2021/12/16(木) 高専機構CSIRT 情報セキュリティ関連ニュース 【Vol.52】 2021.12.16

・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・
 高専機構CSIRT 情報セキュリティ関連ニュース 【Vol.52】 2021.12.16
・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・

国立高専情報セキュリティ担当のみなさま、こんにちは。
今月前半の情報セキュリティに関するニュースをお届けいたします。

今回のお知らせでは、攻撃コードが確認されている脆弱性情報が多数含まれています。
みなさんの周りのシステムでもご確認をよろしくお願いいたします。(_o_)

なお、今月後半の定期ニュースはお休みさせていただく予定です。
ということで、ちょっと早いですがみなさん良いお年をお迎えくださいませ。(^^)

高専機構CSIRTのトップページ https://csirt.kosen-k.go.jp に
「高専機構CSIRTからのお知らせ」 や 「脆弱性対策情報等」を掲載しています。
ご参考にしていただければ幸いです。

1) 脆弱性情報など

 ===================
 Apache Log4j の脆弱性関連
 ===================
 ★ 更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)
   https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

 ★ 【注意喚起】Log4jの脆弱性を狙う攻撃を多数検知、至急対策を!(ラック)
   https://www.lac.co.jp/lacwatch/alert/20211213_002820.html

 ★ アラート/アドバイザリ:Apache Log4j の脆弱性(CVE-2021-44228)について(トレンドマイクロ)
   https://success.trendmicro.com/jp/solution/000289941

 ★ GA版「Apache Log4j 2.16.0」がリリース - 脆弱性の原因機能を削除
   https://www.security-next.com/132459

 ★ 各ベンダーが「Log4Shell」の検知方法、対策プログラムなどの情報を発信 - 「同2.15.0-rc1」には対策バイパスのおそれも
   https://www.security-next.com/132414

 ===================
 その他の脆弱性関連
 ===================
 ★ Microsoft 製品の脆弱性対策について(2021年12月)
   https://www.ipa.go.jp/security/ciadr/vul/20211215-ms.html

 ★ Apple製品のアップデートについて(2021年12月)
   https://www.jpcert.or.jp/newsflash/2021121401.html

 ★ トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
   https://jvn.jp/vu/JVNVU98117192/

 ★ 「Chrome 96.0.4664.110」がリリース - ゼロデイ脆弱性などへ対処
   https://www.security-next.com/132484

 ★ 「Firefox 95」が公開、新サンドボックス「RLBox」を実装 - 脆弱性13件を修正
   https://www.security-next.com/132243

 ★ Zoomに複数脆弱性、クライアントやSDKなど広く影響
   https://www.security-next.com/132018

 ★ 「FortiOS」に脆弱性、すでに悪用も - 侵害状況の確認を
   https://www.security-next.com/132444

 ★ WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性
   https://jvn.jp/jp/JVN09136401/

 ★ エレコム製ルータにおける複数の脆弱性
   https://jvn.jp/vu/JVNVU94527926/

2) インシデント情報など

 ★ 研究成果公表サイトが改ざん、サイトを停止 - 愛媛大
   https://www.security-next.com/132119

 ★ 本学ホームページサーバへの不正アクセスについて(神戸学院大学)
   https://www.kobegakuin.ac.jp/news/c64f5f06c11f300a0ea7.html

 ★ 教員研修資料として撮影した授業動画をYouTubeで誤公開、名札で氏名の識別が可能
   https://scan.netsecurity.ne.jp/article/2021/12/15/46818.html

 ★ SNSの利用ルール啓発で、パスワード提出求める不手際 - 練馬区中学校
   https://www.security-next.com/132304

 ★ 広島大学附属東雲中学校で教員用パソコンが盗難被害、校内の防犯体制を見直し
   https://scan.netsecurity.ne.jp/article/2021/12/14/46809.html

 ★ 患者情報含む私物USBメモリが医局で所在不明に - 鹿児島大学病院
   https://www.security-next.com/132079

 ★ 広島県警サイバー犯罪対策課が個人情報など誤送信
   https://news.yahoo.co.jp/articles/eca121161ef7726fb0d4ba815e6dc0ac3b6735ec

 ★ イベント応募者の個人情報が閲覧可能に、フォーム設定ミスで - 佐賀県
   https://www.security-next.com/132257

 ★ 職員用システムに脆弱性、管理者パスワード奪われる - 西宮市
   https://www.security-next.com/132254

 ★ 住友生命をかたるフィッシング (2021/12/08)
   https://www.antiphishing.jp/news/alert/sumisei_20211208.html

 ★ アフラックをかたるフィッシング (2021/12/13)
   https://www.antiphishing.jp/news/alert/aflac_20211213.html

高専機構CSIRT(シーサート)って、何?
脆弱性、インシデントって?
という方のために、以下に用語解説のリンクを貼っています。ご参照ください。

●高専機構CSIRT
 → https://csirt.kosen-k.go.jp/about_csirt.html

●脆弱性
 → https://www.ipa.go.jp/security/vuln/vuln_contents/

●インシデント
 → https://www.jpcert.or.jp/aboutincident.html

最後までお読みいただきありがとうございました。

★ ─────────────── ─ ─ - -
 配信元: 高専機構CSIRT(KOSEN-CSIRT)
 https://csirt.kosen-k.go.jp
  - - ─ ─ ─────────────── ★