8月24日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
「ニトリアプリ」にアクセス制限不備の脆弱性
ニトリホールディングスは、スマートフォンアプリ「ニトリアプリ」に脆弱性があることを明らかにした。対象のバージョンは以下の通り。
- ニトリアプリ バージョン 6.0.4 およびそれ以前(Android)
- ニトリアプリ」バージョン 6.0.2 およびそれ以前(iOS)
脆弱性はアクセス制限不備で、「ニトリアプリ」を経由して任意のWebサイトへアクセスしてしまう可能性がある。フィッシングサイトなどに飛ぶ危険があるので注意が必要だ。
脆弱性を修正したバージョンを8月21日に提供。同アプリを利用しているユーザーはアップデートをしておくこと。2020年8月21日時点で、この脆弱性を利用した被害報告はない。
ネットギア製スイッチングハブに脆弱性
8月28日の時点で、ネットギア製スイッチングハブに脆弱性が存在している。対象製品とバージョンは以下の通り。
- GS716Tv2 Firmware version 5.4.2.30、およびそれ以前
- GS724Tv3 Firmware version 5.4.2.30、およびそれ以前
脆弱性はクロスサイトリクエストフォージェリで、管理画面にログインした状態のユーサーが細工済みのページにアクセスすると、設定を変えられる可能性がある。
当該製品はすでにサポートを終了しているため、最良の対策は製品の使用をやめて代替製品を導入すること。早急に代替品を用意できない場合は、該当する製品のIPアドレスをユーザーポートで使用するものとは別のネットワークに設定することで、脆弱性の影響を軽くできる。
Mozilla、脆弱性を修正した最新バージョン「Firefox 80」
Mozilla Foundationは8月25日、Firefoxの最新バージョン「80.0」を公開した。延長サポート版の「Firefox ESR」もバージョン 78.2.0、および68.12.0にアップデートしている。
今回のアップデートでは、セキュリティ関連10件を修正。内訳は、高4件、中3件、低3件。「高」では、Mozilla Maintenance Serviceへのダウングレード攻撃による特権の昇格、攻撃者が拡張機能のインストールを促すプロンプトなどが存在した。
新機能は、Firefoxをシステム既定のPDFビューアーとして使用できるようになった。Firefoxをメインブラウザにしている人は、アップデートをしておくと使い勝手が向上するだろう。
なお、「80.0」は、macOS 10.9 / 10.10 / 10.11 をサポートしていない点に注意。延長サポート版のESR「78.x」が2021年まで継続リリースとなるので、そちらへ移行するよう促している。
「おいしい藤沢産ホームページ」に不正アクセス
神奈川県藤沢市は、湘南ふじさわシニアネットの運営を委託している「おいしい藤沢産ホームページ」が、外部からの不正アクセスを受けたことを明らかにした。この不正アクセスによって、Webサイトのメール機能が踏み台となり、外部にスパムメールを大量に送信していた。
今回の一件は、8月19日に「おいしい藤沢産ホームページ」の問い合わせ用メールアドレス「info@oishiifujisawa.jp」で送信したメールの一部が、宛先不明で大量に戻ってきていることで発覚。ただちにWebサイトを閉鎖し調査したところ、8月24日にメールの断続的な送信を確認。その後、Webサーバーの管理業者がメール設定のパスワードを変更し、メールの送信は止まっている。
スパムメールはすべて外国語で書かれており、日本語での記述はない。送信件数は約13,000件。海外宛てが95%、国内宛てが5%という割合で、情報の流出はない。
名古屋大学の教員、個人情報を保存したUSBメモリを紛失
名古屋大学は8月24日、同大学の医学部保健学科の教員が、学生の個人情報を保存したUSBメモリ2本を紛失したことを発表した。
USBメモリの1つには、学生52名分の氏名、実習評価点数、実習評価の情報を記録。もう1つには、学生9名分の氏名、生年月日などの情報を記録。これら情報を記録したファイルは、パスワードロックを行っていた。
同教員は、8月7日にUSBメモリをペンケースに入れ学外へ持ち出したものの、8月12日にペンケースがないことを確認。各所を捜索したものの発見には至ってない。該当する学生には経緯を説明している。現時点では情報悪用の続報はない。
