SECU@

セキュリティニュースまとめ

2017年4月23日(日)のセキュリティニュース

■花子を含む複数の製品における任意の DLL 読み込みに関する脆弱性
http://jvn.jp/jp/JVN54268888/

■話題の「マストドン」を徹底解説。Twitterとの違い・魅力から使い方・オススメサーバーまで
http://japanese.engadget.com/2017/04/17/twitter/

■HTCの新製品は握って操作できるスマホ
http://jp.techcrunch.com/2017/04/21/20170419htc-wants-to-be-your-next-squeeze/

GoogleChromeブラウザーに広告ブロック機能を実装中とか
http://jp.techcrunch.com/2017/04/20/20170419google-said-to-be-planning-a-built-in-ad-blocker-for-chrome/

VMware、「Workstation」など複数製品に深刻な脆弱性
http://www.security-next.com/080857

IBM Lotus DominoIMAP サーバにスタックベースのバッファオーバーフロー脆弱性
http://jvn.jp/vu/JVNVU91685026/index.html

Apache Tomcat の複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU90211511/index.html

■福岡県で退職職員のマイナンバーを誤送付 - プログラムの不具合か
http://www.security-next.com/080880

2017年4月21日(金)のセキュリティニュース

Oracle Java脆弱性対策について(CVE-2017-3512等)
https://www.ipa.go.jp/security/ciadr/vul/20170419-jre.html
https://www.jpcert.or.jp/at/2017/at170017.html

Apple をかたるフィッシング (2017/04/19)
https://www.antiphishing.jp/news/alert/apple_20170419.html

■都税クレカ払いサイトが4月24日より再開 - 都「安全性を確認」
http://www.security-next.com/080862
http://www.metro.tokyo.jp/tosei/hodohappyo/press/2017/04/19/12.html

志村けんさんのInstagramアカウントが乗っ取り被害
http://izawaoffice.jp/shimura/info/2480.html

■食物アレルギーなど小学校児童の個人情報をサイトに誤掲載 - 福岡市
http://www.security-next.com/080821

■SEIL シリーズルータにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN86171513/index.html

Google Earthの最新版が登場。ガイド付きツアーや「発見」機能を強化
http://jp.techcrunch.com/2017/04/19/20170418google-earth-for-chrome-android-gets-upgraded-with-guided-tours-more-discovery-features/

■次期iPhoneは、指紋センサーが背面になるかもしれない
http://jp.techcrunch.com/2017/04/20/20170419the-next-iphone-could-feature-a-touch-id-sensor-on-the-rear/

Amazon第1類医薬品の販売開始、薬剤師が適正利用を確認した上で注文確定
http://jp.techcrunch.com/2017/04/19/amazon-starts-to-sell-medicines/

■バッテリ駆動を延長させる「Power Throttling」がWindows 10プレビューに実装
http://pc.watch.impress.co.jp/docs/news/1055770.html

■【LINE】プロフィール画像やホーム写真はこっそり変えたい! 変更をタイムラインで通知しない方法
https://dekiru.net/article/15233/

2017年4月20日(木)のセキュリティニュース

Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理
http://jvn.jp/vu/JVNVU98665451/

■NETGEAR ProSAFE Plus Configuration Utility におけるアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN08740778/

IBM Lotus Domino サーバの IMAP EXAMINE コマンドにバッファオーバーフロー脆弱性
http://jvn.jp/vu/JVNVU91685026/

■ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97322649/

■人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ
http://gigazine.net/news/20170418-fake-domain-homograph-attack/

■Let's EncryptとComodoのTLS証明書、96%の詐欺サイトで使用
http://news.mynavi.jp/news/2017/04/14/103/

■情報メールの誤送信で顧客のメアド流出 - 不動産会社
http://www.security-next.com/080780
>同社によれば、3月19日に顧客へ送信した不動産情報メールにおいて、誤送信が発生したもの。
送信先のメールアドレス203件を「CC」に設定したため、受信者間でメールアドレスが閲覧できる状態となった。

■「動画利用料の債権回収」装う業者に注意 - 「プリカ番号」要求は詐欺
http://www.security-next.com/080745
>実際には利用していないにもかかわらず、「有料動画の未払い料金がある」などと電話をかけるよう要求するSMSやメールが出回っているもの。

2017年4月16日(日)のセキュリティニュース

■「企業のCISOやCSIRTに関する実態調査2017」報告書について
https://www.ipa.go.jp/security/fy29/reports/ciso-csirt/index.html

■「専念できないセキュリティ担当、現場と認識にズレ」――IPAのCISO/CSIRT実態調査
http://itpro.nikkeibp.co.jp/atcl/news/17/041301138/

Microsoft URL Moniker における遠隔の HTA データに対する不適切な処理
http://jvn.jp/vu/JVNVU98665451/
HTAhttp://www.weblio.jp/content/.hta

■「BIND 9」にまたDoS脆弱性、最新バージョンへの更新を~IIJでは乗り換えを推奨
http://internet.watch.impress.co.jp/docs/news/1054770.html

■2017年1Qのインシデントは4856件 - サイト改ざんが41%増
http://www.security-next.com/080648

■セミナー案内メール誤送信 - 大分の建設会社
http://www.security-next.com/080601

■Word文書内でダブルクリックを指示、マルウェア感染させる攻撃 - 「請求書」など偽装
http://www.security-next.com/080460

■IoTデバイス製造時のセキュリティ標準を整備 - 今夏に草案
http://www.security-next.com/080641
http://www.secureiotplatform.org/

■都の宅建事業者検索サイトに不正アクセス - 原因の詳細を調査中
http://www.security-next.com/080649

総務省Struts2脆弱性を突かれて2.3万人の個人情報流出
http://itpro.nikkeibp.co.jp/atcl/news/17/041401147/

■遠隔型の自動運転車が夏にも公道実験、警察庁が基準案
http://itpro.nikkeibp.co.jp/atcl/news/17/041301137/