクスをリリースした。
特定条件においてゲストの仮想マシンよりホストをクラッシュさせることが可能となる脆弱性が明らかとなったもの。
具体的には、準仮想化のゲスト仮想マシンよりコードを実行することで、ホストがクラッシュする脆弱性「CVE-2022-23034」が判明。PCI パススルー機能によって物理 PCI デバイスが割り当てられている場合に、ゲスト仮想マシンよりホストをクラッシュさせることが可能となる「CVE-2022-23035」が存在するという。
また Intel 製 CPU に脆弱性「CVE-2021-0145」が明らかとなり、マイクロコードがリリースされたことを受け、マイクロコードを含むアップデートを用意した。
https://support.citrix.com/article/CTX337526
2022 年 2 月 10 日
■ SAP、2 月の月例パッチを公開 – 重要度高い脆弱性を修正
SAP は、2 月の月例セキュリティパッチを公開した。前月に引き続き「Apache Log4j」に関する脆弱性へ対応を求めているほか、重要度が最高値の新規脆弱性にも対処している。
各社が定例のセキュリティアップデートを公開する米時間毎月第 2 火曜日、いわゆる「パッチチューズデー」にあわせて 19 件のアドバイザリを公開したもの。
過去に公開したアドバイザリのアップデート 5 件や「Apache Log4j」に関するアドバイザリ 3 件を除くと、新規のアドバイザリは 11 件。CVE ベースで 13 件の脆弱性に対応した。重要度がもっとも高い「Hot News」とレーティングされた脆弱性が 2 件含まれる。
「CVE-2022-22536」は、「SAP NetWeaver」「SAP Content Server」「SAP Web Dispatcher」において「リクエストスマグリング」や「リクエストコンカチネーション」が生じる脆弱性。共通脆弱性評価システム「CVSSv3」のベーススコアは、最大値の「10」とレーティングされている。
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022
2022 年 2月 14 日
■ JetBrains、四半期セキュリティアップデートを公開
JetBrains は、四半期ごとのセキュリティアップデートを公開した。
米時間毎月第 2 火曜日、いわゆる「パッチチューズデー」にあわせて四半期ごとに公開しているアップデートをリリースしたもの。26 件のアドバイザリを公開し、CVE ベースで 22 件の脆弱性に対応した。
「JetBrains Hub」「TeamCity」「Remote Development」では、重要度が 4 段階中 2 番目にあたる「高(High)」とされる脆弱性あわせて 5 件を修正。「中(Medium)」とされる 10 件や「低(Low)」される 7 件に対応した。
また CVE 番号は割り振られていないが「Datalore」「JetBrains Blog」「Kotlin websites」「Space」などに明らかとなった脆弱性についても対処したという。
https://blog.jetbrains.com/blog/2022/02/08/jetbrains-security-bulletin-q4-2021/
2022 年 2月 14 日
■ PCR 検査のデータ管理システムがランサム被害 – 愛知県
愛知県の PCR 検査データを管理する同県サーバでランサムウェアの感染被害が発生し、システムを使用できない状態に陥っている。同県では代替手段を用い、PCR 検査を継続している。
同県によれば、新型コロナウイルス感染症対策において PCR 検査のデータを管理するシステムがランサムウェアに感染。利用できない状況に陥ったもの。2 月 5 日に職員が同システムを立ち上げたところ、使用できない状態となっていた。
具体的な金額の指定などはなかったが、データの復旧にあたり、暗号資産(仮想通貨)である Bitcoin を支払うよう要求する英文が残されていた。
https://www.pref.aichi.jp/soshiki/eisei/pcrvirus.html
2022 年 2 月 15日
■ESET の Windows 向け製品に権限昇格の脆弱性
ESET の Windows 向けエンドポイント製品において、権限昇格の脆弱性が明らかとなった。個人向け製品、法人向け製品のいずれも影響を受けるという。
コンシューマー向けの「ESET Internet Security」「ESET Smart Security」、法人向けの「ESET Endpoint Security for Windows」や「ESET Server Security for Microsoft Windows Server」をはじめとするサーバ向け製品など、Windows 向けに提供されている同社エンドポイント製品に脆弱性「CVE-2021-37852」が判明したもの。エンドポイント製品では、「Microsoft Antimalware Scan Interface(AMSI)」を用いて詳細スキャンを行う機能が用意されているが、脆弱性を悪用されるとローカル環境において権限を昇格されるおそれがあるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」。ESET では脆弱性の重要度を「高(High)」としている。ZeroDay Initiative(ZDI)より脆弱性の報告を受けたもので、悪用は確認されていない。
https://support.eset.com/en/ca8223-local-privilege-escalation-vulnerability-fixed-in-eset-products-for-windows
2022 年 2 月 16 日
■EC 基盤「Adobe Commerce」「Magento」にゼロデイ脆弱性 – 早急に対応を
Adobe Systems は、e コマースプラットフォーム「Adobe Commerce」やオープンソースの「Magento」向けにセキュリティアップデートをリリースした。すでに脆弱性の悪用が確認されているという。
入力値の検証に不備があり、任意のコードを実行されるおそれがある脆弱性「CVE-2022-24086」が明らかとなったもの。現地時間 2 月 13 日にアップデートをリリースした。
同脆弱性は「Adobe Commerce 2.3.3」および以前のバージョンを除いて、全プラットフォームに影響があり、同社は「限定的」とするもプラットフォームを利用する店舗を狙った攻撃が確認されているという。共通脆弱性評価システム「CVSSv3.1」における脆弱性のベーススコアは、最高値 10 のところ「9.8」としており、同社は重要度を 3 段階中、もっとも高い「クリティカル(Critical)」とレーティングしている。
https://helpx.adobe.com/security/products/magento/apsb22-12.html
2022 年 2 月 16 日
■「VMware ESXi」などに複数脆弱性 – 組み合わさると深刻な影響
VMware の「VMware ESXi」「VMware Workstation」「VMware Fusion」に複数の脆弱性が明らかとなった。深刻な影響を及ぼすおそれがあるとしており、アップデートを呼びかけている。
あわせて 5 件の脆弱性が明らかとなったもの。非公開で報告を受けたもので、コンポーネントを含む「Cloud Foundation」も影響を受ける。
重要度を見ると、脆弱性単体では、4 段階評価で上から 2 番目にあたる「重要(Important)」や 1 段階低い「中(Moderate)」にとどまるが、脆弱性を組み合わせて悪用されると影響が大きく、同社では今回のアドバイザリ全体を 4 段階中もっとも高い「クリティカル(Critical)」と評価している。
https://www.vmware.com/security/advisories/VMSA-2022-0004.html
2022 年 2 月 16 日
■「Apache Gobblin」に深刻な脆弱性 – アップデートが公開
分散データ統合フレームワーク「Apache Gobblin」に深刻な脆弱性が明らかとなった。アップデートが提供されている。
「TrustManager」の LDAP 接続において、あらゆる証明書を信頼する脆弱性「CVE-2021-36152」が明らかとなったもの。「同0.15.0」および以前のバージョンが影響を受ける。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
開発チームでは脆弱性を修正した「同 0.16.0」をリリース。アップデートを呼びかけている。
https://www.apache.org/dyn/closer.cgi/gobblin/apache-gobblin-0.16.0/
2022 年 2 月 17 日
■VMware の「NSX-V」に OS コマンドインジェクションの脆弱性
VMware が提供する「VMware NSX Data Center for vSphere(NSX-V)」に OS コマンドインジェクションの脆弱性が明らかとなった。
同製品へ「SSH」によりアクセスできる場合に、root 権限で OS コマンドを実行されるおそれがある OS コマンドインジェクションの脆弱性「CVE-2022-22945」が明らかとなったもの。
非公開で報告を受けたとしており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」。同社は重要度を 4 段階中、2番目にあたる「重要(Important)」とレーティングしている。
同社では脆弱性を修正した「同 6.4.13」をリリース。利用者へアップデートを呼びかけている。
https://www.vmware.com/security/advisories/VMSA-2022-0005.html
2022 年 2 月 18 日
■「Adobe Commerce」「Magento」に今月 2 度目の緊急パッチ
Adobe Systems は、e コマースプラットフォーム「Adobe Commerce」やオープンソースの「Magento」に対して緊急パッチを公開した。2 月に入って 2 度目の緊急リリースで、利用者は双方を適用する必要がある。
同社では、現地時間 2 月 13 日に悪用が確認されている脆弱性「CVE-2022-24086」を修正するアップデートをリリースしているが、アドバイザリを更新し、異なる脆弱性「CVE-2022-24087」についても追加で対処したもの。いずれの脆弱性も入力値の検証処理における不備でリモートよりコードを実行されるおそれがある。
https://helpx.adobe.com/security/products/magento/apsb22-12.html
2022 年 2 月 18 日
■「PHP」のセキュリティアップデートが公開
PHP の開発チームは、脆弱性などへ対処した最新版となる「PHP 8.1.3」「同 8.0.16」「同 7.4.28」をリリースした。
修正内容はバージョンごとに異なるが、解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2021-21708」をはじめ、複数の修正を実施したもの。
開発チームでは、今回の各アップデートについてセキュリティリリースと位置づけており、各系列の利用者に対して最新版へ更新するよう推奨している。
https://www.php.net/
2022 年 2 月 18 日
■「Drupal」に 2 件の脆弱性 – アップデートが公開
コンテンツマネジメントシステム(CMS)である「Drupal」の開発チームは、脆弱性を修正したアップデートをリリースした。
2 件の脆弱性が明らかとなり、対処したもの。「CVE-2022-25271」は、「フォーム API」において入力値の検証に問題がある脆弱性。影響を受けるケースは少ないとしているが、悪用されると攻撃者によって許可されていない値を挿入されたり、データを上書きされるおそれがあるという。
また「Quick Edit」モジュールをインストールしている場合に、情報漏洩が生じるおそれがある脆弱性「CVE-2022-25270」が判明した。
https://www.drupal.org/sa-core-2022-003
2022 年 2 月 18 日
■Cisco 製メールセキュリティ製品に DoS 攻撃を受けるおそれ
Cisco Systems が提供する「Cisco Email Security Appliance(ESA)」に脆弱性が明らかとなった。
「Cisco AsyncOS Software」における DNS ベースの認証「DANE(DNS-Based Authentication of Named Entities)」を有効化している場合に、サービス拒否に陥るおそれがある脆弱性「CVE-2022-20653」が明らかとなったもの。
名前解決時におけるエラー処理が不十分なため、DoS 攻撃により管理インタフェースなどへアクセスできなくなるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」。重要度は 4 段階中、上から 2 番目にあたる「高(High)」とレーティングされている。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-dos-MxZvGtgU
2022 年 2 月 18 日
■広島県に DDoS 攻撃 – 県や市町のウェブ閲覧や防災メール配信に影響
広島県は、2 月 16 日 9 時過ぎより、断続的に DDoS 攻撃を受けていることを明らかにした。同県や県内自治体のウェブサイトを閲覧しにくい状態や防災メールの配信など影響が出ている。
同県や 23 市町がインターネットへ接続する際に用いる同県セキュリティクラウドに対し、30 分から 1 時間ごとに DDoS 攻撃が行われているもの。
DNS サーバへ大量にリクエストを送信して負荷をかけ、名前解決を妨害する「DNS フラッド攻撃」を受けており、セキュリティクラウド配下にある同県や同県市町のサーバへアクセスしづらい状態が発生。ウェブサイトの閲覧に支障が出ているほか、広島市では、同市防災情報メールの到達が遅延するといった影響もでているという。
https://www.pref.hiroshima.lg.jp/uploaded/attachment/470793.pdf
2022 年 2 月 22 日
■NoSQL 分散データベース「Apache Cassandra」に脆弱性 – 特定構成に注意
Apache Software Foundation が提供するオープンソースの分散型 NoSQL データベース「Apache Cassandra」に脆弱性が明らかとなった。
特定の構成において、クラスタ内でユーザー定義関数を作成する権限を持っているユーザーにより、ホスト上で任意のコードを実行されるおそれがある脆弱性「CVE-2021-44521」が明らかとなったもの。
「 enable_user_defined_functions 」 「 enable_scripted_user_defined_functions 」 を 有 効 化 し 、
「enable_user_defined_functions_threads」を無効化している場合に影響を受ける。
開発チームでは、重要度を「高(High)」とレーティング。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、「クリティカル(Critical)」と評価されている。
https://cassandra.apache.org/_/index.html(リンク切れ)
2022 年 2 月 22 日
■Foxit 製 PDF 製品に複数の深刻な脆弱性 – アップデートを
Windows 向けに提供されている「Foxit PDF Reader」や「Foxit PDF Editor」に複数の深刻な脆弱性が明らかとなった。アップデートにて修正されている。
複数の脆弱性を解消したほか、機能の強化を図ったもので、現地時間 1 月 28 日にアップデートとなる「同 11.2.1」をリリース。
国内向けには 2 月 17 日より提供が開始されている。
Windows 版では、CVE 番号が割り振られている脆弱性だけで 25 件にのぼり、CVE 番号の割り当てがない脆弱性も複数含まれる。
同社では特に脆弱性の評価などを示していないが、細工された「XFA ファイル」を処理するとバッファオーバーフローが生じる脆弱性「CVE-2022-24954」は、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」と評価されている。
https://www.foxit.co.jp/news/8217/
https://www.foxit.co.jp/news/8214/
2022 年 2 月 22 日
■マット販売サイトに不正アクセス -顧客情報流出の可能性 – オカ株式会社
キッチンマットやバスマットを扱う通信販売サイト「マット&ラグファクトリー本店」より顧客のクレジットカード情報が流出し、不正に利用された可能性があることがわかった。
同サイトを運営するオカによれば、脆弱性を突く不正アクセスを受けたもの。2021 年 7 月 27 日までに同サイトで商品を購入したすべての顧客最大 7086 人の個人情報が流出した可能性がある。氏名、住所、電話番号、生年月日、性別、職業、メールアドレスなどが対象だという。
さらに決済アプリケーションの改ざんにより、2020 年 12 月 30 日から 2021 年 7 月 10 日までにかけて同サイトでクレジットカード決済を利用した顧客最大 1569 人に関しては、クレジットカードの名義、番号、有効期限、セキュリティコードのほか、ログイン ID、ログインパスワードなども被害にあった可能性がある。
2021 年 7 月 27 日にクレジットカード会社から情報が流出した可能性があるとの指摘を受け、問題が発覚。同サイトでのカード決済を停止した。
https://www.oka-kk.co.jp/news/20220221/
2022 年 2 月 22 日
■「EC-CUBE」に脆弱性 – 危険度は「低」
イーシーキューブが提供するオープンソースの e コマースプラットフォーム「EC-CUBE」に脆弱性が明らかとなった。対策やパッチがアナウンスされている。
「HTTP Host ヘッダ」の処理に脆弱性「CVE-2022-25355」が明らかとなったもの。「EC-CUBE 4.1.1」「同 3.0.18-p3」および以前のバージョンが影響を受ける。
リクエストの Host ヘッダを改変することで、不正な URL が生成され、URL の一部が改ざんされたパスワード再発行用のメールが送信されるおそれがあるという。
開発元のイーシーキューブでは、脆弱性の危険度を「低」とレーティング。また JVN では共通脆弱性評価システム「CVSSv3.0」のベーススコアを「3.1」と評価している。
同 4 系では、「同 4.1.2」へアップデートの上、設定を変更するようアナウンスしている。また同 3 系には、「同 3.0.18-p3」向けにパッチがリリースされた。
https://www.ec-cube.net/info/weakness/20220221/
https://jvn.jp/jp/JVN53871926/
2022 年 2 月 24 日
■VMware の BYOD 用モバイルアプリに脆弱性 – アップデートが公開
VMware の BYOD 用モバイルアプリに脆弱性 – アップデートが公開
VMware は、持ち込みされた私有端末で組織のメールやスケジュール、連絡先機能などの情報を共有できるモバイルアプリ「VMware Workspace ONE Boxer」に脆弱性が明らかになったとしてアップデートをリリースした。
同製品のカレンダー機能において、入力値の検証や対策が不十分なため、悪意あるスクリプトタグを挿入することが可能となる「格納型クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-22944」が明らかとなったもの。
共通脆弱性評価システム「CVSSv3.0」のベーススコアは「6.6」。同社では脆弱性の重要度を 4 段階中、上から 3 番目にあたる「中(Moderate)」としている。
Android 版に脆弱性は存在せず、iOS 版のみ影響をがあるという。同社は iOS 向けに脆弱性を修正した「同 22.02」をリリース。アップデートを求めている。
https://www.vmware.com/security/advisories/VMSA-2022-0006.html
2022 年 2 月 24 日
■「ウイルスバスター for Mac」に脆弱性 – 「同 11」以降に更新を
「ウイルスバスターfor Mac」に権限の昇格が可能となる脆弱性が判明した。「同 11」以降に対してはアップデートが自動配信されている。
シンボリックリンクを悪用することで権限の昇格が可能となある脆弱性「CVE-2022-24671」が明らかとなったもの。
共通脆弱性評価システム「CVSSv3.0」のベーススコアは「7.8」とレーティングされている。
同社では「同 11.0.2184」にて脆弱性を修正。「同 11」の利用者に対しては、アップデートを自動で配信しており、「同 10」や以前のバージョンを利用している場合は、「同 11」へアップデートするよう求めた。また脆弱性を周知するため、JPCERT コーディネーションセンターへ報告。調整を経て JVN を通じても注意が呼びかけられている。
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10936
https://jvn.jp/vu/JVNVU95075478/index.html
2022 年 2 月 24 日
■開発言語「Go」に複数脆弱性 – 重要度「クリティカル」も
プログラミング言語「Go」の開発チームは、2 月 10 日にセキュリティアップデートとなる「Go 1.17.7」「同 1.16.14」をリリースした。
今回のアップデートは、3 件の脆弱性に対処したもの。「CVE-2022-23806」は、関数「Curve.IsOnCurve」において明らかとなった脆弱性で、誤った真偽値を戻すおそれがあるという。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「9.1」、重要度を「クリティカル(Critical)」と評価している。
またオーバーフローによりメモリを浪費するおそれがある「CVE-2022-23772」や、バージョンタグのように見えるブランチ名を誤って解釈する脆弱性「CVE-2022-23773」が明らかとなった。いずれも CVSS 基本値は「7.5」、重要度は「高(High)」とレーティングされている。
https://twitter.com/golang/status/1491914601948233731?s=20&t=M_i1GZqZuTc5O7b0WXd7vA
2022 年 2 月 24 日
■「EC-CUBE」向け「メルマガ管理プラグイン」に脆弱性
イーシーキューブが、「EC-CUBE」向けに提供している「メルマガ管理プラグイン」に脆弱性が明らかとなった。「クロスサイトリクエストフォージェリ(CSRF)」の脆弱性「CVE-2022-21179」が明らかとなったもの。
管理者権限を持つユーザーがログインした状態で細工されたページにアクセスすると、メールマガジンのテンプレートや送信履歴が削除されるおそれがある。
イーシーキューブでは、脆弱性の危険度を低「低」とレーティング。JVN において共通脆弱性評価システム「CVSSv3.0」におけるベーススコアは「3.1」と評価されている。
https://a1.security-next.cozm/l1/?u=https%3A%2F%2Fwww.eccube.net%2Finfo%2Fweakness%2F20220221%2Fmail_magazine_plugin.php%0D&c=1458473d&s=1
https://jvn.jp/jp/JVN67108459/index.html
2022 年 2 月 25 日
■API ゲートウェイ「Apache APISIX」に深刻な脆弱性
オープンソースの API ゲートウェイ「Apache APISIX」に深刻な脆弱性が明らかとなった。
プラグイン「batch-requests」において、API のグループの「Admin API」の IP アドレスによる制限をバイパスすることが可能となる脆弱性「CVE-2022-24112」が明らかとなったもの。
デフォルトの API キーを使用している場合、リモートよりコードを実行されるおそれがある。API キーを変更している場合はリクは下がるものの、引き続きバイパスされる状況に変わりはないとしている。
また「batch-requests」プラグインでは、脆弱性の影響でリモートよりアクセスする IP アドレスで上書きする設定についても、バイパスされる可能性がある。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。開発チームでは、脆弱性を修正した「同 2.12.1」「同 2.10.4」を公開するとともに、緩和策としてプラグイン「batch-requests」の無効化をアナウンスしている。
https://apisix.apache.org/blog/2022/01/25/release-apache-apisix-2.12/
2022 年 2 月 25 日
■化粧品 OEM メーカーにサイバー攻撃 – タイキグループ
化粧品の OEM 製造を手がけるタイキは、サイバー攻撃を受けたことを明らかにした。
同社によれば、2 月 8 日朝に社内で利用するファイルサーバへアクセスできない状態となっていることに従業員が気が付き、サイバー攻撃を受けたことが判明したもの。
顧客に関する情報の外部流出などは確認されていないとし、支払いを含めて重要業務に支障は出ておらず、取引先への影響はないと説明しているが、被害状況の詳細については明らかにしていない。
同社では関係当局に報告。外部事業者をまじえ、被害の内容、範囲の特定など調査を進めている。被害が生じたシステムについては、バックアップより復旧作業を行い、2 月 13 日までに復旧が完了しているという。
https://www.tikg.co.jp/news.html
2022 年 2 月 25 日
■サイバー攻撃でシステム停止、生産や出荷に影響 – フジミインコ
シリコンウェハ向けなど研磨剤の製造を手がけるフジミインコーポレーテッドは、同社や子会社である FUJIMI Taiwan がサイバー攻撃を受けたことを明らかにした。
両社が利用するサーバが攻撃を受けたもので、2 月 20 日に確認した。問題の発覚を受けて同社は、ウェブサイトも含めて社内のシステムを停止。一部生産や出荷を見合わせている。
外部をまじえて原因や影響の範囲について詳しく調べているが、顧客情報の外部流出や他グループ会社で同様の攻撃は確認されていないという。
同社では関係当局に事態を報告。引き続き調査や復旧を進め、生産ラインの稼働や出荷についても早期再開を目指すとしている。
https://www.fujimiinc.co.jp/
2022 年 2 月 25 日
■複数メルアカに不正アクアセス、サーバ内に個人情報 – 名大付属病院
名古屋大学医学部付属病院の複数メールアカウントが不正アクセスを受け、患者の個人情報などが外部に流出した可能性があることが明らかとなった。
同大によれば、海外の IP アドレスからアカウント 3 件に対して不正アクセスが行われたもの。総当り攻撃によりパスワードを特定されたという。
教職員から自身のメールアドレスをかたる迷惑メールが送信されたとの報告があり、調査を行ったところ、被害が発覚した。
不正アクセスは、2021 年 3 月から同年 9 月末にかけて約半年にわたり行われており、期間中メールサーバ内には、同院患者や学生、関係者の個人情報を含むファイルが添付されたメールも保存されていた。
具体的には、添付ファイル内に患者 184 人分の氏名、あるいは生年月日および性別、ID、診断名、術式、術者などの情報が保存されていた。
https://www.med.nagoya-u.ac.jp/hospital/news/news/2022/02/24135730.html
2022 年 2 月 25 日
■複数の化粧品通販サイトでクレカ情報流出のおそれ – 株式会社 ACRO
ACRO が運営する複数の化粧品通信販売サイトにおいて、顧客のクレジットカード情報やアカウント情報が流出した可能性があることがわかった。
同社によれば、システムの脆弱性を突く不正アクセスにより、決済アプリケーションを改ざんされ、2020 年 5 月 21 日から 2021年 8 月 18 日にかけて「THREE 公式オンラインショップ」「Amplitude 公式オンラインショップ」を利用した顧客情報が流出した可能性があることが判明した。
対象となるのは、クレジットカード決済を利用した「THREE 公式オンラインショップ」の顧客 8 万 9295 人や、「Amplitude 公式オンラインショップ」の顧客 1 万 4649 人。
クレジットカードの名義、番号、有効期限、セキュリティコードのほか、会員 ID およびパスワードが流出した可能性がある。
流出を示す証跡は確認されていないとしているが、ログファイルを調査した結果、個人情報が格納されたサーバがアクセスされたことも判明しているという。
https://info.acro-inc.co.jp/announcement/
2022 年 2 月 28 日
■「Mozilla VPN」に権限昇格のおそれ – アップデートが公開
Mozilla Foundation が欧米を中心に展開している VPN サービス「Mozilla VPN」に権限昇格の脆弱性が明らかとなった。
コンポーネントとして含まれる「OpenSSL」の検索パスに問題があり、細工したファイルを読み込み、権限の昇格が生じるおそれがある脆弱性「CVE-2022-0517」が明らかとなったもの。
脆弱性を悪用されると「SYSTEM」権限でコードを実行されるおそれがある。重要度は、4 段階中 2 番目に高い「高(High)」とレーティングされている。
Mozilla Foundation では、「同 2.7.1」をリリースし、脆弱性を修正した。
https://blog.mozilla.org/security/2021/04/26/mrsp-v-2-7-1/
2022 年 2 月 28 日
■トレンドの法人向けエンドポイント製品に複数脆弱性
トレンドマイクロは、法人向けエンドポイント製品に複数の脆弱性が明らかになったとしてアップデートをリリースした。
「Trend Micro Apex One」や「同 SaaS」のほか、「ウイルスバスタービジネスセキュリティ」「ウイルスバスタービジネスセキ
ュリティサービス」に 3 件の脆弱性が明らかとなったもの。
エージェントにおいてリンク解釈に問題があり、ローカル環境において権限の昇格が生じるおそれがある脆弱性「CVE-2022-24679」「CVE-2022-24680」が判明。さらにリソース枯渇によりサービス拒否が生じるおそれがある「CVE-2022-24678」が明らかとなった。
共通脆弱性評価システム「CVSSv3.1」におけるベーススコアは「CVE-2022-24679」「CVE-2022-24680」がともに「7.8」で、深刻度は「高」とレーティングしている。「CVE-2022-24678」は CVSS 基本値が「5.3」で深刻度は「中」。
同社は脆弱性を修正した「Apex One 2019 CP B10071」や「ウイルスバスタービジネスセキュリティ 10.0 SP1 Patch 2390」などアップデートをリリース。できるだけ早く最新のビルドへ更新するよう呼びかけている。
https://success.trendmicro.com/jp/solution/000290473
https://success.trendmicro.com/jp/solution/000290491
2022 年 2 月 28 日
■新潟県立近代美術館に不正アクセス – スパムの踏み台に
新潟県は、県立近代美術館において業務で利用していたメールアカウントが不正アクセスを受け、不正なメール送信に悪用されたことを明らかにした。
同県によれば、県立近代美術館が使用していたメールアカウント「kinbi@coral.ocn.ne.jp」が不正アクセスを受け、外部に意図しないメールを大量に送信されたもの。
同アカウントでは、2 月 4 日よりメールの送信に制限がかかっていたが、大量のメール送信が原因であることが 2 月 17 日に判明した。不正に送信されたメールの具体的な件数や記載内容については、プロバイダより開示を受けておらず、わかっていないという。
https://www.pref.niigata.lg.jp/site/kyoiku/kinbiocnmail.html
