「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.04.25(木)

「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特集 コラム
facebookLINE
グルーミングしてきれいに匂いを消すんだにゃー
グルーミングしてきれいに匂いを消すんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●EC-CUBEに危険度の高いものを含む6件の脆弱性が公表される

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特に個人情報漏洩の脆弱性は深刻度が高いようなので、EC-Cubeを使ってショッピングサイトを構築されている管理者の方は、すぐに最新版にアップデートするかパッチを適用した方がいいと思うにゃー。
http://www.ec-cube.net/info/weakness/

●標的型攻撃は手法の改良が顕著に、標的はより小規模企業へ

11月14日には株式会社シマンテックから「シマンテック インテリジェンス レポート 2013年9月号(日本語版)」が発表されたんだにゃー。9月号では2013年の標的型攻撃
について詳しく取り上げているんだにゃー。

レポートによると、従業員2500人以上の企業が標的型攻撃に遭った割合は減っているけれど、251~500人の企業は7%の増加、501~1000人の企業は8%の増加が見られているんだって。自分の会社は小さいから関係ないと思ってた人も注意しておく必要があるんだにゃー。
http://www.symantec.com/ja/jp/security_response/publications/monthlythreatreport.jsp

●三菱東京UFJ銀行を騙るフィッシングが行われているとの注意喚起

11月18日には三菱東京UFJ銀行をかたるフィッシングメールが出回っているとフィッシング対策協議会から注意が呼びかけられているよ。フィッシングメールは「三菱東京UFJ銀行――安全確認」というタイトルでフィッシングサイトへの誘導を行っているんだにゃー。

フィッシングサイトではログインに使う乱数表の数字を全部入れさせるみたいだけど、本物のサイトでは乱数表の数字を全部入れることなんてありえないから、絶対に騙されないようにしてほしいにゃー。あとブラウザーのEV-SSL表示もちゃんと確認してほしいにゃー。
http://www.antiphishing.jp/news/alert/mufg20131118.html

●Adobeユーザの盗まれたパスワードのうち200万人が「123456」を利用していた

AdobeのWebサイトが攻撃に遭い、1億5000万人ものユーザーのIDとパスワードハッシュなどの個人情報が明らかになってしまったんだけど、そのパスワードを調べてみると、なんと200万人ものユーザーがパスワードに「123456」を使用していたことがわかったんだにゃー。

その他にも「123456789」や「password」も何十万もの人が使っているみたいなんだにゃー。数字だけ見ると驚くしかないけれど、割合でいうと1.5%と他の会社とそれほど変わりはないのかもしれないにゃー。

・Adobeユーザの盗まれたパスワードは悲惨なものだった~約 200 万人の顧客がパスワード「123456」を利用(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/21/32990.html

●暗号化メールの解読に成功したら5%の株がもらえる!?

ハンガリーのスタートアップ企業MySecureZoneが面白い試みを始めているよ。同社が11月4日から開始したハッキングコンテストで、同社のシステムを使って暗号化したメールを最初に解読できた人に5%の株をプレゼントするんだにゃー。

株をもらえた人はスタートアップが成功したら大儲けなんだにゃー。でも自分が解読できてしまった暗号化の仕組みを使ったシステムが成功するとは信じられないかもしれないよにゃー。

・当社が「軍用レベル」で暗号化したメールを解読できた方に、当社の5%の株を譲渡します~ハンガリーのスタートアップ企業は、斬新なバグチェックシステムの導入を試みる(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/19/32972.html
先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  9. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  10. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP