ITニュース速報

IT関連のニュースをお届けします
IT、ICT,タブレット、コンピュータ、パソコン
PC、セキュリティ、iPhone、iPad、mac
などの情報を日記にのせていきます

    カテゴリ: セキュリティ


    1月11日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

    カプコン、新たに16,000人超の情報流出

    カプコン1月12日2020年11月16日に発生した同社への不正アクセスに対する第三報を公開した。

    2020年11月16日カプコンは第三者からのオーダーメイドランサムウェアによる不正アクセス被害を受け、保有する個人情報が流出。さらに調査を進めた結果、新たに16,415人の情報流出を確認。情報流出の累計は最大約39万人まで拡大した。ただ総数については、一部ログの喪失などから特定できず、現時点で判明している最大数となる。再調査の結果、北米における流出件数としていた約18,000件分は流出の可能性がないことも判明した。流出情報の詳細は以下の通り。
    ○■新たに流出を確認した情報

    ・取引先等の個人情報:3,248
    氏名、住所、電話番号、メールアドレスなどから1つ以上

    ・退職者および関係者の個人情報:9,164
    氏名、メールアドレス、人事情報などから1つ以上

    ・社員および関係者の個人情報:3,994人
    氏名、メールアドレス、人事情報などから1つ以上

    ・その他
    売上情報、営業資料、開発資料、取引先情報など
    ○■新たに流出の可能性を確認した情報

    ・採用応募者:約58,000人分
    氏名、住所、電話番号、メールアドレスなどから1つ以上
    マイクロソフト、1月のセキュリティ更新プログラムリリース

    マイクロソフト1月13日、1月のセキュリティ更新プログラムを公開した。対象のソフトウェアは以下の通り。

    Microsoft Windows
    Microsoft EdgeEdgeHTML-based)
    Microsoft OfficeMicrosoft Office Servers および Web Apps
    Microsoft Windows Codecs Library
    Visual Studio
    SQL Server
    Microsoft Malware Protection Engine
    .NET Core
    .NET Repository
    ASP .NET
    Azure

    脆弱性についてのセキュリティ更新プログラムは、緊急4件、重要5件。修正内容はリモートでのコード実行、サービス拒否、特権の昇格、など。既存の脆弱性情報3件も更新している。

    今月の「悪意のあるソフトウェアの削除ツール」では、AnchorBot、AnchorDNS、AnchorLoader、BazaarLoader、BazarldrCrypt、Bazzarldr、BazarLdr、BazaLoder、Bazar、BazarBackdoor、Bazarcrypt、ZLoader、Zload、ZloaderCrypt、ZloaderTeams、ZloaderVbs、Rotocrypt、Rotaderp、TrickBotCrypt、Vatetに対する定義ファイルを追加している。
    Adobe、複数製品のアップデートを公開

    Adobe1月12日、同社の複数製品に対して脆弱性を解消するアップデートを公開した。対象の製品、バージョンプラットホームは以下の通り。

    Adobe Campaign Classic WindowsLinux

    ゴールドスタンダード10 以前
    20.3.1以前
    20.2.3以前
    20.1.3以前
    19.2.3以前
    19.1.7以前

    Photoshop 2021 22.1以前 WindowsmacOS
    イラストレーター2020 25.0以前 Windows
    Adobe Bridge 11.0以前 Windows
    Adobe Animate 21.0以前 Windows
    Adobe InCopy 15.1.3以前 Windows
    Adobe Captivate 2019 11.5.1.499以前 Windows

    脆弱性の重要度は、Adobe Captivate 2019が「重要」で、それ以外は「クリティカル」と全体的に高い。対象製品を使用している場合は速やかにアップデートすること。
    総務省を騙った特別定額給付金に関するフィッシングメールに注意

    日本サイバー犯罪対策センターによると、総務省を騙るフィッシングメール1月7日から拡散している。

    今回のフィッシングメールは、2020年10月15日に確認済みの「特別定額給付金」のオンライン申請を促すものと類似した内容。1月14日時点では、2回目の特別定額給付金は発表されていないので、情報を窃取することが目的と思われる。
    ○トレンドマイクロInterScan Web Security脆弱性

    トレンドマイクロは、「ウイルスバスタービジネスセキュリティシリーズ脆弱性情報を公開した。対象のバージョンは以下の通り。

    ウイルスバスタービジネスセキュリティ 9.5 および 10.0 SP1
    ウイルスバスタービジネスセキュリティサービス 6.7

    脆弱性は、認証バイパス、境界外読み取り、パストラバーサル。放置すると、エージェントのアンロードオプションプロセス操作によって権限昇格の可能性がある。エージェントがインストール済みの環境で管理者権限を持たない第三者による機微な情報窃取、認証を回避して管理サーバー上のファイル変更・削除などが行われる可能性があるとしている。

    ウイルスバスタービジネスセキュリティ 10.0 SP1についてはパッチPatch 2260」以降の適用で対応可能。ウイルスバスタービジネスセキュリティ 9.5では、ウイルスバスタービジネスセキュリティ 10.0 SP1 Patch 2260以降へのアップグレードが必要となる。ウイルスバスタービジネスセキュリティサービスは、2020年8月15日メンテナンスで修正済み。
    オリックス生命保険、不採用通知を1万人以上に誤送信

    オリックス生命保険1月11日、1万人以上のメールアドレスに対して、不採用通知のメールを誤送信したことを明らかにした。

    中途採用選考にあたり約10人に不採用メールを送ろうとしたところ、誤って1万人以上に送信してしまったもの。原因は、送信先の設定を間違えたとのことだ。メールが送られた人は、過去5年間に採用試験に応募した人のものだという。翌日に問い合わせが相次いだことから事件が発覚し、同社は該当する全員にメールで謝罪した。
    (リアクション)

    画像提供:マイナビニュース


    (出典 news.nicovideo.jp)

    先週のサイバー事件簿 - カプコンで新たに16,000件超の情報流出


    これ怖すぎますね!!


    映画観るなら<U-NEXT>

    <このニュースへのネットの反応>

    【先週のサイバー事件簿 - カプコンで新たに16,000件超の情報流出】の続きを読む


     2020年個人情報の漏えい・紛失事故を公表した上場企業とその子会社は88社、事故件数は103件、流出した個人情報2515万47人分――そのような調査結果を東京商工リサーチが1月15日に発表した。事故の原因で最も多かったのは「ウイルス感染・不正アクセス」。同社は「サイバー攻撃は巧妙化かつ高度化し、セキュリティ対策の重要性が改めて問われている」としている。

    【その他の画像】

     事故件数103件のうち、理由として最も多かったのは「ウイルス感染・不正アクセス」の51件で全体の49.5%に上った。流出した個人情報2372万7268件に及び、20年全体(2515万47件)の94.3%を占めた。

     また、事故1件当たりの情報漏えい・紛失件数の平均は「ウイルス感染・不正アクセス」が57万8714件。メールの送信間違いなどの「誤表示・誤送信」(1万4392件)、保管しておくべき書類や記録メディアを廃棄した「紛失・誤廃棄」(7万4768件)に比べ、被害件数が桁違いに大きい結果となった。

     東京商工リサーチは、上場企業以外にも未上場企業や官公庁などでも個人情報の流出事故が発生しているため、実際の件数は今回の結果よりも増える可能性があると指摘。「コロナ禍で広がった働き方の変化によって、企業は柔軟なネットワークシステムなどIT環境への投資が求められると同時に、これまで以上にセキュリティ対策や情報管理の体制づくりが重要」としている。

     調査は、12年1月~20年12月までの上場企業と子会社のプレスリリースなどに基づき集計。個人情報を氏名、住所、電話番号、年齢、性別、メールアドレスログインIDなどと定義した。

    個人情報の漏えい・紛失事故を公表した企業数


    (出典 news.nicovideo.jp)

    2020年は2515万人分の個人情報が流出 原因の多くは「ウイルス感染・不正アクセス」


    これからもテレワーク続くので怖いですよね!!


    【SoftBank光】最大50,000円キャッシュバック

    <このニュースへのネットの反応>

    【2020年は2515万人分の個人情報が流出 原因の多くは「ウイルス感染・不正アクセス」】の続きを読む


    1月4日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

    ○楽天、クラウド型営業管理システム不正アクセス

    楽天楽天カード楽天Edyは、社外のクラウド型営業管理システムに保管した一部情報が不正アクセスを受けたことを明らかにした。

    不正アクセスは、2020年11月24日に社外のセキュリティ専門家の指摘によって発覚。調査の結果、3社が管理する一部情報に海外からの不正アクセスがあったことを確認した。原因は、社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備。

    対策として、当該システムの設定を変更。2020年11月26日に完了した。以降は社外の第三者からのアクセスは確認されていない。不正アクセスの詳細は以下の通り。
    ○楽天市場への法人向け資料請求者、および店舗情報。

    期間: 2016年1月15日2020年11月24日
    最大件数: 1,381,735件(アクセス確認件数: 208件)

    楽天カードの事業者向けビジネスローン申込者情報

    対象顧客:2013年4月1日2020年7月18日に、ホームページからビジネスローンを申し込んだ人
    期間:2016年1月15日2020年11月26日
    対象の法人・個人事業主数:最大15,415件(アクセス確認件数:304件)

    ○故障した端末(スマホなど)の楽天Edy残高移行サービス申込者情報

    期間:2016年1月15日2020年11月26日
    申込者数:最大89,141件(アクセス確認件数:102件)
    対象となる端末とサービス申請期間
    おサイフケータイ」機能付き携帯電話2010年10月1日2019年3月4日
    docomo selectおサイフケータイ ジャケット01」:2014年10月30日2020年11月18日
    ソニーハイブリッドスマートウォッチ「wena wrist」シリーズの一部:2016年3月24日2020年11月18日

    GoogleChromeの最新バージョン「87.0.4280.141」を公開

    Google1月6日Chromeの最新バージョン「87.0.4280.141」を公開した。アップデートは、WindowsmacOSLinux向けに提供する。

    今回のアップデートでは、「高」12件の脆弱性を含む13件を修正。脆弱性ドラッグアンドドロップやメディアなどでの解放後メモリ使用、WebUIでのポリシーの実施が不十分、Skiaのヒープバッファオーバーフローネットワーキングでのデータ検証が不十分など。Chromeブラウザを使っている場合は早急にアップデートをすること。
    ○あいちトリエンナーレメール配信システム不正アクセス

    あいちトリエンナーレ実行委員会は1月4日、管理・運営するメールニュース配信システム不正アクセスを受けたことを明らかにした。

    不正アクセスはなりすましメールの送信で、1月4日午前に、事務局職員がメールニュース配信システムに登録したメールアドレスで当該メールを受信し、なりすましが発覚した。漏えいした可能性のある個人情報は、メールニュース配信システムに登録済みのメールアドレス、および登録名。登録総数は約3,500件で、送信件数は確認中とのこと。

    対応策として、登録者にメールで注意を呼びかけるとともに、メールニュース配信システムの一時凍結手続きを実施している。
    川崎重工業、海外拠点が不正アクセスを受け情報流出

    川崎重工業不正アクセスを受け、一部情報が海外拠点から流出した可能性がある。不正アクセスは、2020年6月11日に社内でのシステム監査において発覚。本来発生しないはずの海外拠点(タイ)から日本国サーバーへの接続を確認した。同日、当該の海外拠点と国内拠点との通信を遮断している。

    その後、2020年6月24日インドネシアフィリピンの拠点、2020年7月8日に米国の拠点を経由した国内サーバーへの不正アクセスを確認。2020年8月3日アクセスの監視強化とアクセス制限の厳格化を開始し不正アクセスを遮断している。

    今回の不正アクセスは、痕跡を残さない高度な手口が使われていたという。結果的に、内容不明の情報が外部に流出した可能性を確認したものの、個人情報や社内情報などの流出は特定できなかった。

    今後は、海外拠点と国内拠点間の通信ネットワークの監視とアクセス制御の厳格化を進め、2020年11月1日付で設立したサイバーセキュリティ総括部が再発防止を推進していくとしている。
    ○トレンドマイクロInterScan Web Security脆弱性

    トレンドマイクロは、InterScan Web Securityシリーズの管理画面用サービス脆弱性があると発表した。対象のバージョンは以下の通り。

    InterScan Web Security Virtual Appliance(IWSVA)6.5
    InterScan Web Security Suite(IWSS)6.5 Linux

    脆弱性はバッファオーバーフローとOSコマンドインジェクションで、管理画面用サービスに存在。これらの脆弱性を放置すると、権限を持たない攻撃者によってIWSVA/IWSSサーバー上で任意のコード実行の可能性がある。攻撃者がレポート専用以上の権限を持っている場合、また管理者権限を持っている場合も同様。

    すでに対策パッチは提供済みだが、管理画面のTCPポートへのアクセスを信頼できるユーザに限定したり、Linux OSのファイアウォール機能を利用することでも対応可能。なお、InterScan Web Security Suite 5.6 Windows版は、今回の脆弱性の影響はない。
    (リアクション)

    画像提供:マイナビニュース


    (出典 news.nicovideo.jp)

    先週のサイバー事件簿 - 楽天グループの社外クラウドで不正アクセス被害


    これやばいですね!!


    【Zoner Photo Studio X】画像編集ソフト

    <このニュースへのネットの反応>

    【先週のサイバー事件簿 - 楽天グループの社外クラウドで不正アクセス被害】の続きを読む


     カプコン1月12日、第三者から不正アクセスを受けた件で、流出した可能性がある顧客・取引先の情報が、累計で最大約39万件に拡大したと発表した。昨年11月16日時点では、約35万件としていた。

    【その他の画像】

     新たに、同社への採用応募者、約5万8000件の個人情報(氏名、住所、電話番号、メールアドレスなどのうち1つ以上)が流出している可能性が判明した。一方、11月16日に発表していた、北米の「Capcom Store」会員情報、eスポーツ運営サイト会員情報など約1万8000件は、再調査の結果、漏えいしていないと判明。累計数から除外した。

     漏えいを確認した個人情報は、累計で1万6415人に増えた。11月16日時点では、社員と元社員の9件だったが、新たに取引先などの個人情報の流出も特定した。

    カプコンのニュースリリースより


    (出典 news.nicovideo.jp)

    カプコンの情報流出、最大39万件に拡大


    これやばい件数ですね!!


    1000万ユーザーの画像編集ソフト【Zoner Photo Studio X】


    <このニュースへのネットの反応>

    【カプコンの情報流出、最大39万件に拡大】の続きを読む


    Photo: 武者良太

    サーバー側に余裕があったとしても、こういうことが起きるのですね...。

    Oculus Quest 2でもアクセスできる大人気VR SNSVRChat24時365日、常に様々なワールドでいろんなアバターが集って話して遊んで笑っているのですが、2021年1月1日アメリカ東海岸年明け時間の0時という、ここぞ!というタイミングアクセスできなくなりました

    Photo: 武者良太

    新型コロナ禍の影響が著しいニューヨークユーザーを中心に、バーチャル空間のタイムズスクエアワールドなどを中心に「あけおめー!」をしたいアバターが次々とやってきて、なんと同時接続ユーザー数4万人を超えるという新記録を打ち出しました。VRChat公式のmediumによれば、APIサーバーもリアルタイムネットワークサーバーもオールグリーンで、すべてがうまく行くと考えていたそうです。

    しかし、アクセスできなくなりました。

    Photo: 武者良太

    その原因は、あまりに多くのアクセスがあったことから、VRChatセキュリティパートナーシステムが「これはDoSサービス拒否)攻撃ではないか」と判断したこと。ログインソーシャルリストの取得、ワールドに参加、アバター着替えなどなどのリクエストが総じて限界値を超えてしまい、正しいユーザーの正しいアクセスにも関わらず「受け付けないよ!」とトラフィックをシャットダウンしてしまったのです。

    VRChat側からみると、サーバー側は問題ないのにワールドからどんどんアバターがいなくなる。ユーザーからすると、せっかく遠方の友達とメタバースバーチャルハイタッチしようと思ったの入れなくてイライラする。これは不幸過ぎる事態です。なんといいますか、ご愁傷さますぎます。日本時間の1月1日午前0時は問題なくログインできたので、本当にご愁傷さま感が強い。

    Photo: @tokikaze_ikebo

    世界中で外出や外食がままならない現在、VR SNSの価値は凄まじい勢いで高まっています。個人的にもお見合いしちゃって話すタイミングが難しいZoom飲みより、VRChatでわちゃわちゃとしゃべっているほうが楽しいと感じていますし、2021年は利用者数がもっともっとダイナマイトになるんじゃないかと思っています。

    だからこそVRChatに限らず、すべてのVR SNSで、増え続けていくだろうユーザーをスムースに迎えてくれる準備を整えてほしいですね!

    Source: Medium



    (出典 news.nicovideo.jp)

    VRChatのお正月、4万人以上の人が集まってセキュリティシステムが「DoS攻撃?」と勘違い

    これ間違えても仕方がないですね!!笑笑


    MacbookなどのPCレンタルなら【モノカリ】

    <このニュースへのネットの反応>

    【VRChatのお正月、4万人以上の人が集まってセキュリティシステムが「DoS攻撃?」と勘違い】の続きを読む

    このページのトップヘ