お知らせ
2024.10.24 セキュリティ対策情報[注意喚起]2024/10/15 Windows 10のサポート終了に伴う注意喚起
教員各位
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の注意喚起情報が発表されました。
Windows10をお使いの方は、サポートが終了する2025年10月13日までに後継のWindows11への移行または、代替製品への移行を実施してください。詳細は以下をご確認ください。
なお、サポート終了後にWindows10による通信が確認された場合、ネットワークへの接続許可を取り消す等の措置を検討しておりますので、ご留意ください。
ーーーーー
2024/10/15 Windows 10のサポート終了に伴う注意喚起
〇概要
2025年にMicrosoft社が提供しているOSであるWindows 10のサポートが終了します。一般的にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行われません。よって、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止などの被害を受ける可能性が高くなります。対象OSを使用している利用者は、速やかな最新版への移行等の実施が求められます。
〇対象
Windows 10 Enterprise and Education
Windows 10 Home and Pro
Windows 10 IoT Enterprise
〇詳細
詳細については、下記サイトをご覧ください。
2024/10/15 Windows 10のサポート終了に伴う注意喚起
https://www.ipa.go.jp/security/security-alert/2024/win10_eos.html
2024.10.18 停電に伴うサービス停止のお知らせ(11/2)
教職員のみなさま
━━━━ 情報基盤推進室からのお知らせです ━━━━ 2024.10.18
▼本学の計画停電に伴うシステム停止について
停止日時: 11/2(土)終日
作業内容:
シングルサインオンサーバのメンテナンス
※停電に伴い、学内ではネットワークが停止していますので、当日は通常よりシステムの利用者が少ないことが想定されます。情報基盤推進室としては、ユーザ負担を最小限とするために、計画停電日のような利用者が比較的少ないと思われる日程にシステムメンテナンスを行うこととしています。
停電に伴い停止するサービス:
・学内ネットワーク
・シングルサインオン(SSO)
使用可能なサービス:
・メールを含むGoogleサービス
備考:
各自で管理しているパソコン、サーバ等は、停電前にシャットダウンしてください。
※本件は、2024/5/15 に施設課から通知のあった「【停電・断水予定11/2土】電気設備年次点検」に伴うお知らせです。
2024.10.9 セキュリティ対策情報[緊急対策]/Microsoft製品の脆弱性対策について(2024年10月)
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策]】
◇ Microsoft 製品の脆弱性対策について(2024年10月)
───────────────────────
〇概要
2024年10月9日(日本時間)にMicrosoft製品に関するセキュリティ更新プログラム(月例)が公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内CVE-2024-43572、CVE-2024-43573の脆弱性について、Microsoft社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。
〇詳細
Microsoft製品の脆弱性対策について(2024年10月)
https://www.ipa.go.jp/security/security-alert/2024/1009-ms.html
2024.09.18 *リマインド*Google Jamboardの段階的終了について
教職員各位
情報基盤推進室です。
Google Jamboardの段階的終了について何度かお知らせしている通り、10月1日から表示専用となり、データ移行等ができなくなります。
Googleからの情報提供を参考にデータ移行を9月30日までに終了するようお願いいたします。
https://support.google.com/jamboard/answer/14011742
ーーーーー
教職員各位
※BCCで送付しております。
情報基盤推進室です。
Googleの仕様変更により、Jamboard は 2024 年に段階的に終了いたします。
2024年10月まではこれまで通り動作しますが、以降段階的に利用できなくなります。
ご利用の方は下記をご参考にデータ移行・代替サービスの検討等のご対応をよろしくお願いいたします。
https://support.google.com/jamboard/answer/14011742
2024.09.11 セキュリティ対策情報[緊急対策][注意喚起]/Microsoft 製品、Adobe 製品の脆弱性対策について(2024年9月)
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下のセキュリティ対策情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。
Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、
事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
────────────────────
[緊急対策] Microsoft 製品の脆弱性対策について(2024年9月)
[注意喚起] Adobe Acrobat および Reader の脆弱性対策について(2024年9月)
[注意喚起] Adobe ColdFusion の脆弱性対策について(CVE-2024-41874)
────────────────────
[緊急対策] Microsoft 製品の脆弱性対策について(2024年9月)
〇概要
2024 年 9 月 11 日(日本時間)に Microsoft 製品に関するセキュリティ更新プログラム(月例)が公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2024-38014、CVE-2024-38217、CVE-2024-38226、CVE-2024-43491
の脆弱性について、Microsoft
社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、更新プログラムを適用してください。
〇詳細
Microsoft 製品の脆弱性対策について(2024年9月)
https://www.ipa.go.jp/security/security-alert/2024/0911-ms.html
────────────────────
[注意喚起] Adobe Acrobat および Reader の脆弱性対策について(2024年9月)
〇概要
2024 年 9 月 11 日(日本時間)に Adobe Acrobat および Reader に関するセキュリティ更新プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
攻撃が行われた場合の影響が大きいため、早急にセキュリティ更新プログラムを適用してください。
〇詳細
Adobe Acrobat および Reader の脆弱性対策について(2024年9月)
https://www.ipa.go.jp/security/security-alert/2024/0911-adobereader.html
────────────────────
[注意喚起] Adobe ColdFusion の脆弱性対策について(CVE-2024-41874)
〇概要
Adobe が提供する Adobe ColdFusion は、アプリケーションサーバーです。
この Adobe ColdFusion において、デシリアライズ対象データの検証が適切に行われていないことに起因する任意のコード実行の脆弱性
(CVE-2024-41874) が確認されています。
本脆弱性を悪用された場合、第三者によって任意のコードを実行される可能性があります。
今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、修正プログラムを適用してください。
〇対象
・ColdFusion 2023 Update 9及びそれ以前のバージョン
・ColdFusion 2021 Update 15及びそれ以前のバージョン
〇詳細
詳細については、下記サイトをご覧ください。
Adobe ColdFusion の脆弱性対策について(CVE-2024-41874)
https://www.ipa.go.jp/security/security-alert/2024/alert20240911.html
────────────────────
2024.08.27 情報基盤推進室からのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]/Google Chromeの脆弱性対策について】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
Googleから脆弱性情報が発表されました。
GoogleChromeをお使いの方は、至急最新版に更新してください。
※参考
・更新方法
https://support.google.com/chrome/answer/95414?hl=ja&co=GENIE.Platform%3DDesktop
・脆弱性の情報
https://news.yahoo.co.jp/articles/2d1c7f9923f4f29e16c6f95fd275930b8b956fb3
2024.08.19 IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]/Microsoft 製品、Adobe 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。
Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、
事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2024年8月)
◇ Adobe Acrobat および Reader の脆弱性対策について(2024年8月)
───────────────────────
■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年8月)
■概要
2024 年 8 月 14 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2024-38106、CVE-2024-38107、CVE-2024-38178、CVE-2024-38189、CVE-2024-38193、CVE-2024-38213
の脆弱性について、Microsoft
社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0814-ms.html
───────────────────────
■IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Adobe Acrobat および Reader の脆弱性対策について(2024年8月)
■概要
2024 年 8 月 14 日(日本時間)に Adobe Acrobat および Reader に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0814-adobereader.html
───────────────────────
2024.07.29 【重要】各種サーバの一時機能停止等について(2024_08_13・14)
教職員各位
いつもお世話になっております。
情報基盤推進室です。
下記のとおり、サーバメンテナンスに伴う各種サーバの一時機能停止についてお知らせ致します。
ご理解ご協力をよろしくお願い致します。
記
日時:2024年8月13日(火)10:30~17:30
※上記時間内に断続的に停止します。なお、終了時刻は前後する可能性があります。
停止理由:サーバメンテナンス(セキュリティパッチ適用のため)
影響:
・Webサーバ停止
・シングルサインオン不可(パスワード変更・Officeログイン・図書館マイライブラリ等)
・教務システム、財務会計システムWeb、教育・授業用サーバのログイン不可
・学外ネットワークからのVPN接続不可
・学内無線LAN接続不可
なお、8月14日(水)9:00〜12:00に、上記システム群を運用しているクラウド基盤が停止した場合を想定し、障害対応BCP訓練を実施致します。
利用者の皆様への影響はありません。
2024.07.12 IPAからのお知らせ【セキュリティ対策情報/リコー製プリンタおよび複合機における境界外書き込みの脆弱性】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下のセキュリティ対策情報が発表されました。
詳細をご確認いただき、該当のリコー製プリンタをご使用の方は、ファームウェアを最新版へアップデートしてください。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇リコー製プリンタおよび複合機における境界外書き込みの脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 7 月 10
日に「リコー製プリンタおよび複合機における境界外書き込みの脆弱性」を、JVN(Japan Vulnerability
Notes)において公表しました。
◆概要
・株式会社リコーが提供するプリンタおよび複合機には、境界外書き込みの脆弱性が存在します。
・遠隔の第三者によって細工されたリクエストを送信されることで、サービス運用妨害( DoS
)攻撃を引き起こされたり、ユーザーデータが破損したりする可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2024 年 3 月 29 日に IPA が製品開発者自身から届出を受け、JPCERT/CC
が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・リコー製プリンタおよび複合機における境界外書き込みの脆弱性
URL:https://jvn.jp/jp/JVN14294633/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#14294633」を参照
2024.07.10 IPAからのお知らせ【セキュリティ対策情報[緊急対策]/Microsoft 製品の脆弱性対策について】
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策]】
◇ Microsoft 製品の脆弱性対策について(2024年7月)
───────────────────────
■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年7月)
■概要
2024 年 7 月 10 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2024-38080, CVE-2024-38112 の脆弱性について、Microsoft
社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0710-ms.html
───────────────────────
2024.06.27 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「WP Tweet Walls」および「Sola Testimonials」におけるクロスサイト・リクエスト・フォージェリの脆弱性】
WordPressをご利用のWebサイト管理者 各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇ WordPress 用プラグイン「WP Tweet Walls」および「Sola
Testimonials」におけるクロスサイト・リクエスト・フォージェリの脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 6 月 26 日に「WordPress
用プラグイン『WP Tweet Walls』および『Sola
Testimonials』におけるクロスサイト・リクエスト・フォージェリの脆弱性」を、JVN(Japan Vulnerability
Notes)において公表しました。
◆概要
・Sola Plugins が提供する WordPress 用プラグイン「WP Tweet
Walls」は指定したツイートを一覧表示できる機能で、「Sola Testimonials」は表彰状を模した画面を生成できる機能です。
・「WP Tweet Walls」および「Sola Testimonials」には、クロスサイト・リクエスト・フォージェリの脆弱性が存在します。
・当該プラグインを有効にした WordPress サイトにログインした状態のユーザが、細工されたページにアクセスした場合、WordPress
サイトに対して意図しない操作をさせられる可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2019 年 8 月 14 日および 2020 年 10 月 16 日に IPA が届出を受け、JPCERT/CC
が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「WP Tweet Walls」および「Sola
Testimonials」におけるクロスサイト・リクエスト・フォージェリの脆弱性
URL:https://jvn.jp/jp/JVN34977158/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#34977158」を参照
───────────────────────
----------------------------------------------
2024.06.20 eduroam JP 認証連携IDサービスサイトメンテナンスに伴うサービス停止について(通知)
情報活用能力育成機構 情報基盤推進室です。
標記の件について、eduroam JP 認証連携IDサービスウェブサイトメンテナンスに伴い、下記のとおりサービスが停止いたしますので、お知らせいたします。
--------------------------------------
記
日時:2024年6月25日(火) 13:00-17:00
影響:
・メンテナンス中は、認証連携IDサービスウェブサイトにアクセスできなくなります。
・eduroamの新規アカウント発行や発行済みアカウントの確認、削除、ビジター用アカウント発行等が行えません。
--------------------------------------
※アカウント発行が必要な場合は、メンテンナンス前日までに実施ください。
※発行済みのアカウントによる eduroam 利用に支障はございません。通常どおり eduroam をお使いになれます。
----------------------------------------------
宮城教育大学 情報活用能力育成機構 情報基盤推進室
Mail: johokiko-kiban@grp.miyakyo-u.ac.jp
----------------------------------------------
2024.06.19 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「SiteGuard WP Plugin」における変更したログインパスが漏えいする脆弱性】
WordPressをご利用のWebサイト管理者 各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下のセキュリティ対策情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇WordPress 用プラグイン「SiteGuard WP Plugin」における変更したログインパスが漏えいする脆弱性
───────────────────────
◇WordPress 用プラグイン「SiteGuard WP Plugin」における変更したログインパスが漏えいする脆弱性
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 6 月 19 日に「WordPress 用プラグイン『SiteGuard WP Plugin』における変更したログインパスが漏えいする脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・EGセキュアソリューションズが提供する WordPress 用プラグイン「SiteGuard WP Plugin」は、ログインページ wp-login.php へのパスを変更する機能です。
・「SiteGuard WP Plugin」には、変更したログインパスへのアクセスが、他のページからのリダイレクトにより可能になる脆弱性が存在します。
・当該製品のログインページへのパスが漏えいする可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2020 年 12 月 7 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「SiteGuard WP Plugin」における変更したログインパスが漏えいする脆弱性
URL:https://jvn.jp/jp/JVN60331535/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#60331535」を参照
───────────────────────
----------------------------------------------
宮城教育大学 情報活用能力育成機構 情報基盤推進室
Mail: johokiko-kiban@grp.miyakyo-u.ac.jp
----------------------------------------------
2024.06.12 IPAからのお知らせ【セキュリティ対策情報[注意喚起]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2024年6月)
───────────────────────
■IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年6月)
■概要
2024 年 6 月 12 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0612-ms.html
───────────────────────
2024.05.22 Single Sign Onシステムのメンテナンスに伴うMicrosoftへのサインイン停止について(通知)
教職員 各位
情報活用能力育成機構 情報基盤推進室です。
標記の件について、
下記のとおり、Single Sign On(以下、「SSO」という)システムのメンテナンスを実施いたします。
メンテナンスを実施している間、Microsoftへのサインインが停止いたしますのでお知らせいたします。
記
【停止日時】
・2024年5月27日(月)19:00~19:10
※上記の時間帯にMicrosoftへのSSOにかかるメンテナンスを実施するため、
Microsoftへサインインすることができません。
【影響サービス】
・Microsoftが提供しているサービス
2024.05.17 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「Download Plugins and Themes from Dashboard」におけるパス・トラバーサルの脆弱性】
WordPressをご利用のWebサイト管理者 各位
※BCCで送付しております。
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下のセキュリティ対策情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇WordPress 用プラグイン「Download Plugins and Themes from Dashboard」におけるパス・トラバーサルの脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 17 日に「WordPress 用プラグイン『Download Plugins and Themes from Dashboard』におけるパス・トラバーサルの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・WPFactory LLC が提供する WordPress 用プラグイン「Download Plugins and Themes from Dashboard」は、FTP を使用せずに直接ファイルのダウンロードが行える機能です。
・「Download Plugins and Themes from Dashboard」には、パス・トラバーサルの脆弱性が存在します。
・switch_themes 権限を持つユーザによって、サーバ上の任意のファイルを取得される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2024 年 4 月 1 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Download Plugins and Themes from Dashboard」におけるパス・トラバーサルの脆弱性
URL:https://jvn.jp/jp/JVN85380030/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#85380030」を参照
2024.05.16 IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]/Microsoft 製品、Adobe 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。
Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、
事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2024年5月)
◇ Adobe Acrobat および Reader の脆弱性対策について(2024年5月)
───────────────────────
■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年5月)
■概要
2024 年 5 月 15 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2024-30040、CVE-2024-30051 の脆弱性について、Microsoft
社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0515-ms.html
───────────────────────
■IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Adobe Acrobat および Reader の脆弱性対策について(2024年5月)
■概要
アドビ社から Adobe Acrobat および Reader に関する脆弱性(APSB24-29)が公表されています。
アドビ社からは、過去に攻撃者の標的になったことのない脆弱性としてアナウンスがされておりますが、悪用された場合、不正なコードが実行されるおそれのある緊急度がクリティカルの脆弱性も含まれているため、修正プログラムを適用することを推奨します。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0515-adobereader.html
2024.05.09 メンテナンスにかかるサイボウズサーバの一時停止について
教職員 各位
情報教育推進係です。
標記の件について、サイボウズサーバのSSLサーバ証明書更新作業のため以下のとおり一時停止いたします。
閲覧する分には支障ございませんが、予定登録等何らかの作業をされる場合は中断される可能性がありますので、ご留意くださいますようお願いいたします。
【作業日時】
5/9(木)19:00
【影響】
約10秒ほどサイボウズへの通信断が発生いたします。
以上
2024.05.08 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「Heateor Social Login WordPress」におけるクロスサイト・スクリプティングの脆弱性】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇WordPress 用プラグイン「Heateor Social Login WordPress」におけるクロスサイト・スクリプティングの脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 8 日に「WordPress
用プラグイン『Heateor Social Login
WordPress』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability
Notes)において公表しました。
◆概要
・Heateor が提供する「Heateor Social Login
WordPress」は、ウェブサイト上のログインとソーシャルログインを統合するための機能を提供する WordPress 用プラグインです。
・「Heateor Social Login WordPress」には、格納型クロスサイト・スクリプティングの脆弱性が存在します。
・当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2024 年 3 月 18 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Heateor Social Login WordPress」におけるクロスサイト・スクリプティングの脆弱性
URL:https://jvn.jp/jp/JVN87694318/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#87694318」を参照
2024.04.24 上位ネットワーク(SINET)の機器メンテナンスに伴うサービス停止について(通知)
教職員 各位
情報活用能力育成機構 情報基盤推進室です。
標記の件について、
下記のとおり、SINETの機器メンテナンスのため、
(1)~(3)のサービスが停止いたしますので、お知らせいたします。
記
(1)
【停止日時】
・2024年5月18日(土)4:30 - 6:00(SINET仙台ノード)
※上記の時間帯に学外向けネットワークが断続的に停止いたします。
【影響サービス】
・学外向けネットワーク(青葉山地区、上杉地区)
(2)
【停止日時】
・2024年5月27日(月)4:30 - 6:00(SINET郡山ノード)
【影響サービス】
・SPSSライセンスサーバ
(3)
【停止日時】
・2024年6月10日(月)3:00 - 4:30(SINET品川ノード)
【影響サービス】
・Web編集用サーバ、教育・授業用サーバ
2024.04.23 IPAからのお知らせ【セキュリティ関連情報/ゴールデンウィークにおける情報セキュリティに関する注意喚起】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)からGWにおけるセキュリティ関連情報に関する注意喚起が発表されました。
GW中の情報セキュリティへの対策/最近急増している手口について、下記をご覧いただき、適宜対策をしていただけますようよろしくお願いいたします。
───────────────────────
IPAからのお知らせ【セキュリティ関連情報】
◇2024年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起
───────────────────────
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。
◆2024年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起
https://www.ipa.go.jp/security/anshin/heads-up/alert20240422.html
長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。
このような被害を未然に防ぐために、上記ウェブページでは、企業や組織の管理者、企業や組織の利用者、個人の利用者、のそれぞれの対象者が取るべき対策をまとめた「長期休暇における情報セキュリティ対策」をご紹介しています。
被害に遭わないためにも着実に対策を実施するようお願いします。
【企業や組織の方々へ】
インターネットに接続された機器・装置類の脆弱性を悪用するネットワーク貫通型攻撃が相次いでいます。
昨年の8月及び今月には、同攻撃に関する注意喚起を行っています。
攻撃を受けた場合、保有情報の漏えいや改ざんに加え、不正な通信の中継点とされてしまう、いわゆるOperational Relay Box(ORB)化などの被害が予想されます。特に、ORB化された場合、意図せずに他組織等への攻撃に加担することに繋がるため、脆弱性対策と日頃のログ監視が重要です。今一度、自組織のインターネットに接続された機器・装置類の確認を推奨します。
◆アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~
https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html
2024.04.23 宮教アカウントを利用した安全性の低いアプリへのアクセスについて
教職員各位
情報基盤推進室です。
Googleの仕様変更により、ユーザー名とパスワードという基本認証のみで Google アカウントにログインを行う安全性の低いアプリへのアクセスが無効になります。
安全性の低いアプリの例:
・旧バージョンの iOS と OSX 上で動作するメール、連絡先、カレンダー同期のネイティブ アプリケーション
・旧バージョンの Microsoft Outlook、 Mozilla Thunderbirdなど、一部のデスクトップ メール クライアント
無効化は2段階で進められ、2024/6/15以降は新規設定ができなくなり、2024/9/30以降はログインができなくなります、
安全性の低いアプリをご利用の方は、OAuth という最新でより安全なアクセス方法に対応するアプリに変更するか、認証方法を変更するようお願いいたします。
詳細はGoogleから提供された下記の資料をご確認ください。
https://support.google.com/accounts/answer/6010255?sjid=17952788352879156460-AP
https://services.google.com/fh/files/emails/b_298235749.pdf
https://workspaceupdates-ja.googleblog.com/2023/10/2024-9-30-google-google-sync.html
2024.04.18 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「Forminator」における複数の脆弱性】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇WordPress 用プラグイン「Forminator」における複数の脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 4 月 18 日に「WordPress
用プラグイン『Forminator』における複数の脆弱性」を、JVN(Japan Vulnerability
Notes)において公表しました。
◆概要
・WPMU DEV が提供する WordPress 用プラグイン「Forminator」はフォーム作成を補助するツールです。
・「Forminator」には、次の複数の脆弱性が存在します。
▽ 危険なタイプのファイルの無制限アップロード - CVE-2024-28890
▽ SQL インジェクション - CVE-2024-31077
▽ クロスサイト・スクリプティング - CVE-2024-31857
・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽ 遠隔の第三者によって、サーバ上のファイルへのアクセスによる機密情報取得、当該製品を使用しているサイトの改ざんおよびサービス運用妨害(DoS)攻撃が行われる
- CVE-2024-28890
▽ 当該製品の管理画面にアクセスできるユーザによって、データベースの情報取得や改ざん、およびサービス運用妨害(DoS)攻撃が行われる -
CVE-2024-31077
▽ 遠隔の第三者によって、ユーザ情報などを取得されたり、ユーザのウェブブラウザ上の表示を改ざんされたりする - CVE-2024-31857
・開発者が提供する情報をもとに、最新版にアップデートしてください。
◆この脆弱性情報は、2021 年 6 月 22 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Forminator」における複数の脆弱性
URL:https://jvn.jp/jp/JVN50132400/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#50132400」を参照
2024.04.10 IPAからのお知らせ【セキュリティ対策情報[緊急対策]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策]】
◇ Microsoft 製品の脆弱性対策について(2024年4月)
───────────────────────
■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年4月)
■概要
2024 年 4 月 10 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2024-26234 の脆弱性について、Microsoft
社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0410-ms.html
2024.04.08 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「Ninja Forms」における複数の脆弱性】
教職員各位
情報基盤推進室
室長 岡本恭介
副室長 板垣翔大
情報基盤推進室です。
IPA(情報処理推進機構)から以下のセキュリティ対策情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇WordPress 用プラグイン「Ninja Forms」における複数の脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 4 月 8 日に「WordPress
用プラグイン『Ninja Forms』における複数の脆弱性」を、JVN(Japan Vulnerability
Notes)において公表しました。
◆概要
・Saturday Drive が提供する「Ninja Forms」は、問い合わせフォーム作成機能を提供する WordPress 用プラグインです。
・「Ninja Forms」には、次の複数の脆弱性が存在します。
▽ クロスサイト・リクエスト・フォージェリ - CVE-2024-25572
▽ Submit 処理に関する蓄積型クロスサイト・スクリプティング - CVE-2024-26019
▽ ラベルのカスタムフィールドに関する蓄積型クロスサイト・スクリプティング - CVE-2024-29220
・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽ 当該製品にログインした状態のサイト管理者が、細工されたページにアクセスした場合、意図しない操作をさせられる - CVE-2024-25572
▽ 当該製品を使用しているサイトにアクセスしているユーザのウェブブラウザ上で、任意のスクリプトを実行される -
CVE-2024-26019、CVE-2024-29220
・開発者が提供する情報をもとに、最新版にアップデートしてください。
◆この脆弱性情報は、以下の日付に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
- 2019 年 7 月 4 日
- 2023 年 10 月 16 日
- 2023 年 10 月 18 日
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Ninja Forms」における複数の脆弱性
URL:https://jvn.jp/jp/JVN50361500/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#50361500」を参照
2024.03.27 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「Survey Maker」における複数の脆弱性 他】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
◇WordPress 用プラグイン「Survey Maker」における複数の脆弱性
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 3 月 27 日に「WordPress 用プラグイン『Survey Maker』における複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・AYS Pro Plugins が提供する「Survey Maker」は、アンケート機能を提供する WordPress 用プラグインです。
・「Survey Maker」には、次の複数の脆弱性が存在します。
▽ 格納型クロスサイト・スクリプティング
- CVE-2023-34423
▽ データの信頼性確認が不十分
- CVE-2023-35764
・想定される影響は各脆弱性により異なりますが、遠隔の第三者によって次のような影響を受ける可能性があります。
▽ 当該製品を使用しているサイトに管理者権限でログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
- CVE-2023-34423
▽ 投稿者の IP アドレスを偽装される
- CVE-2023-35764
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2023 年 7 月 4 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Survey Maker」における複数の脆弱性
URL:https://jvn.jp/jp/JVN51098626/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#51098626」を参照
───────────────────────
◇「SonicDICOM Media Viewer」における DLL 読み込みに関する脆弱性
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 3 月 27 日に「『SonicDICOM Media Viewer』における DLL 読み込みに関する脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・フジデノロソリューションズ株式会社が提供する「SonicDICOM Media Viewer」は、Webブラウザベースの DICOM ビューアです。
・「SonicDICOM Media Viewer」には、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性が存在します。
・プログラムを実行している権限で、任意のコードを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2023 年 12 月 15 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・「SonicDICOM Media Viewer」における DLL 読み込みに関する脆弱性
URL:https://jvn.jp/jp/JVN40367518/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#40367518」を参照
2024.03.25 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「easy-popup-show」におけるクロスサイト・リクエスト・フォージェリの脆弱性】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇ WordPress 用プラグイン「easy-popup-show」におけるクロスサイト・リクエスト・フォージェリの脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
(一般社団法人JPCERTコーディネーションセンター)は、2024 年 3 月 25 日に
「WordPress 用プラグイン『easy-popup-show』におけるクロスサイト・
リクエスト・フォージェリの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・「easy-popup-show」は、ポップアップの作成機能を提供する WordPress 用プラグインです。
・「easy-popup-show」には、クロスサイト・リクエスト・フォージェリの脆弱性が存在します。
・当該製品に管理者権限でログインした状態のユーザが細工されたページに
アクセスした場合、意図しない操作をさせられる可能性があります。
・当該製品のサポートは既に終了しているため、恒久的な対策として製品の使用を停止してください。
◆この脆弱性情報は、2022 年 4 月 22 日に IPA が届出を受け、JPCERT/CC が、
製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「easy-popup-show」におけるクロスサイト・リクエスト・フォージェリの脆弱性
URL:https://jvn.jp/jp/JVN86206017/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#86206017」を参照
2024.03.13 IPAからのお知らせ【セキュリティ対策情報[注意喚起]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2024年3月)
───────────────────────
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年3月)
■概要
2024 年 3 月 13 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、
攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0313-ms.html
2024.02.14 IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]/Microsoft 製品、Adobe 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。
Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、
事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2024年2月)
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB24-07)(CVE-2024-20731等)
───────────────────────
■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年2月)
■概要
2024 年 2 月 14 日(日本時間)に Microsoft 製品に関する脆弱性の
修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが
異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2024-21351、CVE-2024-21412 の脆弱性について、Microsoft 社は「悪用の事実を確認済み」と公表しており、
今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0214-ms.html
───────────────────────
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB24-07)(CVE-2024-20731等)
■概要
アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性(APSB24-07)が公表されています。
アドビ社からは、過去に攻撃者の標的になったことのない脆弱性として
アナウンスがされておりますが、悪用された場合、セキュリティ機能を
回避される恐れのある緊急度がクリティカルの脆弱性も含まれているため、修正プログラムを適用することを推奨します。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0214-adobereader.html
2024.01.12 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「WordPress Quiz Maker Plugin」における不適切な入力確認の脆弱性】
WordPressをご利用のWebサイト管理者 各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇ WordPress 用プラグイン「WordPress Quiz Maker Plugin」における
不適切な入力確認の脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
(一般社団法人JPCERTコーディネーションセンター)は、2024 年 1 月 12 日に
「WordPress 用プラグイン『WordPress Quiz Maker Plugin』における不適切な
入力確認の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・AYS Pro Plugins が提供する「WordPress Quiz Maker Plugin」は
ウェブサイト上でのクイズ作成機能を提供する WordPress 用プラグインです。
・「WordPress Quiz Maker Plugin」には、不適切な入力確認の脆弱性が存在します。
・当該製品のユーザによって、本製品を利用し、外部サービスへの
サービス運用妨害 (DoS) 攻撃を行われる可能性があります。
・開発者が提供する情報をもとに、最新版にアップデートしてください。
◆この脆弱性情報は、2022 年 2 月 21 日に IPA が届出を受け、JPCERT/CC が、
製品開発者と調整を行い、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「WordPress Quiz Maker Plugin」における
不適切な入力確認の脆弱性
URL:https://jvn.jp/jp/JVN37326856/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#37326856」を参照
2024.01.10 IPAからのお知らせ【セキュリティ対策情報[注意喚起]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2024年1月)
───────────────────────
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年1月)
■概要
2024 年 1 月 10 日(日本時間)に Microsoft 製品に関する脆弱性
の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが
異常終了したり、攻撃者によってパソコンを制御されたりして、
様々な被害が発生するおそれがあります。
攻撃が行われた場合の影響が大きいため、早急に修正プログラムを
適用してください。
◆詳細については下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0110-ms.html
2023.12.13 IPAからのお知らせ【セキュリティ対策情報[注意喚起]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2023年12月)
───────────────────────
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2023年12月)
■概要
2023 年 12 月 13 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが
異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/1213-ms.html
2023.11.15 IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]/Microsoft 製品、Adobe 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。
Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、
事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2023年11月)
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB23-54)(CVE-2023-44336等)
───────────────────────
■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2023年11月)
■概要
2023 年 11 月 15 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが
異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2023-36036、CVE-2023-36033、CVE-2023-36025 の
脆弱性について、Microsoft 社は「悪用の事実を確認済み」と公表しており、
今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/1115-ms.html
───────────────────────
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB23-54)(CVE-2023-44336等)
■概要
アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性(APSB23-54)が公表されています。
アドビ社からは、過去に攻撃者の標的になったことのない脆弱性
としてアナウンスがされておりますが、悪用された場合、セキュリティ機能を回避される恐れのある緊急度がクリティカルの
脆弱性も含まれているため、修正プログラムを適用することを推奨します。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/1115-adobereader.html
2023.11.10 【注意喚起】Jettyの脆弱性について
学内でサーバを運用している皆様
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
標記の件について、国立情報学研究所 学認事務局から注意喚起がありましたので下記の通りお知らせします。
Jettyをお使いの場合は対処をお願いいたします。
ーーーーーーーーーー
Jettyプロジェクトより、5件の脆弱性(CVE-2023-40167, CVE-2023-36479,
CVE-2023-41900, CVE-2023-44487, CVE-2023-36478)に関するアナウンスが公開されています。
本脆弱性の対象となるバージョンは次の通りです。
該当するバージョンをお使いの場合はご注意ください。
(CVE-2023-40167, CVE-2023-36479, CVE-2023-41900)
- Jetty 9.4.0 - 9.4.51 のバージョン
- Jetty 10.0.0 - 10.0.15 のバージョン
- Jetty 11.0.0 - 11.0.15 のバージョン
(CVE-2023-44487, CVE-2023-36478)
- Jetty 9.4.0 - 9.4.52 のバージョン
- Jetty 10.0.0 - 10.0.16 のバージョン
- Jetty 11.0.0 - 11.0.16 のバージョン
以下のサイトなどで情報をご確認いただき、すみやかにアップデートを実施していただくことをお勧めいたします。
また、Shibboleth Projectより、当該脆弱性に対して対策されたバージョンのJettyを含むWindows版Shibboleth IdP V4.3.1.3がリリースされています。
学認事務局ではWindows版の技術的なサポートはしておりません。各IdPにおいて、ご確認の上適宜対応をお願いいたします。
(Jettyプロジェクト)
https://www.eclipse.org/lists/jetty-announce/msg00180.html
https://www.eclipse.org/lists/jetty-announce/msg00181.html
https://github.com/advisories/GHSA-hmr7-m48g-48f6
https://github.com/advisories/GHSA-3gh6-v5v9-6v9j
https://github.com/advisories/GHSA-pwh8-58vv-vw48
https://github.com/advisories/GHSA-qppj-fm5r-hxr3
https://github.com/advisories/GHSA-wgh7-54f2-x98r
(Shibboleth Project)
http://shibboleth.net/pipermail/announce/2023-October/000304.html
2023.10.27 停電に伴うサービス停止のお知らせ(11/4)
教職員のみなさま
━━━━ 情報基盤推進室からのお知らせです ━━━━ 2023.10.27
▼本学の計画停電に伴うシステム停止について
停止日時: 11/4(土)終日
作業の理由:受変電設備の年次点検に伴う停電のため
作業の影響:
・学内ネットワークが利用できません。
○メール等の Googleサービスは利用可能です。
また、各自で管理しているパソコン、サーバ等は、停電前にシャットダウンしてください。
なお、男子寮生への案内を担当係から周知をお願いします。
※本件は、2023/7/18 に施設課からの別途連絡に伴うお知らせです。
2023.10.23 Google Jamboardの段階的終了について
教職員各位
情報基盤推進室です。
Googleの仕様変更により、Jamboard は 2024 年に段階的に終了いたします。
2024年10月まではこれまで通り動作しますが、以降段階的に利用できなくなります。
ご利用の方は下記をご参考にデータ移行・代替サービスの検討等のご対応をよろしくお願いいたします。
https://support.google.com/jamboard/answer/14011742
2023.10.18 IPAからのお知らせ【セキュリティ対策情報[注意喚起]/Oracle Java の脆弱性対策について(CVE-2023-30589等)】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Oracle Javaをお使いの方は、最新版にアップデートする等対策を行ってくださいますようお願いいたします。
IPAのWebページにて詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[注意喚起]】
◇ Oracle Java の脆弱性対策について(CVE-2023-30589等)
───────────────────────
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Oracle Java の脆弱性対策について(CVE-2023-30589等)
■概要
Oracle 社から Java SE に関する脆弱性が公表されています。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンス
されているため、できるだけ早急に修正プログラムを適用してください。
詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/1018-jre.html
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.10.11 IPAからのお知らせ【セキュリティ対策情報[緊急対策]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
IPAのWebページにて詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策]】
◇ Microsoft 製品の脆弱性対策について(2023年10月)
───────────────────────
■IPAセキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2023年10月)
■概要
2023 年 10 月 11 日(日本時間)に Microsoft 製品に関する脆弱性の
修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、
攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2023-41763、CVE-2023-36563、CVE-2023-44487 の脆弱性について、
Microsoft 社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する
可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/1011-ms.html
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.9.22 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「Welcart e-Commerce」における複数の脆弱性】
WordPressをご利用のWebサイト管理者 各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇ WordPress 用プラグイン「Welcart e-Commerce」における複数の脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
(一般社団法人JPCERTコーディネーションセンター)は、2023 年 9 月 22 日に
「WordPress 用プラグイン『Welcart e-Commerce』における複数の脆弱性」を、
JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・コルネ株式会社が提供する「Welcart e-Commerce」はショッピングカート機能を
提供する WordPress 用プラグインです。
・「Welcart e-Commerce」には、次の複数の脆弱性が存在します。
▽ アップロードするファイルの検証が不十分
- CVE-2023-40219
▽ パス・トラバーサル
- CVE-2023-40532
▽ 商品マスター画面の登録処理におけるクロスサイト・スクリプティング
- CVE-2023-41233
▽ クレジット決済設定画面におけるクロスサイト・スクリプティング
- CVE-2023-41962
▽ 商品マスター画面におけるクロスサイト・スクリプティング
- CVE-2023-43484
▽ 商品マスター画面における SQL インジェクション
- CVE-2023-43493
▽ 受注データ編集画面における SQL インジェクション
- CVE-2023-43610
▽ 受注データ編集画面におけるクロスサイト・スクリプティング
- CVE-2023-43614
・想定される影響は各脆弱性により異なりますが、次のような影響を受ける
可能性があります。
▽ 当該製品に編集者権限以上でログイン可能なユーザによって、許可されていない
ディレクトリに任意のファイルをアップロードされる
- CVE-2023-40219
▽ 当該製品に投稿者権限以上でログイン可能なユーザによって、ウェブサーバ内の
ファイルの一部情報を閲覧される
- CVE-2023-40532
▽ 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを
実行される
- CVE-2023-41233、CVE-2023-43484、CVE-2023-43614
▽ 当該製品にログインしているユーザのウェブブラウザ上で、細工されたページに
アクセスした場合、管理画面に任意のスクリプトを設置される
- CVE-2023-41962
▽ 当該製品に投稿者権限以上でログイン可能なユーザによって、機微な情報を
窃取される
- CVE-2023-43493
▽ 当該製品に編集者権限(設定権限無し)以上でログイン可能なユーザによって、
データベースを操作される
- CVE-2023-43610
・開発者が提供する情報をもとに、最新版にアップデートしてください。
◆この脆弱性情報は、以下の日付に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
- 2023 年 5 月 24 日
- 2023 年 7 月 19 日
- 2023 年 8 月 30 日
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Welcart e-Commerce」における複数の脆弱性
URL:https://jvn.jp/jp/JVN97197972/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#97197972」を参照
───────────────────────
以上、よろしくお願いいたします。
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.9.13 IPAからのお知らせ【セキュリティ対策情報[緊急対策]/Microsoft 製品、Adobe 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。
Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、
事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。
IPAのWebページにて詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策]】
◇ Microsoft 製品の脆弱性対策について(2023年9月)
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB23-34)(CVE-2023-26369)
───────────────────────
■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2023年9月)
■概要
2023 年 9 月 13 日(日本時間)に Microsoft 製品に関する脆弱性の
修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが
異常終了したり、攻撃者によってパソコンを制御されたりして、
様々な被害が発生するおそれがあります。
この内 CVE-2023-36802、CVE-2023-36761 の脆弱性について、
Microsoft 社は「悪用の事実を確認済み」と公表しており、
今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0913-ms.html
───────────────────────
■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB23-34)(CVE-2023-26369)
■概要
アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性(APSB23-34)が公表されています。
アドビ社からは、CVE-2023-26369 の脆弱性を悪用した攻撃が
確認された、とアナウンスがされているため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0913-adobereader.html
2023.9.7 NII FileSenderメンテナンスに伴うサービス停止について (通知)
教職員各位
情報基盤推進室です。
標記の件について下記のとおりサービスが停止しますので、お知らせいたします。
記
停止日時:2023年9月21日(木) 12:00-14:00
※なお、作業の進捗状況により停止時間が前後する可能性がありますのでご了承ください。
停止サービス:NII FileSender
停止理由:NIIにおけるメンテナンスのため
2023.8.9 IPAからのお知らせ【セキュリティ対策情報[緊急対策]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
Adobe Acrobat および Reader をお使いの方は、最新版にアップデートしてくださいますようお願いいたします。
Adobe Acrobat および Readerのアップデートには管理者パスワードが必要ですので、
事務職員の方には後ほど期間限定の管理者パスワードをお知らせ致します。
IPAのWebページにて詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策][注意喚起]】
◇ Microsoft 製品の脆弱性対策について(2023年8月)
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB23-30)(CVE-2023-29320等)
───────────────────────
■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2023年8月)
■概要
2023 年 8 月 9 日(日本時間)に Microsoft 製品に関する脆弱性の
修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが
異常終了したり、攻撃者によってパソコンを制御されたりして、
様々な被害が発生するおそれがあります。
この内 CVE-2023-38180 の脆弱性について、Microsoft 社は
「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性が
あるため、至急、修正プログラムを適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0809-ms.html
───────────────────────
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Adobe Acrobat および Reader の脆弱性対策について
(APSB23-30)(CVE-2023-29320等)
■概要
アドビシステムズ社から Adobe Acrobat および Reader に関する脆弱性
(APSB23-30)が公表されています。
アドビシステムズ社からは、「過去に攻撃リスクが高いとされたことのある
脆弱性」としてアナウンスがされているため、早急に修正プログラムを
適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0809-adobereader.html
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.8.4 IPAからのお知らせ【セキュリティ関連情報/夏休みにおける情報セキュリティに関する注意喚起】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下のお知らせが更新されました。
夏休みにおける情報セキュリティに関する注意喚起について
下記をご覧いただき、適宜対策をしていただけますようよろしくお願いいたします。
IPAのWebページにて詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ関連情報】
◇夏休みにおける情報セキュリティに関する注意喚起
───────────────────────
多くの人が夏休みの長期休暇を取得する時期を迎えるにあたり、
IPAが公開している長期休暇における情報セキュリティ対策をご案内します。
◆夏休みにおける情報セキュリティに関する注意喚起
https://www.ipa.go.jp/security/anshin/heads-up/alert20230803.html
長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況に
なりがちです。このような状況でセキュリティインシデントが発生した場合は、
対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、
思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。
このような被害を未然に防ぐために、上記ウェブページでは、企業や組織の
管理者、企業や組織の利用者、個人の利用者、のそれぞれの対象者が
取るべき対策をまとめた「長期休暇における情報セキュリティ対策」を
ご紹介しています。
被害に遭わないためにも着実に対策を実施するようお願いします。
IPAには引き続き企業や組織から、ランサムウェアによるサイバー攻撃被害に関する
相談や報告が寄せられています。
インターネットに接続された機器・装置類の脆弱性が悪用され、不正アクセスの
被害を受けた事案が報告されています。
また、リモートデスクトップサービス(RDP)の認証を突破されたり、VPN装置の
アップデートが行われておらず侵入されたという事例が多くあります。
インターネットからアクセス可能な装置全体について、アクセス制御が適切に
できているか、認証が突破される可能性はないか、脆弱性は解消されているか
といった点を、今一度ご確認ください。
◆【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html
◆【動画】今、そこにある脅威 ~組織を狙うランサムウェア攻撃
https://www.youtube.com/watch?v=TWqJ5P8oaUM
最近の企業や組織から寄せられた手口の相談事例を取り上げ、
よくある質問とその回答をご案内しています。
【相談事例1】
偽のセキュリティ警告の手口(サポート詐欺)
「相手の指示通りに操作したところリモートで端末を操作され、私(管理者)に
申し出があったことで詐欺だと気付き、電話を切った。
このあとどのように対処すればよいか」
「遠隔操作をされた端末には顧客情報が保存されており、個人情報の漏えいは
判断できるか」
【相談事例2】
ランサムウェアにより端末のデータが暗号化
「現在、サーバーやネットワーク装置のログを確認中だが、今後どのような手順で
対処を進めていけばいいのか」
このようなトラブルへの対処法をご案内していますので、ぜひご覧ください。
被害に遭わないためにも手口を知り、しっかり対策を行いましょう。
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.7.28
【重要】webサーバ等の一時機能停止について(2023/08/14・15)
情報基盤推進室です。
下記の通り、サーバメンテナンス等に伴う学内サービスの一時機能停止についてお知らせ致します。
ご理解ご協力をよろしくお願い致します。
記
日時:2023年8月14日(月) 10:00 ~ 18:00
※上記時間内に断続的に停止します。
停止理由:サーバメンテナンス(セキュリティパッチ適用のため)
影響:
Webサーバ停止
シングルサインオン不可(パスワード変更・Officeログイン・図書館マイライブラリ等)
日時:2023年8月15日(火) 8:30 ~ 17:30
※上記時間内に断続的に停止します。
停止理由:学内システム調査のため
影響:
教務システム、財務会計システムWeb、教育・授業用サーバのログイン不可
学外ネットワークからのVPN接続不可
学内無線LAN接続不可
2023.7.27 IPAからのお知らせ【セキュリティ関連情報/「情報セキュリティ10大脅威 2023」を公開】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下のお知らせが更新されました。
下記をご参考に、ご注意下さい。
IPAのWebページにて詳細に記載されていますので、ご覧ください。
───────────────────────
◆お知らせリスト
◇「情報セキュリティ10大脅威 2023」を公開
───────────────────────
「情報セキュリティ10大脅威 2023」は、2022年に起きた情報セキュリティに関する
事案のうち、社会的影響が大きかったものをランキングで示すものです。
企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の
投票を経て決定したもので、「個人」の立場と「組織」の立場でのランキングは
それぞれ以下のとおりです。
※( )内は前年の順位
----------------------------------------------
◆「個人」向け脅威
1位 フィッシングによる個人情報等の詐取(1位)
2位 ネット上の誹謗・中傷・デマ(2位)
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(3位)
4位 クレジットカード情報の不正利用(4位)
5位 スマホ決済の不正利用(5位)
6位 不正アプリによるスマートフォン利用者への被害(7位)
7位 偽警告によるインターネット詐欺(6位)
8位 インターネット上のサービスからの個人情報の窃取(8位)
9位 インターネット上のサービスへの不正ログイン(10位)
10位 ワンクリック請求等の不当請求による金銭被害(圏外)
----------------------------------------------
◆「組織」向け脅威
1位 ランサムウェアによる被害(1位)
2位 サプライチェーンの弱点を悪用した攻撃(3位)
3位 標的型攻撃による機密情報の窃取(2位)
4位 内部不正による情報漏えい(5位)
5位 テレワーク等のニューノーマルな働き方を狙った攻撃(4位)
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(7位)
7位 ビジネスメール詐欺による金銭被害(8位)
8位 脆弱性対策情報の公開に伴う悪用増加(6位)
9位 不注意による情報漏えい等の被害(10位)
10位 犯罪のビジネス化(アンダーグラウンドサービス)(圏外)
--------------------------------------------------------------
<「個人」向け脅威>
◆「フィッシングによる個人情報等の詐取」が2年連続で1位に
実在する組織を騙るSMSなどを送りつけ、正規のウェブサイトを模倣した
フィッシングサイトへ誘導して認証情報や個人情報などを入力させ詐取する
手口です。フィッシング対策協議会の報告によると2022年の報告件数は約97万件
(前年:約53万件)と大幅に増加しており、一層の注意が必要です。
<「組織」向け脅威>
◆「ランサムウェアによる被害」が3年連続で1位に
情報の暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」の手口のほか、
DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す
「四重脅迫」が新たな手口として挙げられています。
このほか組織部門では他の脅威を誘発しかねない「犯罪のビジネス化(アンダー
グラウンドサービス)」が圏外からランクインしており、各脅威に対して適切な
対策を取ることが、引き続き求められます。
IPAでは、各脅威の手口や対策を詳しく解説した解説書のほか、複数の脅威に
共通して有効な対策をまとめた「共通対策」を2月に公開する予定です。
◆詳細は以下のページをご覧ください。
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.7.24 IPAからのお知らせ【セキュリティ対策情報[注意喚起]/Oracle Java の脆弱性対策について(CVE-2023-22043等) 他】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Oracle Java、Citrix ADC および Citrix Gatewayをお使いの方は、最新版にアップデートする等対策を行ってくださいますようお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[注意喚起]】
◇ Oracle Java の脆弱性対策について(CVE-2023-22043等)
◇ Citrix ADC および Citrix Gateway の脆弱性対策について(CVE-2023-3519 等)
───────────────────────
◇ Oracle Java の脆弱性対策について(CVE-2023-22043等)
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Oracle Java の脆弱性対策について(CVE-2023-22043等)
■概要
Oracle 社から Java SE に関する脆弱性が公表されています。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンス
されているため、できるだけ早急に修正プログラムを適用してください。
詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0719-jre.html
───────────────────────
◇ Citrix ADC および Citrix Gateway の脆弱性対策について(CVE-2023-3519 等)
■IPA セキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Citrix ADC および Citrix Gateway の脆弱性対策について(CVE-2023-3519 等)
■概要
・NetScaler ADC(旧Citrix ADC)および NetScaler Gateway(旧Citrix Gateway)は
ネットワークを構築するためのアプライアンス製品です。
・この NetScaler ADC および NetScaler Gateway において、任意のコード実行の
脆弱性が確認されています。
・本脆弱性が悪用されると、認証されていない遠隔の第三者によって任意のコードを
実行される可能性があります。
・本脆弱性を悪用した攻撃が確認されており、今後被害が拡大するおそれがあるため、
早急にアップデートを実施してください。
■対象
・NetScaler ADC および NetScaler Gateway 13.1-49.13 より前の 13.1 系のバージョン
・NetScaler ADC および NetScaler Gateway 13.0-91.13 より前の 13.0 系のバージョン
・NetScaler ADC 13.1-37.159 より前の 13.1-FIPS 系のバージョン
・NetScaler ADC 12.1-55.297 より前の 12.1-FIPS 系のバージョン
・NetScaler ADC 12.1-55.297 より前の 12.1-NDcPP 系のバージョン
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/alert20230719.html
───────────────────────
以上、よろしくお願いいたします。
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.7.20 IPAからのお知らせ【セキュリティ対策情報/WordPress 用プラグイン「TS Webfonts for さくらのレンタルサーバ」における複数の脆弱性】
WordPressをご利用のWebサイト管理者 各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報】
◇WordPress 用プラグイン「TS Webfonts for さくらのレンタルサーバ」における複数の脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
(一般社団法人JPCERTコーディネーションセンター)は、2023 年 7 月 20 日に
「WordPress 用プラグイン『TS Webfonts for さくらのレンタルサーバ』に
おける複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・さくらインターネット株式会社が提供する「TS Webfonts for さくらのレンタル
サーバ」は、Web フォントを追加するために使用される WordPress 用プラグインです。
・「TS Webfonts for さくらのレンタルサーバ」には、次の複数の脆弱性が存在します。
▽ クロスサイト・スクリプティング
- CVE-2023-32624
▽ クロスサイト・リクエスト・フォージェリ
- CVE-2023-32625
・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽ 当該プラグインを使用している WordPress にログインしているユーザの
ウェブブラウザ上で、任意のスクリプトを実行される
- CVE-2023-32624
▽ 当該プラグインを使用している WordPress の管理画面にログインした状態の
ユーザが細工されたページにアクセスした場合、意図しない設定に変更させられる
- CVE-2023-32625
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2023 年 6 月 23 日に IPA が製品開発者自身から届出を受け、
JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「TS Webfonts for さくらのレンタルサーバ」における複数の脆弱性
URL:https://jvn.jp/jp/JVN90560760/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#90560760」を参照
───────────────────────
以上、よろしくお願いいたします。
====================
国立大学法人 宮城教育大学
情報基盤推進室
2023.7.12 IPAからのお知らせ【セキュリティ対策情報[緊急対策]/Microsoft 製品の脆弱性対策について】
教職員各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
Windowsをお使いの方は、至急WindowsUpdateを実施してください。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
IPAからのお知らせ【セキュリティ対策情報[緊急対策]】
◇ Microsoft 製品の脆弱性対策について(2023年7月)
───────────────────────
■IPA セキュリティセンターは、本日、標記の緊急対策情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2023年7月)
■概要
2023年7月12日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが
公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、
攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
この内 CVE-2023-32046、CVE-2023-32049、CVE-2023-35311、CVE-2023-36874、
CVE-2023-36884 の脆弱性について、Microsoft 社は「悪用の事実を確認済み」と
公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムまたは、
緩和策を適用してください。
◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0712-ms.html
以上、よろしくお願いいたします。
2023.6.27 IPAからのお知らせ【セキュリティ対策情報◇WordPress 用プラグイン「Snow Monkey Forms」におけるディレクトリ・トラバーサルの脆弱性】
WordPressをご利用のWebサイト管理者 各位
情報基盤推進室
室長 黒川修行
副室長 永井伸幸
情報基盤推進室です。
IPA(情報処理推進機構)から以下の脆弱性情報の注意喚起情報が発表されました。
WordPressをご利用の方はプラグインをご確認いただき、アップデート等の対応をお願いいたします。
IPAのWebページに対応方法が詳細に記載されていますので、ご覧ください。
───────────────────────
◇WordPress 用プラグイン「Snow Monkey Forms」におけるディレクトリ・
トラバーサルの脆弱性
───────────────────────
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
(一般社団法人JPCERTコーディネーションセンター)は、2023 年 6 月 27 日に
「WordPress 用プラグイン『Snow Monkey Forms』におけるディレクトリ・
トラバーサルの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・株式会社モンキーレンチが提供する「Snow Monkey Forms」は、フォーム作成
機能を提供する WordPress 用プラグインです。
・「Snow Monkey Forms」には、ディレクトリ・トラバーサルの脆弱性が存在します。
・遠隔の第三者によって、サーバ上の任意のファイルを削除される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2023 年 6 月 8 日に IPA が届出を受け、JPCERT/CC が、
製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Snow Monkey Forms」におけるディレクトリ・
トラバーサルの脆弱性
URL:https://jvn.jp/jp/JVN97127032/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#97127032」を参照
───────────────────────
以上、よろしくお願いいたします。
====================
国立大学法人 宮城教育大学
情報基盤推進室