にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2021年5月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃん☆たくです(「・ω・)「ガオー

今月も公開が遅れてしまいました…( ;´Д`)

今回は前説的なものは無しで。東京はとうとう梅雨入りのようです。

では前月のまとめです。

脆弱性のアレコレ

EC-CUBEに脆弱性

【概要】
EC-CUBEにクロスサイトスクリプティングの脆弱性が存在し悪用された場合、第三者に寄って任意のスクリプトが実行されECサイトが改ざんされる可能性があります。

【対象】
EC-CUBE バージョン4.0.0から4.0.5まで

【対策】
・本脆弱性対策ずみバージョンの適用
 →EC-CUBE 4.0.5-p1
・パッチの適用

【参考情報】
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)|ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」
EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起
「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について(JVN#97554111):IPA 独立行政法人 情報処理推進機構

【参考Tweet】


不審なメールや偽サイトのアレコレ

不審な偽サイト(フィッシングサイト)情報

2021年5月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※()は報告日時
NTT ドコモをかたるフィッシング (2021/05/27)
アメリカン・エキスプレス・カードをかたるフィッシング (2021/05/26)
イオンカードをかたるフィッシング (2021/05/24)
ヨドバシカメラをかたるフィッシング (2021/05/20)
OC カードをかたるフィッシング (2021/05/12)
ETC 利用照会サービスをかたるフィッシング (2021/05/11)
鹿児島銀行をかたるフィッシング (2021/05/06)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | NTT ドコモをかたるフィッシング (2021/05/27)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | アメリカン・エキスプレス・カードをかたるフィッシング (2021/05/26)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | イオンカードをかたるフィッシング (2021/05/24)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ヨドバシカメラをかたるフィッシング (2021/05/20)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | OC カードをかたるフィッシング (2021/05/12)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ETC 利用照会サービスをかたるフィッシング (2021/05/11)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 鹿児島銀行をかたるフィッシング (2021/05/06)

 

注意喚起やニュースのアレコレ

アメリカの石油パイプライン企業がランサムウェア攻撃を受ける

【概要】
アメリカの石油パイプライン企業がダークサイドと呼ばれる攻撃集団からランサムウェア攻撃を受け、業務が一時停止となった。また、身代金として約440万ドル(約4億8000万円)を支払ったと発表した。なお、身代金の一部(2億5000万分)は奪還したと発表された。

【参考情報】
米石油パイプライン大手へのサイバー攻撃、犯人はロシアを拠点とする集団「DarkSide」とFBIが発表 - ITmedia NEWS
石油パイプラインを停止させた「ダークサイド」のパワー 身代金目当てに大企業を揺さぶる二重三重の脅し:この頃、セキュリティ界隈で(1/2 ページ) - ITmedia NEWS
石油パイプライン止めた「ダークサイド」、ランサムウエア攻撃に4重の脅迫機能 | 日経クロステック(xTECH)
4億8000万円をランサムウェア攻撃の身代金として支払ったと石油輸送大手のCEOが語る - GIGAZINE
米石油パイプライン企業へのサイバー攻撃についてまとめてみた - piyolog

 

新型コロナウイルスのワクチン予約サイトの問題点が話題になる

【概要】
新型コロナウイルスのワクチン予約サイト上で架空の番号でも登録出來てしまうなどの問題点が話題になった

【参考情報】
【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥 (1/3) 〈dot.〉|AERA dot. (アエラドット)
大規模接種ウェブ予約 架空の数字で登録可 券番号も、年齢も | 毎日新聞
ワクチン予約システムで話題の「SQLインジェクション」って何? 試すと法律違反? 専門家に聞く - ITmedia NEWS
岸防衛相「不正な予約は接種機会を奪う悪質な行為」 ワクチン大規模接種の予約システムは「可能な範囲で改修」 - ITmedia NEWS
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り - ITmedia NEWS

 

マッチングアプリの「Omiai」が不正アクセスを受け情報流出

【概要】
マッチングアプリ「Omiai」の情報を管理するサーバが不正アクセスを受け171万件を超える個人情報(運転免許証や健康保険証等の年齢確認書類の画像)が流出した

【参考情報】
会員様情報流出に係る対応状況のお詫びとご報告 – 株式会社ネットマーケティング
不正アクセスによる会員様情報流出に関するお詫びとお知らせ – 株式会社ネットマーケティング
マッチングアプリ「Omiai」に不正アクセス 免許証など本人確認書類の写し約171万件が流出した可能性 - ITmedia NEWS
「Omiai」情報漏えい事件、何がダメだったのか 他の会社も「他人事ではない」理由:対策は?(1/3 ページ) - ITmedia ビジネスオンライン
マッチングアプリ「Omiai」で171万件超の個人情報流出か、免許証画像など | マイナビニュース
マッチングアプリ「Omiai」会員情報管理サーバーへの不正アクセスについてまとめてみた - piyolog

 

メルカリが不正アクセスを受け情報流出

【概要】
メルカリが不正アクセスを受け約2万7千件の個人情報が流出した

【参考情報】
「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について | 株式会社メルカリ
メルカリ、顧客情報など2万7000件以上流出 外部ツールへの不正アクセスで - ITmedia NEWS
メルカリに不正アクセス ‐ 住所や口座番号など約2万7千件の情報流出 | TECH+
メルカリ、個人情報など2万8000件流出 不正アクセスで: 日本経済新聞
メルカリとOmiaiで立て続けに個人情報漏えい 共通点から探るサービス事業者の課題:半径300メートルのIT - ITmedia エンタープライズ

 

富士通の情報共有ツール「ProjectWEB」を使用するプロジェクトに不正アクセス

【概要】
富士通の情報共有ツール「ProjectWEB」を使用するプロジェクトに不正アクセスがあり、ツール内で保管していた情報が流出した

【参考情報】
https://pr.fujitsu.com/jp/news/2021/05/25.html

富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について
https://www.nisc.go.jp/press/pdf/20210526NISC_press.pdf

プロジェクト情報共有ツールに対する不正アクセス対策の確認に関する政府機関等及び事業者等への注意喚起の発出について
https://www.nisc.go.jp/press/pdf/projectist20210525.pdf
NISC、サイバー攻撃対応の訓練情報が流出 富士通ツールへの不正アクセスで - ITmedia NEWS
サイバー訓練参加者の氏名なども流出 不正アクセス問題:朝日新聞デジタル
富士通ツールへの不正アクセス、管理者権限を乗っ取りか:朝日新聞デジタル
管理者権限、乗っ取りか 富士通の不備、指摘も 情報ツール不正:朝日新聞デジタル
内閣官房のデータ流出 サイバー攻撃対応の訓練情報も流出判明 | サイバー攻撃 | NHKニュース

 

セキュリティレポートやブログのアレコレ

IPA(独立行政法人情報処理推進機構)

米国連邦政府での暗号標準利用のためのガイドライン : 暗号メカニズム(翻訳PDF)
https://www.ipa.go.jp/files/000090945.pdf
米国連邦政府での暗号標準利用のためのガイドライン : 指令、命令、及び方針(翻訳PDF)https://www.ipa.go.jp/files/000090944.pdf

 

JPCERT コーディネーションセンター

Locked Shields 2021 参加記 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
仮想通貨マイニングツールの設置を狙った攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

 

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2021/04 フィッシング報告状況

 

JC3

JC3 Forum 2021 レポート
https://www.jc3.or.jp/topics/forum2021.html
新型コロナウイルスに乗じた犯罪
https://www.jc3.or.jp/topics/coronavirus/shot.html

 

LAC

緩く深くセキュリティエンジニアが知識欲を高めあう「DP部PoC会」 | セキュリティ対策のラック

 

Trend Micro

新型コロナウイルスのワクチンに便乗した最新の脅威事例 | トレンドマイクロ セキュリティブログ
ルータやNASに感染するIoTボット「VPNFilter」の流行から2年、その現状と課題を解説
2021年5月のセキュリティアップデートレビュー解説 | トレンドマイクロ セキュリティブログ
ランサムウェア「DARKSIDE」および米国のパイプラインへの攻撃に関する解説
ランサムウェア「Cring」の被害が国内で拡大、VPN脆弱性を狙い侵入 | トレンドマイクロ セキュリティブログ
Microsoft Exchange Serverの侵害を抑止するための技術的対策 | トレンドマイクロ セキュリティブログ
「不正注文」で国内オンラインショップサイトを侵害する攻撃キャンペーン「Water Pamola」 | トレンドマイクロ セキュリティブログ
脆弱性「ProxyLogon」を悪用する攻撃:コインマイナー、ランサムウェア、ボットネットを新たに確認 | トレンドマイクロ セキュリティブログ
ソフトウェアサプライチェーンのセキュリティリスクを解説 | トレンドマイクロ セキュリティブログ
Mac向けマルウェア「XCSSET」が最新のmacOS 11やM1チップ搭載端末に対応、攻撃手口を解説 | トレンドマイクロ セキュリティブログ

 

McAfee

Roaming Mantis Androidマルウェアによる日本ユーザーを標的としたフィッシング攻撃を確認
オンライン共有サービスで情報漏洩やトラブルを防ぐには
Windows Defenderを装い悪質なWindowsアプリへ誘導する詐欺に注意
Windowsの重大なHTTP脆弱性により、ワームを使った攻撃が可能に
オンラインのプライバシーを守るための5つのヒント
ソーシャルメディア上の詐欺に注意!安全に利用するための3つのヒント

 

Kaspersky

スミッシングとフィッシング:被害に遭わないために
https://blog.kaspersky.co.jp/how-to-protect-from-smishing/30600/
Googleドキュメントを利用した、Microsoft 365ログイン情報を狙うフィッシング
https://blog.kaspersky.co.jp/office-365-phishing-via-gdocs/30649/
いかにしてランサムウェア攻撃へ対応するか:Colonial Pipelineの場合
https://blog.kaspersky.co.jp/pipeline-ransomware-mitigation/30681/
QRコードを悪用したサイバー犯罪
https://blog.kaspersky.co.jp/qr-code-threats/30674/
2021年のランサムウェア世界:誰が、なぜ、どのように
https://blog.kaspersky.co.jp/ransomware-world-in-2021/30714/
VPNアプライアンスの脆弱性を利用するランサムウェア「Cring」
https://blog.kaspersky.co.jp/cring-ransomware-attack-via-vpn-servers/30790/
すぐにアップデートするべき5つのもの
https://blog.kaspersky.co.jp/5-things-that-you-must-update-asap/30699/

 

IIJ

wizSafe Security Signal 2021年4月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

NEC セキュリティブログ

セキュリティ学習プラットフォーム:「Hack The Box Academy」を触ってみた: NECセキュリティブログ | NEC
Bluetoothによるファイル送信の解析 | NEC
認証方式の整理とNIST SP800-63での認証方法決定: NECセキュリティブログ | NEC
MITRE ATT&CK v9の注目更新ポイントをご紹介: NECセキュリティブログ | NEC

 

MBSD

ペネトレーションテストの過程でゼロデイを発見した話 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
自動運転車セキュリティ入門 第1回:自動運転車セキュリティの概要 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

 

piyolog

米石油パイプライン企業へのサイバー攻撃についてまとめてみた - piyolog
ワクチン予約接種関連のシステムトラブルについてまとめてみた - piyolog
マッチングアプリ「Omiai」会員情報管理サーバーへの不正アクセスについてまとめてみた - piyolog
富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた - piyolog

 

ラック・セキュリティごった煮ブログ

はじめに - ラック・セキュリティごった煮ブログ
『存在』が盗まれる日~VRメタバースの脅威分析~ - ラック・セキュリティごった煮ブログ
記録媒体処理から考えるセキュリティと環境負荷軽減&SDGsの両立 - ラック・セキュリティごった煮ブログ
チートはダメ、ゼッタイ!オンラインゲームを壊す存在について考える - ラック・セキュリティごった煮ブログ
EOLを迎えたアクセスポイントで脆弱性を見つけた件(CVE出ました) - ラック・セキュリティごった煮ブログ

 

みっきー申す

ここまでやれば合格できる!AWS未経験からSAA(ソリューションアーキテクト–アソシエイト)で合格するまでの具体的方法 - みっきー申す

 

午前7時のしなもんぶろぐ

セキュリティ調査に役立つブラウザ拡張機能のまとめ - 午前7時のしなもんぶろぐ

 

今回もココまで読んでいただきありがとうございました。

ではでは!

      ねぇ…
    _  ボクの事
   _/ミ\ 好き?
  (|ミOミ|~
   T\ミ/~ ∧_∧
   ||  ̄~ (・ω・`)
  _/ ̄L   O旦と )
 (_◎_)   (_(_つ

<更新履歴>
2021/06/16 AM公開