Cyber Security Intelligence Vox

Security Nextによると『ラックは、情報リテラシーを学べるカードゲーム「リテらっこ」を開発した。若年層向け体験講座の参加を募集している。』と報道されている。

発表された内容では『同ゲームは、インターネット利用時のリスクに気づき、安全な行動を養うことを目的としたカードゲーム。10歳以上の小中学生を対象としている。情報教育、メディア論、サイバー法などの専門家3人の監修のもと開発された。』としている。

いわゆるゲームフィケーションと呼ばれる、ゲームを通じた意識醸成や知識獲得などを狙ったユニークな方法ですね。

発表内容によると『インシデントカードと対処カードの２種類のペアを組み合わせる』とあり、百人一首のようにルール説明がいらないシンプルなもので対象年齢も広く設定できて良いと思いました。

とかくセキュリティ教育というと、脅迫されているようなインシデントの事例をテーマとして、参加しにくいものですが、ゲームの中で解決できるユニークさに注目すべきだと思いました。

https://www.security-next.com/165370

ラック、情報リテラシーカードゲームを開発 - 体験講座の参加団体を募集

https://www.lac.co.jp/lacwatch/media/20241217_004231.html

情報リテラシーを遊びながら学ぶカードゲーム「リテらっこ」を作りました

ナノオプト・メディアは、サイバーセキュリティの専門イベント「Security Days Fall 2024」を開催。同イベントから、さくら情報システムによる講演「今さら聞けない、 中堅・中小企業のセキュリティ対策の基本と進め方」をレポートされており、その中で、IPAが毎年公開する「情報セキュリティ10大脅威」の上位に位置づけられているのが「サプライチェーンの弱点を悪用した攻撃」について詳細を紹介します。

発表内容では『「サプライチェーンの弱点を悪用した攻撃」、つまり標的とする企業を直接狙うのではなく、その取引先や委託先に当たるサプライチェーンを狙う攻撃であり、そのほとんどが中堅・中小企業だ。』とのこと。

このサプライチェーン攻撃の真の意図は、講演にある様に、『攻撃者は、大企業のセキュリティ対策が進むにつれ、サプライチェーンの一翼である脆弱な中堅・中小企業を狙うようになった。個人的な肌感でも、大企業が取引先のセキュリティを気にするようになっている』とある様に、ネットワークの弱点を狙っているという事になります。

実際に、警察庁「サイバー空間をめぐる脅威の情勢等」で公表されている最新のランサムウェア被害報告において、最も多い（64%）のが中小企業という事で、講演者は「中堅・中小企業は、まず攻撃手法を知ることから始めるべき」と語っている。

さらに注目すべき点として、講演者はリアリティのある話として、リスク確認の依頼に対して攻撃をかけてみたところ『社員証を持たない部外者がオフィスビルに潜入して、4階にある執務室に入れる』ことが確認できたとのこと。

必ずしも多くの企業がこのような状態ではないにせよ、自社でできるリスクチェックは常に実施しておくべきですね。

https://ascii.jp/elem/000/004/235/4235252/

企業を実際にサイバー攻撃してみたら…？　実例から学ぶ中堅・中小のセキュリティ対策

ITmedia Newsによると『首都圏を中心に保育園「にじいろ保育園」や学童クラブなどを運営するライクキッズは11月29日、同社のシステムがランサムウェア攻撃を受け、園児や児童（卒園者含む）、保護者、従業員（退職者を含む）、外部講師などの個人情報合計15万8410件が閲覧された可能性があると発表した。』

発表された内容では『インターネットとの接続口の脆弱性を攻撃者に悪用され、侵入された』ことが原因としている。

この発表内容で注目する点としては、その復旧方法にあります。

発表内容によると『今後、被害を受けたネットワーク環境は再利用せず、新しい環境を構築した上で、完全復旧を目指す。』とあり、バックアップからのデータ復旧を含めた一般的な復旧方法でなく、新規に安全な環境を構築する、ということです。

インシデント内容の詳細調査の過程で、旧（現行）環境が複雑だったり、管理・運用の体制が不明確といった、安全性を追求するのが難しい背景事情があるのだろうか、と想像しました。

一方で、そうした決定をした「ガバナンス」の強さは評価すべきだと思いました。

https://www.itmedia.co.jp/news/articles/2412/02/news112.html

「にじいろ保育園」運営元にランサム被害　園児の個人情報、職員のマイナンバーなど約16万件閲覧された可能性

https://www.like-kd.co.jp/wp/wp-content/uploads/2024/11/サイバー攻撃被害の可能性について（第３報）.pdf

サイバー攻撃被害の可能性について(第３報)

フィッシング対策協議会は12月4日、PayPayによる「初売りキャンペーン」や「お年玉キャンペーン」をかたるフィッシング詐欺の報告が増えているとして、注意を呼び掛けた。偽メールの件名・文面例も公開している。

発表された内容では『偽メールの件名は「PayPayでお年玉！最大10,000円分のポイントをゲット！」「新年初売りでポイントチャンス！最大15,000円相当GET」（いずれも原文ママ）など。他にもさまざまな件名があるという。』とのこと。

12月4日午後1時半時点で偽サイトは稼働中。フィッシング対策協議会は、サイトに情報を入力しないよう注意喚起している。

フィッシング対策協議会では、他にも『えきねっと』『au PAY』などのフィッシング注意を発信しており、サイトの具体的なURLや画面キャプチャも記載されています。

今回取り上げたのも、日本の習慣である『お年玉』や『新年初売り』などの季節用語を取り入れていて、キャンペーンではありがちなリアリティがあるためです。

メール発信者名やサイト名を偽装したりして分かりにくくしているので、発信者（メールアドレス）を見ればフィッシングだとわかるドメイン名だったりするのですが、確認にはひと手間必要です。

https://www.antiphishing.jp/news/alert/paypay_20241204.html

PayPayをかたるフィッシング (2024/12/04)

https://www.itmedia.co.jp/news/articles/2412/05/news142.html

PayPayの初売り・お年玉キャンペーンかたるフィッシングに注意　「最大1万ポイントゲット」などとうたい偽サイトに誘導

ScanNetSecurityによると『ソフトウェア開発を行う株式会社ヒロケイは8月26日、同社内ネットワークへの外部からの不正アクセスについて、第三報を発表した』。

発表された内容では、同社サーバの脆弱性およびVPNルータの設定不備が原因で、攻撃者が社内ネットワークに不正侵入した。とのこと。

このインシデントは、6月3日に、同社のサーバ内データへのアクセス障害とサーバ内データの暗号化、金銭を要求するメッセージを確認したと発表されていました。それにともない、委託元である7社の企業の健康保険組合が個人情報漏洩の可能性を発表した経緯があります。

給与計算や保険事務から生産や販売といったさまざまな領域において、外部業者への業務委託はごく一般的であり、企業活動の中では当然のものとして行われています。こうした当たり前の企業活動の中で、近年は委託先のサイバーリスクが特に浮き彫りになっています。

外部事業者が自社と同等レベルかそれ以上のセキュリティレベルを確保することも、ビジネス要件の１つとする必要性が出てきました。

また、セキュリティリスクに対応するためのセキュリティ訓練も、委託先から情報漏えいしたケースを取り上げるなど、委託元のリスク対応にも組み込まれ始めました。

https://s.netsecurity.ne.jp/article/2024/09/09/51599.html

ヒロケイにランサムウェア攻撃、金銭要求メッセージ確認

https://japan.zdnet.com/article/35226368/

業務委託先でのセキュリティインシデントを防ぐためにできること

https://www.itmedia.co.jp/news/articles/2411/27/news056.html

「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く　同社のセキュリティ訓練が再び

マイナビニュースに掲載されていたニュースから引用します。『The Hacker Newsはこのほど、ハイブリッドパスワード攻撃の仕組みとその防御策を伝えた。サイバー犯罪者は認証を突破するために革新的な手法の開発を続けており、企業にも十分な備えが必要だという。

ハイブリッドパスワード攻撃は複数の手法を組み合わせてパスワードを解読する手法で、他サイトから漏洩したID/パスワードを使った辞書攻撃や、一般的に使われるパスワードを使うブルートフォース攻撃、に加えてソーシャルエンジニアリング攻撃なども組み合わせる。

防御策として、記事ではハイブリッドパスワード攻撃では解読の時間短縮に主眼が置かれるため、時間や手間のかかる防御策が有効であるとしています。

具体的には、多要素認証の導入や、『長いパスワード』の設定を推奨しています。この長さは『20文字以上が推奨されて』おり『3つの任意の単語を任意の記号でつなぎ合わせるだけで安全とされる』とのこと。

ランダムな長い文字記号数字の組み合わせを設定する場合、パスワードマネージャなどに記憶させておかないと覚えられない、といった問題もあり、３つの任意の単語だと簡単そうに見えます。しかし、『使い回し』は厳禁なので、いずれにしても覚えきれないという問題は避けられません。

https://news.mynavi.jp/techplus/article/20241112-3045201/

ハイブリッドパスワード攻撃の仕組み・効果的な対策とは

https://thehackernews.com/2024/10/how-hybrid-password-attacks-work-and.html

How Hybrid Password Attacks Work and How to Defend Against Them

マイナビニュースによると『スイス国家サイバーセキュリティセンター(NCSC: National Cyber Security Centre Switzerland)が手紙に印刷されたQRコードを使用するフィッシング詐欺について注意を喚起したと報じた。』と報道された。

発表内容には『この手紙はスイス気象局から発送されたように装い、悪意のある「悪天候警報アプリをインストールするように要求するという。』とあります。

はがきやチラシの様な紙媒体から様々なキャンペーンやプロモーションで、アプリへ誘導する案内はよく見ると思います。

そうした媒体にも『なりすまし』で、悪意をもったアプリへの誘導がある。という「物理フィッシング」ケースの報道です。

プレゼント企画などでは、つい応募しようとしてインストールする事もあるかも知れません。セキュリティに関心が高い方でも、かかってしまいそうな手口です。実施するにはお金がかかるので、簡単には出来ないですが、今後こうしたケースにも注意が必要です。

https://news.mynavi.jp/techplus/article/20241119-3067320/

Androidスマホを狙う、マルウェアに感染させる手紙のQRコードに注意

JVN(Japan Vulnerability Notes)は11/20に、株式会社EPARKが提供するAndroidアプリ「くら寿司 公式アプリ Produced by EPARK」には、ハードコードされた暗号鍵の使用の脆弱性が存在します。と公表した。

株式会社EPARKが提供するAndroidアプリ「くら寿司 公式アプリ Produced by EPARK」には、ハードコードされた暗号鍵の使用（CWE-321）の脆弱性が存在し、当該製品のログイン用IDとパスワードを取得される可能性があるため、Androidアプリ「くら寿司 公式アプリ Produced by EPARK」バージョン 3.8.5へのアップデートをする必要があります。

これは企業のセキュリティ担当のうち、開発プロダクトのセキュリティインシデントとなります。通常はプログラムに可読性のある状態でサービスの鍵を入れる事はないのですが、暗号鍵が入ってしまったとのことです。開発上の手続きや手順及びそれらのレビューにミスがあったのだと思います。

https://jvn.jp/jp/JVN16114985/index.html

JVN#16114985

Security NEXTによると、餃子専門店「肉汁餃子のダンダダン」を運営するダンダダンは、公式アプリ会員へ送信したメールでメールアドレスが流出したことを明らかにした。同社によれば、10月31日11時過ぎから12時ごろにかけて、公式アプリの会員217人に送信したメール「景品発送のお知らせ」で誤送信が発生したという。

発表内容には『誤って送信先のメールアドレス49件を宛先に設定したため、受信者間で閲覧できる状態となった。』とあります。

BCCに設定すべきメール送信先のメールアドレスをCCやTOに設定してしまった、という事だと思われます。

せっかくのプレゼント企画でしたが、当選した方のメールアドレスが２１７人分も『見えてしまい』当選の嬉しさも減ってしまいます。

同様のインシデントは他社も含めて発生しており、運営側企業は一様に運用フローやチェック、教育の強化により再発防止を図る、としていますが、これは企画時点でリスクとして認識されているべきで、マネジメント側が厳しく管理すべき事項の１つだと思います。

https://www.dandadan.jp/backyard/wp-content/uploads/2024/10/電子メール誤送信によるメールアドレス漏洩に関するお詫び-1.pdf

電子メール誤送信によるメールアドレス漏洩に関するお詫び

https://www.security-next.com/164111

メール誤送信でアプリ会員のメアド流出 - 餃子専門店

マイクロソフトは現地時間12月19日、同社ブラウザ「Microsoft Edge」のセキュリティアップデートをリリースした。「Microsoft Edge 131.0.2903.112」をリリースしたもの。「Chromium 131.0.6778.205」をベースとするアップデートをリリースした。CVEベースで4件の脆弱性が修正されている。

「Chromium」における修正を反映したもので、重要度はGoogleによって4段階中、上から2番目にあたる「高（High）」とレーティングされている。今回の修正に「Microsoft Edge」特有の脆弱性はなかった。あわせて拡張サポート版として、「MS Edge 130.0.2849.123」を提供している。

https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Microsoft Edge セキュリティ更新プログラムのリリースノート

Security NEXTによると『埼玉県は、県立高校において採点済みの答案用紙が所在不明となっていることを明らかにした。』とのこと。

報道内容には『10月30日7時40分ごろ、職員が引き出しを確認したところ、定期考査の答案用紙がないことに気付いたもの。同日8時10分ごろ、管理職に報告した。前日29日7時50分ごろ、職員が採点を終えた38人分の答案用紙を机の引き出しに保管したが、以降の所在がわかっていない。』とあります。

重要文書の保存や管理は、組織の規定に準じますが、基本的にはロッカーなどの鍵のかかる場所に保管するのが原則だと思います。

会社組織の運用でも、施錠可能な保管場所への保管だけでなく、保管場所の鍵管理や、保管されている文書の台帳管理を行うルールを設定しているところが多いと思います。

学校だと旧来から教職員室の机の上や机の引き出しに保管する運用かも知れません。学校や教職員室への入退室も、それほど厳密でない場合には、やはり管理方法の進化が必要な時代なのかも知れません。

https://www.security-next.com/164147

高校で採点済み答案用紙が所在不明に - 埼玉県

https://www.pref.saitama.lg.jp/f2207/news/page/news2024110101.html

生徒の個人情報を含む書類の紛失について

フィッシング対策協議会は、日本クレジットカード協会が主導する官民11団体共同「フィッシング啓発キャンペーン」に参加し、2024年11月18日より開始します。

発表内容には『フィッシングの手口は日々巧妙化しており、2023年のクレジットカード不正利用被害額は約541億円（前年比＋104億円）と過去最悪を更新しています。特に、番号盗用による非対面取引での不正利用被害額は全体の約93％を占めています。』とあります。

フィッシング詐欺をはじめとして、『番号盗用による非対面取引』つまり、オンラインでのカード番号を搾取する詐欺が増加しているという事で、キャンペーンメッセージが発信されています。

『安易にクレジットカード番号を入力』しない、に加えて、『フィッシングサイトでクレジットカード番号を入力してしまったら、カード会社に連絡を』というメッセージが大事だと思いました。

カード会社の連絡先や連絡方法について、１度確認しておくと、万が一の時に落ち着いて対応出来ると思います。

https://www.antiphishing.jp/news/info/20241118.html

フィッシング対策協議会、官民11団体共同「フィッシング啓発キャンペーン」に参加

SecurityNextによると、子ども向けスポーツ教室「biima sports」を運営するbiimaは、会員向けのお知らせメールに、個人情報を含むファイルを誤って添付したことを明らかにした。

報道内容には『担当者のミスにより、体験者や過去の在籍者を含む2万2085人分の個人情報が含まれる「CSVファイル」を誤って添付してしまったという。』とあります。

送信するメールでファイルを誤添付するケースは後を絶ちません。筆者のわずかな経験から見える原因の１つとして、ダウンロードしたファイルを「ダウンロードフォルダ」に沢山置いたままで、その中から送信するファイルを選択するという場合に、インシデントが発生しているケースがあります。

送信ボタンを押す前にファイルを確認する。や、送信メールを上司などのレビューを経てから送信する。といった防止策を定めるところもあると思います。

業務をする上で、ファイルを乱雑にしておかない、といったわずかな『習慣』が、そもそもミスを生まない仕事の仕方だと思います。この週末にはご自身のPCのファイル整理、特にダウンロードフォルダの整理をしてはいかがでしょうか？

https://www.security-next.com/164210/

会員向けメールに2.2万人分の個人情報を誤添付 - スポーツ教室

ScanNetSecurityによると、独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は12月13日、WordPress用プラグインMy WP Customize Admin/Frontendにおけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

報道内容には『gqevu6bsizが提供するWordPress用プラグインMy WP Customize Admin/Frontendには、格納型クロスサイトスクリプティングの脆弱性が存在し、管理権限を持ったユーザが細工したコンテンツを入力して管理画面をカスタマイズした場合、他のユーザが管理画面にアクセスした際にウェブブラウザ上で任意のスクリプトを実行される可能性がある。』とあります。

WordPress 用プラグインについては、すでに複数の脆弱性に関する報道が出ており、自社（個人）で利用しているプラグインに脆弱性がないかどうか、確認が必要です。

「Japan Vulnerability Notes（JVN）」の脆弱性レポート一覧などから、WordPress 用プラグインの脆弱性報告について確認し、対応方法（多くはアップデートする）の実施をしましょう。

https://ja.wordpress.org/support/article/managing-plugins/

プラグインの管理

https://jvn.jp/report/index.html

脆弱性レポート一覧：Japan Vulnerability Notes（JVN)

Security NEXTによると『トヨタモビリティ東京は、同社従業員などの個人情報が保存されたUSBメモリを一時紛失したことを明らかにした。同社従業員が、個人情報を含むデータが保存された私物USBメモリを一時紛失したもの』とのこと。

報道内容には『USBメモリは8月26日に拾得物として同社に届けられたが、紛失から回収するまでにデータが外部へ流出した可能性もあるとして、同社は個人情報保護委員会へ事態を報告した。』とあります。

私物へのデータ保存や持ち出しは、会社などの規定に準じますが、基本的には私物利用はしないのが原則だと思います。

会社自体が運用する場合でも、台帳による管理を行うだけでなく、USBメモリ機器の情報保護機能（暗号化やパスワードなどの保護）を設定する必要もあります。

https://www.security-next.com/163996

従業員の個人情報含む私的USBメモリを紛失 - トヨタモビリティ東京

https://www.toyota-mobi-tokyo.co.jp/file/special/03601/25272/news/弊社従業員等の個人情報漏えいの可能性に関するお知らせ.pdf

弊社従業員等の個人情報漏えいの可能性に関するお知らせ

news

Security NEXTによると、独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は12月11日、Adobe Acrobat および Reader の脆弱性対策について発表した。

報道内容には『PDFファイル作成・変換ソフトウェアAdobe AcrobatおよびPDFファイル閲覧ソフトウェアAdobe Acrobat Readerにおける脆弱性に関する情報（APSB24-92）が、12月11日にアドビから公開されている。』とあります。

具体的には『脆弱性を悪用したコンテンツをユーザーが開いた場合、任意のコードが実行されるなどの可能性がある。』とありますので、早急な対応が必要です。

https://www.ipa.go.jp/security/security-alert/2024/1211-adobereader.html

Adobe Acrobat および Reader の脆弱性対策について(2024年12月)

https://helpx.adobe.com/security/products/acrobat/apsb24-92.html

Security update available for Adobe Acrobat and Reader | APSB24-92

IPA（情報処理推進機構）の【セキュリティ関連情報】より、『2024年度 年末年始における情報セキュリティに関する注意喚起』が発信されています。

注意喚起発信の背景として、IPAでは『長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生し、長期休暇後の業務継続に影響が及ぶ可能性があります。』としています。

具体的には『(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、それぞれの対象者に対して取るべき対策をまとめています。』とあり、２つのセキュリティ対策リンクを紹介しています。

企業や組織の担当の方は、ぜひ参照にしていただき、長期休暇中の準備の参考にして頂ければと思います。また、個人の方も参考になる『長期休暇中の対策』もありますので、ご参照頂ければと思います。

https://www.ipa.go.jp/security/anshin/heads-up/alert20241217.html

2024年度 年末年始における情報セキュリティに関する注意喚起

https://www.ipa.go.jp/security/anshin/measures/vacation.html

長期休暇における情報セキュリティ対策

https://www.ipa.go.jp/security/anshin/measures/everyday.html

日常における情報セキュリティ対策

Security NEXTによると、日産自動車は、メールで顧客向けにウェビナーを案内した際、メールアドレスが流出したことを明らかにした。

報道内容には『9月27日11時半ごろ、名刺を交換したり、セミナーへ参加、同社コンサルティングサイトに問い合わせなどを行った顧客に対して、無料ウェビナーの案内メールを送信した際、誤送信が発生した』とあります。

具体的には『送信先メールアドレスを誤って宛先に設定するミスがあり、受信者間でメールアドレスが閲覧できる状態が発生。メールを受信した顧客から指摘があり判明した。』とあります。

つまり、メール送信先として、本来はBccにお客様の宛先を設定すべきだったものが、ToまたはCcに設定してしまい、受信者が送付先のメールアドレス全てを参照できる状態にしてしまった。という事だと思われます。

さらに『メール1件あたり約50人の顧客に送信しており、56回にわけてメールを送信。あわせて2726人分のメールアドレスが流出した』ということで、全く気づかずにというよりも、そもそもBccで送付すべき、という観点が抜けていた可能性があります。

https://www.security-next.com/163739

顧客向けのメールで誤送信、56回にわけて送信 - 日産自動車

https://www.nissan-global.com/JP/CONSULTING/PDF/20241021.pdf

メール誤送信のお詫び[PDF]

column

Security Nextによると、KNT-CTホールディングスの子会社で旅行サービス大手のクラブツーリズムは、サイバー攻撃を受け、顧客の個人情報が流出したおそれがあることを明らかにした。

報道では『業務を委託しているシステム会社より一部サーバが侵害を受けたとの報告を受けたもの。被害を受けたのは、あらたに構築を進めていたサービス提供前のサーバだったという。』とある。

ここでの注目すべき点は、インターネットに接続するのは、セキュリティセットアップを完全にしておいてから。という鉄則にあります。

構築中のシステムでは、設定も含めて安全性の確認の前であることが多いので、外部からのアクセスを遮断した状態で構築する必要があります。

原因の１つとして、社外ベンダーが構築や設定に関わっている場合に、外部からのアクセス経路を単純に開放してしまったのではないか？と想像できます。

https://www.security-next.com/164013

新規構築中サーバに攻撃、個人情報流出か - クラブツーリズム

news

2024 年 12 月 10 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました

マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。

発表された内容には『CVE-2024-49138 Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性は、更新プログラムが公開されるよりも前に悪用が行われていること、や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。』とあります。

他にも『今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-49112 Windows Lightweight Directory Access Protocol (LDAP) のリモートでコードが実行される脆弱性は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。 』という更新内容の補足情報もあります。

https://msrc.microsoft.com/blog/2024/12/202412-security-update/

2024 年 12 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138

CVE-2024-49138

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112

CVE-2024-49112

news

マイナビニュースによると、iPhoneやMacなど複数のApple製品に緊急の脆弱性が発表され、アップデートが推奨されている。

修正対象となっている脆弱性に関する情報は多種に及びAppleのサポートページを参照する必要がある。

詳細報道内容には『今回のセキュリティアップデートには「CVE-2024-45490」として追跡される脆弱性への修正が含まれている。この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要』とあります。

https://support.apple.com/ja-jp/121846

About the security content of Safari 18.2

https://nvd.nist.gov/vuln/detail/CVE-2024-45490

CVE-2024-45490 Detail

https://news.mynavi.jp/techplus/article/20241214-3085420/

iPhoneやMacなど複数のApple製品に緊急の脆弱性、アップデートを

contents

ITmediaNewsによると、オイシックス・ラ・大地は11月26日、食品宅配ECサービス「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性があると発表した。

同社は不正ログイン攻撃対策としてWAF（Web Application Firewall）を導入していたが、防げなかったという。

詳細報道内容には『第三者が外部から不正に取得したIDとパスワードを使い、ユーザーになりすましてログインする行為を11月24日に検知。24、25日にかけ、9万7533件のIDが不正ログインを受けたという。』とあります。

多要素認証が適用できないサイトには、強度の高いパスワードを、使い回しせずに設定することが大事。忘れやすいパスワードは、パスワードマネージャを使うという手もあります。

また、悪意を持った第三者が「外部」から不正に取得したIDとパスワードを使っていることから、その「外部」にあたる「ダークウェブ」にも注意が必要です。そのため、ダークウェブモニタリングによる漏洩検知も対策とした考えられます。

https://atmarkit.itmedia.co.jp/ait/articles/2411/29/news049.html

その筋のプロが勧める簡単で強力なパスワードの作り方

https://atmarkit.itmedia.co.jp/ait/articles/2412/02/news016.html

【Googleダークウェブレポート】自身の個人情報がダークウェブに流出していないか確認する

info

Microsoft専門のニュースサイト「Windows Latest」は11月18日(現地時間)、において、Microsoftが11月12日(米国時間)にリリースした「2024年11月のセキュリティ更新プログラム(KB5046617)」に複数の不具合が存在すると伝えた。

Windows 11バージョン24H2に対してこの更新プログラムをインストールすると、失敗するか、成功しても不具合に遭遇する可能性があると指摘されている。

詳細報道内容には、セキュリティ更新プログラム(KB5046617)のインストールは、進捗が37%から40%を超えた辺りでエラーコード「0x80070003」、「0x800f0922」、「0x800f0991」のいずれかが発生し、失敗することがあるという。また、インストールに成功した場合においても不具合があり、一部のユーザーは設定アプリのWindows Updateページに更新プログラムの失敗が表示されたとのことだ。とあります。

また、報道内容には、これらエラーや不具合は、すべての環境で発生するわけではない。不具合を確認できない場合は、そのまま利用することが推奨される。問題が発生し利用の継続が難しい場合は更新プログラムのインストールを一時停止することができる。しかしながら、セキュリティリスクを負うことになるため推奨されない。とも記されています

https://www.windowslatest.com/2024/11/18/windows-11-24h2-kb5046617-is-causing-new-issues-including-installation-errors/

Windows 11 24H2 KB5046617 is causing new issues, including installation errors

https://news.mynavi.jp/techplus/article/20241120-3068547/

Windows 11、11月の更新プログラム(KB5046617)で複数の不具合

news

マイクロソフトは現地時間11月7日、同社ブラウザ「Microsoft Edge」のセキュリティアップデートを公開し、脆弱性を解消した。

細工したHTMLページを閲覧すると、メモリ破壊が生じるおそれがあり、いずれも重要度は4段階中、上から2番目にあたる「高（High）」とレーティングされている。

https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

Release notes for Microsoft Edge Security Updates

column

ITmediaNewsによりますと、ウエルシア薬局（東京都千代田区）は11月8日、外部からの不正アクセスにより個人情報が漏えいしたおそれがあると発表した。と報道がありました。

公式通販サイト「ウエルシアドットコム」に携わる従業員がサポート詐欺に遭った。のが原因と報道されています。

詳細報道内容には、10月24日に従業員がサポート詐欺のWebサイトに誘導され、遠隔操作ソフトをインストールさせられたことで不正アクセスを受けた。とあります。

「偽セキュリティ警告画面」（サポート詐欺）は、インターネットを閲覧中に突然表示され、マウス操作で閉じることができなくなってしまい、利用者を焦らせて、特定のサイトへの誘導などを行うものです。

画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。

IPA（情報処理推進機構）からも、解説ページ及び事前体験プログラムなどが提供されています。社内などでリハーサルを行っておくと、いざという時にインシデントにならずに済みます。

https://www.ipa.go.jp/security/anshin/measures/fakealert.html

偽セキュリティ警告（サポート詐欺）対策特集ページ

https://www.itmedia.co.jp/news/articles/2411/08/news186.html2

「ウエルシアドットコム」から約4万人分の個人情報漏えいのおそれ　従業員がサポート詐欺に

ScanNetSecurity（株式会社イード）の記事にはサポート詐欺の対応方法の概要が記されています

https://s.netsecurity.ne.jp/article/2024/11/21/51943.html

偽のセキュリティ警告画面を閉じる 2 つの方法 ～ IPA 注意喚起