[脆弱性]
■Windows 11 21H2は2023年10月10日でサービス終了、強制アップグレードへ
https://news.mynavi.jp/techplus/article/20230905-2765284/
Microsoftは8月31日(現地時間)、Windows メッセージセンターの「最近のお知らせ」において、Windows 11 バージョン 21H2が間もなくサービス終了を迎えることを改めて告知し、ユーザーに早急にアップグレードを実施するよう呼びかけた。
■「Google Chrome」に4件の脆弱性修正 ~深刻度「High」
https://forest.watch.impress.co.jp/docs/news/1529110.html
米Googleは9月5日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)版をアップデートした。Windows環境にはv116.0.5845.179/.180が、Mac/Linux環境にはv116.0.5845.179が順次展開される。
■「Barracuda ESG」狙う継続的な攻撃に注意喚起 – JPCERT/CC
https://www.security-next.com/149211
「Barracuda Email Security Gateway(ESG)」に深刻な脆弱性が明らかとなり、ゼロデイ攻撃が展開された問題で、修復した環境が引き続き侵害されるケースが確認されているとして、JPCERTコーディネーションセンターでは同製品の利用者に対して注意喚起を行った。
[インシデント・情報漏洩]
■委託先サイトで個人情報流出、脅迫メール届く – 神奈川県
https://www.security-next.com/149185
神奈川県は、研修事業を委託するかながわ生活困窮者自立支援ネットワークのウェブサーバが侵害され、内部の個人情報が外部に流出したことを明らかにした。
■体臭関連製品扱う通販サイトに不正アクセス – 個人情報流出の可能性
https://www.security-next.com/149224
体臭関連の検査サービスや対策製品を取り扱う通信販売サイト「体臭対策ドットコム」が不正アクセスを受け、個人情報が流出した可能性があることがわかった。
■新たな個人情報保護法施行令15日から発効・・・「流出事故3日以内に申告」
https://japan.ajunews.com/view/20230905173200465
今後、オン・オフライン事業者と公共機関など韓国内のすべての個人情報処理者は個人情報流出事故把握時、3日以内に管理当局に申告しなければならない。オン・オフライン事業者と公共機関により異なるように適用した個人情報流出など事故後の申告・通知関連法令が一元化されてからだ。
■都立高等学校における個人情報の漏えいについて 東京都教育委員会
https://www.kyoiku.metro.tokyo.lg.jp/press/press_release/2023/release20230905_01.html
[脅威]
■最新版検出回避エンジンを組み込んだマルウェア「SeroXen」
https://www.trendmicro.com/ja_jp/research/23/i/seroxen-incorporates-latest-batcloak-engine-iteration.html
マルウェア「SeroXen」の挙動を調査した結果、「FUD(Fully Undetectable:完全に検出不能)」バッチローダを作成するために、バッチ難読化エンジンBatCloakの最新版が含まれていることを確認しました。
■Experts Fear Crooks are Cracking Keys Stolen in LastPass Breach
https://krebsonsecurity.com/2023/09/experts-fear-crooks-are-cracking-keys-stolen-in-lastpass-breach/
In November 2022, the password manager service LastPass disclosed a breach in which hackers stole password vaults containing both encrypted and plaintext data for more than 25 million users. Since then, a steady trickle of six-figure cryptocurrency heists targeting security-conscious people throughout the tech industry has led some security experts to conclude that crooks likely have succeeded at cracking open some of the stolen LastPass vaults.
[セキュリティ関連]
■フィッシング報告、前月比約15%減 – 4カ月ぶりに10万件下回る
https://www.security-next.com/149226
https://www.antiphishing.jp/report/monthly/202308.html
8月のフィッシング報告件数は前月から約14.9%減少した。4カ月ぶりに10万件を下回った。
■パスワードを安全に管理する方法
https://blog.kaspersky.co.jp/how-to-store-passwords-securely/34558/
Webブラウザにパスワードを保存すると毎回入力する手間が省けて便利ですが、実は危険な行為です。その理由と対策についてご説明します。
■攻撃者の最強武器は盗んだユーザー名とパスワード、だからActive Directory保護を
https://news.mynavi.jp/techplus/article/20230906-2764636/
The Hacker Newsは9月1日(現地時間)、「It’s a Zero-day? It’s Malware? No! It’s Username and Password」において、攻撃者の武器で最も強力な武器は盗んだユーザー名とパスワードだとして、その深刻さと課題、Active Directory環境の保護の重要性について伝えた。