7月10~20日で気になった記事をまとめました。
(微妙にタイトルの日付とずれていてもご容赦ください。。。。)
【目次】
・セキュリティニュース
・レポートリリース
・脆弱性情報
・おわりに
【セキュリティニュース】
British Airwaysの顧客50万人の情報流出で罰金250億円
ブリティッシュ・エアウェイズと親会社インターナショナル・エアラインズ・グループに対して、50万人に影響を及ぼしたデータ流出に対してEU一般データ保護規則(General Data Protection Regulation; GDPR)違反で罰金230億を課されたと報じられました
マリオットにGDPR違反の制裁金135億円
ホテルグループのマリオット・インターナショナルは4年間にわたり顧客情報を盗まれていた問題に対して、英国の情報コミッショナー事務局がマリオットに9920万ポンド(約135億円)の制裁金を科すと発表しました。
キャンペーンを利用した詐欺
QR決済サービスであるPayPayで、お互いの残高を送りあうとボーナスがもらえるキャンペーンを利用して、一部のユーザーがSNSを通じて見知らぬユーザー同士で送りあうことでキャンペーンボーナスをもらおうとしたところ、持ち逃げしてしまう事例が発生しています。
9ヶ国での個人ユーザーのサイバーセキュリティ意識調査結果
エフセキュアから、9か国の個人情報保護に関する意識調査の結果が公表されていました。
新種のAndroidマルウェア「Agent Smith」
2500万台の端末に感染している新種マルウェア「Agent Smith」が発見されました。Agent Smithは、他のアプリを悪質なコード入りのものに置き換え、ユーザーにとって不要な広告を表示させるものになります。
脆弱な設定の「Amazon S3」バケット狙いのクレジットカード情報盗難
犯罪集団「Magecart」が、脆弱な設定のAmazon S3バケットに対して、クレジットカード情報を盗み出すプログラムを埋め込むことでクレジットカード情報を盗み出すキャンペーンが行われています。
ビットポイントジャパン(BPJ)から仮想通貨30億円分が流出
仮想通貨交換業者のビットポイントジャパン(BPJ)から仮想通貨30億円相当が外部に流出しました。
秘密鍵を管理するサーバーが不正アクセスを受け、鍵を窃取されたため秘密鍵を暗号化していたにもかかわらず、流出してしまった可能性が高いと説明しています。
Slackユーザーのアカウント約1%がパスワードリセット
不正ログインが確認されたアカウントが2015年の不正ログインの際の認証情報であったため、影響を及ぼしていないアカウントについてもアカウント再設定の通知を行っているそうです。
パスワードリセットの対象となったアカウントは、次の3要素を含んでいるものです。
・2015年3月以前に作成されたアカウント
・2015年3月以降一度もパスワードが変更されていないアカウント
・シングルサインオン(SSO)プロバイダーを利用したログインが必須化されていないアカウント
【レポートリリース】
JPCERT CC
【脆弱性情報】
CVE-2019-1132 | Win32k Elevation of Privilege Vulnerability
CVE-2019-0880 | Microsoft splwow64 Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0880
マイクロソフト、7月の月例パッチ公開--ゼロディ脆弱性2件にも対処 - ZDNet Japan
Microsoft 製品の脆弱性対策について(2019年7月) :IPA 独立行政法人 情報処理推進機構
Microsoft、7月のセキュリティ更新プログラム公開 既に攻撃発生の脆弱性も - ITmedia エンタープライズ
2019年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
【おわりに】
記事を追いかけてまとめるのが難しい。。。