目次
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
SNS等におけるなりすまし型「偽広告」への対応に関する要請の実施
総務省|報道資料|SNS等におけるなりすまし型「偽広告」への対応に関する要請の実施 (soumu.go.jp)
総務省は、本日、SNS等を提供する大規模事業者に対して、SNS等におけるなりすまし型「偽広告」への対応について、文書により要請を実施しました。ソーシャルネットワーキングサービスその他交流型のプラットフォームサービス(SNS等)において、個人又は法人の氏名・名称、写真等を無断で利用して著名人等の個人又は有名企業等の法人になりすまし、投資セミナーや投資ビジネスへの勧誘等を図る広告(なりすまし型「偽広告」)が流通・拡散しており、こうした広告を端緒としたSNS型投資詐欺等の被害が急速に拡大しています。
今や誰もが毎日SNSを利用する時代において、皆さんも一度は偽広告を目にしたことがあるのではないでしょうか。今までは、プラットフォーム側において、削除・アカウント停止等の基準はありつつも適切に運用されていなかったり、明らかに偽広告でも削除されないというような事例もありました。具体的な対策として、広告出稿時の事前審査にあたり、審査基準の策定、審査の実施、広告主の本人確認の強化など求めており、また、被害者による通報への対応の強化や偽広告の削除にあたって申し出の受け付け方法の整備、削除の迅速化、削除の申出件数や実施件数の公表などを含む運用状況の透明化なども要請したとしています。
JVN#37818611
Androidアプリ「ZOZOTOWN」におけるアクセス制限不備の脆弱性
JVN#37818611: Androidアプリ「ZOZOTOWN」におけるアクセス制限不備の脆弱性
株式会社ZOZOが提供するAndroidアプリ「ZOZOTOWN」には、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性(CWE-939)が存在します。
遠隔の第三者によって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性があります。結果として、フィッシング等の被害にあう可能性があります。
「CVSSv3.0」のベーススコアは「4.3」と評価され、深刻度は高くないものの、放置しておくと任意のウェブサイトに誘導することが可能となり、フィッシングなどに悪用されるおそれがあります。普段よく使うアプリだからこそ、早めにアップデートをする癖をつけたいものです。
不正アクセス発生による個人情報流出の可能性のお知らせとお詫び
不正アクセス発生による個人情報流出の可能性のお知らせとお詫び | 2022年 | ニュースリリース | 森永製菓 (morinaga.co.jp)
森永製菓株式会社(東京都港区芝 代表取締役社長・太田栄二郎)は、当社が管理運用する複数のサーバに対する不正アクセスにより、当社通信販売事業「森永ダイレクトストア(旧:天使の健康)」の一部のお客様の個人情報(氏名・住所・電話番号・生年月日・性別・メールアドレス(一部)・購入履歴)が外部流出した可能性を否定できないことがわかりましたので、お知らせいたします。この個人情報にはクレジットカード情報は含まれておりません。また現在、本件に関わる個人情報の不正利用等は確認されておりません。
IPAの情報セキュリティ10大脅威 2024 [組織]で、9年連続1位の脅威となっているのが今回のニュースのような「ランサムウェアによる被害」です。攻撃手口は、今回のようにネットワーク機器の脆弱性を悪用したり、メールから感染させるなど多岐にわたります。対策としては、インシデント対応体制を整備し対応すること、サーバやネットワークに適切なセキュリティ対策を行うこと、メールの添付ファイルを開かない、SMSのURLをクリックしないことなどです。
・参考情報
情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
