情報処理推進機構（IPA）は30日、8年ぶりに「企業ウェブサイトのための脆弱性対応ガイド」を改訂した。この改訂はIPAが実施した従業員50人以下の小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえたものだという（小規模ウェブサイト運営者の脆弱性対策に関する調査報告書[PDF]、Security NEXT）。

こうした運営者に脆弱性対策の状況について聞いたところ、「構築時も運用時も脆弱性対策をしている」とした回答者は48.8％。「運用時にのみ脆弱性対策している」とした回答は22.9％であった。「一切脆弱性対策をしていない」とした回答者は全体の9.6％ほどいたとしている。脆弱性対策を行わない理由としては、「個人情報を扱っていないから」（51.8％）、「クレジットカード等の決済を行っていないから」（38.6％）、「サイトが著名でないので、被害に遭うとは考えにくいから」（27.7％）とする回答が上位を占めたとしている。

総務省は8日、業務を委託していた企業がランサムウェアに感染し、業務関係者約6700人余りの個人情報が流出した可能性が高まっていると発表した（総務省、ランドブレイン、NHK、Security NEXT）。

感染したのはコンサル会社であるランドブレインのサーバーで、2月23日にサーバがランサムウェアへ感染したのを確認、2月25日に総務省に連絡があったとしている。ランドブレインが受託していた三つの事業で6745人分の個人情報が流出した可能性があるとしている。流出したのは氏名、電話番号、メールアドレスとされているが、消防庁担当4名ほどに関しては口座情報も流出した模様。

NHKによれば、その他の自治体や省庁から委託された業務関係の個人情報が流出した可能性もあるとしている。

IPA（独立行政法人情報処理推進機構）とJPCERT/CCは9日、NEC製無線LANルータ「Aterm」の一部機種に複数の脆弱性があるとする報告を行った。情報の詳細は脆弱性情報サイト「JVN」にて公開されている（JVN、JVNその2、ケータイ Watch、マイナビニュース）。

報告されている脆弱性は、任意のスクリプトが実効可能となるクロスサイトスクリプティング（CVE-2021-20680）とUPnPが有効となっていると第三者から任意のOSコマンドが実行となるOSコマンドインジェクション（CVE-2014-8361）の二つ。JVNに記載されている影響を受ける機種とファームウェアの対応状況はケータイ Watchの記事に詳しい。すでに対策のためのファームウェアが提供されているものも多いが、提供予定なしとする機種も多いので各自確認することをお勧めしたい。