今週気になったIT関連のニュース
Jan 26, 2022 23:20 · 1693 words · 4 minute read
2022年1月17日~2022年1月24日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら
目次
- WebKitの脆弱性により、Webの閲覧履歴が他の人に見られてしまうかも
- イギリスの国立サイバーセキュリティセンターがSMS利用のガイドラインを公開した
- 仮想通貨取引所で大規模な不正引き出しが発生した
- 世界最大のNFTマーケットプレイスが不正利用された
- 最後に
WebKitの脆弱性により、Webの閲覧履歴が他の人に見られてしまうかも
What
- iOS、iPadOS、macOSのWebKitに脆弱性があった。
- この脆弱性を悪用することで、悪意ある人にブラウザの閲覧履歴を見られてしまう可能性がある。
- この問題はWebkitの問題なので、iOS、iPadOSでwebkitを使っている全てのブラウザが影響を受ける。
- macの場合は、Chromeなど別のブラウザを使う手もある。しかしiOSとiPadOSの場合は、Chromeなど別のブラウザも結局WebKitを使っているので、脆弱性から逃れる術がない。
- このような場合に、自由度の高いandroidの良さを感じる。
When
- 2021年11月28日にWebKitBug Trackerに報告された。
- 2022年1月17日の記事公開時点では、まだ問題は修正されていない。
関連記事
イギリスの国立サイバーセキュリティセンターがSMS利用のガイドラインを公開した
What
- イギリスのNational Cyber Security Center (NCSC) がSMSを使用したフィッシング攻撃(smishing)対策のガイダンスを公開した。
- ガイダンスは企業向けの内容とユーザ向けの内容に分かれている。
- 企業向けにはSMSや電話をするときの規約を記載している。
- 「MEF(Mobile Ecosystem Forum)にSMS送信元の電場番号を登録する」「可能な限りURL含めない」といった内容が書かれている。
- MEFはイギリスに拠点があるグローバルな組織らしい。
- About Us - MEF (mobileecosystemforum.com)
- ユーザ向けには、「正規サービスの場合は個人情報を聞くことはない」「短縮URLが届いた場合は警戒する」といった内容が書かれている。
- 企業向けにはSMSや電話をするときの規約を記載している。
- ちょうど同じ時期に日本国内でも大手通信事業者がSMSの不正利用対策を公表していた。
関連記事
- UK’s Cyber Security Center publishes new guidance to fight smishing
- SMS SenderID Protection Registry - MEF (mobileecosystemforum.com)
仮想通貨取引所で大規模な不正引き出しが発生した
What
- 世界で3番目に大きな取引所Crypto.comが攻撃を受け、483の顧客アカウントが侵害された。
- 合計3380万ドル(約39億円)の不正な引き出しがあった。
- 被害顧客のほぼ全ては不正な引き出しを防ぐことができ、一部の顧客は被害額が全額払い戻された。
- Crypto.comは過去にも不具合が見つかっており、顧客の取引が重複して実行されたことがある。
When
- 2022年1月17日:少数のユーザが、自身のアカウントが不正な暗号通貨の引き出しを行っていることを検知。Crypto.comに連絡した。Crypto.comは調査のために全ての取引を一時停止し、24時間体制で問題への対応を開始した。
関連記事
世界最大のNFTマーケットプレイスが不正利用された
What
- 最大のNFTマーケットプレイスであるOpenSeaのシステムに脆弱性があり、不正に安い値段でNFTを購入することができた。
- 攻撃者が1つのNFTアイテムだけで100ETH(225,000ドル)の利益を得たらしい。
- 攻撃者のウォレットは現在追跡されている。
- NFTが盛り上がってくると、NFT周辺を狙った攻撃も増えるんだろうな。
関連記事
最後に
丁度今月NFTの本を数冊読んでいたタイミングでOpenSeaのニュースを目にした。
NFTが話題になっていて、多くの仮想通貨が集まっているので、これからも攻撃者に狙われ続けるんだろうな。