| 日付 |
タイトル・内容 |
| 14日 |
 |
|
|
【状況】
コンテンツマネジメントシステム(CMS)である「WordPress」向けのプラグイン「WP-Members」にクロスサイトスクリプティング(XSS)の脆弱性が含まれていることがわかった。
JVN(脆弱性情報のポータルサイト)で、会員管理機能を提供するプラグイン「WP-Members」に脆弱性「CVE-2017-2222」が含まれていることが判明。
ログインしているユーザーがウェブブラウザ上でスクリプトを実行されるおそれ。
【対応】
修正版の「Ver. 3.1.8.1」にバージョンアップ |
|
|
|
|
|
| 14日 |
|
|
|
【状況】
「12日月曜日に支払下さい」等の請求書を装うマルウェアメール発生。
JC3では、警視庁と連携し、JC3ウェブサイトを通じ、これらのウイルス付メールが配信される際に早期警戒情報を発信。
【対応】
これらのメールは、犯罪者から送付されたウイルス付メールであり、添付ファイルは写真や文書等を装ったマルウェアですので開かないようにする。
例以外にも、ウイルス付メールは多数配信されており、添付ファイルの開封を促したり、リンク先のサイトの閲覧を促すような不審なメールには十分注意。
【参照サイト】
ウイルス付メール INDEX版(日本サイバー犯罪対策センター)
https://www.jc3.or.jp/topics/vm_index.html
|
|
|
|
|
|
| 13日 |
|
|
|
【状況】
MUFG カードをかたるフィッシングの発生。
メール件名:WEBサービス利用者
2017/06/13 09:30 現在、フィッシングサイトが稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中。
類似のフィッシングサイトが公開される可能性がある。
【対応】
フィッシングサイトでクレジットカード情報(カード番号、カード有効期限、CVV 番号等)、個人情報(お名前、生年月日、電話番号、カード利用代金お支払口座番号等)、アカウント情報(WEB サービス ID、WEB サービスパスワード等)、E-mail アドレス等を絶対に入力しないように注意。
【参照サイト】
セキュリティに関するお知らせ(Mitsubishi UFJ NICOS )
http://www.cr.mufg.jp/member/notice/login/index.html
|
|
|
|
|
|
| 09日 |
|
|
|
【状況】
2017年6月5日(月)の18時から23時にかけて送信した「Tree of Savior」メールマガジンが、他人のメールアドレス情報を閲覧できる誤配信で、85,320件が漏えい。
【経緯】
・6月5日(月)
メールマガジンを、対象となるメールアドレス85,320件へ配信開始。
メール送信システムの不具合により、一部のメールアドレスにのみ送信されたことを確認。
・6月6日(火)
6月5日(月)に送信されなかったメールアドレスへの配信を実施。
・6月8日(木)
6月5日(月)に配信されたメールマガジンの一部が、他の方のメールアドレス情報を閲覧できる状態であったことが発覚。
【対応】
今回の漏えい情報には、メールアドレス以外の情報は含まれていないが、メールアドレスの不正利用や第三者の攻撃から守るため、以下の対策を推奨。
・利用のメールアドレスに関連するパスワードの変更
・会員アカウントに登録されているメールアドレスの変更
【原因・対策】
・メール送信システムの不具合により閲覧できる状態で送信。
・メール送信システムの見直し及び改修、メールマガジンの配信にかかる
社内手順の見直し及び改善を実施し、再発防止に取り組む。
【補償】
対象となる顧客のメールアドレスへ、補償として500円分のNEXONクーポンを送信。
|
|
|
|
|
|
| 09日 |
|
|
|
【状況】
WordPress向けに提供されているW3 Eden製プラグイン「WordPress Download Manager」に複数の脆弱性が発見された。
プラグインで「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2017-2216」や、任意のウェブサイトにリダイレクトされることが可能となるオープンリダイレクトの脆弱性「CVE-2017-2217」が判明。
【アップデート情報】
「CVE-2017-2216」に関しては「同2.9.50」
「CVE-2017-2217」は「同2.9.51」で修正
最新版として「同2.9.52」がリリースされているのでバージョンアップ |
|
|
|
|
|
| 08日 |
|
|
|
【状況】
「WordPress」向けに提供されているプラグイン「Multi Feed Reader」「SQLインジェクション」の脆弱性「CVE-2017-2195」が存在し、データベース内のデータを不正に操作されるおそれがある。
【対策】
脆弱性を修正した「同2.2.4」が提供されている。
|
|
|
|
|
|
| 08日 |
|
|
|
【状況】
大阪府内の中学生が、ファイルを暗号化し、利用できなくなる「ランサムウェア」を作成した容疑で6月5日に逮捕された。同マルウェアでは、オープンソースの暗号化プログラムを、本体の「ransom.bat」で動かす仕組むサンプルコードなどが利用されていたという。
暗号化に用いる鍵はインターネット上で公開されているプログラマー向けのサンプルコードを用いて作成。AESでさらに暗号化するものの、バッチファイル内に暗号鍵が記載されており、ランサムウェアとしては稚拙なものだったという。
【原因】
今回のケースに限らず、未成年のサイバー犯罪では、自己顕示欲を満たすための犯行が多く、証拠を残すことも多いと指摘。
ITに関するモラルの教育を受けておらず、犯罪への意識が希薄だったり、犯罪にあたるという意識もないまま、犯行にいたるケースもあることから、技術や知識だけでなく、モラルを教育する取り組みが重要であると訴えている。
【対応】
今後は義務教育にプログラミングを組み込むという動きも見えていますが、単にIT関連の技術や知識を教えるだけでなく、「ITモラル」についても並行して教えていく取り組みが必要。
【罰則】
ウイルス作成罪は2011年の刑法改正で追加された新しい条文で、裁判例も少なく、どの程度の危険性があったらウイルス作成罪にあたるのか、解釈の基準がまだ未醸成な段階。
このため、今回の場合、実際に被害が生じる危険性が低くても、本人がまじめに「ウイルスを作るつもりで」作っていれば、ウイルス作成罪が成立する可能性。 |
|
|
|
|
|
| 07日 |
|
|
|
【状況】
Apple をかたるフィッシングメールが発生。
メール件名:
・Order Confrimations. #[英数字]
・リマインダ:アカウントロック
・AppIe: 確認の進捗状況 [日付]
・あなたのApple IDでセキュリティを守ります
・Apple ID アカウントが無効になっています : [日付]
・Apple IDはセキュリティ上の理由から無効になっています : [数字]
・お知らせ:[Apple] Statementアカウントのログインを再開する [日付]
・あなたのApple IDがロックされています
【対応】
・2017/06/07 13:30 現在、複数のフィッシングサイトが稼働中。
類似のフィッシングサイトが公開される可能性があり、引き続き注意。
・フィッシングサイトで E メール / ID、個人情報、クレジットカード情報、
パスワード等を絶対に入力しないように注意。
・一部のフィッシングサイトは、HTTPS 接続に対応したセキュアな
サイトを装っているため、注意。
【参照サイト】
アップル>プライバシー>プライバシーの管理
https://www.apple.com/jp/privacy/manage-your-privacy/
|
|
|
|
|
|
| 07日 |
|
|
|
【状況】
6月5日新潟県長岡市内において、弊社の修理委託先が、廃棄のために社用車にて運搬中であった、顧客の修理受付内容を記入した「出張修理受付伝票(昭和59年から平成8年までに作成)」を社用車から一部落下させ紛失。
【対応】
今回の事態を厳粛に受け止め、書類の廃棄に関する手続を含めた情報管理体制を見直し、これまで以上に従業員および委託先への指導・教育を徹底。
なお、当該伝票は、個別の修理対応毎に、随時作成し保管していたものであり、個人情報は特定できないため、ホームページ上でのお詫びとお知らせ。 |
|
|
|
|
|
| 06日 |
|
|
|
【状況】
マイクロソフトをかたるフィッシングメールが発生
メールの件名
・[大切]マイクロソフトのプロダクトキーが不正コピーされた警告です!
・[重要]オフィスソフトのプロダクトキーが不法コピーされる警告!!
【対応】
・2017/06/06 17:00 現在フィッシングサイトは稼働中。
類似のフィッシングサイト公開に注意。
・フィッシングサイトでは、アカウント情報、PIN コード、お客様情報、
支払い情報などを絶対に入力しないよう注意。
【参照サイト】
マイクロソフト/マイクロソフトを装った不審メールの配信について
https://www.microsoft.com/ja-jp/office/2016/attention5.aspx
|
|
|
|
|
|
| 06日 |
|
|
|
個人情報保護委員会が2016年度における事務処理状況を取りまとめた。
【監視・監督にかかる処理状況】
マイナンバーの漏洩など、マイナンバー法に違反したり、違反のおそれがあるとして、117の組織から165件の報告が寄せられた。
報告の多くは、地方公共団体においてマイナンバーを含む書類が誤送付または誤交付されたケースが占める。
また、漏洩や紛失した件数が100件を超え、委員会への報告が義務付けられている「重大な事態」に相当するケースは165件のうち6件で、内訳は地方公共団体が2件、民間事業者が4件。
内訳は、地方公共団体が他人のマイナンバーを誤って記載してほかの地方公共団体へ送付したケース、民間事業者の再委託先が情報システムに記録されていたマイナンバーを含む従業員情報を誤って削除したケースなど。
法令やガイドラインの遵守状況、特定個人情報保護評価書に記載された事項の実施状況を確認するため、行政機関5件、地方公共団体5件の立入検査を実施。
マイナンバーやマイナンバーカード裏面のQRコードなどがウェブサイトに掲載されていたことなどを受け、6件の注意喚起を実施。
【苦情あっせん相談窓口対応状況】
28年度は1,439件の相談受付。
内容は、マイナンバー提供・取得時の事業者の理解不足に起因するトラブル、また提供した事業者の安全管理措置に対する不満で、相談者は事業者の従業員が大半を占める。
|
|
|
|
|
|
| 05日 |
|
|
|
【状況】
2017年3月10日にApache Struts2 の脆弱性により、40,872件のクレジットカード情報流出事故発生後の対応。
住宅金融支援機構と委託先GMOペイメントゲートウェイ株式会社は、原因調査や再発防止策の検討に取り組み、GMO−PGによるセキュリティ対策の強化及び再発防止策について機構が安全性の確認を公表。
【不正使用及び再発行費用について】
流出の対象となったクレジットカードが不正に使用された場合の費用及びカードの再発行手数料については、機構がカード発行会社に支払い、顧客に金銭的なご負担はかけない。
【安全性確保に向けた取組】
1)GMO−PGの対応
次のセキュリティ対策の強化及び再発防止策を講じ、第三者機関による監査済。
・技術的な再発防止策の実施(重要情報の管理の厳格化等)
・脆弱性情報の入手方法及び当該情報への対応の改善
・システム開発プロセスの改善
2)機構の対応
GMO−PGからの今般の個人情報流出の発生原因及び再発防止策の報告を受け、外部のセキュリティ専門家の意見も得た上で、個人情報流出の原因分析及び技術面・運用面の再発防止策が十分であることを確認。
|
|
|
|
|
|
| 05日 |
|
|
|
【状況】
6月2日午前10時50分頃、国立環境研究所が運用する出張対応用のWebメールサーバにおいて、職員1名のメールアカウントで不正ログインされ、スパムメール(約8,800通)が送信されたという事案が発生し、10時55分頃Webメールのサービスを停止。
該当ユーザのログを調査したところ、マルウェアの感染や外部への拡散、研究所が保有する情報の流出といった被害発生はないことを公表。
【対応】
研究所では今後、不正アクセス防止のため、アクセス制御機能の強化等の対策を講じる。
|
|
|
|
|
|
| 02日 |
|
|
|
【状況】
WordPress向けに提供されているプラグイン「WP Live Chat Support」にクロスサイトスクリプティング(XSS)の脆弱性「CVE-2017-2187」が含まれていることが判明。
脆弱性を悪用されると、ログインしているユーザーのウェブブラウザ上で、任意のスクリプトを実行されるおそれ。
【対応】
脆弱性を修正した「同7.0.07」が提供されている。
|
|
|
|
|
|
| 01日 |
|
|
|
【状況】
WordPress 用プラグイン WP Live Chat Support (WP Live Chat Support 7.0.07 より前のバージョン)には、クロスサイトスクリプティングの脆弱性が存在。
【対策】
最新版へアップデート
|
|
|
|
|
|
