放浪玉葱

旅行やIT系(主にセキュリティ)の記事を中心としたブログです

9/19 セキュリティトピック

また間が空いてしまった・・・。まぁいいか。

WAONサイトに「パスワードリスト攻撃」 - 40人でポイント被害
http://www.security-next.com/098020

同サイトにおいて第三者が利用者本人になりすます不正ログインを行い、WAONの利用に応じて付与される「ワオンポイント」を別のカードへ移行していたことが判明したもの。 同社では、ポイントが不正に移行された40人に対して事情を説明し、IDとパスワードを変更。ポイントを復旧したという。

宮城県図書館サイトにDDoS攻撃 - 特定国より認証ページに大量アクセス
http://www.security-next.com/098017

宮城県図書館のウェブサイトがDDoS攻撃を受けたことがわかった。ウェブサイトの改ざんや情報流出といった被害は確認されていないという。

どのように見つけてるのでしょうかね。google hack dbなどから調べているのでしょうか。

▼ メールアカウントがフィッシングメール送信の踏み台に - 京都教育大
http://www.security-next.com/097773

教職員のアカウント1件が踏み台として悪用され。学外のメールアドレス約1万件に対し、フィッシングメールが送信された。 また同大では4月にも類似したフィッシング攻撃を受け、アカウントの乗っ取り被害が発生している。 同大では予算の確保が難しく、費用をかけずに導入できる対策として、パスワードを用いた二段階認証の準備を進めてきたと説明。今回の問題を受け、導入予定時期を繰り上げ、9月より導入を開始するとしている。

対応が後手後手となっていますね・・・。

▼ ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)
https://scan.netsecurity.ne.jp/article/2018/09/19/41396.html

9月10日に不正アクセス防止のために全会員のパスワードをリセット実施し、他のサイトで使用していないパスワードを再設定するよう呼びかけていた。

賢明な対応だとは思いますが、全会員のパスワードリセットは随分思い切った事をしていますね。

▼ Professional 2.0.06beta
http://releases.portswigger.net/2018/09/professional-2006beta.html

バグフィックスだけでなく、セキュリティアップデートも入っていますので、ご利用の方は早急に対応を。