News

セキュリティエンジニアが気になったニュースまとめ 2022/9/12~9/18
2022.09.21

セキュリティエンジニアが気になったニュースまとめ 2022/9/12~9/18

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/9/12

WordPressプラグイン「BackupBuddy 」で脆弱性

https://www.wordfence.com/blog/2022/09/psa-nearly-5-million-attacks-blocked-targeting-0-day-in-backupbuddy-plugin/

WordPress プラグインであるBackupBuddy で積極的に悪用されている脆弱性の存在について警告を受けました。
この脆弱性により、認証されていないユーザーが影響を受けるサイトから機密情報を含む可能性のある任意のファイルをダウンロードできるようになります。
この脆弱性はバージョン 8.5.8.0 から 8.7.4.1 に影響を及ぼし、2022 年 9 月 2 日の時点でバージョン 8.7.5 に完全にパッチが適用されています。

WordPressのプラグイン「BackupBuddy」で脆弱性が確認されました。
同プラグインは、WordPressサイトのバックアップを行う為のプラグインで、バックアップファイルをローカルに保存することができるそうですが、この機能の実装に不備があり、認証されていないユーザーがサーバーに保存されているファイルをダウンロードする可能性があるとの事でした。
2022年8月26日以降、この脆弱性を狙う490万件を超える攻撃があったと報告されており、2022年9月2日にリリースされたバージョン8.7.5への更新で対処されています。

 

2022/9/14

EC-CUBE 3系/4系 及びのEC-CUBE公式 商品画像一括アップロードプラグインの脆弱性

https://www.ec-cube.net/news/detail.php?news_id=424

この度、バグバウンティの実施により、脆弱性に関する報告をいただきました。
EC-CUBE 3系・4系、および商品画像一括アップロードプラグインで新たに見つかりました脆弱性(危険度:低)の情報と、修正方法についてお知らせします。
該当バージョン・該当プラグインを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。
なお、クラウド版「EC-CUBE」であるec-cube.co では、本件はすでに修正しておりますので安心してご利用ください。

EC-CUBEに複数の脆弱性が確認されたとの事です。
EC-CUBEでは、EC-CUBE最新版4.2のリリースにあたり、2022年7月~8月末の期間内でバグバウンティを開催しており、今回の脆弱性はバグバウンティにより発見されたとのことです。
バグバウンティとは、各種アプリやWebシステム等のバグや脆弱性に賞金をかけ発見して報告すると、その重要度に応じて報奨金を支払う仕組みのことです。

EC-CUBE脆弱性の修正ファイルについては以下でご確認いただけます。
https://www.ec-cube.net/info/weakness/20220909/xss.php

 

2022/9/15

埼玉県公式Instagramアカウントのなりすまし事案に係る注意喚起について

https://www.pref.saitama.lg.jp/a0314/news/page/news2022091501.html

令和4年9月15日、埼玉県公式Instagramアカウント「saitama_pref_official」(以下「公式Instagramアカウント」という。)になりすましたアカウントが確認されました。
公式Instagramアカウントと同一のアイコンやプロフィールを掲載し、公式アカウントになりすましている。(なりすましアカウントは「saitama_pref_officiall」と末尾のlが一つ多い)
なりすましアカウントをフォローすると、「当選したので個人情報を送ってください」等、個人情報を求められる可能性がある。

埼玉県公式SNSアカウントのなりすましが確認されています。
また、四日市市の公式アカウントでも同様のなりすましが確認されているそうです。
(2022/9/13 https://www.city.yokkaichi.lg.jp/www/contents/1662792663832/index.html)
こちらはアカウント名が「@yokkaichi_style(正)」⇒「@yokkaichi__style(偽)」
となっており、上に同じくプレゼントキャンペーンに便乗して個人情報を窃取しようとする手口のようです。

 

まとめのまとめ

最近はAmazonを語るフィッシングメールの被害に関する記事を見る事が多かったですが、SNSを通じたなりすましの手口にも注意しましょう。
また、バグバウンティに関する記事もありましたが、バグを発見する為の善意の行為でも一歩間違うと攻撃と見なされる場合がありますので、参加にあたってはルール等を順守するようくれぐれも注意しましょう。

担当:YA

 

Recent News

Recent Tips

Tag Search