目次
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2024/4/1
スマートフォンアプリ「Yahoo! JAPAN」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN23528780/index.html
LINEヤフー株式会社が提供するスマートフォンアプリ「Yahoo! JAPAN」には、クロスサイトスクリプティングの脆弱性が存在します。
開発者が提供する情報をもとに、最新版へアップデートしてください。
クロスサイトスクリプティング(XSS)とは、悪意のある第三者が脆弱性のあるWebサイトに罠を仕掛け、アクセスしたユーザーに対し不正にスクリプトを実行させる攻撃手法です。攻撃が成立した場合、Cookie値を詐取されたり、フィッシングの被害にあう可能性があります。
「Yahoo! JAPAN」は有名なアプリなのでインストールしている方も多いのではないでしょうか。
身近なアプリにもこうして脆弱性が検出される可能性があるということを意識しておかなければいけません。
最新のバージョンで対応されているようですので、ご利用の方はアップデートを確認しておきましょう。
2024/4/1
XZ Utilsに悪意のあるコードが挿入された問題
https://www.jpcert.or.jp/newsflash/2024040101.html
複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツールであるXZ Utilsに悪意のあるコードが挿入された問題(CVE-2024-3094)が確認されたとして、ツールの開発元であるThe Tukaani Projectの開発者やディストリビューターなどが情報を公開しています。
同問題は同ツールの共同開発者により2024年2月24日頃に挿入され、悪意のあるコードが挿入されたバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があるとのことです。XZ Utilsを使っている可能性があるLinuxディストリビューションを利用している場合、同ツールの開発者や各ディストリビューターが公開する最新の情報を参照し、影響の有無の調査や必要な対処の実施をご検討いただくことを推奨します。
影響を受けるバージョンはXZ Utils 5.6.0 および 5.6.1
バージョン確認をする際にもxzコマンドによる確認は避ける事が推奨されています。
複数のLinuxディストリビューションで影響の恐れがある為、各ディストリビューターが公開している情報を確認しておきましょう。
2024/4/3
パソコンで警告が出たらサポート詐欺に注意!-70歳以上で大幅に増加-
https://www.kokusen.go.jp/news/data/n-20240327_1.html
サポート詐欺とは、パソコンでインターネットを使用中に突然「ウイルスに感染している」等の警告画面や警告音が出て、それらをきっかけに警告画面上に表示されている電話番号に電話をかけさせ、偽のサポートに誘導し、サポート料金を支払わせる手口です。
トラブルの特徴
・パソコンやインターネットに不安を覚える高齢者が被害にあっている。
・“マイクロソフト社”を騙る連絡先に電話をかけてしまっている。
・新たにインターネットバンキングで送金を指示されるケースも発生している。
インターネットバンキングの画面で送金額を100円と入力したはずが、遠隔操作によって「0(ゼロ)」を追加され、100万円に変更され送金されてしまったというケースがあるようです。
ウェブサイトの脆弱性をきっかけに、偽の警告画面を表示されたりユーザーが不審なサイトに誘導され、こういった詐欺の被害にあう可能性があります。
IPAよりサポート詐欺の事例について公開されていますので、パソコンに不慣れなご家族がいる方などは見てもらうと良いかもしれません。
https://www.ipa.go.jp/security/anshin/attention/2023/mgdayori20240227.html
新年度が始まったことで生活環境が変わり、慣れないパソコン作業を行うことになったり、初めてパソコンに触る方もいらっしゃるかと思います。インターネットを利用する際にはセキュリティの意識を身につけ、サイバー犯罪の被害にあわないように気を付けましょう。
昨年特に社会的に影響が大きかったとされる事案について以下のリンクに掲載されていますので、一度は目を通しておくと良いかと思います。
IPA『情報セキュリティ10大脅威 2024』https://www.ipa.go.jp/security/10threats/10threats2024.html
担当:YA
