9/20 ニトリに13万件の不正ログイン リスト型攻撃と推測
ニトリホールディングスは、同社のサービスで不正ログインが発生したと発表した。同社以外から入手したユーザーID(メールアドレス)とパスワードを使ったリスト型攻撃と推測している。
同社のスマートフォン向けアプリ「ニトリアプリ」に対して不正ログインされたという。不正ログインは9月15日から発生し、9月19日に会員情報が流出した可能性があると判明した。対象はニトリアプリの利用者およびニトリネットやシマホネット、シマホアプリの会員の情報で合計約13万2000件。
会員情報には名前や住所、電話番号、生年月日、性別、メールアドレス、パスワードに加えて、一部が目隠しされたクレジットカード番号と有効期限が含まれる。
同社は不正ログインされた可能性があるアカウントのパスワードをリセットし、利用者にメールで通知すると説明。新しいパスワードには、以前使っていたものや同社以外のサービスで使っていたものを避けるよう呼びかけている。
https://www.nitorihd.co.jp/news/items/2cdbc59fa4c3ffe4da790cc1cfe85200.pdf
8/24 Movable Typeに脆弱性 コマンドインジェクションの恐れ
シックス・アパートは同社が開発するブログツール「Movable Type」の脆弱性情報を公開し、脆弱性を修正するアップデートの提供を開始した。
公開された脆弱性は、Movable TypeのXMLRPC API機能を経由して組み込みコマンドやシェルコマンドなどを実行させる「コマンドインジェクションの脆弱性」(CVE-2022-38078)。シックス・アパートの発表と同日、JPCERTコーディネーションセンターと情報処理推進機構(IPA)はそれぞれ、Movable Typeの利用者に注意喚起を出した。
Movable TypeのXMLRPC API機能については、2021年にもコマンドインジェクションの脆弱性(CVE-2021-20837)が見つかっている。この脆弱性を悪用したWebサイトへの不正アクセスが発生していた。
アルファサードは同日、同社が開発・提供するコンテンツ管理システム「PowerCMS」でも同じ脆弱性の影響を受けるとして、アップデートを提供するまでの間、XMLRPC API機能を無効にするよう呼びかけた。PowerCMSはMovable Typeをベースにして拡張したシステム。8月31日には、PowerCMSでのXMLRPC API機能のサポートを終了すると発表した。
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
https://www.powercms.jp/news/xmlrpc-api-provision-202208.html
