個人的に気になったセキュリティ関連のニュースをまとめています。
なお、日付は基本的に記事公開日です。

03月01日(金)のセキュリティ記事まとめ

Vulnerability Spotlight: Remote code execution vulnerability in Antenna House Rainbow PDF Office Server Document Converter

Cisco Fixes Critical RCE Vulnerability in RV110W, RV130W, and RV215W Routers

「Microsoft Teams」に、DLL読み込みに起因する任意コード実行の脆弱性(JVN)

WordPress用プラグイン「Smart Forms」に、意図しない操作をされる脆弱性(JVN)

フィッシングサイトに誘導されたユーザは前年から2.5倍に–2018年まとめ(トレンドマイクロ)

技術部門の従業員が営業機密の製造情報を持ち出し、不正競争防止法違反の疑いで逮捕に(富士精工)

Microsoft Windows において CMSTP.exe の実装不備を悪用して UAC による制限を回避可能となる手法(Scan Tech Report)

Dow Jonesの要注意人物リスト、誰でも閲覧できる状態に AWSの設定ミスで

Google Chromeに脆弱性か、ユーザー追跡の不審なPDF発見

「WordPress」の脆弱性「CVE-2019-8942」と「CVE-2019-8943」について解説

フィッシングサイトへ誘導されたユーザー、1年で2.5倍に

Dow Jonesがまとめたリスクのある人物リストが流出の恐れ–研究者が指摘

患者情報約3600件を含むHDDなど紛失 – 宇治市の病院

取引先情報不正持出の元従業員が起訴 – ゼネテック

Chrome PDFビューワーの情報漏えいの脆弱性についてまとめてみた

03月02日(土)のセキュリティ記事まとめ

Adobe Releases Security Updates for ColdFusion

03月03日(日)のセキュリティ記事まとめ

通販ページなどへ遷移するWebサイト改ざんについてまとめてみた

03月04日(月)のセキュリティ記事まとめ

チェックインから搭乗まで“顔パス”でウォークスルー 成田空港、顔認証活用の搭乗手続き「OneID」を開始、2020年から

「ColdFusion」に深刻な脆弱性、悪用報告も – 早急に対応を

「Chrome」に脆弱性 – アップデートがリリース

患者の個人情報が保存されたバックアップ用の外付けHDDを紛失(あじろぎ会)

公開した報告書に個社計2,042社分のアンケート回答情報が含まれていたことが発覚(経済産業省)

フィッシングが増加、報告数が8カ月ぶりに2000件超 – 約半数がHTTPS対応

札幌市のアーティスト支援施設でサイト改ざん – 外部に不正誘導

調査事業で企業回答内容をサイト上で誤公開 – 経産省

EC2上でDNS RebindingによるSSRF攻撃可能性を検証した

遠隔からのコード実行が可能になる「Drupal」の脆弱性「CVE-2019-6340」について解説

Visaカード発行事業者装うフィッシングに注意

悪質アドウェアが国内で164%増加、中国サイバー攻撃集団「APT10」による政府への“スピアフィッシング”も

WordPress向けプラグイン「Smart Forms」にCSRFの脆弱性

注意喚起: Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起 (公開)

Google Discloses Unpatched ‘High-Severity’ Flaw in Apple macOS Kernel

03月05日(火)のセキュリティ記事まとめ

Researchers Link ‘Sharpshooter’ Cyber Attacks to North Korean Hackers

Hacked Website Trend Report – 2018

for文無限ループURL投稿で補導された件についてまとめてみた

中国の一部で「Windows XP」がいまだに現役の理由

「Adobe ColdFusion」に任意のコードを実行される脆弱性(JPCERT/CC)

パスワードロック未実施のUSBメモリを電車内で紛失の可能性(阪南大学)

商業動態統計調査の調査票が事業所から県への提出過程で紛失(新潟県)

学生のメールアカウントのパスワードが窃取されスパムメール送信の踏み台に(島根県立大学)

不正アクセスによる改ざんでオンライン通販サイトから偽の決済フォームに誘導、カード情報が流出(ハセ・プロ)

AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開

IBM X-Force Redが複数の訪問者管理システムの脆弱性を指摘

島根県立大、学生アカウント乗っ取り被害でスパムの踏み台に – 原因は調査中

NVIDIA製GPUディスプレイドライバに複数の深刻な脆弱性

学生の個人情報含むUSBメモリを紛失 – 阪南大

DNSやLDAPによる増幅攻撃を観測 – 複合型のDDoS攻撃も

JVN: Dradis Community Edition および Dradis Professional Edition におけるクロスサイトスクリプティングの脆弱性

ブラウザの更新通知を偽装する攻撃 – 1700以上の正規サイトに不正スクリプト

セキュリティチーム向けツール「Dradis」に脆弱性

03月06日(水)のセキュリティ記事まとめ

「ゆうちょ銀」の偽サイトに注意 – 「合言葉」など詐取

AWSの異常課金で気付いた不正アクセス–インシデントにどう対応したのか

「Dradis Community Edition」などにスクリプト実行の脆弱性(JVN)

児童の学力調査個人票1学級分の紛失が判明(熊本市)

Docker関連の脆弱性、仮想通貨「Monero」の採掘に悪用か

「LINE」装う時間指定フィッシングが再発 – 攻撃者の始業時間が1時間早まる?

インテル製チップに新たな脆弱性「SPOILER」–修正は困難との指摘も

無人潜水機など海事技術狙う「APT 40」 – 中国関与か

「WinRAR」が19年来の脆弱性を修正 – 公表後に悪用も

件名「LINE緊急問題」、LINEかたりアカウント情報を詐取するフィッシングメールが拡散中 誘導先の偽サイトは3月6日10時時点で稼働中

いたずらスクリプトのURL貼った女子中学生の補導、海外でも波紋

IPA、サイトのセキュリティ対策20カ条を解説 – CLも公開

New Google Chrome Zero-Day Vulnerability Found Actively Exploited in the Wild

03月07日(木)のセキュリティ記事まとめ

NSA’s Ghidra Reverse Engineering Framework Stirs Up Malware Researchers

Cisco Releases Security Updates

Unpatched UPnP-Enabled Devices Left Exposed to Attacks

LINE騙るフィッシングメール確認、旧端末へのメッセージ無視する旨記載(フィッシング対策協議会)

新発田農業高等学校において納入依頼文書を他の生徒に誤配布(新潟県)

「Chrome」へのゼロデイ攻撃が明らかに – 早急に最新版へ更新を

パブクラのセキュリティ脅威、6割超が「設定ミス」挙げる

MSが新元号対応を説明、API連携などにも注意喚起 – 危険な実装例も

「Chrome」へのゼロデイ攻撃が判明、最新のリリースで修正

患者の顔画像含むタブレット端末を紛失 – 国立精神・神経医療研究センター

グーグル、不正なウェブサイトから保護する「Web Risk API」をベータ版に

Google Chromeの脆弱性、実は「ゼロデイ」だった

郵送アンケートで宛名シール二重貼り、他人の個人情報が透ける状態に – 倉敷市

#Opfail: Phisher Attaches Powershell Exec Instead of Malware

小学校で児童の学力調査票を紛失 – 熊本市MSが新元号対応を説明、API連携などにも注意喚起 – 危険な実装例も

03月08日(金)のセキュリティ記事まとめ

New SLUB Backdoor Uses Slack, GitHub as Communication Channels

Google Releases Security Updates for Chrome

出光のPOSシステム障害についてまとめてみた

患者個人情報を記録したタブレットを電車内に置き忘れ紛失(国立精神・神経医療研究センター)

宛名シール重ね貼り、下の宛名透け個人情報流出(倉敷市)

不正アクセスの検挙564件、目立つ脆弱PW狙い – ウイルス罪は68件

ウェブ経由の検知、「Trojan.JS.Redirector」が半数超 – 改ざん被害の多くでWP利用

仮想通貨を要求するセクストーション詐欺スパム

2018年下半期の攻撃トラフィック、上半期の3.5倍 – 8割強が「telnet」狙い

NSAがリバースエンジニアリングツール「Ghidra」を公開

注意喚起: Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起 (更新)

7500人以上の政治家Webサイトのうち、6割が非HTTPSで公開

「サポート詐欺」の手口が変化、SNSの投稿を検索結果に表示させ詐欺ページに誘導

警察庁、年間6740件の標的型攻撃を把握 – 9割は「ばらまき型」Drupal Fixes Highly Critical Vulnerability

03月09日(土)のセキュリティ記事まとめ

Google Chrome zero-day: Now is the time to update and restart your browser

03月10日(土)のセキュリティ記事まとめ