4月8日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

マイクロソフト、4月のセキュリティ更新プログラムをリリース

マイクロソフトは4月10日、4月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Adobe Flash Player
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers / Web Apps
  • ChakraCore
  • ASP.NET
  • Microsoft Exchange Server
  • Team Foundation Server
  • Azure DevOps Server
  • Open Enclave SDK
  • Windows Admin Center

脆弱性についてのセキュリティ更新プログラムは、緊急7件、重要6件。修正内容はリモートでコードが実行されるもの、サービス拒否、特権の昇格、情報漏洩、なりすましが含まれる。新規のセキュリティアドバイザリ1件の公開、既存のセキュリティアドバイザリ1件の更新、脆弱性情報4件の更新も行っている。今月の「悪意のあるソフトウェアの削除ツール」には、Win32/Kryptomixに対する定義ファイルが追加された。

修正内容は、3月に確認されていた「Internet Explorer上でカスタム URI スキームからアプリケーションが起動しない問題」が含まれている。

Intel、ファームウェアなどに脆弱性

Intelは4月9日、一部のハードウェアとソフトウェア、およびファームウェアに脆弱性があることを発表した。対象は以下の通り。

  • Intel Media SDK before version 2018 R2.1
  • Intel Graphics Performance Analyzer for Linux version 18.4以前
  • Some Microprocessors with Virtual Memory Mapping
  • Intel Broadwell U i5 vPro before version MYBDWi5v.86A

脆弱性は、Intel Media SDKが重要度「高(High)」の権限の昇格。Intel Graphics Performance Analyzer for Linuxが重要度「中(Medium)」の権限の昇格。Some Microprocessors with Virtual Memory Mappingが重要度「低(Low)」の情報漏洩。Intel Broadwell U i5 vProが、重要度「高(High)」の特権の昇格。

また、Intel NUCのファームウェアにも、重要度「高(High)」の権限の昇格、サービス拒否、情報漏洩などの脆弱性が確認済み。

Some Microprocessors with Virtual Memory Mapping以外は対策済みアップデートが提供されている。

宅ふぁいる便、退会手続きなどが行える特設サイトを開設

オージス総研は、宅ふぁいる便サービスのパスワード確認や退会などが行える特設サイトを開設した。メールアドレスを入力することで認証コードが発行される。特設サイトの提供時間は「9時~17時45分」。

今回の特設サイトは、2019年1月に発生した「宅ふぁいる便」への不正アクセスに対する処置を行うためのもの。宅ふぁいる便を利用する際に登録したパスワードの確認や、退会申し込みの受け付け、宅ふぁいる便ポイントの交換などが実行できる。

Wi-Fiセキュリティ「WPA3」に脆弱性「Dragonblood」

Wi-Fi Allianceは4月10日、Wi-Fiセキュリティ規格「WPA3」に脆弱性があることを発表した。これらの脆弱性は「Dragonblood」と名付けられている。ホームネットワーク向け「WPA3-Personal」の初期実装の一部に影響を与えるとされるが、ソフトによるアップデートを行えば、脆弱性を回避できるとしている。なお、脆弱性の悪用は発表時点では確認されていない。

JVN(Japan Vulnerability Notes)が公開している情報は以下の通り。

  • SAEサイドチャネル攻撃 (CWE-208、CWE-524)、CVE-2019-9494
  • EAP-PWDサイドチャネル攻撃(CWE-524)、CVE-2019-9495
  • SAE confirm 処理においてメッセージの検証が行われない問題(CWE-642)、CVE-2019-9496
  • EAP-PWD リフレクション攻撃(CWE-301)、CVE-2019-9497
  • EAP-PWD Server における EAP-pwd-Commit メッセージの検証不備(CWE-346)、CVE-2019-9498
  • EAP-PWD Peer における EAP-pwd-Commit メッセージの検証不備(CWE-346)、CVE-2019-9499

NHK大阪でフィッシングメールによる個人情報流出

NHKは4月5日、NHK大阪放送局の職員がフィッシングメールにより個人情報が流出した可能性があると発表した。

経緯は、NHK大阪放送局の職員が業務で使用しているスマートフォンに宅配業者を装ったフィッシングメールが届き、それに気付かずアクセスしたところ情報が漏洩した。漏洩したのは、スマートフォンに保存されていた電話番号やメールアドレスなど(外部の人間も含む)。

NHK大阪放送局では、スマートフォンに保存されていた個人情報の所有者と連絡を取り、被害の拡大を防ぐとともに再発防止に努めるとしている。