Sassyブログ

埼玉県在住のシステムエンジニアです。多ジャンルなブログですが、基本的にはIT関連の内容を中心に他のちょいちょい他ジャンルの記事も発信していきます。

トップ > IT・ソフトウェア > Web Security情報PickUp!(20210313 - 20210319)

Web Security情報PickUp!(20210313 - 20210319)

IT・ソフトウェア

f:id:y_saiki:20210315230255j:plain

20210313 ~ 20210319の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. Magento 2 PHP Credit Card Skimmer Saves to JPG(Magento 2PHPクレジットカードスキマーがJPGに保存)

海外で人気のあるECプラットフォームパッケージのMagento2に悪意のあるコードが挿入されていたようです。 画像ファイルに個人情報を隠しておき、後から画像をダウンロードすることで情報を抜き出せるみたい。 日本だとEC-CUBEが多いかと思いますが、日本語化プラグインもあり日本でも使用している方はいるのではないでしょうか?

blog.sucuri.net

2. Google fixes second actively exploited Chrome zero-day this month(Googleは、今月2番目に積極的に悪用されたChromeゼロデイ攻撃を修正します)

CVE-2021-21193に対するバグが修正されたようです。

www.bleepingcomputer.com

3. Can private data be recovered from “sanitized” images?(「サニタイズされた」画像から個人データを復元できますか?)

まずPP-GANとは、機械学習で画像認識による画像処理を行うにあたり人物の顔やその他画像に移りこんでいるプライバシーデータを保護するための仕組み [1806.08906] Privacy-Protective-GAN for Face De-identification

研究者たちはこうした信頼できないサードパーティのPP-GANツールを使用することでサニタイズされた画像を復元できてしまうというリスクがあると述べている。

www.helpnetsecurity.com

4. A Side-Channel Attack that Works Without Scripting Support(スクリプトサポートなしで機能するサイドチャネル攻撃)

HTMLとCSSのみでブラウザへのサイドチャネル攻撃が可能であることが実証されたと述べられています。

サイドチャネル攻撃については以下を参照 サイドチャネル攻撃とは?仕組みや種類、対策方法について徹底解説|サイバーセキュリティ.com

cyware.com

5. DuckDuckGo browser extension vulnerability leaves Edge users open to potential cyber-snooping(DuckDuckGoブラウザー拡張機能脆弱性により、Edgeユーザーは潜在的なサイバースヌーピングにさらされる可能性があります)

DuckDuckGo脆弱性が発見され、ChromeFirefoxでは対応が行われているがMicrosoftEdgeなどのブラウザーでは、その脆弱性に対する修正が更新されていないのでDuckDuckGoを使用していると危険にさらされるという内容ですかね?

portswigger.net

6. CISA alerts of TrickBot trojan attacks(TrickBotトロイの木馬攻撃に関するCISAアラート)

TrickBotという元々金融データを取得するトロイの木馬だそうですが、
最近ではマルウェアとしてトラフィック違反警告メールを攻撃対象に送信し、攻撃対象者が中の添付ファイルやリンクを開くことで、悪意のあるサイトへリダイレクトさせユーザーにトラフィック違反の証拠者写真をクリックするように促すようです。
それをクリックすることで無意識のうちにPCないへjavacriptファイルをダウンロードさせ、攻撃者はコマンドを叩くことでそのファイルを実行させブラウザ内の資格情報を取得する攻撃を行えることできるそうです。

us-cert.cisa.gov

7. Tutor LMS for WordPress Open to Info-Stealing Security Holes(WordPress用の家庭教師LMSが情報を盗むセキュリティホールに開かれている)

WordPressプラグインである「Tutor LMS」にSQLインジェクション脆弱性があるようです。

threatpost.com

8. COVID-19 and Fundamental Changes in Cyberattacks

(COVID-19とサイバー攻撃の根本的な変化) 近年コロナの影響で在宅ワークする人が増えており、その働き方の変化によってサイバー攻撃者の戦術にも変化あるようです。 マスクや消毒液を提供するキャンペーンとして偽ったメールを配信したり、通販サービスの増加による宅配業者に偽ったメールやSMSを流したりと。。
また、コミュニケーションツールを標的とした攻撃へ変化があるみたい。

ちなみに私の携帯にも直近でネットでものを購入した記憶もないのに「ご本人様不在の為お荷物をお持ち帰りました」というテキストと不自然なURLが張られたSMSメッセージが携帯に届きました。(もちろんクリックはしてません) 皆さんも気を付けてください!

cyware.com