先週のサイバー事件簿 - CPUの脆弱性「Meltdown」と「Spectre」

年末年始にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。CPUの脆弱性「Meltdown」と「Spectre」が、大きな問題となっている。

「Meltdown」と「Spectre」

CPUの脆弱性「Meltdown」と「Spectre」は、ほぼすべてのPCやスマートフォンが影響を受ける。OSだけでなく、Webブラウザなどのアプリケーションソフトウェアも、対策パッチを適用する必要がある。

マイクロソフトは緩和策として、1月3日にセキュリティアップデートをリリース。Appleは1月4日にmac OS、iOS、tv OS向けにアップデータをリリースし、近日中にはSpectre対策としてSafariの修正も予定している。

Intelは、ソフトウェアとファームウェアのアップデータを提供。脆弱性を悪用されたとしても、データの破損、改ざん、削除の可能性はないとしている。Google製品は大半が対処済みだが、AndroidやChromeなどの一部製品はユーザー自身がパッチを適用する必要がある。

仮想通貨発掘マルウェア「DIGMINE」が拡散傾向

Facebook Messengerを通じて拡散する仮想通貨発掘マルウェア「DIGMINE(ディグマイン)」に注意が必要だ。このマルウェアは、韓国で確認されて以降、ベトナム、アゼルバイジャン、ウクライナ、フィリピン、タイ、ベネズエラなどに広がっており、拡散媒体がFacebook Messengerであることから、他の国に広まるのも時間の問題とされている。

DIGMINEは、仮想通貨「Monero」を発掘する機能があり、対象PCに常駐しつつ、別のPCにも拡散させて発掘速度を増加させるというもの。デスクトップ用アプリとChromeブラウザのみで動作する。Facebook Messengerは拡散にのみ使われるが、今後、Facebookアカウントを乗っ取る機能が加わることも危惧されている。被害を回避するには、Facebookのプライバシー設定やワンタイムパスワードなどが有効。

TLS通信を行うプログラムにBleichenbacher攻撃対策が不十分な問題

12月26日の時点で、TLS通信を行うプログラムにおいて脆弱性があることが確認されている。Transport Layer Security(TLS)とは、ネットワーク通信における暗号化や認証などの機能を提供するプロトコルのことで、現在使われているTLS実装のいくつかは、Bleichenbacher攻撃に対して脆弱であることが報告されている。

TLSでは、暗号文の解読を行うBleichenbacher攻撃が知られており、この対策を実装していない場合、第三者によってTLS暗号化通信データを解読される可能性があるという。対策は基本的にアップデートとなるが、JVN(Japan Vulnerability Notes)のWebサイトが参考になる。

日新火災海上保険、社員により顧客情報が漏えい

日新火災海上保険は12月22日、同社の社員が顧客情報を第三者に漏えいしたことを確認したとし、謝罪文を公開した。火災保険の満期を迎えた人に関する情報を、顧客の許可なく漏えいしていたとのこと。

漏えいが発覚したのは2017年11月1日で、社外から「本件社員が個人情報漏えいを行っている」との通報によって発覚。日新火災海上保険が事実関係を調査したところ、当該社員がこの事実を認めた。

漏えいした情報は最大905契約分で、漏えいした可能性のある保険契約は特定済み。対象となる顧客に対しては郵送にて個別に案内を送付するなどの対処を取る。