パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2022年6月17日のセキュリティ記事一覧(全3件)
15702293 story
アナウンス

Bingの検索結果で自治体の偽サイトが表示される事例が頻発 20

ストーリー by nagazou
ご注意 部門より
先日、楽天トラベルのフィッシングサイト広告の記事を取り上げたが、それとは別に検索エンジンの「Bing」をターゲットにした市公式サイトの偽サイトが乱立していることが話題になっている。横浜市、徳島市、青森市、長野市、藤沢市などの偽サイトの事例が紹介されている。名前の挙がった市の名前をBing上で検索すると、現在は公式サイトも殆ど表示されない模様(ITmedia朝日新聞カナロコ)。

また内閣官房内閣サイバーセキュリティセンター(NISC)も15日に警告を発表した。偽サイトの中には悪質なサイトへのリンクに置き換えられているものがあるとしている。上に上がった各自治体だけでなく、金融庁や文部科学省、総務省、デジタル庁などの省庁も関連サイトの偽サイトに注意を促す発表を行なっている(内閣官房内閣サイバーセキュリティセンター[PDF]神奈川県警告デジタル庁注意喚起金融庁注意喚起文部科学省注意喚起消費者庁注意喚起 Impress Watch)。
15702261 story
ソフトウェア

RealPlayerに複数の深刻な脆弱性、修正状況や回避策などは不明 24

ストーリー by nagazou
利用者がどれくらい残ってるのか 部門より
Security NEXTの記事によれば、RealNetworksが開発する「RealPlayer」で複数の深刻な脆弱性が発覚したそうだ。バージョン「20.0.8.310」や「20.0.7.309」では、任意の場所に配置できるディレクトリトラバーサルの脆弱性「CVE-2022-32270」があり、これを突かれると端末の起動時に実行ファイルを実行させたり、DLLインジェクションなどに悪用されるおそれがあるとしている。このほか「20.0.8.310」では、脆弱性「CVE-2022-32269」や脆弱性「CVE-2022-32271」が存在していることも判明したとしている。
15702258 story
インターネット

「アカウント作成前にアカウントを乗っ取る」プリハイジャック攻撃が発見される 14

ストーリー by nagazou
生まれる前から 部門より
ユーザー「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような攻撃手法が発見されたそうだ。Avinash Sudhodanan氏とAndrew Paverd氏の二人のセキュリティ研究者が見つけたもので、二人はこの攻撃手法を「Pre-hijacking Attack」(プリハイジャック攻撃)」と呼んでいるそうだ(MalwarebytesTECH+)。

この攻撃方法は5種類の方法に分類されており、一つはメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する「Classic-Federated Merge (CFM)攻撃」。二つ目は先の攻撃手法のサイバー犯罪者とユーザの立場が逆になった「Non-Verifying Identity Provider (NV)攻撃」。三つ目はユーザーによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した「Unexpired Email Change (UEC)攻撃」。

四つ目は認証されたユーザーがパスワードリセット後に、アクティブなアカウントからサインアウトされないという欠陥を悪用する「Unexpired Session (US)攻撃」。最後はCFM攻撃とUS攻撃を組み合わせた「Trojan Identifier (TID)攻撃」となっている。研究者らが人気の高いWebサイト75か所を調査したところ、35以上のWebサイトが少なくとも1手法のプリハイジャック攻撃に対して脆弱な状態だったとしている。

あるAnonymous Coward 曰く、

5種類の攻撃方法が例示されているが、全体的に、同じメールアドレスで先にアカウントを登録しておいて正規アカウントが紐づけられたら乗っ取るみたいな方法のようだ?

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...