情報セキュリティニュース(事故事例)をご案内します。4件
情報セキュリティニュース(事故事例)をご案内します。4件
◆複数のVMware製品に深刻な脆弱性 - アップデートがリリース
「VMware ESXi」をはじめ、VMwareの複数製品に深刻な脆弱性が含まれている
ことがわかった。セキュリティアップデートが提供されている。
「VMware ESXi」や、「同Workstation」「同Fusion」に深刻な脆弱性を含め、
3件の脆弱性が含まれていることが判明したもの。
同社によれば、SVGAデバイス利用時のメモリ書き込み処理に問題があり、
ゲストに対してホスト上でのコード実行を許す深刻な脆弱性
「CVE-2017-4924」が判明したという。重要度は4段階中もっとも高い
「クリティカル(Critical)」とされる。
RPCリクエスト処理にNULLポインタ参照の脆弱性「CVE-2017-4925」が存在。
さらに「vCenter Server」の「H5クライアント」に「クロスサイトスクリプ
ティング(XSS)」の脆弱性が含まれる。これら脆弱性の重要度は2段階低い
「中(Moderate)」とレーティングした。
同社では、セキュリティアップデートとして「同ESXi」向けに、
「ESXi650-201707101-SG」「ESXi600-201706101-SG」「ESXi550-201709101-SG」
を提供。「Workstation 12.5.3」「同Fusion 8.5.4」をリリースしており、
利用者へ対応を呼びかけている。
(2017/09/19)
◆米信用機関で個人情報1.4億件が流出 - 便乗フィッシング攻撃に懸念
米国の信用情報会社であるEquifaxにおいて、約1億4300万件の個人情報が
外部へ流出した可能性があることが判明した。ウェブアプリケーションの
脆弱性が原因だったという。
同社の米国サイトにおけるウェブアプリケーションの脆弱性を突くことに
より、特定のファイルへアクセスが可能となっていたもの。7月29日に不正
アクセスの形跡を発見。5月中旬より7月にかけて不正アクセスを受けていた
ことが判明した。
約1億4300万件の個人情報が影響を受ける可能性があり、氏名や生年月日、
住所、社会保障番号のほか、一部には運転免許番号が含まれる。
さらにクレジットカード番号約20万9000件や、支払いの訂正手続きを行った
際の個人を識別できるファイル18万2000件が被害に遭ったことが判明している。
これらは、おもに米国内に関するデータだが、一部イギリスやカナダの情報
も含まれる。しかし、それ以外の国に関しては、消費者が影響を受ける痕跡
は見つかっていないという。
また今回の情報漏洩にともない、信用調査のデータベースが不正に操作された
痕跡は確認していないと同社では説明している。
現在は当局の捜査に協力しており、数週間以内に調査を完了する予定。関係者
へ謝罪するコメントを出すとともに、影響を受けるか確認できるウェブサイト
を用意した。ただし、情報を確認するには、本人を特定するために一定の情報
を入力する必要がある。
今回の大規模な情報漏洩にともない、便乗するフィッシング攻撃への懸念が出
ている。米連邦取引委員会(FTC)では、情報を聞き出す不審電話などへ注意
するようアナウンスを開始している。
(2017/09/15)
◆深層学習によるマルウェア対策「Deep Instinct」
- 「セキュリティ分野で世界初」と他社をけん制
アズジェントは、イスラエルのDeep Instinctが開発するエンドポイント向け
セキュリティ対策製品「Deep Instinct」を11月より提供開始する。
同製品は、マルウェアについてニューラルネットワークによる深層学習を行い、
予測モジュールを作成。同モジュールを配布したクライアント上でマルウェア
を検知、ブロックするソリューション。オフラインでも利用できる。
3カ月ごとに予測モジュールを配布することで学習結果を反映。実行ファイル
にくわえ、PDF、Officeファイル、圧縮ファイル、スクリプトの検知に対応する
ほか、ブラックリストやホワイトリストなども利用できる。
「Windows Defender」をはじめ、主要なセキュリティ対策製品と併用できる
ことも特徴。「Windows」をはじめ、「iOS」や「Android」向けにクライアント
を用意。Mac OS Xに関しても対応の準備を進めている。
管理モジュールは、クラウドおよびオンプレミスで運用することが可能。100台
へ導入した場合、価格は1端末あたり9180円/年。アズジェントでは、発売より
1年間で7億円の売上を目指し、同製品を展開していく。
同社では、Deep Instinctの展開にあたり、セキュリティ分野の商用目的でニュ
ーラルネットワークによるディープラーニングを用いた製品としては、
「世界初」であることを強調。
同社は、ニューラルネットワークを用いたディープラーニングに関して、フレ
ームワークなしにコーディングできる企業は世界に8社のみと言われており、
セキュリティ分野ではDeep Instinctのみであることを根拠に挙げている。
(2017/09/15)
◆音楽教室の顧客情報がネット上に流出 - 宮地楽器
宮地楽器の音楽教室において、生徒の帰宅を保護者へ通知するシステムに入力
された個人情報が、外部へ流出していたことがわかった。
音楽教室を運営する宮地商会によれば、音楽教室のシステムに入力された生徒
や保護者の個人情報がインターネット上で閲覧可能な状態にあったことが、
顧客の指摘から7月25日に判明したもの。
検索エンジンに同システムの管理者用ページが登録されていたという。管理者
用ページには、都内6教室における生徒の氏名4198件や、保護者のメールアド
レス1838件などが登録されていたという。
1月1日から7月25日までアクセスできる状態だったと見られており、同社では
対象となる顧客にメールと書面により事情を説明した。
同システムについては廃止し、入力された個人情報を削除。今後は、生徒の
帰宅を通知する代替システムの導入を検討するとしている。
(2017/09/15)
