ミニ・いんふぉめーしょん

目　次
【1】GitLabに複数の脆弱性
【2】スマートフォンアプリ「ニューズピックス」に外部サービスのAPIキーがハードコードされている問題
【3】ブラザー製debutウェブサーバーを実装している複数のプリンタ機器や複合機（MFP）にNULLポインタ参照の脆弱性
【4】Arcserve UDPに認証バイパスの脆弱性
【5】WordPress用プラグインSnow Monkey Formsにディレクトリトラバーサルの脆弱性
【6】WAVLINK製WL-WN531AX2に複数の脆弱性
【7】NEC Aterm WG2200HPに複数の脆弱性
【8】Google Chromeに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【2】スマートフォンアプリ「ニューズピックス」に外部サービスのAPIキーがハードコードされている問題
情報源
https://jvn.jp/jp/JVN32739265/

概要
株式会社ニューズピックスが提供するスマートフォンアプリ「ニューズピックス」には、外部サービスのAPIキーがハードコードされている問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。

【3】ブラザー製debutウェブサーバーを実装している複数のプリンタ機器や複合機（MFP）にNULLポインタ参照の脆弱性
情報源
https://jvn.jp/vu/JVNVU93767756/

概要
ブラザー製debutウェブサーバーを実装している複数のプリンタ機器や複合機（MFP）には、NULLポインタ参照の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://faq.brother.co.jp/app/answers/detail/a_id/13702

https://www.fujifilm.com/fb/company/news/notice/2023/browser_announce.html

https://www.toshibatec.co.jp/information/20230629_01.html

【4】Arcserve UDPに認証バイパスの脆弱性
情報源
https://support.arcserve.com/s/article/KB000015720?language=ja

概要
Arcserve社が提供するArcserve UDPには、認証バイパスの脆弱性があります。この問題は、当該製品に修正済みのパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。

【5】WordPress用プラグインSnow Monkey Formsにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN97127032/

概要
株式会社モンキーレンチが提供するWordPress用プラグインSnow Monkey Formsには、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://snow-monkey.2inc.org/2023/06/22/snow-monkey-forms-v5-1-1/

【6】WAVLINK製WL-WN531AX2に複数の脆弱性
情報源
https://jvn.jp/jp/JVN78634340/

概要
WAVLINK TECHNOLOGY Ltd.が提供するWL-WN531AX2には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.wavlink.com/en_us/firmware/details/932108ffc5.html

【7】NEC Aterm WG2200HPに複数の脆弱性
情報源
https://jvn.jp/jp/JVN38343415/

概要
日本電気株式会社が提供するAterm WG2200HPには、複数の脆弱性があります。開発者によると、当該製品は、2023年3月1日でサポートが終了しているとのことです。後続製品への乗り換え等を検討してください。また、当該製品への修正アップデートの予定はありませんが、開発者は本脆弱性の影響を軽減するワークアラウンドの適用を推奨しています。詳細は開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv23-007.html

https://www.aterm.jp/support/tech/2023/0627.html

【8】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_26.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

目　次
【1】複数のJuniper Networks製品に脆弱性
【2】ISC BIND 9に複数の脆弱性
【3】複数のApple製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】プリザンターに複数の脆弱性
【6】Apache Tomcatに情報漏えいの脆弱性
【7】複数のCisco製品に脆弱性
【8】シンクグラフィカ製メールフォームプロ CGIに正規表現を用いたサービス運用妨害（ReDoS）の脆弱性
【9】Internet Week ショーケース in 札幌
【10】JPCERT/CC 感謝状 2023
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/22/juniper-networks-releases-security-advisory-junos-os-and-junos-os-evolved

概要
Junos OSおよびJunos OS Evolvedには、サービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/article/2023-06-Out-of-Cycle-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-A-BGP-session-will-flap-upon-receipt-of-a-specific-optional-transitive-attribute-CVE-2023-0026?language=en_US

【2】ISC BIND 9に複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/22/isc-releases-security-advisories-multiple-versions-bind-9

概要
ISC BIND 9には、複数の脆弱性があります。影響を受けるバージョンは多岐にわたります。一部の脆弱性は、すでにサポートが終了したBINDでも影響を受けますが、修正バージョンはサポート対象のBINDでのみ提供されます。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023062202.html

https://jprs.jp/tech/security/2023-06-22-bind9-vuln-cache-cleaning.html

https://jprs.jp/tech/security/2023-06-22-bind9-vuln-serve-stale.html

https://jvn.jp/vu/JVNVU99441653/

【3】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/22/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2023062201.html

【4】複数のVMware製品に脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0014.html

概要
複数のVMware製品には、脆弱性があります。VMware vCenter ServerおよびVMware Cloud Foundationが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【5】プリザンターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN97818024/

概要
株式会社インプリムが提供するプリザンターには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-202306

【6】Apache Tomcatに情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU92908681/

概要
Apache Tomcatには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://lists.apache.org/thread/j1ksjh9m9gx1q60rtk1sbzmxhvj5h5qz

https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M6

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.9

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.75

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.89

https://bz.apache.org/bugzilla/show_bug.cgi?id=66512

https://bz.apache.org/bugzilla/show_bug.cgi?id=66591

【7】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-duo-mac-bypass-OyZpVPnx

概要
Ciscoは同社製品における脆弱性に関する新規アドバイザリを計2件（Medium 2件）公開しました。影響を受ける製品、バージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【8】シンクグラフィカ製メールフォームプロ CGIに正規表現を用いたサービス運用妨害（ReDoS）の脆弱性
情報源
https://jvn.jp/jp/JVN70502982/

概要
シンクグラフィカが提供するメールフォームプロ CGIには、正規表現を用いたサービス運用妨害（ReDoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.synck.com/blogs/news/newsroom/detail_1686638620.html

【9】Internet Week ショーケース in 札幌
情報源
https://www.nic.ad.jp/sc-sapporo/

概要
一般社団法人日本ネットワークインフォメーションセンター（JPNIC）は2023年7月20日（木）、21日（金）両日、「Internet Week ショーケース in 札幌」を、現地会場とオンライン配信のハイブリッドで開催します。Internet Week ショーケースは、前年に開催したInternet Weekのプログラムよりいくつかを厳選し、 2日間に再構成したものを、無料でお届けする催しです。JPCERT/CCは本イベントを後援、7月21日（金）には「サイバー攻撃2022+ 昨今のサイバー攻撃動向とその対応」を講演します。公式Webサイトにて、プログラム内容を公開しており、参加登録の受付も開始しています。

【10】JPCERT/CC 感謝状 2023
情報源
https://www.jpcert.or.jp/award/appreciation-award/2023.html

概要
2023年6月、JPCERT/CCは、サイバーセキュリティ対策活動に特に顕著なご貢献をいただいた方に感謝の意を表して感謝状を贈呈しました。JPCERT/CCは、多くの関係者の方々に日々ご協力いただいておりま

目　次
【1】MOVEit TransferにSQLインジェクションの脆弱性
【2】Panasonic製AiSEG2に複数の脆弱性
【3】Apache Struts 2に複数の脆弱性
【4】Ridoc Ez Installer NXで作成したドライバーインストールパッケージを改ざん可能な脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のFortinet製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のトレンドマイクロ製企業向け製品に脆弱性
【10】Chatworkデスクトップ版アプリ（Mac）にコードインジェクションの脆弱性
【11】キングソフト製WPS OfficeにOSコマンドインジェクションの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】MOVEit TransferにSQLインジェクションの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/15/progress-software-releases-security-advisory-moveit-transfer-vulnerability

概要
Progress Softwareが提供するMOVEit Transferには、SQLインジェクションの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023

【2】Panasonic製AiSEG2に複数の脆弱性
情報源
https://jvn.jp/jp/JVN19748237/

概要
Panasonic製AiSEG2には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www2.panasonic.biz/jp/densetsu/aiseg/firmup_info.html

【3】Apache Struts 2に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU90651905/

概要
Apache Struts 2には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-063

https://cwiki.apache.org/confluence/display/WW/S2-064

https://struts.apache.org/announce-2023#a20230613-1

https://struts.apache.org/announce-2023#a20230613-2

【4】Ridoc Ez Installer NXで作成したドライバーインストールパッケージを改ざん可能な脆弱性
情報源
https://jvn.jp/vu/JVNVU92207133/

概要
株式会社リコーが提供するRidoc Ez Installer NXで作成したドライバーインストールパッケージには、インストール時に実行するプログラムを改ざん可能な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新し、ドライバーインストールパッケージを再作成することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://jp.ricoh.com/security/products/vulnerabilities/vul?id=ricoh-2023-000001

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_13.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/fortinet-releases-june-2023-vulnerability-advisories

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計22件（Critical 1件、High 7件、Medium 12件、Low 2件）公開しました。対象製品は多岐にわたり、影響や対策方法は製品によって異なります。SeverityがCriticalのアドバイザリ（FG-IR-23-097）では、FortiOSおよびFortiProxyのSSL-VPNにおけるヒープバッファーオーバーフローの脆弱性（CVE-2023-27997）が修正されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.cisa.gov/news-events/alerts/2023/06/12/fortinet-releases-security-updates-fortios-and-fortiproxy

https://www.fortiguard.com/psirt/FG-IR-23-097

https://www.fortiguard.com/psirt-monthly-advisory/june-2023-vulnerability-advisories

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/microsoft-releases-june-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。対象は多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230010.html

https://msrc.microsoft.com/blog/2023/06/202306-security-update/

【8】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。Adobe Experience Manager、Adobe Commerce、Adobe Animate、Adobe Substance 3D Designerが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023061401.html

【9】複数のトレンドマイクロ製企業向け製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU91852506/

概要
トレンドマイクロ株式会社が提供する複数の企業向け製品には、脆弱性があります。対象となる製品は、Trend Micro Mobile Security 9.8 SP5、Apex One、Apex One SaaS、Apex Centralで、影響や対策方法は製品によって異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000293114

https://success.trendmicro.com/jp/solution/000293115

https://success.trendmicro.com/jp/solution/000293117

https://success.trendmicro.com/jp/solution/000293390

【10】Chatworkデスクトップ版アプリ（Mac）にコードインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN96828492/

概要
Chatwork株式会社が提供するChatworkデスクトップ版アプリ（Mac）には、コードインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【11】キングソフト製WPS OfficeにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN36060509/

概要
キングソフト株式会社が提供していた旧製品WPS Officeには、OSコマンドインジェクションの脆弱性があります。当該製品はすでにサポートを終了しており修正アップデートは提供されないため、後継製品であるWPS Office2への移行が推奨されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.kingsoft.jp/about/20230605.html

目　次
【1】因幡電機産業製Wi-Fi AP UNITに複数の脆弱性
【2】ASUSルーターRT-AX3000にSecure属性なしのCookie使用の脆弱性
【3】VMware Aria Operations for Networksに複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】ケービデバイス製デジタルビデオレコーダに複数の脆弱性
【7】Google Chromeに型の取り違えの脆弱性
【8】経済産業省が「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」を公開
【9】JPCERT/CCが「ELFマルウェアの静的分析におけるYaraルールを活用したF.L.I.R.Tシグネチャ作成手法」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】因幡電機産業製Wi-Fi AP UNITに複数の脆弱性
情報源
https://jvn.jp/jp/JVN28412757/

概要
因幡電機産業株式会社が提供するWi-Fi AP UNITには、複数の脆弱性があります。この問題は、当該製品はすでにサポートを終了しており、開発者は回避・軽減策を提供しています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.inaba.co.jp/abaniact/news/Wi-Fi_AP_UNIT%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E8%A4%87%E6%95%B0%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.pdf

https://jvn.jp/vu/JVNVU98968780/

【2】ASUSルーターRT-AX3000にSecure属性なしのCookie使用の脆弱性
情報源
https://jvn.jp/jp/JVN34232595/

概要
ASUSが提供するルーターRT-AX3000には、Secure属性なしのCookie使用の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.asus.com/jp/networking-iot-servers/wifi-routers/asus-wifi-routers/rt-ax3000/helpdesk_bios/?model2Name=RT-AX3000

【3】VMware Aria Operations for Networksに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/08/vmware-releases-security-update-aria-operations-networks

概要
VMware Aria Operations for Networksには、複数の脆弱性があります。この問題は、当該製品をVMwareが提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0012.html

【4】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-priv-esc-Ls2B9t7b

概要
Ciscoは同社製品における脆弱性に関する新規アドバイザリを計7件（Critical 1件、High3件、Medium 3件）公開しました。影響を受ける製品、バージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【5】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/07/mozilla-releases-security-updates-multiple-products

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-19/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-20/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-21/

【6】ケービデバイス製デジタルビデオレコーダに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU90812349/

概要
ケービデバイスが提供するデジタルビデオレコーダには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.kbdevice.com/news/%e3%83%ac%e3%82%b3%e3%83%bc%e3%83%80%e3%83%bc%e3%81%ae%e3%83%8d%e3%83%83%e3%83%88%e3%83%af%e3%83%bc%e3%82%af%e6%94%bb%e6%92%83%e3%81%ab%e5%af%be%e3%81%99%e3%82%8b%e3%82%a2%e3%83%83%e3%83%97%e3%83%87/

【7】Google Chromeに型の取り違えの脆弱性
情報源
https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html

概要
Google Chromeには、型の取り違えの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【8】経済産業省が「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」を公開
情報源
https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide.pdf

概要
2023年6月6日、経済産業省が「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」を公開しました。本ガイドでは設計や開発段階からセキュリティを考慮することの重要性について認識いただくために、機器のライフサイクルフェーズを通じた対策を整理し、セキュリティ対策を進める際、最初に取り組む事項を示しています。
関連文書
https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide_keieisyagaiyou.pdf

https://www.meti.go.jp/policy/netsecurity/sme-guide.html

https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide_gaiyou.pdf

【9】JPCERT/CCが「ELFマルウェアの静的分析におけるYaraルールを活用したF.L.I.R.Tシグネチャ作成手法」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/06/autoyara4flirt.html

概要
2023年6月6日、JPCERT/CCは「ELFマルウェアの静的分析におけるYaraルールを活用したF.L.I.R.Tシグネチャ作成手法」と題したブログをJPCERT/CC Eyesで公開しました。本ブログでは、ELFマルウェアがシンボル情報を削除していた場合の各関数名を特定する作業や分析ツールのIDAにおいて、適切なFLIRTシグネチャが見つからない場合の問題についてYaraルールを使用することで関数名を明らかにする手法について解説しています。
関連文書
https://github.com/JPCERTCC/AutoYara4FLIRT

目　次
【1】MOVEit TransferにSQLインジェクションの脆弱性
【2】スマートフォンアプリ「自遊空間とくとくクーポン」にサーバ証明書の検証不備の脆弱性
【3】OpenSSLのASN.1 オブジェクト識別子変換に処理時間遅延の問題
【4】Joomlaに複数の脆弱性
【5】プリザンターにクロスサイトスクリプティングの脆弱性
【6】DataSpider Servistaにハードコードされた暗号鍵の使用の脆弱性
【7】VMwareにオープンリダイレクトの脆弱性
【8】Starletteにディレクトリトラバーサルの脆弱性
【9】IPAが「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開
【10】経済産業省が「ASM（Attack Surface Management）導入ガイダンス」を公開
【11】JPCERT/CCが「Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】MOVEit TransferにSQLインジェクションの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/01/progress-software-releases-security-advisory-moveit-transfer

概要
Progress Softwareが提供するMOVEit Transferには、SQLインジェクションの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

【2】スマートフォンアプリ「自遊空間とくとくクーポン」にサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/jp/JVN33836375/

概要
株式会社ランシステムが提供するスマートフォンアプリ「自遊空間とくとくクーポン」には、サーバ証明書の検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、回避策を実施することで影響を軽減することができます。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.runsystem.co.jp/g1-pr/17570

【3】OpenSSLのASN.1 オブジェクト識別子変換に処理時間遅延の問題
情報源
https://jvn.jp/vu/JVNVU94584169/

概要
OBJ_obj2txt()を直接使用するアプリケーションや、メッセージサイズの制限がないOpenSSLのサブシステム（OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS）を使用するアプリケーションにおいて、サービス運用妨害（DoS）攻撃を受ける可能性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230530.txt

【4】Joomlaに複数の脆弱性
情報源
https://www.joomla.org/announcements/release-news/5887-joomla-4-3-2-security-and-bug-fix-release.html

概要
Joomlaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://developer.joomla.org/security-centre/900-20230502-core-bruteforce-prevention-within-the-mfa-screen

https://developer.joomla.org/security-centre/899-20230501-core-openredirects-and-xss-within-the-mfa-selection

【5】プリザンターにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN62111727/

概要
株式会社インプリムが提供するプリザンターには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-202305

【6】DataSpider Servistaにハードコードされた暗号鍵の使用の脆弱性
情報源
https://jvn.jp/jp/JVN38222042/

概要
株式会社セゾン情報システムズが提供するDataSpider Servistaには、ハードコードされた暗号鍵の使用の脆弱性があります。この問題は、対応するパッチモジュールを適用した上で、起動設定ファイルに対して必要な手順を実施することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.hulft.com/application/files/2116/8430/2830/information_20230519.pdf

【7】VMwareにオープンリダイレクトの脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0011.html

概要
VMwareにはオープンリダイレクトの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【8】Starletteにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN95981715/

概要
Encodeが提供するStarletteには、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/encode/starlette/security/advisories/GHSA-v5gw-mw7f-84px

https://github.com/encode/starlette/releases/tag/0.27.0

【9】IPAが「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開
情報源
https://www.ipa.go.jp/security/10threats/ps6vr7000001po5u-att/yougoyashikumi_2023.pdf

概要
2023年5月30日、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開しました。本書では、パソコンやスマートフォン、インターネットを安全に利用するための対策をとる上で、ぜひ知っておきたい用語や仕組み（技術名称やサービス名称等）をいくつかピックアップし、それらについての概要やよくある疑問点等を解説しています。

【10】経済産業省が「ASM（Attack Surface Management）導入ガイダンス」を公開
情報源
https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

概要
2023年5月29日、経済産業省は、サイバー攻撃から自社のIT資産を守るための手法として注目されている「ASM（Attack Surface Management）」について、自社のセキュリティ戦略に組み込んで適切に活用してもらえるよう、ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介した、「ASM（Attack Surface Management）導入ガイダンス」を公開しました。
関連文書
https://www.meti.go.jp/press/2023/05/20230529001/20230529001-a.pdf

【11】JPCERT/CCが「Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/05/gobrat.html

概要
2023年5月29日、JPCERT/CCは「Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT」と題したブログをJPCERT/CC Eyesで公開しました。本ブログでは、マルウェアGobRATの詳細やマルウェア実行までの攻撃の流れなどを解説しています。
関連文書
https://github.com/JPCERTCC/aa-tools/tree/master/GobRAT-Analysis

目　次
【1】エンカレッジ・テクノロジ製ESS REC Agent Server Edition for Linux等にディレクトリトラバーサルの脆弱性
【2】Wacom Tablet Driver インストーラー（macOS）にファイルアクセス時のリンク解釈が不適切な脆弱性
【3】キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性
【4】GitLab 16.0.0にパストラバーサルの脆弱性
【5】Apple iTunes for Windowsに複数の脆弱性
【6】Tornadoにオープンリダイレクトの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】エンカレッジ・テクノロジ製ESS REC Agent Server Edition for Linux等にディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN19243534/

概要
エンカレッジ・テクノロジ株式会社が提供するESS REC Agent Server Edition for Linux等には、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://customer.et-x.jp/app/answers/detail/a_id/2260

【2】Wacom Tablet Driver インストーラー（macOS）にファイルアクセス時のリンク解釈が不適切な脆弱性
情報源
https://jvn.jp/jp/JVN90278893/

概要
株式会社ワコムが提供する Wacom Tablet Driver インストーラー（macOS）には、ファイルアクセス時のリンク解釈が不適切な脆弱性があります。ドライバーをインストールするときは、本脆弱性を修正済みの最新バージョンのインストーラーを使用してください。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.wacom.com/ja-jp/support/product-support/drivers

【3】キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94777298/

概要
キヤノン株式会社が提供するスモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターには、複数の脆弱性があります。影響を受ける製品およびバージョンは広範囲に及びます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://canon.jp/support/support-info/230414vulnerability-response

【4】GitLab 16.0.0にパストラバーサルの脆弱性
情報源
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

概要
Gitlab 16.0.0には、パストラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【5】Apple iTunes for Windowsに複数の脆弱性
情報源
https://support.apple.com/ja-jp/HT213763

概要
Apple社が提供するiTunes for Windowsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】Tornadoにオープンリダイレクトの脆弱性
情報源
https://jvn.jp/jp/JVN45127776/

概要
tornadowebが提供するTornadoには、オープンリダイレクトの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/tornadoweb/tornado/releases/tag/v6.3.2

目　次
【1】ティアンドデイ製およびエスペックミック製データロガーに複数の脆弱性
【2】Androidアプリ「Brother iPrint&Scan」にアクセス制限不備の脆弱性
【3】三菱電機製MELSEC WSシリーズのEthernetインタフェースユニットに利用可能なデバッグ機能が存在している脆弱性
【4】Qrio Lock（Q-SL2）にCapture-replayによる認証回避の脆弱性
【5】複数のCisco製品に脆弱性
【6】Google Chromeに複数の脆弱性
【7】因幡電機産業製Wi-Fi AP UNITにOSコマンドインジェクションの脆弱性
【8】サイボウズ Garoonに複数の脆弱性
【9】WordPress用プラグインMW WP FormおよびSnow Monkey Formsに複数の脆弱性
【10】複数のApple製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】ティアンドデイ製およびエスペックミック製データロガーに複数の脆弱性
情報源
https://jvn.jp/jp/JVN14778242/

概要
株式会社ティアンドデイおよびエスペックミック株式会社が提供するデータロガーには、複数の脆弱性があります。当該製品はすでに販売を終了しており、製品の使用停止が推奨されています。また、当該製品の使用停止までの間はワークアラウンドを実施してください。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.tandd.co.jp/news/detail.html?id=616

https://www.monitoring.especmic.co.jp/post/VulnerabilityInRT-12N_RS-12N_RT-22BNandTEU-12N

【2】Androidアプリ「Brother iPrint&Scan」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU97891206/

概要
ブラザー工業株式会社が提供するAndroidアプリ「Brother iPrint&Scan」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://faq.brother.co.jp/app/answers/detail/a_id/13468

【3】三菱電機製MELSEC WSシリーズのEthernetインタフェースユニットに利用可能なデバッグ機能が存在している脆弱性
情報源
https://jvn.jp/vu/JVNVU96063959/

概要
三菱電機製MELSEC WSシリーズのEthernetインタフェースユニットには、利用可能なデバッグ機能が存在している脆弱性があります。開発者が提供する軽減策や回避策を適用することで、本脆弱性の影響を軽減することが可能です。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-002.pdf

【4】Qrio Lock（Q-SL2）にCapture-replayによる認証回避の脆弱性
情報源
https://jvn.jp/jp/JVN48687031/

概要
Qrio株式会社が提供するQrio Lock（Q-SL2）には、Capture-replayによる認証回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://qrio.me/article/announce/2023/4140/

【5】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv

概要
Ciscoは同社製品における脆弱性に関する新規アドバイザリを計9件（Critical 1件、Medium 8件）公開しました。影響を受ける製品、バージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【7】因幡電機産業製Wi-Fi AP UNITにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU98968780/

概要
因幡電機産業株式会社が提供するWi-Fi AP UNITには、OSコマンドインジェクションの脆弱性があります。当該製品はすでにサポートを終了しています。開発者が提供する回避策や軽減策を適用することで、本脆弱性の影響を軽減することが可能です。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.inaba.co.jp/abaniact/news/Wi-Fi%20AP%20UNIT%E3%80%8CAC-WAPU-300%E3%80%8D%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8BOS%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.pdf

【8】サイボウズ Garoonに複数の脆弱性
情報源
https://jvn.jp/jp/JVN41694426/

概要
サイボウズ株式会社が提供するサイボウズ Garoonには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cs.cybozu.co.jp/2023/007698.html

【9】WordPress用プラグインMW WP FormおよびSnow Monkey Formsに複数の脆弱性
情報源
https://jvn.jp/jp/JVN01093915/

概要
株式会社モンキーレンチが提供するWordPress用プラグインMW WP FormおよびSnow Monkey Formsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://plugins.2inc.org/mw-wp-form/blog/2023/05/08/752/

https://snow-monkey.2inc.org/2023/04/28/snow-monkey-forms-v5-0-7/

【10】複数のApple製品に脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023051901.html

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

目　次
【1】Beekeeper Studioにコードインジェクションの脆弱性
【2】Citrix ADCおよびCitrix Gatewayに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Adobe Substance 3D Painterに複数の脆弱性
【5】MicroEngine メールフォームに複数の脆弱性
【6】複数のマイクロソフト製品に脆弱性
【7】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
【8】WordPress用プラグインVK BlocksおよびVK All in One Expansion Unitにクロスサイトスクリプティングの脆弱性
【9】SR-7100VNに権限昇格の脆弱性
【10】LINE WORKS Driveエクスプローラーにコードインジェクションの脆弱性
【11】JINS MEME COREにハードコードされた暗号鍵の使用の脆弱性
【12】Microsoft Edgeに複数の脆弱性
【13】IPAが「暗号鍵管理ガイダンス第1版」を公開
【14】JPCERT/CCが「TSUBAMEレポート Overflow（2023年1-3月）」を公開
【15】JPCERT/CCが「注意喚起や情報共有活動における受信者側の「コスト」の問題」に関するブログを公開
【16】フィッシング対策協議会が「2023/04 フィッシング報告状況」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Beekeeper Studioにコードインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN11705010/

概要
Beekeeper Studio, Inc.が提供するBeekeeper Studioには、コードインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.beekeeperstudio.io/

https://github.com/beekeeper-studio/beekeeper-studio

【2】Citrix ADCおよびCitrix Gatewayに複数の脆弱性
情報源
https://support.citrix.com/article/CTX477714/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202324487-cve202324488

概要
Citrix ADCおよびCitrix Gatewayには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/05/09/mozilla-releases-security-advisories-multiple-products

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-17/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-18/

【4】Adobe Substance 3D Painterに複数の脆弱性
情報源
https://helpx.adobe.com/security/products/substance3d_painter/apsb23-29.html

概要
Adobe Substance 3D Painterには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【5】MicroEngine メールフォームに複数の脆弱性
情報源
https://jvn.jp/jp/JVN31701509/

概要
マイクロエンジン株式会社が提供するMicroEngine メールフォームには、複数の脆弱性があります。この問題は、当該製品の修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://microengine.jp/information/security_2023_05.html

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/05/09/microsoft-releases-may-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。対象は多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2023/05/202305-security-update/

https://www.jpcert.or.jp/at/2023/at230009.html

【7】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN59341308/

概要
WordPress用プラグインNewsletterには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/newsletter/

【8】WordPress用プラグインVK BlocksおよびVK All in One Expansion Unitにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN95792402/

概要
株式会社ベクトルが提供するWordPress用プラグインVK BlocksおよびVK All in One Expansion Unitには、複数のクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vektor-inc.co.jp/product-update/vk-blocks-exunit-xss/

【9】SR-7100VNに権限昇格の脆弱性
情報源
https://jvn.jp/jp/JVN80476232/

概要
アイコム株式会社が提供するSR-7100VNには、権限昇格の脆弱性があります。この問題は、当該製品のファームウェアを開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.icom.co.jp/news/7239/

【10】LINE WORKS Driveエクスプローラーにコードインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN01937209/

概要
ワークスモバイルジャパン株式会社が提供するLINE WORKS Driveエクスプローラー（macOS版）には、コードインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://line.worksmobile.com/jp/release-notes/20230216/

【11】JINS MEME COREにハードコードされた暗号鍵の使用の脆弱性
情報源
https://jvn.jp/jp/JVN13306058/

概要
株式会社ジンズが提供するJINS MEME COREには、ハードコードされた暗号鍵の使用の脆弱性があります。この問題は、当該製品のファームウェアを修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://jinsmeme.com/media/2023-04-fwapp2/

【12】Microsoft Edgeに複数の脆弱性
情報源
https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#may-5-2023

概要
Microsoft Edgeには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【13】IPAが「暗号鍵管理ガイダンス第1版」を公開
情報源
https://www.ipa.go.jp/security/crypto/guideline/ckms.html

概要
2023年5月9日、独立行政法人情報処理推進機構（IPA）は「暗号鍵管理ガイダンス第1版」を公開しました。本ガイダンスは、従来から公開されている「暗号鍵管理システム設計指針（基本編）」で記載が求められる項目について検討する際の有用な副読本となることを目的として、「暗号アルゴリズム運用のための暗号鍵管理オペレーション対策」「暗号アルゴリズムの選択」および「暗号アルゴリズム運用に必要な鍵情報の管理」における各項目の解説・考慮点を提供しています。
関連文書
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005u7d-att/ipa-cryptrec-gl-3004-1.0.pdf

【14】JPCERT/CCが「TSUBAMEレポート Overflow（2023年1-3月）」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/05/tsubame_overflow_2023-01-03.html

概要
2023年5月11日、JPCERT/CCは「TSUBAMEレポート Overflow（2023年1-3月）」を公開しました。2023年1-3月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。
関連文書
https://www.jpcert.or.jp/tsubame/report/report202301-03.html

【15】JPCERT/CCが「注意喚起や情報共有活動における受信者側の「コスト」の問題」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/05/cost-and-effectiveness-of-alerts.html

概要
2023年5月9日、JPCERT/CCは「注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー」と題したブログをJPCERT/CC Eyesで公開しました。本ブログでは、より効果的な注意喚起や情報共有活動に向けて情報発信者側が留意すべき点について必要な視点について紹介しています。

【16】フィッシング対策協議会が「2023/04 フィッシング報告状況」を公開
情報源
https://www.antiphishing.jp/report/monthly/202304.html

概要
2023年5月9日、フィッシング対策協議会は「2023/04 フィッシング報告状況」を公開しました。フィッシング報告件数、フィッシングサイトのURL件数、フィッシングに悪用されたブランド件数の報告状況などの情報が纏められています。

目　次
【1】複数のCisco製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】Service Location Protocol実装機器がサービス運用妨害（DoS）攻撃に悪用される可能性
【4】複数のVMware製品に脆弱性
【5】複数のZyxel製品に脆弱性
【6】WordPress用プラグインAppointment and Event Booking Calendar for WordPress ‐ Ameliaにクロスサイトスクリプティングの脆弱性
【7】OpenSSLの64ビットARM向けAES-XTS実装に入力バッファ外読み込みの脆弱性
【8】NICTが「NICTER観測統計 - 2023年1 月-3月」を公開
【9】IPAが「中小企業の情報セキュリティ対策ガイドライン 第3.1版」を公開
【10】IPAが「令和4年度中小企業等に対するサイバー攻撃の実態調査」の調査実施報告書を公開
【11】JPCERT/CCが「攻撃キャンペーンDangerousPasswordに関連する攻撃動向」に関するブログを公開
【12】JPCERT/CCが「2023年1月から3月を振り返って」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-unauth-upgrade-UqhyTWW

概要
複数のCisco製品には、脆弱性があります。影響を受ける製品、バージョン、解決策については開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】Service Location Protocol実装機器がサービス運用妨害（DoS）攻撃に悪用される可能性
情報源
https://jvn.jp/vu/JVNVU92686627/

概要
Service Location Protocol（SLP）を実装した機器が、サービス運用妨害（DoS）攻撃に悪用される可能性があることが報告されています。この問題は、サーバへのネットワークアクセスを無効にするか制限することで回避することができます。詳細は関連文書を参照してください。
関連文書
https://www.cisa.gov/news-events/alerts/2023/04/25/abuse-service-location-protocol-may-lead-dos-attacks

https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

【4】複数のVMware製品に脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0008.html

概要
複数のVMware製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、回避策を適用することで解決します。詳細は開発者が提供する情報を参照してください。

【5】複数のZyxel製品に脆弱性
情報源
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-remote-command-injection-vulnerability-of-firewalls

概要
複数のZyxel製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】WordPress用プラグインAppointment and Event Booking Calendar for WordPress ‐ Ameliaにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN00971105/

概要
WordPress用プラグインAppointment and Event Booking Calendar for WordPress ‐ Ameliaには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/ameliabooking/#developers

【7】OpenSSLの64ビットARM向けAES-XTS実装に入力バッファ外読み込みの脆弱性
情報源
https://jvn.jp/vu/JVNVU91545757/

概要
OpenSSL Projectより、OpenSSL Security Advisory [20th April 2023]が公開されました。開発者によると、修正内容は次期リリースに含まれる予定で、以下のコミットでも修正されています。
・commit bc2f61ad（3.1ユーザ向け）
・commit 02ac9c94（3.0ユーザ向け）
関連文書
https://www.openssl.org/news/secadv/20230420.txt

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=02ac9c9420275868472f33b01def01218742b8bb

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=bc2f61ad70971869b242fc1cb445b98bad50074a

【8】NICTが「NICTER観測統計 - 2023年1 月-3月」を公開
情報源
https://blog.nicter.jp/2023/04/nicter_statistics_2023_1q/

概要
2023年4月26日、情報通信研究機構（NICT）は「NICTER観測統計 - 2023年1 月-3月」を公開しました。
NICTERプロジェクトのダークネット観測網における2023年第1四半期（1月-3月）の観測結果をまとめています。

【9】IPAが「中小企業の情報セキュリティ対策ガイドライン 第3.1版」を公開
情報源
https://www.ipa.go.jp/security/guide/sme/about.html

概要
2023年4月26日、独立行政法人情報処理推進機構（IPA）は「中小企業の情報セキュリティ対策ガイドライン 第3.1版」を公開しました。第3.1版では、テレワークのセキュリティ対策の項目やセキュリティインシデント発生時の対応が追加されています。
関連文書
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf

【10】IPAが「令和4年度中小企業等に対するサイバー攻撃の実態調査」の調査実施報告書を公開
情報源
https://www.ipa.go.jp/security/reports/sme/cyberkogeki2022.html

概要
2023年4月25日、独立行政法人情報処理推進機構（IPA）は「令和4年度中小企業等に対するサイバー攻撃の実態調査」の調査実施報告書を公開しました。
関連文書
https://www.ipa.go.jp/security/reports/sme/ps6vr7000001b5t7-att/Kougeki-jittai-houkoku2023.pdf

【11】JPCERT/CCが「攻撃キャンペーンDangerousPasswordに関連する攻撃動向」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html

概要
2023年5月1日、JPCERT/CCは「攻撃キャンペーンDangerousPasswordに関連する攻撃動向」に関するブログを公開しました。2019年6月から継続している攻撃キャンペーン"DangerousPassword"に関連すると考えられる暗号資産交換事業者への攻撃について、最近確認された攻撃手法を紹介しています。
【12】JPCERT/CCが「2023年1月から3月を振り返って」を公開
情報源
https://www.jpcert.or.jp/newsflash/2023042601.html

概要
2023年4月26日、JPCERT/CCは「2023年1月から3月を振り返って」を公開しました。2023年1月以降に確認された、影響範囲の広い脆弱性情報や脅威情報などをまとめています。

目　次
【1】VMware Aria Operations for Logsに複数の脆弱性
【2】Drupal coreにアクセスバイパスの脆弱性
【3】複数のCisco製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】WordPress用プラグインLIQUID SPEECH BALLOONにクロスサイトリクエストフォージェリの脆弱性
【6】EC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」に認証不備の脆弱性
【7】2023年4月Oracle Critical Patch Updateについて
【8】Joruri Gwにクロスサイトスクリプティングの脆弱性
【9】IPAらが「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開
【10】CRYPTRECが「CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）」および「CRYPTREC 暗号技術ガイドライン（高機能暗号）」を公開
【11】JPCERT/CCが2023年1月-2023年3月分の「活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】VMware Aria Operations for Logsに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/vmware-releases-security-update-aria-operations-logs

概要
VMware Aria Operations for Logsには、複数の脆弱性があります。この問題は、当該製品をVMwareが提供する修正済みのバージョンに更新するか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0007.html

【2】Drupal coreにアクセスバイパスの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/drupal-releases-security-advisory-address-vulnerability-drupal-core

概要
Drupal coreのファイルダウンロード機能には、特定の状況下でファイルパスが十分にサニタイズ処理されない問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2023-005

【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/cisco-releases-security-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。影響を受ける製品、バージョンは多岐にわたります。この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新することで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、Google Chromeを開発者が提供する修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一つのエクスプロイトを確認しているとのことです。詳細は開発者が提供する情報を参照してください。
【5】WordPress用プラグインLIQUID SPEECH BALLOONにクロスサイトリクエストフォージェリの脆弱性
情報源
https://jvn.jp/jp/JVN99657911/

概要
WordPress用プラグインLIQUID SPEECH BALLOONには、クロスサイトリクエストフォージェリの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://wordpress.org/plugins/liquid-speech-balloon/#developers

【6】EC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」に認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN50862842/

概要
NE株式会社が提供するEC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」には、認証不備の脆弱性があります。当該プラグインのサポートはすでに終了しているため、恒久的な対策として、製品の使用を停止してください。詳細は開発者が提供する情報を参照してください。

【7】2023年4月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuapr2023.html

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230008.html

【8】Joruri Gwにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN87559956/

概要
サイトブリッジ株式会社が提供するJoruri Gwには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://joruri-pwm.jp/org/docs/2022093000017/

【9】IPAらが「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20230420.html

概要
2023年4月20日、独立行政法人情報処理推進機構（IPA）は「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開しました。IPAが公開している長期休暇における情報セキュリティ対策を案内しています。24日には、内閣官房内閣サイバーセキュリティセンター（NISC）、経済産業省、総務省、警察庁が合同で、春の大型連休に向けて実施いただきたい対策についての注意喚起を公開しています。
関連文書
https://www.nisc.go.jp/news/notice/20230424.html

【10】CRYPTRECが「CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）」および「CRYPTREC 暗号技術ガイドライン（高機能暗号）」を公開
情報源
https://www.cryptrec.go.jp/topics/cryptrec_20230417_guidelines.html

概要
2023年4月17日、CRYPTRECは「CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）」および「CRYPTREC 暗号技術ガイドライン（高機能暗号）」を公開しました。国立研究開発法人情報通信研究機構（NICT）と独立行政法人情報処理推進機構（IPA）が共同で運営する「暗号技術評価委員会」の2022年度の活動成果として作成されたものです。

【11】JPCERT/CCが2023年1月-2023年3月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2023/PR_Report2022Q4.pdf

概要
2023年4月18日、JPCERT/CCは2023年1月-3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。同月20日には、「ソフトウェア等の脆弱性関連情報に関する届出状況」も公開し、同四半期中の脆弱性関連情報に関する届出状況についてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2023/IR_Report2022Q4.pdf

https://www.jpcert.or.jp/pr/2023/vulnREPORT_2023q1.pdf