最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2023/1/31
不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ
https://fineaid.co.jp/shop/information/2024-01-31
2023年12月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様の個人情報の漏洩懸念について連絡を受け、2023年12月12日、弊社サイトでのカード決済を停止いたしました。
(1)原因
弊社サイトのシステムの一部の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバ内に、クレジットカード決済実行時に処理される個人情報を取得するためのアプリケーションの改ざんが行われたため。
漏洩の可能性がある対象者は、弊社サイト(「健康いきいきライフスタイル」)をご利用されたお客様5,193名です。
クロスサイトスクリプティング(XSS)とは、悪意のある第三者が脆弱性のあるWebサイトに罠を仕掛け、アクセスしたユーザーに対し不正にスクリプトを実行させる攻撃手法です。
攻撃が成立した場合、Cookie値を詐取されたり、フィッシングの被害にあう可能性があります。
被害にあわない為には信用できないリンクを不用意に踏んでしまわない事が大切ですが、格納型XSSの場合はサイト自体にスクリプトが仕掛けられている状態の為、ユーザーは普段通りにアクセスしていても攻撃者が用意した悪意のあるスクリプトを実行されてしまう可能性があります。
2024/2/1
Group Office におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN63567545/index.html
当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は、以下のバージョンで修正されています。
Group Office v6.6.182 以降
Group Office v6.7.64 以降
Group Office v6.8.31 以降
最新のバージョンにて修正されているそうですので、製品をご利用中であれば確認しておくようにしましょう。
2024/2/1
2024年サイバーセキュリティ月間
https://security-portal.nisc.go.jp/cybersecuritymonth/2024/
不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。
誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。
このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行っていきます。
1/24にIPAより「情報セキュリティ10大脅威 2024」が公開されています。
https://www.ipa.go.jp/security/10threats/10threats2024.html
2023年に発生した社会的に影響が大きかったと考えられる脅威がリストされていますので目を通しておくと良いかと思います。
今回はクロスサイトスクリプティング(XSS)についてのニュースを2件取り上げてみました。
XSSの発生は、HTMLを生成する際の特殊文字に対するエスケープ漏れが主な要因です。
被害を未然に防ぐ為にも、ウェブアプリケーションをセキュアな状態に保つ事を心掛けていきたいですね。
担当:YA
