2018/2/2(Fri)のセキュリティニュースまとめです。
1. Adobe Flash Playerにゼロデイ攻撃が発生
ソース:Security Next
http://www.security-next.com/089787
[3 lines summary]
(1)
Adobe Flash Playerに深刻な脆弱性があり、すでにゼロデイ攻撃が発生しているとの報告がある。
(2)
今回明らかとなった脆弱性「CVE-2018-4878」は、「同28.0.0.137」および以前のバージョンに存在し、解放後のメモリへアクセスする「Use-after-free」の脆弱性で、リモートよりコードを実行され、システムの制御を奪われるおそれがある。
(3)
Adobe社は2/5週で脆弱性を修正するアップデートをリリースするように準備を進めており、それまでは削除もしくは無効化することが有効な回避策となる。
2. 国内利用者を狙う不正アプリ、複数の有名企業を偽装して拡散
ソース:トレンドマイクロ
http://blog.trendmicro.co.jp/archives/16946
[3 lines summary]
(1)
国内有名企業を偽装した電子メールや SMS により、正規サイトに偽装した不正サイトへの誘導を行い、バックドア型不正アプリを拡散させるキャンペーンが広がっている。
(2)
同一の Android 向け不正アプリを複数の日本企業を偽装した電子メールや SMS により配布する攻撃キャンペーンは、これまでにほとんど例がなく、完全に国内利用者をターゲットとしていることが分かる。
(3)
メールや SMS 内の URL はリンク先をよく確認してからアクセスすること、また短縮 URL などでアクセス前には情報が不明な場合、アクセス後にブラウザ上で表示されている URL が正規のものかどうか確認することが有効な対策となる。
3. 金融庁がコインチェックに異例の立ち入り検査、運用管理やセキュリティを目視で確認
ソース:ITpro
http://itpro.nikkeibp.co.jp/atcl/news/17/020203090/
[3 lines summary]
(1)
金融庁は、コインチェックのシステム運用管理やセキュリティ対策体制の確認、および経営層にヒアリングするために立ち入り検査を開始した。
(2)
金融庁はコインチェックに対して1月29日に業務改善命令を出しており、2月13日までに報告を求めているが、これまでの説明が不十分で顧客資産が守られるかに不安があると見て、異例の報告期限前の立ち入り検査を実施した。
(3)
重点的な検査項目は、①情報システムのマルウエア感染対策やリスク管理体制、②取引口座にひもづく暗号鍵の保管ルールや運用体制、➂不正検知の仕組みと正常動作を担保する体制、④利用者の資産を管理する基準、となる。