セキュリティエンジニアが気になったニュースまとめ 2021/7/19~7/25
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2021/7/19
2020年は1930億件のPWリスト攻撃を観測 – 約10億件を観測した日も その他
https://www.security-next.com/127751
米Akamai Technologiesは、2020年にグローバルで約1930億件のパスワードリスト攻撃を観測したことを明らかにした。12月には1日あたり過去最多となる約10億件の攻撃を観測している。
2020年の1年間に同社で観測したパスワードリスト攻撃は、約1935億1971万件。2019年の469億5923万件から4倍以上に増加した。背景には同社サービスの利用者が増えたこともあるが、それを差し引いても2019年から増加しているという。
コロナの影響で、テレワークの促進や、オンラインショッピングの頻度が増えたことにより、セキュリティ対策が脆弱であることを狙ったサイバー攻撃が増加しています。
今一度、自身が利用しているサイトなどパスワードの見直しを行いましょう。
2021/7/20
メンズ衣料通販2サイトに不正アクセス – 618人で不正利用 事件・事故
https://flava.co.jp/news/notice/
このたび、弊社が運営するオンラインショップ「jiggys-shop.jp」「crazy-ferret.jp」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報が漏えいした可能性があることが判明いたしました。
クレジットカードの利用明細は頻繁に確認し、不正利用されていた際はすぐにカードを止めるようにしましょう。
2021/7/21
サイトで他会員情報を誤表示、削除依頼メールで誤送信も – 洋菓子通販店 事件・事故
https://palet-dor.hatenablog.com/entry/2021/06/21/182045
この度、株式会社オヴァールリエゾン ショコラティエ パレ ド オール(以下「弊社」といいます。)のオンラインショップの会員様4342名の会員情報が他の会員様に流出したことが確認されましたので、ご報告申し上げます。
サイトの脆弱性に加えて、ヒューマンエラーが発生した事による情報流出事故です。
事故が起きてしまった際には焦らず対応し、二次被害を出さないことが大切ですね。
2021/7/21
Linuxカーネルにroot権限を取得できる脆弱性 – 1Gバイト超のパス長処理で 脆弱性
https://www.security-next.com/128357
Linuxカーネルにおいて、権限の昇格が生じる脆弱性「CVE-2021-33909」が明らかとなった。各ディストリビュータよりアップデートが展開されている。
バッファの割り当てが適切に行われておらず、域外への書き込みが可能となる脆弱性「CVE-2021-33909」が明らかとなったもの。Qualysが発見、報告した。
2014年7月以降に存在した脆弱性で、パス長が1Gバイト超のディレクトリ構造を作成し、マウント、削除を行うことで、root権限を取得することが可能だという。「Ubuntu」「Debian」「Fedora」など複数のディストリビューションで実際にroot権限を取得できることを確認したとしている。
root権限が取得出来てしまうという非常に危険度の高い脆弱性です。
早めのアップデートを心掛けましょう。
まとめのまとめ
今週は、情報漏洩が起きる脆弱性が多く見られました。
身の回りで不審な動きがあった際、すぐに行動に移せるようにしましょう。
また、先週から東京五輪が開幕しました。
オリンピックシーズンになると、サイバー攻撃が頻繁に行われます。
今後どういった攻撃が行われ、どのように対策をしていくのか目が離せませんね。
担当:KG