株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が10月第1回目のニュースレターとなります。
スクウェア・エニックス アカウント管理システムへのパスワードリスト型攻撃を確認
株式会社スクウェア・エニックスは10月6日、「ファイナルファンタジーXIV」(FF14)を対象としたパスワードリスト型攻撃によるアカウント管理システムへの不正アクセスについて発表した。
パスワードリスト型攻撃は他社のオンラインサービスで流出したと推測されるメールアドレスとパスワードを組み合わせて不正アクセスを試みる攻撃である。スクウェア・エニックスは今回の攻撃について、他社のサービスから流出した情報を悪用したものとみている。
- 詳しくは:スクウェア・エニックス
- 注目ポイント:
パスワードリスト攻撃の防止のためにユーザのセキュリティリテラシーの向上が必須である
Web会議出席者の眼鏡から情報漏えい
ミシガン大学と浙江大学の研究者らが、メガネをかけた状態でWeb会議に参加すると、ディスプレイに映る情報がメガネに反射して意図せず流出する事に注意を呼びかけている。
実験環境での実験結果では、720 p の Webカメラの動画から、画面上で高さ 10 mm しかないテキストを、75 %を超える正確性で再構築して認識することが出来たという。4Kカメラであれば、ほぼすべてのテキストを盗み見ることができるようになる。
対策は確立しておらず、今後、各プラットフォーマーは対応を求められることになりそうだ。
新たな情報流出要因となる先行研究の成果であり、セキュリティ担当者は認識しておくべき情報である
バッファロー製ネットワーク機器に複数の脆弱性
JPCERT/CCは10月4日、バッファロー製ネットワーク機器における複数の脆弱性についてJVNで発表した。
任意の OS コマンドが実行されたり、隣接するネットワーク上の第三者に設定変更されたり、認証を回避されて不正アクセスをされたりする恐れがある。
JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。
- 詳しくは:JVNVU#92805279
- 注目ポイント:
バッファロー製品は広く普及しており、脆弱性の放置は非常に危険度が高い
Fortinet製品にCVSS v3スコア9.6の脆弱性 直ちにパッチの適用を
米Fortinetが10月10日(現地時間)にFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)に関するアドバイザリ(FG-IR-22-377)を公開した。同社は既にこの脆弱性を悪用した攻撃を確認しているとのこと。
CVSS v3のベーススコアは9.6で、深刻度はCritical(緊急)に分類されている。この脆弱性が悪用されると、認証されていない遠隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリクエストを送信し、結果として任意の操作を行う危険性があるという。
- 詳しくは:Fortinetアドバイザリ
- 注目ポイント:
FortinetのUTM(統合脅威管理装置)及びUTMとの連携アプライアンスはコストパフォーマンスが高いことから国内製造業を中心に普及が進んでおり、当該脆弱性の悪用をされると可用性に大きな影響がある
不正送金被害が急増、警視庁 注意を呼びかけ
警察庁は9月22日、フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について、注意喚起を発表した。
2022年上半期の発生件数は145件、被害額は約3億2,100万円であったが、8月における発生件数は70件、被害額は約2億1,300万円、9月1日から15日までにおける発生件数は184件、被害額は約1億6,900万円と、8月下旬から急増しているという。
多くはフィッシングによるものとみられる。不審なメールやSMSに記載されたリンクからアクセスしたサイトにID・パスワード等を入力しないよう注意を呼びかけている。
- 詳しくは:警視庁
- 注目ポイント:
フィッシング詐欺の流行につき、読者はもちろん、周囲の方々が被害に合わないように啓蒙活動を行って頂きたい
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595