セキュリティエンジニアが気になったニュースまとめ 2021/7/11~7/18
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2021/7/12
・Windows向けファイル検索アプリ「Everything」に脆弱性 – Lite版の使用を 脆弱性
https://jvn.jp/jp/JVN68971465/index.html
voidtools が提供する Everything の HTTP サーバには、HTTP ヘッダインジェクション (CWE-644) の脆弱性が存在します。
当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、表示されるページが改ざんされたり任意のスクリプトが実行されたりする可能性があります。
voidtools が提供するファイル検索アプリ『Everything』にはHTTPサーバの機能が含まれており、現在はHTTP サーバを含まない『Everything Lite』バージョンの使用を推奨しているとの事です。
2021/7/13
・パスワード6文字、1秒未満で突破 – デジタルアーツが発表したパスワード解読に関する調査結果 その他
https://www.daj.jp/security_reports/210623_1/
ZIPファイルのパスワードが一般レベルでどれくらいの時間で実際に解読できるのか、試してみました。
サンプルで設定した「zansin」というパスワードの解読は、なんと1秒未満でした。
一秒未満というのは脅威を感じますね。ZIPファイルに限らずパスワードは出来る限り推測されにくく、複雑なものに設定する事が大事です。
2021/7/13
・読売関連会社のネットショップに不正アクセス 事件・事故
https://yomifa.com/published_documents/index.html
2020年10月24日から2021年3月2日までの期間に「よみファねっと」で物品を購入するなどカード情報を入力された1,301人のお客様について、
カード情報が外部に流出し、一部が不正利用された可能性があることが判明しました。
サービス利用者の方はご利用明細に身に覚えのない請求項目がないかご確認ください。
2021/07/15
・JAL カードをかたるフィッシング 事件・事故
https://www.antiphishing.jp/news/alert/jalcard_20210715.html
JAL カードをかたるフィッシングの報告を受けています。
類似のフィッシングサイトが公開される可能性がありますので、引き続きご注意ください。フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難です。
日頃からサービスへログインする際は、メールや SMS 内のリンクではなく、いつも利用している スマートフォンの公式アプリやブラウザのブックマークなどからアクセスするよう、心がけてください。
HTTPSに対応したフィッシングサイトも増加しているなど、視覚的に罠サイトか否かの判別は難しくなってきています。
メール等で送られてきたURLを安易に開いてしまわないよう、利用するサイトは常日頃からブックマークしておく事が大切ですね。
2021/07/15
積水化学工業キャンペーン応募者宛のメールに無関係の顧客氏名 事件・事故
https://43up.jp/info/info_01.pdf
6 月 17 日 20 時 45 分〜21 時にかけて E メールでお送りした「賃貸住宅リユースハイムキャンペーン」の「お申込み完了のお知らせ」において、受信されたお客様とは
異なる氏名が記載された E メール(計 275 件)を誤って送信いたしました。
ご送信されたメールには氏名以外の個人情報は含まれていなかったとの事です。
個人情報を取り扱う際やメール送信時等にはヒューマンエラー等も起きやすいので特に注意が必要ですね
まとめのまとめ
今回のまとめでは、フィッシングサイトに関する記事を一部取り上げました。こうしたサイトによる被害にあわない為にも受信したメールやSMSには注意を払うことが大事ですが、一方でサイトへの不正アクセスやその他の情報流出等が起こった場合、ユーザへの情報伝達としてメールが利用される事があります。自身にとって重要なメールまで見落としてしまわないよう、利用中のサービスに関する情報収集はメールやサイトをしっかり確認しながらもリンクに関しては安易にクリックしない警戒心を持つことが大切ですね。
担当:YA