今日を知り、明日を変えるシステム運用メディア

ラスベガスから講演レポートなどお届け
最新の注目ニュースをまとめてチェック!【2024年11月24日週】

最新の注目ニュースをまとめてチェック!【2024年11月24日週】

ニュース #サイバー攻撃 #セキュリティ

Microsoft Edgeのセキュリティアップデート 2件の脆弱性を修正

Microsoft Edgeのセキュリティアップデート 2件の脆弱性を修正

11月21日、Microsoft社は同社のブラウザ「Microsoft Edge」のセキュリティアップデートをリリースした。

本セキュリティアップデートは、「Chromium」のアップデート「Chromium 131.0.6778.86」「Chromium 131.0.6778.85」がリリースしたことをうけ、ベースとした「MS Edge 131.0.2903.63」をリリースしたもの。

なお、セキュリティアップデートを適用することで、以下2件の脆弱性を修正する。

  •  CVE-2024-11395
  •  CVE-2024-49025

Palo AltoのVPNソリューション「GlobalProtect」で脆弱性が判明

Palo AltoのVPNソリューション「GlobalProtect」で脆弱性が判明

11月25日、Palo Alto Networks社は同社が提供するリモートアクセスVPNソリューション「GlobalProtect」のクライアントアプリに脆弱性が確認されたとして、セキュリティアドバイザリを公開した。

内容としては、権限昇格の脆弱性「CVE-2024-5921」について明らかにしたもので、証明書の検証処理に不備があると、攻撃者により任意のサーバに接続され、悪意のある証明書で署名されたソフトウェアがインストールされる可能性があるとのこと。

現時点では、Windows向けに脆弱性を修正した「GlobalProtect 6.2.6」をリリースしているが、他ブランチやプラットフォーム向けのアップデートについては、アドバイザリの公表時点で未提供となっているため、注意が必要である。

食品宅配サービス大手でパスワードリスト攻撃を確認 約9.7万件のアカウントで不正アクセス

食品宅配サービス大手でパスワードリスト攻撃を確認 約9.7万件のアカウントで不正アクセス

11月26日、食品宅配サービス大手企業にて、正規利用者になりすました第三者による不正アクセスを受けたと報告した。

同社の報告によると、11月24日および25日に不正ログインが行われており、9万件以上のアカウントでログインを許した可能性があるとのこと。不正ログインされた場合、氏名や住所、電話番号、メールアドレス、届け先の氏名や住所などを閲覧される可能性がある。

また、対象アカウントの利用者には、アカウントのパスワードをリセットし、パスワードの再設定を案内している。さらに、今回の攻撃を受けてサーバ側でさらにあらたな対策を講じるとしており、監視体制も強化するとしている。

WordPress向けのスパム対策プラグインに複数の脆弱性 悪用の事実も確認済み

WordPress向けのスパム対策プラグインに複数の脆弱性 悪用の事実も確認済み

WordPress向けに提供されているCleanTalk製のスパム対策プラグイン「CleanTalk Anti-Spam」に複数の脆弱性が確認されたと報告された。

特に「CVE-2024-10542」は、リバースDNSスプーフィングを悪用した、認証の回避が可能となる脆弱性で、悪用されると認証なしに攻撃者から任意のプラグインがインストールされるおそれがあるとのこと。

共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」、重要度「クリティカル(Critical)」と非常に高い評価を受けているため、利用されている場合には11月29日に配信されているセキュリティアップデートを迅速に適用することを推奨する。

システム監視ソフトウェア「Zabbix」にCVSSv3.1 9.9の脆弱性 迅速な対応を

システム監視ソフトウェア「Zabbix」にCVSSv3.1 9.9の脆弱性 迅速な対応を

システム監視ソフトウェア「Zabbix」において権限の昇格が可能となる脆弱性が確認されたと報告された。

本脆弱性はバグ報奨金プログラムを通じて報告されたもので、フロントエンドのデフォルトユーザーロール、またはAPIアクセス権を持つロールが割り当てられている場合、ネットワーク経由で権限を昇格できる可能性があるとされている。

「CVSSv3.1」のベーススコアが「9.9」と評価されており、重要度も「クリティカル(Critical)」と非常に高い評価を受けていることから、利用されている場合には下記リンクを確認の上、迅速な適用を推奨する。

参考サイト:ZABBIX SUPPORT

「能動的サイバー防御」の法整備 政府有識者会議の提言をまとめる

「能動的サイバー防御」の法整備 政府有識者会議の提言をまとめる

11月29日、政府の有識者会議は、能動的サイバー防御に関する法整備を提言した。提言では、欧米主要国に匹敵する能力を目指し、官民連携強化や通信情報の活用、アクセス・無害化の権限付与などが訴えられている。

また、重要インフラ保護やゼロデイ脆弱性への対応、情報共有体制の整備が柱となり、官民双方がリスクに備える必要性が強調された。また、通信情報利用に関する新制度の構築や国際連携、サイバー人材の育成・確保、中小企業の対策強化も提案されている。

政府および与党は2025年の通常国会での法整備に向けて、現在作業を急いでいる。

出典:「サイバー安全保障分野での 対応能力の向上に向けた提言」(内閣官房ホームページ)(https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/koujou_teigen/teigen.pdf)(2024年11月29日)

Ops Today編集部
このライターの記事をもっと読む

関連記事

AWS運用代行サービスの選定ポイント4つ・おすすめサービスを紹介!
ノウハウ

AWS運用代行サービスの選定ポイント4つ・おすすめサービスを紹介!

ガートナーがセキュリティのハイプ・サイクルを公開。今後注目すべきトピックは?
ニュース

ガートナーがセキュリティのハイプ・サイクルを公開。今後注目すべきトピックは?

ノウハウ

【AWS re:Invent 2024】Uncovering sophisticated cloud threats with Amazon GuardDuty(講演レポート)

人気の記事

2024年8月発効 EU AI規制法への対応のために企業は何をするべきか?
ニュース

2024年8月発効 EU AI規制法への対応のために企業は何をするべきか?

飲食業界におけるサイバーセキュリティの現状は?大手コーヒーショップの情報漏洩を受けて
ニュース

飲食業界におけるサイバーセキュリティの現状は?大手コーヒーショップの情報漏洩を受けて

定期的なパスワード変更は時代遅れ?進むガイドライン改正
ニュース

定期的なパスワード変更は時代遅れ?進むガイドライン改正

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録
TOP - ニュース - 最新の注目ニュースをまとめてチェック!【2024年11月24日週】