セキュリティエンジニアが気になったニュースまとめ　2022/05/09～05/15

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022年05月09日
連休明けのメールチェックへの注意喚起

https://www.ipa.go.jp/security/measures/vacation.html

長期休暇明けはメールが溜まっていることが想定されますので、特に注意してメールチェックを行ってください。
不審なメールを受信していた場合、「添付ファイルは開かず」、「本文中のURLにはアクセスせず」、各組織のシステム管理者に報告し、指示に従ってください。

IPA公式Twitterアカウントや各都道府県警からも注意喚起がされています。

連休明けで仕事に復帰される皆さん、休み中に溜まったメールの中にウイルス付きメールが紛れているかもしれません。メールの処理を行う際はひとつひとつに注意を払い、安易に添付ファイルを開いたりURLをクリックしたりしないようにしてください。https://t.co/NThzgbrFl5 #セキュリティ pic.twitter.com/F4laGybsXS

— IPA（情報処理推進機構） (@IPAjp) May 8, 2022

【メールの添付ファイルに注意！】#Emotet と呼ばれる、知り合いからのメールに偽装したマルウェア感染を狙う攻撃メールの被害が拡大しています。
特に連休明けは、メールの確認の量が増えることでの偽装チェックがおろそかになりがちです。
不用意にメールの添付ファイルを開かず、送信元に確認を！ pic.twitter.com/wNMhgkPjsS

— 埼玉県警察本部サイバー対策課 (@spp_cyber) May 8, 2022

連休明けにメールが溜まっていると、普段気を付けている方でもメール1件1件への警戒が薄まる事があるかもしれません。
また、それに乗じてマルウェアが添付されたメールやフィッシングメールが送信されている可能性もあります。
最近ではマルウェア「Emotet」への感染も危険視されていますので、警戒の緩みやすい時期に付け込まれないよう注意を払いましょう。

2022年05月09日
フィッシング報告状況更新

https://www.antiphishing.jp/report/monthly/202204.html

フィッシング対策協議会は、フィッシング報告窓口に寄せられた報告を元に、月次報告書「2022/04 フィッシング報告状況」を作成し、公開いたしました。
2022年4月にフィッシング対策協議会に寄せられたフィッシング報告件数は、前月より 9,714 件増加し、92,094 件となりました

フィッシングに悪用されたブランド件数は、
・au（au PAY）
・メルカリ
・Amazon
が上位３ブランドで、全体の56.5%を占めるそうです。
その内auおよびauPAYをかたるフィッシングの報告が報告数全体の約22.4%となり、3月と比較すると約4.5倍との事で急激に増加しているようです。

2022年05月10日
OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集

https://www.meti.go.jp/press/2022/05/20220510001/20220510001.html

経済産業省では、オープンソースソフトウェア（OSS）を利活用するに当たって留意すべきポイントを整理し、
そのポイントごとに参考となる取組を実施している企業の事例等を取りまとめた「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充しましたので、公開します。

Linuxなどを含め、OSSは様々な製品・サービスに使われており、その利活用については適切な管理対応を行わなければソフトウェアの脆弱性を利用され、攻撃を受けるきっかけにもなります。
その管理手法などに関して、参考になるような取り組みを実施している企業へのヒアリング内容などをまとめ、留意すべきポイント等を整理した事例集になります。

2022年05月13日
EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にCSRF脆弱性

https://jvn.jp/jp/JVN46241173/index.html

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」には、クロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。
当該プラグインをインストールした EC-CUBE の管理画面にログインした状態のサイト管理者が、細工されたページにアクセスした場合、当該プラグインのブログ記事やカテゴリを削除させられる可能性があります。

影響を受けるシステム
・EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」Ver.1.0.1 およびそれ以前

オープンソースのeコマースプラットフォーム「EC-CUBE」ですが、本件はプラグインに関する脆弱性です。
クロスサイトリクエストフォージェリ（CSRF）は、サイトにログイン状態の場合にリンクやメールなどで罠となるサイトを閲覧してしまうと攻撃者の意図するリクエストが送信され、利用者のブラウザのCookieに保管されたセッションIDがサイトへのリクエストに付属することで、利用者の意図しない書き込みや登録情報の削除等の重要な処理を、利用者自身のブラウザから実行されてしまうという脆弱性です。

まとめのまとめ

OSSやプラグイン等、自身が使用している製品の脆弱性にはしっかり注意を払い、適宜アップデート等の措置を取る必要がありますね。
また、フィッシングメールの報告も多数寄せられているようですし、連休が明けた際は受信したメールを不用意に信用しないよう気を配りましょう。直近では夏休みもありますので、連休を予定される方は心に留めて頂くと良いかもしれません。

セキュリティエンジニアが気になったニュースまとめ　2022/4/29～5/8

セキュリティエンジニアが気になったニュースまとめ　2022/5/16～5/20

一覧へ戻る