最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/11/21

ビデオ会議「Zoom」のクライアントやインストーラに脆弱性

https://www.security-next.com/141604

ビデオ会議ツールを提供するZoomは、Windows向けクライアントソフトに「DLLインジェクション」の脆弱性が含まれていることを明らかにした。またWindowsやmacOS向けのインストーラーにも脆弱性が判明したという。

任意のコードが実行可能や権限昇格など、いづれも重要度「高」の脆弱性が3件報告されています。
すでに、脆弱性を修正したバージョンが提供されていますので、ご使用されてる方はアップデートすることをお勧めします。

2022/11/22

ワコムのネットショップで個人情報流出の可能性 – クレカ情報の窃取も

https://www.security-next.com/141608

同社によると「ワコムストア」において、2021年2月22日よりサイトを閉鎖した2022年4月19日正午までの期間中に不正アクセスを受けたことが判明したもの。

ペンタブレットなどで有名なワコムが運営するオンラインストアが、第三者による不正アクセスを受け、個人情報やクレジットカード情報などが漏洩した可能性があるようです。
経緯や状況など同社から公開されていますので、同オンラインストアを利用したことがある方は確認することをお勧めします。
https://www.wacom.com/ja-jp/about-wacom/news-and-events/2022/1484

2022/11/25

サイボウズ リモートサービスにおけるリソース枯渇に至る脆弱性

https://jvn.jp/jp/JVN87895771/index.html

サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース枯渇に至る脆弱性が存在します。

ログインユーザーによる意図しない操作によって、対象サーバーのストレージ領域を消費し、サービス運用妨害（DoS）状態を引き起こす可能性があるようです。
脆弱性を修正したバージョンが提供されていますので、ご使用されている方はアップデートすることをお勧めします。

https://cs.cybozu.co.jp/2022/007754.html

2022/11/28

TERASOLUNA Global Framework および TERASOLUNA Server Framework for Java (Rich版) において ClassLoader を操作可能な脆弱性

https://jvn.jp/jp/JVN54728399/index.html

株式会社エヌ・ティ・ティ・データが提供する TERASOLUNA Global Framework および TERASOLUNA Server Framework for Java (Rich版) には、Spring Framework に含まれていた、ClassLoader を操作可能な脆弱性が存在します。

同フレームワークでは、基盤フレームワークとしてSpring Frameworkを使用しています。
過去のバージョンになりますが、既知の脆弱性（CVE 2010-1622）が含まれるバージョンの Spring Frameworkが使用されていることに起因するようです。
最新バージョンへアップデートすることをお勧めします。

まとめのまとめ

自分自身もリモートでの作業が当たり前になっていて、いろいろなツールのお世話になっています。
便利な反面、社内のリソースにアクセスされる危険性もあるため、使用しているツールは最新の状態を保つよう心掛けましょう。

担当：F