7/9 発表前のプレスリリースが流出 URLの推測でダウンロード可能に
プレスリリースの配信サービスを提供するPR TIMESは、同社が取り扱うプレスリリースが発表日より前に第三者に閲覧されていたと発表した。
2021年5月4日から7月6日までの約2カ月間に、4社のプレスリリースなどのPDFファイル28点と、13社の画像ファイル230点が発表日前に流出した。
同社の顧客が2021年7月5日、発表前の情報がSNSに投稿されていることに気づき、同社に調査を依頼。調査の結果、特定のIPアドレスから発表前のPDFファイルと画像ファイルにアクセスされていたことが判明した。
同社は流出の原因を「ダウンロード機能の不正利用」とした。顧客がプレスリリースを配信するときには、プレスリリースのテキストやPDFファイル、画像ファイルを同社のシステムにあらかじめ登録する必要がある。このときシステムの仕様上、プレスリリースが公開前や下書きの状態であってもファイルをダウンロードできる「公開中」の状態になっていた。同社はPDFファイルや画像ファイルのURLを不正に推測して、第三者がアクセスしたとしている。これを「不正アクセス」として、アクセス元のIPアドレスのISPに申告したという。
同社は7月6日、発表日以降のファイルしかダウンロードできないようにシステムを改修。7月8日にはファイルのURLが予測困難になるように変更したという。
https://prtimes.jp/common/file/20210709_PRTIMES_incident.pdf
7/1 Windowsの印刷機能に脆弱性 システム権限を乗っ取られる恐れ
米マイクロソフトは、サポート対象のすべてのWindowsに存在する脆弱性が見つかったとしてセキュリティー情報を公開した。
今回見つかったのは印刷スプーラーサービスに関する脆弱性(CVE-2021-34527)。脆弱性を報告したセキュリティー研究者は「PrintNightmare」と名付けた。脆弱性の悪用によりシステム権限で任意のコードが実行される恐れがあるという。
既にインターネット上に脆弱性の検証コードが出回っている。さらにはリモートで攻撃することが可能であるため、2020年に大きな問題となった「Zerologon」脆弱性のようにドメインコントローラーサーバーが攻撃を受けるケースが懸念されている。
マイクロソフトが発表した時点では修正プログラムが提供されていないゼロデイ状態だったが、7月8日までにWindows 10やWindows Server 2016などの修正プログラムが提供された。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527