〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 8/8号 目次 –
01. エレコム製のWi-Fiルーター6製品に脆弱性、ファームウェアアップデートを
02. 不正アクセスでペイメントアプリ改ざん…ECサイトからカード情報約6.5万件等流出
03. 7月はWordPressのプラグインに48件の脆弱性報告…Sucuri社発表
エレコム製のWi-Fiルーター6製品に脆弱性、ファームウェアアップデートを
– 7月30日(日本時間)、エレコム社より、同社提供のWi-Fiルーター6機種に脆弱性が存在するとして注意喚起が出されています。
– 脆弱性の悪用により、機器上で任意のコマンドを実行される可能性、および管理画面へログイン可能なユーザーにクロスサイトリクエストフォージェリ(CSRF)を実行させられる可能性があるとしています。
– 同社では脆弱性が確認された各機器に対しファームウェアのアップデートを提供しています。
– IPA・JPCERT/CCが運営する脆弱性情報サイト「JVN」からも同日に脆弱性の注意喚起が出されており、CSRFにより、ログインIDやパスワードを攻撃者が指定した内容に変更される恐れがあるとしています。
https://pc.watch.impress.co.jp/docs/news/1613104.html
https://www.elecom.co.jp/news/security/20240730-01/
https://jvn.jp/jp/JVN06672778/
AUSからの所感
ファームウェアは既定で自動更新が行われるとのことですが、実際に最新のバージョンとなっているか管理画面で確認することを推奨致します。
特にネットワーク機器の管理画面ではログインした後に明示的にログアウトする機構がなく、ブラウザーを閉じるまでログインしたままの状態となるケースもあるところから、CSRFによる不正行為のターゲットとなりやすいため、管理画面へのログインは別途「シークレットウィンドウ」を開いて行うよう心掛けましょう。
使用しているネットワーク機器のメーカーからのセキュリティに関する情報について、特に組織の管理者は常時、また家庭で使用している場合でも適宜巡回して確認すること、またサポートが終了した機器に脆弱性が見つかり、メーカーから発表はあってもセキュリティアップデートは提供されないケースもあり、これに備え機器のリプレースを確実に行う体制の確立が肝要です。
不正アクセスでペイメントアプリ改ざん…ECサイトからカード情報約6.5万件等流出
– 7月31日(日本時間)、菓子製造販売の東京玉子本舗より、同社公式オンラインショップが不正アクセスを受け、クレジットカード情報を含む個人情報が流出したと発表されました。
– 被害を受けたのは、2021年3月18日~2024年5月28日に同サイトでクレジットカード決済を行ったユーザー65,387件のクレジットカード情報(名義人名・番号・有効期限・セキュリティコード)と、2019年4月22日~2024年5月28日に同サイトを利用したユーザー73,961件の個人情報(氏名・住所・メールアドレス・電話番号・FAX番号・生年月日・性別・職業・購入履歴)とされています。
– 5月28日にサイト一部に改ざんの可能性があると連絡を受けサイトを閉鎖、6月20日までの第三者機関による調査の結果、システムの一部の脆弱性を突いてペイメントアプリケーションの改ざんが行われたことによる流出が発覚したとのことです。
https://www.itmedia.co.jp/news/articles/2408/01/news129.html
https://tokyotamagoofficial.com/information/2024/07/index.html
AUSからの所感
近年のECサイトからのクレジットカード情報漏洩では、サーバー上にカード情報を保持しない仕様であったとしても、サイトの脆弱性を突いての決済アプリケーションやフォームの改ざんを行うことにより、セキュリティコードも含めたカード情報を外部に送信するような手口が主流となっています。
ECサイト構築で利用される有名なフレームワークにおいてSQLインジェクション等の脆弱性が発見、修正されたにも拘らず、アップデートされていない状態のECサイトが攻撃を受けるケースも度々報告されており、攻撃者による侵入や改ざんの余地をなくすため、Webアプリケーション・フレームワークからサーバーに至るまで最新のバージョンに保ち脆弱性の修正・対策を確実に行うよう心掛けるとともに、攻撃の形跡・兆候を検知・遮断するためのIDS・IPSおよびWAFの設置も検討してください。
7月はWordPressのプラグインに48件の脆弱性報告…Sucuri社発表
– 7月29日(現地時間)、WordPress用セキュリティプラグイン等を提供する米Sucuri社より、WordPressプラグインにおいて7月に報告された48件の脆弱性のまとめ記事が発表されました。
– 最も危険度が高い「Critical」にあたるのは「HUSKY」のSQLインジェクションおよび「Redux Framework」のクロスサイトスクリプティング(XSS)、次いで「High」にあたるのがSQLインジェクション1件、XSS3件、権限昇格1件となります。
– 危険度「Medium」「Low」についてはXSSが21件、不適切なアクセス制御の問題が11件、等となっています。
https://news.mynavi.jp/techplus/article/20240805-2995801/
https://blog.sucuri.net/2024/07/wordpress-vulnerability-patch-roundup-july-2024.html
https://wpmake.jp/contents/knowledge/202407wp-news/
AUSからの所感
WordPressにおいては、提供されるプラグインも、またそれらで報告される脆弱性も数多く存在しており、Sucuri社による月毎のまとめでは、4・5・6月分でそれぞれ43件・39件・40件の報告があります(ただし別の情報源ではここでまとめられていない脆弱性も報告されており、調査の際は複数の情報源をあたることが重要です)。
WordPress本体においても6月にセキュリティアップデート6.5.5等がリリースされるなど、不定期に更新されることがあります。
本体・プラグインともインストールした状態のままで放置するようなことは決してせず最新に保つよう努めること、加えてセキュリティを強化するプラグインを必ずインストールすること、併せて(もしくは本体・プラグインのアップデートが困難な場合を鑑みて)WAFやIDS・IPSの導入も検討に値します。
