「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.05.19(日)

「EC-CUBEに6件の脆弱性が見つかったんだにゃーの巻」(11月25日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特集 コラム
facebookLINE
グルーミングしてきれいに匂いを消すんだにゃー
グルーミングしてきれいに匂いを消すんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●EC-CUBEに危険度の高いものを含む6件の脆弱性が公表される

日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。

特に個人情報漏洩の脆弱性は深刻度が高いようなので、EC-Cubeを使ってショッピングサイトを構築されている管理者の方は、すぐに最新版にアップデートするかパッチを適用した方がいいと思うにゃー。
http://www.ec-cube.net/info/weakness/

●標的型攻撃は手法の改良が顕著に、標的はより小規模企業へ

11月14日には株式会社シマンテックから「シマンテック インテリジェンス レポート 2013年9月号(日本語版)」が発表されたんだにゃー。9月号では2013年の標的型攻撃
について詳しく取り上げているんだにゃー。

レポートによると、従業員2500人以上の企業が標的型攻撃に遭った割合は減っているけれど、251~500人の企業は7%の増加、501~1000人の企業は8%の増加が見られているんだって。自分の会社は小さいから関係ないと思ってた人も注意しておく必要があるんだにゃー。
http://www.symantec.com/ja/jp/security_response/publications/monthlythreatreport.jsp

●三菱東京UFJ銀行を騙るフィッシングが行われているとの注意喚起

11月18日には三菱東京UFJ銀行をかたるフィッシングメールが出回っているとフィッシング対策協議会から注意が呼びかけられているよ。フィッシングメールは「三菱東京UFJ銀行――安全確認」というタイトルでフィッシングサイトへの誘導を行っているんだにゃー。

フィッシングサイトではログインに使う乱数表の数字を全部入れさせるみたいだけど、本物のサイトでは乱数表の数字を全部入れることなんてありえないから、絶対に騙されないようにしてほしいにゃー。あとブラウザーのEV-SSL表示もちゃんと確認してほしいにゃー。
http://www.antiphishing.jp/news/alert/mufg20131118.html

●Adobeユーザの盗まれたパスワードのうち200万人が「123456」を利用していた

AdobeのWebサイトが攻撃に遭い、1億5000万人ものユーザーのIDとパスワードハッシュなどの個人情報が明らかになってしまったんだけど、そのパスワードを調べてみると、なんと200万人ものユーザーがパスワードに「123456」を使用していたことがわかったんだにゃー。

その他にも「123456789」や「password」も何十万もの人が使っているみたいなんだにゃー。数字だけ見ると驚くしかないけれど、割合でいうと1.5%と他の会社とそれほど変わりはないのかもしれないにゃー。

・Adobeユーザの盗まれたパスワードは悲惨なものだった~約 200 万人の顧客がパスワード「123456」を利用(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/21/32990.html

●暗号化メールの解読に成功したら5%の株がもらえる!?

ハンガリーのスタートアップ企業MySecureZoneが面白い試みを始めているよ。同社が11月4日から開始したハッキングコンテストで、同社のシステムを使って暗号化したメールを最初に解読できた人に5%の株をプレゼントするんだにゃー。

株をもらえた人はスタートアップが成功したら大儲けなんだにゃー。でも自分が解読できてしまった暗号化の仕組みを使ったシステムが成功するとは信じられないかもしれないよにゃー。

・当社が「軍用レベル」で暗号化したメールを解読できた方に、当社の5%の株を譲渡します~ハンガリーのスタートアップ企業は、斬新なバグチェックシステムの導入を試みる(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/19/32972.html
先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  7. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  8. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  9. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

    DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

  10. runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

    runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP