お知らせ

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2025年5月)

〇概要

2025年5月14日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

この内CVE-2025-30397、CVE-2025-30400、CVE-2025-32701、CVE-2025-32706、CVE-2025-32709の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2025年5月)

https://www.ipa.go.jp/security/security-alert/2025/0514-ms.html

────────────────────

教職員各位

情報基盤推進室です。

下記のとおり、サイボウズサーバにおける証明書の更新を行います。

証明書更新時、一時的にサイボウズへのアクセスが不可となります。ご了承くださいますようお願いいたします。

　記

作業日時：5月14日（水）18:00～

実施内容：証明書の更新

影響：サイボウズへのアクセス不可（最大2分）

どうぞよろしくお願いいたします。

----------------------------------------------

宮城教育大学 情報活用能力育成機構 情報基盤推進室

Mail： johokiko-kiban@grp.miyakyo-u.ac.jp

----------------------------------------------

教職員各位

情報基盤推進室です。

下記のとおり、無線LANにかかる証明書の更新を行います。

証明書更新後は、miyakyo-up ・ miyakyo-fu 接続時に証明書の確認や再認証が必要になる可能性がございます。ご了承くださいますようお願いいたします。

　記

作業日時：5月7日（水）

実施内容：証明書の更新

作業後影響がある端末についての対応方法：

〇証明書の確認画面が表示された場合は、[信頼]をクリックして接続してください。

〇接続できない場合は、無線LANのプロファイルを削除し、再度接続してください。

・Windows11

設定>ネットワークとインターネット> Wi-Fi>既知のネットワークを管理>miyakyo-upを選択→削除

・Mac

https://drive.google.com/file/d/1fN87Uo5Uu-2TnjZj8o8kByioTdARwqQC/view

・iPhone・iPad

https://drive.google.com/file/d/1nqD79H30lQyTqOKlMz0NCgzx6PHHAi_T/view

・Android

https://drive.google.com/file/d/1dXYj-LSU5-j0XNM9M1FmQDH9iil_pn1y/view

----------------------------------------------

宮城教育大学 情報活用能力育成機構 情報基盤推進室

Mail： johokiko-kiban@grp.miyakyo-u.ac.jp

----------------------------------------------

教職員各位

情報基盤推進室

室長　　岡本恭介

                                                      副室長　板垣翔大

情報基盤推進室です。

IPA（情報処理推進機構）からGWにおけるセキュリティ関連情報に関する注意喚起が発表されました。

GW中の情報セキュリティへの対策／最近急増している手口について、下記をご覧いただき、適宜対策をしていただけますようよろしくお願いいたします。

───────────────────────

IPAからのお知らせ【セキュリティ関連情報】

○2025年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起

───────────────────────

多くの人がゴールデンウィークの長期休暇を取得する時期を迎えにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。

○2025年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起

  https://www.ipa.go.jp/security/anshin/heads-up/alert20250421.html

長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生し、長期休暇後の業務継続に影響が及ぶ可能性があります。

このような被害を未然に防ぐために、上記ウェブページでは、企業や組織の管理者、企業や組織の利用者、個人の利用者、のそれぞれの対象者が取るべき対策をまとめた「長期休暇における情報セキュリティ対策」をご紹介しています。

被害に遭わないためにも着実に対策を実施するようお願いします。

【企業や組織の方々へ】

インターネットに接続された機器・装置類の脆弱性を悪用するネットワーク貫通型攻撃が相次いでいます。

本件に関する対策情報として、2023年5月に経済産業省より「ASM（Attack Surface Management）導入ガイダンス」が公開されています。

また、IPAからも2023年8月以降、同攻撃に関する注意喚起を行っています。

攻撃を受けた場合、保有情報の漏えいや改ざん、ランサムウェアへの感染に加え、不正な通信の中継点とされてしまう、いわゆるOperational Relay Box（ORB）化などの被害が予想されます。 ORB化された場合、意図せずに他組織等への攻撃に加担することに繋がります。そうした事態を未然に防ぐためにも、システム構成やインターネット接点など構成把握、脆弱性対策と日頃のログ監視といったサイバーセキュリティ対策に加え、BCP（事業継続計画）・BCM（事業継続マネジメント）を通じたサイバー以外も含めた危機管理体制が重要となります。

以下のページも参考に、今一度、自組織のインターネットに接続された機器・装置類の確認を推奨します。

○2023年5月29日（経済産業省）：「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました（経済産業省）

https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

○2023年8月1日（IPA）：インターネット境界に設置された装置に対するサイバー攻撃について～ネットワーク貫通型攻撃に注意しましょう～

https://www.ipa.go.jp/security/security-alert/2023/alert20230801.html

○2024年4月18日（IPA）：アタックサーフェスの Operational Relay Box 化が懸念されるネットワーク貫通型攻撃について～Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃～

https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html

○2024年7月5日（IPA）： PHPの脆弱性（CVE-2024-4577）を狙う攻撃について

https://www.ipa.go.jp/security/security-alert/2024/alert_20240705.html

また、IPA NEWS Vol. 70（2025年1月号）では、家庭用・SOHOルーターのセキュリティ対策やルーターの選定のポイントを紹介していますので、併せて参考にしてください。

○「セキュリティのすゝめ　家庭用ルーターの乗っ取りも！8つのセキュリティ対策で防御」

https://www.ipa.go.jp/about/ipanews/ipanews202501.html#security

○「セキュリティのすゝめ 【ウェブ限定記事】　ルーター選定のポイントは7つ。セキュリティ要件の評価制度も参考に」

https://www.ipa.go.jp/about/ipanews/ipanews202501.html#security_weblimited

○企業や組織においても、いわゆる「サポート詐欺」の被害発生を継続して確認しています。

偽のセキュリティ警告を表示させて、慌てた被害者に偽のサポート窓口に電話をかけさせ、その上でサポート料金と称した金銭をネットバンキングなどでだましとる手口です。

組織や企業にて、表示された電話番号に電話をかけて、相手にパソコンを遠隔操作されると、パソコン内に機密情報や個人情報が保管されていた場合に、情報漏えい事故としての対応が必要になるかの判断や調査を迫られます。その結果、情報漏えい事故として対外的に発表を行うケースが発生しています。

IPAでは被害に遭わないために、手口の体験ができる「偽セキュリティ警告（サポート詐欺）画面の閉じ方体験サイト」を公開しています。社員・職員向けのセキュリティ研修にご活用ください。

○「偽セキュリティ警告（サポート詐欺）画面の閉じ方体験サイト」

https://www.ipa.go.jp/security/anshin/measures/fakealert.html

教職員 各位

情報基盤推進室です。

近年、不正アクセスによる情報資産や個人情報の漏えい事案が全国的に増加傾向にあります。

本学においても、外部サービスとの連携や教職員の利便性向上に伴い、情報セキュリティリスクに対する一層の注意が求められております。

教職員の皆様におかれましては、下記の項目について今一度ご確認いただき、日頃より情報セキュリティの維持・向上にご協力いただきますようお願い申し上げます。

～～～～～～～～～～～～～～～～ここから～～～～～～～～～～～～～～～～

1.メールの確認

　不審なメールや添付ファイル、リンクは開かないようご注意ください。

2.パスワードの管理

　本学では、パスワードの長さは12文字以上で、英大文字、英小文字、数字、記号のうち3種類以上を含む強力なパスワードの使用を推奨しております。

3.OSやアプリケーションのアップデート

　OS(Windows,Macなど)やその他業務用ソフトウェアのアップデートが行われているか確認し、常に最新の状態を維持してください。

4.セキュリティソフトの更新

　ご利用中のセキュリティソフトがございましたら、最新バージョンであることをご確認ください。

　あわせて、定期的なウイルススキャンの実施をお願いします。

5.多要素認証の導入・確認

　可能なサービスでは、多要素認証の設定をご確認ください。

　万が一ID・パスワードが漏洩した場合でも、不正アクセスを防ぐ重要な手段となります。

6.クラウドサービス・外部サービスの利用状況確認

　アカウントを連携させている外部サービスがある場合、　不審なログイン履歴や設定変更がないかご確認をお願いします。

7.個人情報の取り扱い

　業務上取り扱う個人情報については、保存・共有方法などに十分ご注意ください。

　不用意な共有・持ち出し・印刷は避けてください。

～～～～～～～～～～～～～～～～ここまで～～～～～～～～～～～～～～～～

教職員の皆様におかれましては、引き続き情報セキュリティへの十分な配慮とご協力を賜りますよう、お願い申し上げます。

どうぞよろしくお願いいたします。

---------------------------------------------------------------------------------------------

情報基盤推進室

e-mail:johokiko-kiban@grp.miyakyo-u.ac.jp

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Oracle Javaをお使いの方は、早急に修正プログラムを適用してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

────────────────────

[注意喚起]Oracle Javaの脆弱性対策について(2025年4月)

〇概要

2025年4月16日(日本時間)にOracle Javaに関するセキュリティ更新プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急にセキュリティ更新プログラムを適用してください。

〇詳細

Oracle Javaの脆弱性対策について(2025年4月)

https://www.ipa.go.jp/security/security-alert/2025/0416-jre.html

教職員　各位

標記の件について、SINETにおけるネットワーク機器メンテナンスのため、下記のとおりサービスが停止しますので、お知らせいたします。

　　　　記

停止日時：2025/05/19(月) 2:00 - 4:00

　　　　　※上記時間内で15分程度の通信断が最大2回発生いたします。

影響サービス：
・SPSSの一時利用不可

・シングルサインオンが必要なサービスの一時利用不可

〈SINET6〉

https://www.sinet.ad.jp/

----------------------------------------------

宮城教育大学 情報活用能力育成機構 情報基盤推進室

Mail： johokiko-kiban@grp.miyakyo-u.ac.jp

----------------------------------------------

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2025年4月)

〇概要

2025年4月9日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

この内CVE-2025-29824の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2025年4月)

https://www.ipa.go.jp/security/security-alert/2025/0409-ms.html

────────────────────

-- --------------------------------------------

宮城教育大学 情報活用能力育成機構 情報基盤推進室

Mail： johokiko-kiban@grp.miyakyo-u.ac.jp

----------------------------------------------

WordPressをご利用のWebサイト管理者 各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

---------

IPA(独立行政法人情報処理推進機構)セキュリティセンター、およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、次の脆弱性情報を、JVN(Japan Vulnerability Notes)において公表しました。

〇WordPress用プラグイン「Welcart e-Commerce」における信頼できないデータのデシリアライゼーションの脆弱性

○概要

・株式会社Welcartが提供する「Welcart e-Commerce」は、ECサイト構築に必要な機能を提供するWordPress用プラグインです。

・「Welcart e-Commerce」には、信頼できないデータのデシリアライゼーションの脆弱性が存在します。

・当該製品を利用して構築したサイトにアクセス可能な攻撃者によって、任意のコードを実行される可能性があります。

・開発者が提供する情報をもとに、最新版にアップデートしてください。

この脆弱性情報は、2024年11月18日にIPAセキュリティセンターが届出を受け、JPCERT/CCが、製品開発者と調整を行ない、2025年4月1日に公表したものです。

○詳細

・WordPress用プラグイン「Welcart e-Commerce」における信頼できないデータのデシリアライゼーションの脆弱性

URL：https://jvn.jp/jp/JVN87266215/index.html

もしくは、https://jvn.jp/jp/ から「JVN#87266215」を参照

--

----------------------------------------------

宮城教育大学 情報活用能力育成機構 情報基盤推進室

Mail： johokiko-kiban@grp.miyakyo-u.ac.jp

----------------------------------------------

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2025年3月)

[注意喚起]Adobe AcrobatおよびReaderの脆弱性対策について(2025年3月)

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2025年3月)

〇概要

2025年3月12日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

この内CVE-2025-24983、CVE-2025-24984、CVE-2025-24985、CVE-2025-24991、CVE-2025-24993、CVE-2025-26633の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2025年3月)

https://www.ipa.go.jp/security/security-alert/2024/0312-ms.html

────────────────────

[注意喚起]Adobe AcrobatおよびReaderの脆弱性対策について(2025年3月)

〇概要

2025年3月12日(日本時間)にAdobe AcrobatおよびReaderに関するセキュリティ更新プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急にセキュリティ更新プログラムを適用してください。

〇詳細

Adobe AcrobatおよびReaderの脆弱性対策について(2025年3月)

https://www.ipa.go.jp/security/security-alert/2024/0312-adobereader.html

教職員各位

情報基盤推進室です。

標記の件について下記のとおりサービスが停止しますので、お知らせいたします。

　　　　記

停止日時：2025年3月4日(火) 12:00～13:00

※作業の進捗状況により停止時間が前後する可能性がありますのでご了承ください。

停止サービス：NII FileSender

停止理由：NIIにおけるメンテナンスのため

宮城教育大学 卒業・修了予定の皆様

宮城教育大学 情報基盤推進室です。 

　今年度で卒業・修了・退職される方は令和7年3月末日をもって宮城教育大学アカウントが停止されます。

　アカウント停止後は、メールやGoogle Drive等、これまでご利用戴いていた大学アカウント利用サービスおよびデータが全て使用できなくなります。

　つきましては、今年度中に大学アカウントを利用して登録しているサービスの登録内容変更や、Googleドライブに保存しているデータの移行をしていただけますようお願いいたします。

※サービス利用停止後はデータの取り出し等も一切できなくなりますので、十分にご注意下さい。

※本学大学院に進学する場合でも、学部生アカウントは今年度いっぱいで削除されます。

なお、卒業・修了学年でも、来年度も在学する・休学する等により大学に籍が残る場合にはアカウントは削除されません。

但し、大学院に進学する場合は学部生アカウントは削除され、新しく大学院生アカウントが発行されます。

【Googleドライブデータ移行 手順】 

1. Googleドライブ使用容量確認 

　下記URLにアクセスしていただき、移行するデータの使用容量を確認し、移行するためのストレージをご用意ください。 

　https://drive.google.com/drive/u/0/quota

2.データを移行

上記で用意したストレージ(PC本体や外付けHDD、他のクラウドストレージサービス等)に移動してください。 

容量が大きい場合、ダウンロードに時間がかかりますので、早めのご対応をお薦め致します。

バックアップについてまとめましたので、下記リンクからご利用ください。

https://docs.google.com/presentation/d/1cvyAFMSuAqsA4Nsxh8O8ZxC4PE2NdGyzltJgtoWt7nE/edit?usp=sharing

詳細については、以下もご参照ください。

【Googleドライブヘルプ】

https://support.google.com/drive/answer/6374270#zippy=%2Cgoogle-%E3%83%89%E3%83%A9%E3%82%A4%E3%83%96

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2025年2月)

〇概要

2025年2月12日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

この内CVE-2025-21391、CVE-2025-21418の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2025年2月)

https://www.ipa.go.jp/security/security-alert/2024/0212-ms.html

────────────────────

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2025年1月)

〇概要

2025年1月15日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

この内CVE-2025-21333、CVE-2025-21334、CVE-2025-21335の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2025年1月)

https://www.ipa.go.jp/security/security-alert/2024/0115-ms.html

教職員各位

情報基盤推進室

室長　　岡本恭介

副室長　板垣翔大

情報基盤推進室です。

IPA（情報処理推進機構）から年末年始における情報セキュリティに関する注意喚起が発表されました。

年末年始の情報セキュリティへの対策／最近急増している手口について、下記をご覧いただき、適宜対策をしていただけますようよろしくお願いいたします。

───────────────────────

IPAからのお知らせ【セキュリティ関連情報】

○2024年度 年末年始における情報セキュリティに関する注意喚起

───────────────────────

多くの人が年末年始の長期休暇を取得する時期を迎えにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。

○2024年度 年末年始における情報セキュリティに関する注意喚起

  https://www.ipa.go.jp/security/anshin/heads-up/alert20241217.html

長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生し、長期休暇後の業務継続に影響が及ぶ可能性があります。

このような被害を未然に防ぐために、上記ウェブページでは、企業や組織の管理者、企業や組織の利用者、個人の利用者、のそれぞれの対象者が取るべき対策をまとめた「長期休暇における情報セキュリティ対策」をご紹介しています。

被害に遭わないためにも着実に対策を実施するようお願いします。

【企業や組織の方々へ】

インターネットに接続された機器・装置類の脆弱性を悪用するネットワーク貫通型攻撃が相次いでいます。

本件に関する対策情報として、2023年5月に経済産業省より「ASM（Attack Surface Management）導入ガイダンス」が公開されています。

また、IPAからも2023年8月以降、同攻撃に関する注意喚起を行っています。

攻撃を受けた場合、保有情報の漏えいや改ざん、ランサムウェアへの感染に加え、不正な通信の中継点とされてしまう、いわゆるOperational Relay Box（ORB）化などの被害が予想されます。 ORB化された場合、意図せずに他組織等への攻撃に加担することに繋がります。そうした事態を未然に防ぐためにも、脆弱性対策と日頃のログ監視が重要となります。

以下の情報も参考に、今一度、自組織のインターネットに接続された機器・装置類の確認を推奨します。

○2023年5月29日（経済産業省）：「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました（経済産業省）

　https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

○2023年8月1日（IPA）：インターネット境界に設置された装置に対するサイバー攻撃について～ネットワーク貫通型攻撃に注意しましょう～

　https://www.ipa.go.jp/security/security-alert/2023/alert20230801.html

○2024年4月18日（IPA）：アタックサーフェスの Operational Relay Box 化が懸念されるネットワーク貫通型攻撃について～Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃～

　https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html

○2024年7月5日（IPA）： PHPの脆弱性（CVE-2024-4577）を狙う攻撃について

　https://www.ipa.go.jp/security/security-alert/2024/alert_20240705.html

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2024年12月)

[注意喚起]Adobe AcrobatおよびReaderの脆弱性対策について(2024年12月)

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2024年12月)

〇概要

2024年12月11日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

この内CVE-2024-49138の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2024年12月)

https://www.ipa.go.jp/security/security-alert/2024/1211-ms.html

────────────────────

[注意喚起]Adobe AcrobatおよびReaderの脆弱性対策について(2024年12月)

〇概要

2024年12月11日(日本時間)にAdobe AcrobatおよびReaderに関するセキュリティ更新プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急にセキュリティ更新プログラムを適用してください。

〇詳細

Adobe AcrobatおよびReaderの脆弱性対策について(2024年12月)

https://www.ipa.go.jp/security/security-alert/2024/1211-adobereader.html

教職員　各位

標記の件について、SINETにおけるネットワーク機器メンテナンスのため、下記のとおりサービスが停止しますので、お知らせいたします。

　　　　記

停止日時：2024/12/07(土) 3:00 - 6:00

　　　　　※上記時間内で瞬断が複数回発生いたします。

影響サービス：学外向けネットワークの停止(青葉山、上杉)

〈SINET6〉

https://www.sinet.ad.jp/

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下のセキュリティ対策情報[緊急対策]が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

────────────────────

[緊急対策]Microsoft製品の脆弱性対策について(2024年11月)

〇概要

2024年11月13日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内CVE-2024-43451、CVE-2024-49039の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2024年11月)

https://www.ipa.go.jp/security/security-alert/2024/1113-ms.html

────────────────────

教員各位

室長　　岡本恭介

副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の注意喚起情報が発表されました。

Windows10をお使いの方は、サポートが終了する2025年10月13日までに後継のWindows11への移行または、代替製品への移行を実施してください。詳細は以下をご確認ください。

なお、サポート終了後にWindows10による通信が確認された場合、ネットワークへの接続許可を取り消す等の措置を検討しておりますので、ご留意ください。

ーーーーー

2024/10/15 Windows 10のサポート終了に伴う注意喚起

〇概要

2025年にMicrosoft社が提供しているOSであるWindows 10のサポートが終了します。一般的にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行われません。よって、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止などの被害を受ける可能性が高くなります。対象OSを使用している利用者は、速やかな最新版への移行等の実施が求められます。

〇対象

Windows 10 Enterprise and Education

Windows 10 Home and Pro

Windows 10 IoT Enterprise

〇詳細

詳細については、下記サイトをご覧ください。

2024/10/15 Windows 10のサポート終了に伴う注意喚起

https://www.ipa.go.jp/security/security-alert/2024/win10_eos.html

教職員のみなさま

  ━━━━ 情報基盤推進室からのお知らせです ━━━━ 2024.10.18

▼本学の計画停電に伴うシステム停止について

停止日時： 11/2（土）終日

作業内容：

シングルサインオンサーバのメンテナンス

※停電に伴い、学内ではネットワークが停止していますので、当日は通常よりシステムの利用者が少ないことが想定されます。情報基盤推進室としては、ユーザ負担を最小限とするために、計画停電日のような利用者が比較的少ないと思われる日程にシステムメンテナンスを行うこととしています。

停電に伴い停止するサービス：

・学内ネットワーク

・シングルサインオン（SSO）

使用可能なサービス：

・メールを含むGoogleサービス

備考：

各自で管理しているパソコン、サーバ等は、停電前にシャットダウンしてください。

※本件は、2024/5/15 に施設課から通知のあった「【停電･断水予定11/2土】電気設備年次点検」に伴うお知らせです。

情報基盤推進室です。

  IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策]】

◇ Microsoft 製品の脆弱性対策について(2024年10月)

───────────────────────

〇概要

2024年10月9日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内CVE-2024-43572、CVE-2024-43573の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft製品の脆弱性対策について(2024年10月)

https://www.ipa.go.jp/security/security-alert/2024/1009-ms.html

教職員各位

情報基盤推進室です。

Google Jamboardの段階的終了について何度かお知らせしている通り、10月1日から表示専用となり、データ移行等ができなくなります。

Googleからの情報提供を参考にデータ移行を9月30日までに終了するようお願いいたします。

https://support.google.com/jamboard/answer/14011742

ーーーーー

教職員各位

 ※BCCで送付しております。

情報基盤推進室です。

Googleの仕様変更により、Jamboard は 2024 年に段階的に終了いたします。

2024年10月まではこれまで通り動作しますが、以降段階的に利用できなくなります。

ご利用の方は下記をご参考にデータ移行・代替サービスの検討等のご対応をよろしくお願いいたします。

https://support.google.com/jamboard/answer/14011742

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下のセキュリティ対策情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

────────────────────

[緊急対策] Microsoft 製品の脆弱性対策について(2024年9月)

[注意喚起] Adobe Acrobat および Reader の脆弱性対策について(2024年9月)

[注意喚起] Adobe ColdFusion の脆弱性対策について(CVE-2024-41874)

────────────────────

[緊急対策] Microsoft 製品の脆弱性対策について(2024年9月)

〇概要

2024 年 9 月 11 日（日本時間）に Microsoft 製品に関するセキュリティ更新プログラム（月例）が公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2024-38014、CVE-2024-38217、CVE-2024-38226、CVE-2024-43491

の脆弱性について、Microsoft

社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、更新プログラムを適用してください。

〇詳細

Microsoft 製品の脆弱性対策について(2024年9月)

https://www.ipa.go.jp/security/security-alert/2024/0911-ms.html

────────────────────

[注意喚起] Adobe Acrobat および Reader の脆弱性対策について(2024年9月)

〇概要

2024 年 9 月 11 日（日本時間）に Adobe Acrobat および Reader に関するセキュリティ更新プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急にセキュリティ更新プログラムを適用してください。

〇詳細

Adobe Acrobat および Reader の脆弱性対策について(2024年9月)

https://www.ipa.go.jp/security/security-alert/2024/0911-adobereader.html

────────────────────

[注意喚起] Adobe ColdFusion の脆弱性対策について(CVE-2024-41874)

〇概要

Adobe が提供する Adobe ColdFusion は、アプリケーションサーバーです。

この Adobe ColdFusion において、デシリアライズ対象データの検証が適切に行われていないことに起因する任意のコード実行の脆弱性

(CVE-2024-41874) が確認されています。

本脆弱性を悪用された場合、第三者によって任意のコードを実行される可能性があります。

今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、修正プログラムを適用してください。

〇対象

・ColdFusion 2023 Update 9及びそれ以前のバージョン

・ColdFusion 2021 Update 15及びそれ以前のバージョン

〇詳細

詳細については、下記サイトをご覧ください。

Adobe ColdFusion の脆弱性対策について(CVE-2024-41874)

https://www.ipa.go.jp/security/security-alert/2024/alert20240911.html

────────────────────

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

情報基盤推進室です。

Googleから脆弱性情報が発表されました。

GoogleChromeをお使いの方は、至急最新版に更新してください。

※参考

・更新方法

https://support.google.com/chrome/answer/95414?hl=ja&co=GENIE.Platform%3DDesktop

・脆弱性の情報

https://news.yahoo.co.jp/articles/2d1c7f9923f4f29e16c6f95fd275930b8b956fb3

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2024年8月)

◇ Adobe Acrobat および Reader の脆弱性対策について(2024年8月)

───────────────────────

■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年8月)

■概要

2024 年 8 月 14 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2024-38106、CVE-2024-38107、CVE-2024-38178、CVE-2024-38189、CVE-2024-38193、CVE-2024-38213

の脆弱性について、Microsoft

社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2024/0814-ms.html

───────────────────────

■IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Adobe Acrobat および Reader の脆弱性対策について(2024年8月)

■概要

2024 年 8 月 14 日（日本時間）に Adobe Acrobat および Reader に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2024/0814-adobereader.html

───────────────────────

教職員各位

いつもお世話になっております。

情報基盤推進室です。

下記のとおり、サーバメンテナンスに伴う各種サーバの一時機能停止についてお知らせ致します。

ご理解ご協力をよろしくお願い致します。

　　　　　　　　　　　　　　　　　記

日時：2024年8月13日(火)10:30～17:30

　　※上記時間内に断続的に停止します。なお、終了時刻は前後する可能性があります。

停止理由：サーバメンテナンス(セキュリティパッチ適用のため)

影響：

　　　・Webサーバ停止

　　　・シングルサインオン不可(パスワード変更・Officeログイン・図書館マイライブラリ等)

　　　・教務システム、財務会計システムWeb、教育・授業用サーバのログイン不可

　　　・学外ネットワークからのVPN接続不可

　　　・学内無線LAN接続不可

なお、8月14日（水）9:00〜12:00に、上記システム群を運用しているクラウド基盤が停止した場合を想定し、障害対応BCP訓練を実施致します。

利用者の皆様への影響はありません。

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下のセキュリティ対策情報が発表されました。

詳細をご確認いただき、該当のリコー製プリンタをご使用の方は、ファームウェアを最新版へアップデートしてください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇リコー製プリンタおよび複合機における境界外書き込みの脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび

JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 7 月 10

日に「リコー製プリンタおよび複合機における境界外書き込みの脆弱性」を、JVN(Japan Vulnerability

Notes)において公表しました。

◆概要

・株式会社リコーが提供するプリンタおよび複合機には、境界外書き込みの脆弱性が存在します。

・遠隔の第三者によって細工されたリクエストを送信されることで、サービス運用妨害（ DoS

）攻撃を引き起こされたり、ユーザーデータが破損したりする可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2024 年 3 月 29 日に IPA が製品開発者自身から届出を受け、JPCERT/CC

が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・リコー製プリンタおよび複合機における境界外書き込みの脆弱性

  URL：https://jvn.jp/jp/JVN14294633/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#14294633」を参照

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策]】

◇ Microsoft 製品の脆弱性対策について(2024年7月)

───────────────────────

■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年7月)

■概要

2024 年 7 月 10 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2024-38080, CVE-2024-38112 の脆弱性について、Microsoft

社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2024/0710-ms.html

───────────────────────

WordPressをご利用のWebサイト管理者 各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇ WordPress 用プラグイン「WP Tweet Walls」および「Sola

Testimonials」におけるクロスサイト・リクエスト・フォージェリの脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび

JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 6 月 26 日に「WordPress

用プラグイン『WP Tweet Walls』および『Sola

Testimonials』におけるクロスサイト・リクエスト・フォージェリの脆弱性」を、JVN(Japan Vulnerability

Notes)において公表しました。

◆概要

・Sola Plugins が提供する WordPress 用プラグイン「WP Tweet

Walls」は指定したツイートを一覧表示できる機能で、「Sola Testimonials」は表彰状を模した画面を生成できる機能です。

・「WP Tweet Walls」および「Sola Testimonials」には、クロスサイト・リクエスト・フォージェリの脆弱性が存在します。

・当該プラグインを有効にした WordPress サイトにログインした状態のユーザが、細工されたページにアクセスした場合、WordPress

サイトに対して意図しない操作をさせられる可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2019 年 8 月 14 日および 2020 年 10 月 16 日に IPA が届出を受け、JPCERT/CC

が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「WP Tweet Walls」および「Sola

Testimonials」におけるクロスサイト・リクエスト・フォージェリの脆弱性

  URL：https://jvn.jp/jp/JVN34977158/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#34977158」を参照

───────────────────────

----------------------------------------------

情報活用能力育成機構 情報基盤推進室です。

標記の件について、eduroam JP 認証連携IDサービスウェブサイトメンテナンスに伴い、下記のとおりサービスが停止いたしますので、お知らせいたします。

--------------------------------------

　　　                 　記

日時：2024年6月25日(火) 13:00-17:00

影響：

・メンテナンス中は、認証連携IDサービスウェブサイトにアクセスできなくなります。

・eduroamの新規アカウント発行や発行済みアカウントの確認、削除、ビジター用アカウント発行等が行えません。 

--------------------------------------

※アカウント発行が必要な場合は、メンテンナンス前日までに実施ください。

※発行済みのアカウントによる eduroam 利用に支障はございません。通常どおり eduroam をお使いになれます。 

----------------------------------------------

宮城教育大学 情報活用能力育成機構 情報基盤推進室

Mail： johokiko-kiban@grp.miyakyo-u.ac.jp

----------------------------------------------

WordPressをご利用のWebサイト管理者 各位

                                                     情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下のセキュリティ対策情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇WordPress 用プラグイン「SiteGuard WP Plugin」における変更したログインパスが漏えいする脆弱性

───────────────────────

◇WordPress 用プラグイン「SiteGuard WP Plugin」における変更したログインパスが漏えいする脆弱性

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 6 月 19 日に「WordPress 用プラグイン『SiteGuard WP Plugin』における変更したログインパスが漏えいする脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・EGセキュアソリューションズが提供する WordPress 用プラグイン「SiteGuard WP Plugin」は、ログインページ wp-login.php へのパスを変更する機能です。

・「SiteGuard WP Plugin」には、変更したログインパスへのアクセスが、他のページからのリダイレクトにより可能になる脆弱性が存在します。

・当該製品のログインページへのパスが漏えいする可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2020 年 12 月 7 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「SiteGuard WP Plugin」における変更したログインパスが漏えいする脆弱性

  URL：https://jvn.jp/jp/JVN60331535/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#60331535」を参照

───────────────────────

----------------------------------------------

宮城教育大学 情報活用能力育成機構 情報基盤推進室

Mail： johokiko-kiban@grp.miyakyo-u.ac.jp

----------------------------------------------

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2024年6月)

───────────────────────

■IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年6月)

■概要

2024 年 6 月 12 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2024/0612-ms.html

───────────────────────

教職員　　各位

情報活用能力育成機構 情報基盤推進室です。

標記の件について、

下記のとおり、Single Sign On（以下、「SSO」という）システムのメンテナンスを実施いたします。

メンテナンスを実施している間、Microsoftへのサインインが停止いたしますのでお知らせいたします。

　　　                 　記

【停止日時】

　・2024年5月27日（月）19:00～19:10

　　※上記の時間帯にMicrosoftへのSSOにかかるメンテナンスを実施するため、

　　　Microsoftへサインインすることができません。

【影響サービス】

　・Microsoftが提供しているサービス

WordPressをご利用のWebサイト管理者 各位

※BCCで送付しております。

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下のセキュリティ対策情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇WordPress 用プラグイン「Download Plugins and Themes from Dashboard」におけるパス・トラバーサルの脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 17 日に「WordPress 用プラグイン『Download Plugins and Themes from Dashboard』におけるパス・トラバーサルの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・WPFactory LLC が提供する WordPress 用プラグイン「Download Plugins and Themes from Dashboard」は、FTP を使用せずに直接ファイルのダウンロードが行える機能です。

・「Download Plugins and Themes from Dashboard」には、パス・トラバーサルの脆弱性が存在します。

・switch_themes 権限を持つユーザによって、サーバ上の任意のファイルを取得される可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2024 年 4 月 1 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「Download Plugins and Themes from Dashboard」におけるパス・トラバーサルの脆弱性

  URL：https://jvn.jp/jp/JVN85380030/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#85380030」を参照

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2024年5月)

◇ Adobe Acrobat および Reader の脆弱性対策について(2024年5月)

───────────────────────

■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年5月)

■概要

2024 年 5 月 15 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2024-30040、CVE-2024-30051 の脆弱性について、Microsoft

社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2024/0515-ms.html

───────────────────────

■IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Adobe Acrobat および Reader の脆弱性対策について(2024年5月)

■概要

アドビ社から Adobe Acrobat および Reader に関する脆弱性（APSB24-29）が公表されています。

アドビ社からは、過去に攻撃者の標的になったことのない脆弱性としてアナウンスがされておりますが、悪用された場合、不正なコードが実行されるおそれのある緊急度がクリティカルの脆弱性も含まれているため、修正プログラムを適用することを推奨します。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2024/0515-adobereader.html

教職員　各位

情報教育推進係です。

標記の件について、サイボウズサーバのSSLサーバ証明書更新作業のため以下のとおり一時停止いたします。

閲覧する分には支障ございませんが、予定登録等何らかの作業をされる場合は中断される可能性がありますので、ご留意くださいますようお願いいたします。

【作業日時】

5/9（木）19：00

【影響】

約10秒ほどサイボウズへの通信断が発生いたします。

以上

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇WordPress 用プラグイン「Heateor Social Login WordPress」におけるクロスサイト・スクリプティングの脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび

JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 8 日に「WordPress

用プラグイン『Heateor Social Login

WordPress』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability

Notes)において公表しました。

◆概要

・Heateor が提供する「Heateor Social Login

WordPress」は、ウェブサイト上のログインとソーシャルログインを統合するための機能を提供する WordPress 用プラグインです。

・「Heateor Social Login WordPress」には、格納型クロスサイト・スクリプティングの脆弱性が存在します。

・当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2024 年 3 月 18 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「Heateor Social Login WordPress」におけるクロスサイト・スクリプティングの脆弱性

  URL：https://jvn.jp/jp/JVN87694318/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#87694318」を参照

教職員　各位

情報活用能力育成機構 情報基盤推進室です。

標記の件について、

下記のとおり、SINETの機器メンテナンスのため、

（１）～（３）のサービスが停止いたしますので、お知らせいたします。

　　　                 　記

（１）

【停止日時】

　・2024年5月18日（土）4:30 - 6:00(SINET仙台ノード)

　　※上記の時間帯に学外向けネットワークが断続的に停止いたします。

【影響サービス】

　・学外向けネットワーク（青葉山地区、上杉地区）

（２）

【停止日時】

　・2024年5月27日（月）4:30 - 6:00（SINET郡山ノード）

【影響サービス】

　・SPSSライセンスサーバ

（３）

【停止日時】

　・2024年6月10日（月）3:00 - 4:30（SINET品川ノード）

【影響サービス】

　・Web編集用サーバ、教育・授業用サーバ

教職員各位

情報基盤推進室

室長　　岡本恭介

                                                        副室長　板垣翔大

情報基盤推進室です。

IPA（情報処理推進機構）からGWにおけるセキュリティ関連情報に関する注意喚起が発表されました。

GW中の情報セキュリティへの対策／最近急増している手口について、下記をご覧いただき、適宜対策をしていただけますようよろしくお願いいたします。

───────────────────────

IPAからのお知らせ【セキュリティ関連情報】

◇2024年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起

───────────────────────

多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。

◆2024年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起

  https://www.ipa.go.jp/security/anshin/heads-up/alert20240422.html

長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。

このような被害を未然に防ぐために、上記ウェブページでは、企業や組織の管理者、企業や組織の利用者、個人の利用者、のそれぞれの対象者が取るべき対策をまとめた「長期休暇における情報セキュリティ対策」をご紹介しています。

被害に遭わないためにも着実に対策を実施するようお願いします。

【企業や組織の方々へ】

インターネットに接続された機器・装置類の脆弱性を悪用するネットワーク貫通型攻撃が相次いでいます。

昨年の8月及び今月には、同攻撃に関する注意喚起を行っています。

攻撃を受けた場合、保有情報の漏えいや改ざんに加え、不正な通信の中継点とされてしまう、いわゆるOperational Relay Box(ORB)化などの被害が予想されます。特に、ORB化された場合、意図せずに他組織等への攻撃に加担することに繋がるため、脆弱性対策と日頃のログ監視が重要です。今一度、自組織のインターネットに接続された機器・装置類の確認を推奨します。

◆アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ～Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃～

　https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html

教職員各位

情報基盤推進室です。

Googleの仕様変更により、ユーザー名とパスワードという基本認証のみで Google アカウントにログインを行う安全性の低いアプリへのアクセスが無効になります。

安全性の低いアプリの例:

・旧バージョンの iOS と OSX 上で動作するメール、連絡先、カレンダー同期のネイティブ アプリケーション

・旧バージョンの Microsoft Outlook、 Mozilla Thunderbirdなど、一部のデスクトップ メール クライアント

無効化は2段階で進められ、2024/6/15以降は新規設定ができなくなり、2024/9/30以降はログインができなくなります、

安全性の低いアプリをご利用の方は、OAuth という最新でより安全なアクセス方法に対応するアプリに変更するか、認証方法を変更するようお願いいたします。

詳細はGoogleから提供された下記の資料をご確認ください。

https://support.google.com/accounts/answer/6010255?sjid=17952788352879156460-AP

https://services.google.com/fh/files/emails/b_298235749.pdf

https://workspaceupdates-ja.googleblog.com/2023/10/2024-9-30-google-google-sync.html

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇WordPress 用プラグイン「Forminator」における複数の脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび

JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 4 月 18 日に「WordPress

用プラグイン『Forminator』における複数の脆弱性」を、JVN(Japan Vulnerability

Notes)において公表しました。

◆概要

・WPMU DEV が提供する WordPress 用プラグイン「Forminator」はフォーム作成を補助するツールです。

・「Forminator」には、次の複数の脆弱性が存在します。

  ▽ 危険なタイプのファイルの無制限アップロード - CVE-2024-28890

  ▽ SQL インジェクション - CVE-2024-31077

  ▽ クロスサイト・スクリプティング - CVE-2024-31857

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  ▽ 遠隔の第三者によって、サーバ上のファイルへのアクセスによる機密情報取得、当該製品を使用しているサイトの改ざんおよびサービス運用妨害（DoS）攻撃が行われる

- CVE-2024-28890

  ▽ 当該製品の管理画面にアクセスできるユーザによって、データベースの情報取得や改ざん、およびサービス運用妨害（DoS）攻撃が行われる -

CVE-2024-31077

  ▽ 遠隔の第三者によって、ユーザ情報などを取得されたり、ユーザのウェブブラウザ上の表示を改ざんされたりする - CVE-2024-31857

・開発者が提供する情報をもとに、最新版にアップデートしてください。

◆この脆弱性情報は、2021 年 6 月 22 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「Forminator」における複数の脆弱性

  URL：https://jvn.jp/jp/JVN50132400/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#50132400」を参照

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策]】

◇ Microsoft 製品の脆弱性対策について(2024年4月)

───────────────────────

■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年4月)

■概要

2024 年 4 月 10 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2024-26234 の脆弱性について、Microsoft

社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2024/0410-ms.html

教職員各位

                                                      情報基盤推進室

                                                        室長　　岡本恭介

                                                        副室長　板垣翔大

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下のセキュリティ対策情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇WordPress 用プラグイン「Ninja Forms」における複数の脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび

JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 4 月 8 日に「WordPress

用プラグイン『Ninja Forms』における複数の脆弱性」を、JVN(Japan Vulnerability

Notes)において公表しました。

◆概要

・Saturday Drive が提供する「Ninja Forms」は、問い合わせフォーム作成機能を提供する WordPress 用プラグインです。

・「Ninja Forms」には、次の複数の脆弱性が存在します。

  ▽ クロスサイト・リクエスト・フォージェリ - CVE-2024-25572

  ▽ Submit 処理に関する蓄積型クロスサイト・スクリプティング - CVE-2024-26019

  ▽ ラベルのカスタムフィールドに関する蓄積型クロスサイト・スクリプティング - CVE-2024-29220

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  ▽ 当該製品にログインした状態のサイト管理者が、細工されたページにアクセスした場合、意図しない操作をさせられる - CVE-2024-25572

  ▽ 当該製品を使用しているサイトにアクセスしているユーザのウェブブラウザ上で、任意のスクリプトを実行される -

CVE-2024-26019、CVE-2024-29220

・開発者が提供する情報をもとに、最新版にアップデートしてください。

◆この脆弱性情報は、以下の日付に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

  - 2019 年  7 月  4 日

  - 2023 年 10 月 16 日

  - 2023 年 10 月 18 日

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「Ninja Forms」における複数の脆弱性

  URL：https://jvn.jp/jp/JVN50361500/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#50361500」を参照

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

◇WordPress 用プラグイン「Survey Maker」における複数の脆弱性

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 3 月 27 日に「WordPress 用プラグイン『Survey Maker』における複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・AYS Pro Plugins が提供する「Survey Maker」は、アンケート機能を提供する WordPress 用プラグインです。

・「Survey Maker」には、次の複数の脆弱性が存在します。

  ▽ 格納型クロスサイト・スクリプティング

      - CVE-2023-34423

  ▽ データの信頼性確認が不十分

      - CVE-2023-35764

・想定される影響は各脆弱性により異なりますが、遠隔の第三者によって次のような影響を受ける可能性があります。

  ▽ 当該製品を使用しているサイトに管理者権限でログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

      - CVE-2023-34423

  ▽ 投稿者の IP アドレスを偽装される

      - CVE-2023-35764

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2023 年 7 月 4 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「Survey Maker」における複数の脆弱性

  URL：https://jvn.jp/jp/JVN51098626/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#51098626」を参照

───────────────────────

◇「SonicDICOM Media Viewer」における DLL 読み込みに関する脆弱性

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 3 月 27 日に「『SonicDICOM Media Viewer』における DLL 読み込みに関する脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・フジデノロソリューションズ株式会社が提供する「SonicDICOM Media Viewer」は、Webブラウザベースの DICOM ビューアです。

・「SonicDICOM Media Viewer」には、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性が存在します。

・プログラムを実行している権限で、任意のコードを実行される可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2023 年 12 月 15 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・「SonicDICOM Media Viewer」における DLL 読み込みに関する脆弱性

  URL：https://jvn.jp/jp/JVN40367518/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#40367518」を参照

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇ WordPress 用プラグイン「easy-popup-show」におけるクロスサイト・リクエスト・フォージェリの脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC

  (一般社団法人JPCERTコーディネーションセンター)は、2024 年 3 月 25 日に

  「WordPress 用プラグイン『easy-popup-show』におけるクロスサイト・

  リクエスト・フォージェリの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・「easy-popup-show」は、ポップアップの作成機能を提供する WordPress 用プラグインです。

・「easy-popup-show」には、クロスサイト・リクエスト・フォージェリの脆弱性が存在します。

・当該製品に管理者権限でログインした状態のユーザが細工されたページに

  アクセスした場合、意図しない操作をさせられる可能性があります。

・当該製品のサポートは既に終了しているため、恒久的な対策として製品の使用を停止してください。

◆この脆弱性情報は、2022 年 4 月 22 日に IPA が届出を受け、JPCERT/CC が、

  製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「easy-popup-show」におけるクロスサイト・リクエスト・フォージェリの脆弱性

  URL：https://jvn.jp/jp/JVN86206017/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#86206017」を参照

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。  

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。 

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2024年3月)

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年3月)

■概要

2024 年 3 月 13 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、

攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0313-ms.html

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。 

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。 

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、 

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。 

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。 

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2024年2月)

◇ Adobe Acrobat および Reader の脆弱性対策について

　 (APSB24-07)(CVE-2024-20731等)

───────────────────────

■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年2月)

■概要

2024 年 2 月 14 日（日本時間）に Microsoft 製品に関する脆弱性の

修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが

異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2024-21351、CVE-2024-21412 の脆弱性について、Microsoft 社は「悪用の事実を確認済み」と公表しており、

今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0214-ms.html

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Adobe Acrobat および Reader の脆弱性対策について

　 (APSB24-07)(CVE-2024-20731等)

■概要

アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性（APSB24-07）が公表されています。

アドビ社からは、過去に攻撃者の標的になったことのない脆弱性として

アナウンスがされておりますが、悪用された場合、セキュリティ機能を

回避される恐れのある緊急度がクリティカルの脆弱性も含まれているため、修正プログラムを適用することを推奨します。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0214-adobereader.html

WordPressをご利用のWebサイト管理者 各位

情報基盤推進室

室長　　黒川修行

 副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇ WordPress 用プラグイン「WordPress Quiz Maker Plugin」における

   不適切な入力確認の脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC

  (一般社団法人JPCERTコーディネーションセンター)は、2024 年 1 月 12 日に

  「WordPress 用プラグイン『WordPress Quiz Maker Plugin』における不適切な

  入力確認の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・AYS Pro Plugins が提供する「WordPress Quiz Maker Plugin」は

  ウェブサイト上でのクイズ作成機能を提供する WordPress 用プラグインです。

・「WordPress Quiz Maker Plugin」には、不適切な入力確認の脆弱性が存在します。

・当該製品のユーザによって、本製品を利用し、外部サービスへの

  サービス運用妨害 (DoS) 攻撃を行われる可能性があります。

・開発者が提供する情報をもとに、最新版にアップデートしてください。

◆この脆弱性情報は、2022 年 2 月 21 日に IPA が届出を受け、JPCERT/CC が、

  製品開発者と調整を行い、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「WordPress Quiz Maker Plugin」における

  不適切な入力確認の脆弱性

  URL：https://jvn.jp/jp/JVN37326856/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#37326856」を参照

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2024年1月)

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2024年1月)

■概要

2024 年 1 月 10 日（日本時間）に Microsoft 製品に関する脆弱性

の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが

異常終了したり、攻撃者によってパソコンを制御されたりして、

様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急に修正プログラムを

適用してください。

◆詳細については下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0110-ms.html

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。 

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。 

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2023年12月)

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2023年12月)

■概要

2023 年 12 月 13 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが

異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/1213-ms.html

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。 

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。 

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、 

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。 

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。 

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2023年11月)

◇ Adobe Acrobat および Reader の脆弱性対策について

　 (APSB23-54)(CVE-2023-44336等)

───────────────────────

■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2023年11月)

■概要

2023 年 11 月 15 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが

異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2023-36036、CVE-2023-36033、CVE-2023-36025 の

脆弱性について、Microsoft 社は「悪用の事実を確認済み」と公表しており、

今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/1115-ms.html

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Adobe Acrobat および Reader の脆弱性対策について

　 (APSB23-54)(CVE-2023-44336等)

■概要

アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性（APSB23-54）が公表されています。

アドビ社からは、過去に攻撃者の標的になったことのない脆弱性

としてアナウンスがされておりますが、悪用された場合、セキュリティ機能を回避される恐れのある緊急度がクリティカルの

脆弱性も含まれているため、修正プログラムを適用することを推奨します。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/1115-adobereader.html

学内でサーバを運用している皆様

                                          情報基盤推進室

                                                室長　　黒川修行

                                                副室長　永井伸幸

情報基盤推進室です。

標記の件について、国立情報学研究所 学認事務局から注意喚起がありましたので下記の通りお知らせします。

Jettyをお使いの場合は対処をお願いいたします。

ーーーーーーーーーー

Jettyプロジェクトより、5件の脆弱性(CVE-2023-40167, CVE-2023-36479,

CVE-2023-41900, CVE-2023-44487, CVE-2023-36478)に関するアナウンスが公開されています。

本脆弱性の対象となるバージョンは次の通りです。

該当するバージョンをお使いの場合はご注意ください。

(CVE-2023-40167, CVE-2023-36479, CVE-2023-41900)

- Jetty 9.4.0 - 9.4.51 のバージョン

- Jetty 10.0.0 - 10.0.15 のバージョン

- Jetty 11.0.0 - 11.0.15 のバージョン

(CVE-2023-44487, CVE-2023-36478)

- Jetty 9.4.0 - 9.4.52 のバージョン

- Jetty 10.0.0 - 10.0.16 のバージョン

- Jetty 11.0.0 - 11.0.16 のバージョン

以下のサイトなどで情報をご確認いただき、すみやかにアップデートを実施していただくことをお勧めいたします。

また、Shibboleth Projectより、当該脆弱性に対して対策されたバージョンのJettyを含むWindows版Shibboleth IdP V4.3.1.3がリリースされています。

学認事務局ではWindows版の技術的なサポートはしておりません。各IdPにおいて、ご確認の上適宜対応をお願いいたします。

(Jettyプロジェクト)

https://www.eclipse.org/lists/jetty-announce/msg00180.html

https://www.eclipse.org/lists/jetty-announce/msg00181.html

https://github.com/advisories/GHSA-hmr7-m48g-48f6

https://github.com/advisories/GHSA-3gh6-v5v9-6v9j

https://github.com/advisories/GHSA-pwh8-58vv-vw48

https://github.com/advisories/GHSA-qppj-fm5r-hxr3

https://github.com/advisories/GHSA-wgh7-54f2-x98r

(Shibboleth Project)

http://shibboleth.net/pipermail/announce/2023-October/000304.html

https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499/ReleaseNotes#4.3.1.3-%28Windows-only%29-%28October-11,-2023%29

教職員のみなさま

  ━━━━ 情報基盤推進室からのお知らせです ━━━━ 2023.10.27

▼本学の計画停電に伴うシステム停止について

停止日時： 11/4（土）終日

作業の理由：受変電設備の年次点検に伴う停電のため

作業の影響：

・学内ネットワークが利用できません。

  ○メール等の Googleサービスは利用可能です。

また、各自で管理しているパソコン、サーバ等は、停電前にシャットダウンしてください。

なお、男子寮生への案内を担当係から周知をお願いします。

※本件は、2023/7/18 に施設課からの別途連絡に伴うお知らせです。

教職員各位

情報基盤推進室です。

Googleの仕様変更により、Jamboard は 2024 年に段階的に終了いたします。

2024年10月まではこれまで通り動作しますが、以降段階的に利用できなくなります。

ご利用の方は下記をご参考にデータ移行・代替サービスの検討等のご対応をよろしくお願いいたします。

https://support.google.com/jamboard/answer/14011742

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Oracle Javaをお使いの方は、最新版にアップデートする等対策を行ってくださいますようお願いいたします。 

IPAのWebページにて詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[注意喚起]】

◇ Oracle Java の脆弱性対策について(CVE-2023-30589等)

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Oracle Java の脆弱性対策について(CVE-2023-30589等)

■概要

Oracle 社から Java SE に関する脆弱性が公表されています。

同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンス

されているため、できるだけ早急に修正プログラムを適用してください。

詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/1018-jre.html

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページにて詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策]】

◇ Microsoft 製品の脆弱性対策について（2023年10月）

───────────────────────

■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について（2023年10月）

■概要

2023 年 10 月 11 日（日本時間）に Microsoft 製品に関する脆弱性の

修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、

攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2023-41763、CVE-2023-36563、CVE-2023-44487 の脆弱性について、

Microsoft 社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する

可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/1011-ms.html

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

WordPressをご利用のWebサイト管理者 各位

情報基盤推進室

室長　　黒川修行

 副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇ WordPress 用プラグイン「Welcart e-Commerce」における複数の脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC

  (一般社団法人JPCERTコーディネーションセンター)は、2023 年 9 月 22 日に

  「WordPress 用プラグイン『Welcart e-Commerce』における複数の脆弱性」を、

  JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・コルネ株式会社が提供する「Welcart e-Commerce」はショッピングカート機能を

  提供する WordPress 用プラグインです。

・「Welcart e-Commerce」には、次の複数の脆弱性が存在します。

  ▽ アップロードするファイルの検証が不十分

     - CVE-2023-40219

  ▽ パス・トラバーサル

     - CVE-2023-40532

  ▽ 商品マスター画面の登録処理におけるクロスサイト・スクリプティング

     - CVE-2023-41233

  ▽ クレジット決済設定画面におけるクロスサイト・スクリプティング

     - CVE-2023-41962

  ▽ 商品マスター画面におけるクロスサイト・スクリプティング

     - CVE-2023-43484

  ▽ 商品マスター画面における SQL インジェクション

     - CVE-2023-43493

  ▽ 受注データ編集画面における SQL インジェクション

     - CVE-2023-43610

  ▽ 受注データ編集画面におけるクロスサイト・スクリプティング

     - CVE-2023-43614

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける

  可能性があります。

  ▽ 当該製品に編集者権限以上でログイン可能なユーザによって、許可されていない

     ディレクトリに任意のファイルをアップロードされる

     - CVE-2023-40219

  ▽ 当該製品に投稿者権限以上でログイン可能なユーザによって、ウェブサーバ内の

     ファイルの一部情報を閲覧される

     - CVE-2023-40532

  ▽ 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを

     実行される

     - CVE-2023-41233、CVE-2023-43484、CVE-2023-43614

  ▽ 当該製品にログインしているユーザのウェブブラウザ上で、細工されたページに

     アクセスした場合、管理画面に任意のスクリプトを設置される

     - CVE-2023-41962

  ▽ 当該製品に投稿者権限以上でログイン可能なユーザによって、機微な情報を

     窃取される

     - CVE-2023-43493

  ▽ 当該製品に編集者権限（設定権限無し）以上でログイン可能なユーザによって、

     データベースを操作される

     - CVE-2023-43610

・開発者が提供する情報をもとに、最新版にアップデートしてください。

◆この脆弱性情報は、以下の日付に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

  - 2023 年 5 月 24 日

  - 2023 年 7 月 19 日

  - 2023 年 8 月 30 日

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「Welcart e-Commerce」における複数の脆弱性

  URL：https://jvn.jp/jp/JVN97197972/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#97197972」を参照

───────────────────────

以上、よろしくお願いいたします。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。 

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、 

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。 

IPAのWebページにて詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策]】

◇ Microsoft 製品の脆弱性対策について(2023年9月)

◇ Adobe Acrobat および Reader の脆弱性対策について

　 (APSB23-34)(CVE-2023-26369)

───────────────────────

■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2023年9月)

■概要

2023 年 9 月 13 日（日本時間）に Microsoft 製品に関する脆弱性の

修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが

異常終了したり、攻撃者によってパソコンを制御されたりして、

様々な被害が発生するおそれがあります。

この内 CVE-2023-36802、CVE-2023-36761 の脆弱性について、

Microsoft 社は「悪用の事実を確認済み」と公表しており、

今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0913-ms.html

───────────────────────

■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Adobe Acrobat および Reader の脆弱性対策について

　 (APSB23-34)(CVE-2023-26369)

■概要

アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性（APSB23-34）が公表されています。

アドビ社からは、CVE-2023-26369 の脆弱性を悪用した攻撃が

確認された、とアナウンスがされているため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0913-adobereader.html

教職員各位

情報基盤推進室です。

標記の件について下記のとおりサービスが停止しますので、お知らせいたします。

　　　　記

停止日時：2023年9月21日(木) 12:00-14:00

※なお、作業の進捗状況により停止時間が前後する可能性がありますのでご了承ください。

停止サービス：NII FileSender

停止理由：NIIにおけるメンテナンスのため

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。 

Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、 

事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。 

IPAのWebページにて詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2023年8月)

◇ Adobe Acrobat および Reader の脆弱性対策について

   (APSB23-30)(CVE-2023-29320等)

───────────────────────

■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2023年8月)

■概要

2023 年 8 月 9 日（日本時間）に Microsoft 製品に関する脆弱性の

修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが

異常終了したり、攻撃者によってパソコンを制御されたりして、

様々な被害が発生するおそれがあります。

この内 CVE-2023-38180 の脆弱性について、Microsoft 社は

「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性が

あるため、至急、修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。

　https://www.ipa.go.jp/security/security-alert/2023/0809-ms.html

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Adobe Acrobat および Reader の脆弱性対策について

   (APSB23-30)(CVE-2023-29320等)

■概要

アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性

 (APSB23-30)が公表されています。

アドビシステムズ社からは、「過去に攻撃リスクが高いとされたことのある

脆弱性」としてアナウンスがされているため、早急に修正プログラムを

適用してください。

◆詳細については、下記サイトをご覧ください。

　https://www.ipa.go.jp/security/security-alert/2023/0809-adobereader.html

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下のお知らせが更新されました。

夏休みにおける情報セキュリティに関する注意喚起について

下記をご覧いただき、適宜対策をしていただけますようよろしくお願いいたします。

IPAのWebページにて詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ関連情報】

◇夏休みにおける情報セキュリティに関する注意喚起

───────────────────────

多くの人が夏休みの長期休暇を取得する時期を迎えるにあたり、

IPAが公開している長期休暇における情報セキュリティ対策をご案内します。

◆夏休みにおける情報セキュリティに関する注意喚起

  https://www.ipa.go.jp/security/anshin/heads-up/alert20230803.html

長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況に

なりがちです。このような状況でセキュリティインシデントが発生した場合は、

対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、

思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。

このような被害を未然に防ぐために、上記ウェブページでは、企業や組織の

管理者、企業や組織の利用者、個人の利用者、のそれぞれの対象者が

取るべき対策をまとめた「長期休暇における情報セキュリティ対策」を

ご紹介しています。

被害に遭わないためにも着実に対策を実施するようお願いします。 

IPAには引き続き企業や組織から、ランサムウェアによるサイバー攻撃被害に関する

相談や報告が寄せられています。

インターネットに接続された機器・装置類の脆弱性が悪用され、不正アクセスの

被害を受けた事案が報告されています。

また、リモートデスクトップサービス（RDP）の認証を突破されたり、VPN装置の

アップデートが行われておらず侵入されたという事例が多くあります。

インターネットからアクセス可能な装置全体について、アクセス制御が適切に

できているか、認証が突破される可能性はないか、脆弱性は解消されているか

といった点を、今一度ご確認ください。

◆【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について

　　https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html

◆【動画】今、そこにある脅威 ～組織を狙うランサムウェア攻撃

　　https://www.youtube.com/watch?v=TWqJ5P8oaUM

最近の企業や組織から寄せられた手口の相談事例を取り上げ、

よくある質問とその回答をご案内しています。

【相談事例1】 

偽のセキュリティ警告の手口（サポート詐欺）

「相手の指示通りに操作したところリモートで端末を操作され、私（管理者）に

　申し出があったことで詐欺だと気付き、電話を切った。

　このあとどのように対処すればよいか」

「遠隔操作をされた端末には顧客情報が保存されており、個人情報の漏えいは

　判断できるか」

【相談事例2】

ランサムウェアにより端末のデータが暗号化

「現在、サーバーやネットワーク装置のログを確認中だが、今後どのような手順で

　対処を進めていけばいいのか」

このようなトラブルへの対処法をご案内していますので、ぜひご覧ください。

被害に遭わないためにも手口を知り、しっかり対策を行いましょう。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

情報基盤推進室です。

　下記の通り、サーバメンテナンス等に伴う学内サービスの一時機能停止についてお知らせ致します。

ご理解ご協力をよろしくお願い致します。

記

日時：2023年8月14日(月) 10:00 ～ 18:00

※上記時間内に断続的に停止します。

停止理由：サーバメンテナンス(セキュリティパッチ適用のため)

影響：

1. Webサーバ停止

2. シングルサインオン不可(パスワード変更・Officeログイン・図書館マイライブラリ等)

日時：2023年8月15日(火) 8:30 ～ 17:30

※上記時間内に断続的に停止します。

停止理由：学内システム調査のため

影響：

1. 教務システム、財務会計システムWeb、教育・授業用サーバのログイン不可

2. 学外ネットワークからのVPN接続不可

3. 学内無線LAN接続不可

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下のお知らせが更新されました。

下記をご参考に、ご注意下さい。

IPAのWebページにて詳細に記載されていますので、ご覧ください。

───────────────────────

◆お知らせリスト

◇「情報セキュリティ10大脅威 2023」を公開

───────────────────────

「情報セキュリティ10大脅威 2023」は、2022年に起きた情報セキュリティに関する

事案のうち、社会的影響が大きかったものをランキングで示すものです。

企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の

投票を経て決定したもので、「個人」の立場と「組織」の立場でのランキングは

それぞれ以下のとおりです。

※（　）内は前年の順位

----------------------------------------------

◆「個人」向け脅威

 1位　フィッシングによる個人情報等の詐取（1位）

 2位　ネット上の誹謗・中傷・デマ（2位）

 3位　メールやSMS等を使った脅迫・詐欺の手口による金銭要求（3位）

 4位　クレジットカード情報の不正利用（4位）

 5位　スマホ決済の不正利用（5位）

 6位　不正アプリによるスマートフォン利用者への被害（7位）

 7位　偽警告によるインターネット詐欺（6位）

 8位　インターネット上のサービスからの個人情報の窃取（8位）

 9位　インターネット上のサービスへの不正ログイン（10位）

10位　ワンクリック請求等の不当請求による金銭被害（圏外）

----------------------------------------------

◆「組織」向け脅威

 1位　ランサムウェアによる被害（1位）

 2位　サプライチェーンの弱点を悪用した攻撃（3位）

 3位　標的型攻撃による機密情報の窃取（2位）

 4位　内部不正による情報漏えい（5位）

 5位　テレワーク等のニューノーマルな働き方を狙った攻撃（4位）

 6位　修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（7位）

 7位　ビジネスメール詐欺による金銭被害（8位）

 8位　脆弱性対策情報の公開に伴う悪用増加（6位）

 9位　不注意による情報漏えい等の被害（10位）

10位　犯罪のビジネス化（アンダーグラウンドサービス）（圏外）

--------------------------------------------------------------

＜「個人」向け脅威＞

◆「フィッシングによる個人情報等の詐取」が2年連続で1位に

実在する組織を騙るSMSなどを送りつけ、正規のウェブサイトを模倣した

フィッシングサイトへ誘導して認証情報や個人情報などを入力させ詐取する

手口です。フィッシング対策協議会の報告によると2022年の報告件数は約97万件

（前年：約53万件）と大幅に増加しており、一層の注意が必要です。

＜「組織」向け脅威＞

◆「ランサムウェアによる被害」が3年連続で1位に

情報の暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」の手口のほか、

DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す

「四重脅迫」が新たな手口として挙げられています。

このほか組織部門では他の脅威を誘発しかねない「犯罪のビジネス化（アンダー

グラウンドサービス）」が圏外からランクインしており、各脅威に対して適切な

対策を取ることが、引き続き求められます。

IPAでは、各脅威の手口や対策を詳しく解説した解説書のほか、複数の脅威に

共通して有効な対策をまとめた「共通対策」を2月に公開する予定です。

◆詳細は以下のページをご覧ください。

情報セキュリティ10大脅威 2023

https://www.ipa.go.jp/security/vuln/10threats2023.html

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Oracle Java、Citrix ADC および Citrix Gatewayをお使いの方は、最新版にアップデートする等対策を行ってくださいますようお願いいたします。 

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[注意喚起]】

◇ Oracle Java の脆弱性対策について(CVE-2023-22043等)

◇ Citrix ADC および Citrix Gateway の脆弱性対策について(CVE-2023-3519 等)

───────────────────────

◇ Oracle Java の脆弱性対策について(CVE-2023-22043等)

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Oracle Java の脆弱性対策について(CVE-2023-22043等)

■概要

Oracle 社から Java SE に関する脆弱性が公表されています。

同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンス

されているため、できるだけ早急に修正プログラムを適用してください。

詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0719-jre.html

───────────────────────

◇ Citrix ADC および Citrix Gateway の脆弱性対策について(CVE-2023-3519 等)

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Citrix ADC および Citrix Gateway の脆弱性対策について(CVE-2023-3519 等)

■概要

・NetScaler ADC（旧Citrix ADC）および NetScaler Gateway（旧Citrix Gateway）は

  ネットワークを構築するためのアプライアンス製品です。

・この NetScaler ADC および NetScaler Gateway において、任意のコード実行の

  脆弱性が確認されています。

・本脆弱性が悪用されると、認証されていない遠隔の第三者によって任意のコードを

　実行される可能性があります。

・本脆弱性を悪用した攻撃が確認されており、今後被害が拡大するおそれがあるため、

　早急にアップデートを実施してください。

■対象

・NetScaler ADC および NetScaler Gateway 13.1-49.13 より前の 13.1 系のバージョン

・NetScaler ADC および NetScaler Gateway 13.0-91.13 より前の 13.0 系のバージョン

・NetScaler ADC 13.1-37.159 より前の 13.1-FIPS 系のバージョン

・NetScaler ADC 12.1-55.297 より前の 12.1-FIPS 系のバージョン

・NetScaler ADC 12.1-55.297 より前の 12.1-NDcPP 系のバージョン

◆詳細については、下記サイトをご覧ください。

  https://www.ipa.go.jp/security/security-alert/2023/alert20230719.html

───────────────────────

以上、よろしくお願いいたします。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

WordPressをご利用のWebサイト管理者 各位

情報基盤推進室

室長　　黒川修行

 副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇WordPress 用プラグイン「TS Webfonts for さくらのレンタルサーバ」における複数の脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC

  (一般社団法人JPCERTコーディネーションセンター)は、2023 年 7 月 20 日に

  「WordPress 用プラグイン『TS Webfonts for さくらのレンタルサーバ』に

  おける複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・さくらインターネット株式会社が提供する「TS Webfonts for さくらのレンタル

  サーバ」は、Web フォントを追加するために使用される WordPress 用プラグインです。

・「TS Webfonts for さくらのレンタルサーバ」には、次の複数の脆弱性が存在します。

  ▽ クロスサイト・スクリプティング

     - CVE-2023-32624

  ▽ クロスサイト・リクエスト・フォージェリ

     - CVE-2023-32625

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  ▽ 当該プラグインを使用している WordPress にログインしているユーザの

     ウェブブラウザ上で、任意のスクリプトを実行される

     - CVE-2023-32624

  ▽ 当該プラグインを使用している WordPress の管理画面にログインした状態の

     ユーザが細工されたページにアクセスした場合、意図しない設定に変更させられる

     - CVE-2023-32625

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2023 年 6 月 23 日に IPA が製品開発者自身から届出を受け、

  JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「TS Webfonts for さくらのレンタルサーバ」における複数の脆弱性

  URL：https://jvn.jp/jp/JVN90560760/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#90560760」を参照

───────────────────────

以上、よろしくお願いいたします。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策]】

◇ Microsoft 製品の脆弱性対策について(2023年7月)

───────────────────────

■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2023年7月)

■概要

2023年7月12日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが

公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、

攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

この内 CVE-2023-32046、CVE-2023-32049、CVE-2023-35311、CVE-2023-36874、

CVE-2023-36884 の脆弱性について、Microsoft 社は「悪用の事実を確認済み」と

公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムまたは、

緩和策を適用してください。

◆詳細については、下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0712-ms.html

以上、よろしくお願いいたします。

WordPressをご利用のWebサイト管理者 各位 

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

◇WordPress 用プラグイン「Snow Monkey Forms」におけるディレクトリ・

  トラバーサルの脆弱性

───────────────────────

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC

  (一般社団法人JPCERTコーディネーションセンター)は、2023 年 6 月 27 日に

  「WordPress 用プラグイン『Snow Monkey Forms』におけるディレクトリ・

  トラバーサルの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・株式会社モンキーレンチが提供する「Snow Monkey Forms」は、フォーム作成

  機能を提供する WordPress 用プラグインです。

・「Snow Monkey Forms」には、ディレクトリ・トラバーサルの脆弱性が存在します。

・遠隔の第三者によって、サーバ上の任意のファイルを削除される可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2023 年 6 月 8 日に IPA が届出を受け、JPCERT/CC が、

  製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「Snow Monkey Forms」におけるディレクトリ・

  トラバーサルの脆弱性

  URL：https://jvn.jp/jp/JVN97127032/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#97127032」を参照

───────────────────────

以上、よろしくお願いいたします。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員各位

                                                       情報基盤推進室

                                                        室長　　黒川修行

                                                        副室長　永井伸幸

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[注意喚起]】

◇ Microsoft 製品の脆弱性対策について(2023年6月)

───────────────────────

■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2023年6月)

■概要

2023 年 6 月 14 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、

攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用して下さい。

詳細については下記サイトをご覧ください。

https://www.ipa.go.jp/security/security-alert/2023/0614-ms.html

以上、よろしくお願いいたします。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員　各位

情報基盤推進室です。

日頃より情報基盤推進業務にご理解・ご協力いただきありがとうございます。

土日で日程照会をしておりました標記の件について、緊急性を鑑み以下の日程（平日昼休み）で実施することといたしましたので、重要な通信等は作業予定日時を避けて行うようご注意願います。

　記

停止日時：2023年6月7日(水) 12：00～13：00の間の15分間、回線が停止します。

影響範囲：学外向けネットワークの停止（青葉山地区）

停止理由：青葉山キャンパス～SINETデータセンタ間におけるネットワーク機器で発生している障害調査及び機器改修のため

教職員　各位

情報基盤推進室です。

標記の件について、下記のとおりサービスが停止しますので、

お知らせいたします。

　　　　記

停止日時：2023年6月24日（土）2:30 ～ 4:00

　　　　　※上記時間内で瞬断が複数回発生いたします。

影響サービス：学外向けネットワークの停止(青葉山、上杉、水の森)

停止理由：SINETにおけるネットワーク機器メンテナンスのため

〈SINET6〉

https://www.sinet.ad.jp/ 

WordPressをご利用のWebサイト管理者 各位

情報基盤推進室

室長　　黒川修行

 副室長　永井伸幸

情報基盤推進室です。

IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇WordPress 用プラグイン「MW WP Form」および「Snow Monkey Forms」における複数の脆弱性

───────────────────────

◆詳細については、こちらをご覧ください。

・WordPress 用プラグイン「MW WP Form」および「Snow Monkey Forms」における複数の脆弱性

  URL：https://jvn.jp/jp/JVN01093915/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#01093915」を参照

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2023 年 5 月 15 日に「WordPress 用プラグイン『MW WP Form』および『Snow Monkey Forms』における複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・株式会社モンキーレンチが提供する「MW WP Form」および「Snow Monkey Forms」は、フォーム作成機能を提供する WordPress 用プラグインです。

・「MW WP Form」および「Snow Monkey Forms」には、次の複数の脆弱性が存在します。

  ▽ ディレクトリ・トラバーサル

      - CVE-2023-28408

  ▽ アップロードするファイルの検証が不十分

      - CVE-2023-28409

  ▽ ディレクトリ・トラバーサル

      - CVE-2023-28413

・想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。

  ▽ Web サイト改ざん、サービス運用妨害 (DoS) 攻撃を行われ、設定によっては機微な情報の窃取をされる

      - CVE-2023-28408

  ▽ 意図しないファイルのアップロード

      - CVE-2023-28409

  ▽ 機微な情報の窃取、Web サイト改ざん、サービス運用妨害 (DoS) 攻撃を行われる

      - CVE-2023-28413

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、以下の日付に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

  - 2021 年 1 月  4 日

  - 2023 年 3 月 29 日

  - 2023 年 5 月 11 日

以上、よろしくお願いいたします。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

教職員各位

 情報基盤推進室

       室長　　黒川修行

副室長　永井伸幸

 情報基盤推進室です。

 IPA（情報処理推進機構）から以下のセキュリティ対策情報が発表されました。

Qrio Lock (Q-SL2)をお使いの方は、ファームウェアおよび関連製品をアップデートするようお願いいたします。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報】

◇「Qrio Lock (Q-SL2)」における Capture-replay による認証回避の脆弱性

───────────────────────

◆詳細については、こちらをご覧ください。

・「Qrio Lock (Q-SL2)」における Capture-replay による認証回避の脆弱性

  URL：https://jvn.jp/jp/JVN48687031/index.html

  ※もしくは、https://jvn.jp/jp/ から「JVN#48687031」を参照

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC (一般社団法人JPCERTコーディネーションセンター)は、2023 年 5 月 18 日に「『Qrio Lock (Q-SL2)』における Capture-replay による認証回避の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・Qrio株式会社が提供する「Qrio Lock (Q-SL2)」は、スマートロック装置です。

・「Qrio Lock (Q-SL2)」には、Capture-replay による認証回避の脆弱性が存在します。

・当該製品の通信データを解析した第三者によって、特定の条件下において当該製品を操作される可能性があります。

・開発者が提供する情報をもとに、ファームウェアおよび関連製品をアップデートしてください。

◆この脆弱性情報は、2021 年 6 月 17 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

以上、よろしくお願いいたします。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

国立大学法人 宮城教育大学

情報基盤推進室

　教職員各位

                                                       情報基盤推進室
                                                        室長　　黒川修行
                                                        副室長　永井伸幸

 情報基盤推進室です。
IPA（情報処理推進機構）から以下の脆弱性情報の注意喚起情報が発表されました。

Windowsをお使いの方は、至急WindowsUpdateを実施してください。

IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。

───────────────────────

IPAからのお知らせ【セキュリティ対策情報[緊急対策]】

◇ Microsoft 製品の脆弱性対策について(2023年5月)

───────────────────────

■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。

◇ Microsoft 製品の脆弱性対策について(2023年5月)

■概要