セキュリティエンジニアが気になったニュースまとめ 2022/4/29~5/8
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2022/05/02
弊社のメールアカウントへの不正アクセスに関するご報告
弊社のメールアカウントへの不正アクセスに関するご報告 – サエラ薬局 調剤薬局チェーン (saera-ph.co.jp)
2022年3月下旬頃から4月8日(金)にかけて、saera-ph.co.jpのメールサーバー上に登録されたアカウントのうちの1つに対して不正なアクセスが行われ、期間中に推定約5万通のスパムメールが送信されるという事態が発生しておりました。
しばらく使用しておらず、パスワードがアカウント名から推測されやすいメールアカウントであったことが原因とされています。
同様のアカウントを保持している場合は、パスワードの変更など、対策をお勧めします。
2022/05/06
「Firefox 100」が公開 – 機能強化や脆弱性修正を実施
https://www.security-next.com/136282
重要度が2番目に高い「高(High)」とされる脆弱性は6件。「iframe」のサンドボックスをバイパスされるおそれがある「CVE-2022-29911」をはじめ、通知なしにフルスクリーン表示される「CVE-2022-29914」や、パーミッションをバイパスされる「CVE-2022-29909」、履歴が漏洩するおそれがある「CVE-2022-29916」などを修正。
Firefox 100がリリースされました。重要度の高いものを含む脆弱性9件が修正されています。
また、ピクチャーインピクチャー機能における字幕機能や、複数言語のスペルチェック機能などが追加されました。
・参考情報
Firefox 100.0, See All New Features, Updates and Fixes (mozilla.org)
2022/05/06
「OpenSSL」に4件の脆弱性 – アップデートが公開
https://www.security-next.com/136315
一部スクリプトにおいて任意のコマンドを実行されるおそれがある「CVE-2022-1292」や、特定の環境下における署名検証時に検証を失敗しても成功したと誤って応答する脆弱性「CVE-2022-1343」など、あわせて4件の脆弱性が明らかとなったもの。
低~中程度の脆弱性4件が報告されています。
すでに脆弱性を修正した最新版がリリースされています。利用している場合は適宜アップデートすることをおすすめします。
・参考情報
OpenSSL Security Advisory [03 May 2022]
https://www.openssl.org/news/secadv/20220503.txt
JVNVU#93032579 OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU93032579/index.html
2022/05/06
フィッシング対策協議会をかたるフィッシング
フィッシング対策協議会をかたり、クレジットカード情報等の入力を促すフィッシングの報告を受けています。
2022/05/06 11:00 時点では、フィッシングサイトは稼働中であり、JPCERT/CC に サイト閉鎖のための調査を依頼中です。 類似の不正サイトが公開される可能性がありますので、引き続きご注意ください。
フィッシング対策協議会をかたったフィッシングが報告されています。「3Dセキュア」の導入等と称して偽サイトへと誘導し、クレジットカード情報の入力を求めるものです。
IPAによれば、連休明けはメールが溜まりやすいため、不審なメールへの警戒が緩みやすいともされています。フィッシングメールだけでなく、不審なファイルが添付されたメールにも注意しましょう。
・参考情報
長期休暇における情報セキュリティ対策
https://www.ipa.go.jp/security/measures/vacation.html
まとめのまとめ
連休明けです。連休中に修正プログラムや最新版が公開されている場合もあります。
利用中の製品の情報を確認し、問題がある場合は対策に努めましょう。
担当:KO