最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2023/10/23
誤送信によるメールアドレス漏えい
https://www.city.kobe.lg.jp/a64051/kanko/kisyasiryo/202310/597271965312.html
一般財団法人神戸観光局神戸フィルムオフィスで管理をしている「神戸フィルムオフィスサポーター」に登録されております方宛てに送信した電子メールについて、本来BCC送信すべきところ、誤ってCC送信したため、個人情報(メールアドレス)が漏えいいたしました。
『送信先をBCCではなく誤って宛先やCCに設定』するケースのニュースが今月も複数見られました。https://www.city.shimonoseki.lg.jp/site/kisya/101770.html
https://www.city.suginami.tokyo.jp/news/r0510/1090271.html
https://www.meta-sect.org/2023/10/18/news/868/
2023/10/25
Movable Type におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN39139884/index.html
シックス・アパート株式会社が提供する Movable Type には、クロスサイトスクリプティングの脆弱性が存在します。
開発者が提供する情報をもとに、最新版へアップデートしてください。
クロスサイトスクリプティングとは、悪意のある第三者が脆弱性のあるWebサイトに罠を仕掛け、アクセスしたユーザーに対し不正にスクリプトを実行させる攻撃手法です。
攻撃が成立した場合、Cookie値を詐取されたり、フィッシングの被害にあう可能性があります。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
Movable Type 7 r.5501 (Movable Type 7系)
Movable Type Advanced 7 r.5501 (Movable Type Advanced 7系)
Movable Type Premium 1.59
Movable Type Premium Advanced 1.59
Movable Type クラウド版 7 r.5501
Movable Type Premium クラウド版 1.59
2023/10/26
インフルエンサーの紹介を通じた『借入詐欺』について
https://www.aiful.co.jp/efforts/crime/sidejob/
WEBサイトやSNS(インフルエンサーの紹介)を通じて副業やアルバイト、ポイントキャンペーンを持ち掛けられ、消費者金融の調査目的などの説明が行われアイフルと契約を促されます。
ご契約後、カード番号・会員ログインID・暗証番号・ワンタイムパスワードを騙し取られ、借入れされてしまう事例が発生しています。
詐欺の手口ですが、
①悪意のある人物が大手サイト運営会社を装いインフルエンサーに接触し、偽りのポイントキャンペーンの宣伝を依頼。
②インフルエンサーに消費者金融サイトへの登録誘導を目的とした偽の広告用SNSアカウントを提示し、宣伝記事をSNSに投稿させる。
③広告を閲覧し、SNSアカウントを通じてキャンペーンに応募を行った被害者に対し、消費者金融サイトへの登録を誘導。
④被害者からID・パスワードを聞き出し、不正に現金の借り入れを行う。
という流れのようです。
誤送信やフィッシング系のニュースは後を絶ちません。宛先確認を行う、IDやパスワードは安易に公開しない等、基本的な事をしっかりと心掛けて被害にあわないよう・被害を起こさないように気をつけていきたいですね。
担当:YA
