6月29日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
IoT機器に深刻な影響をもたらす脆弱性群「Ripple20」
イスラエルのサイバーセキュリティ企業JSOFは、「Ripple20」と呼ばれる脆弱性群についての情報を公開した。Ripple20は、1990年代後半のTreck製ソフトに起因。軽量のTCP/IPスタックを実装しており、TCP/IP接続を介して企業のデバイスやソフトをインターネットに接続できるようにする。
このソフトウェアは古くから使われ、様々なメーカーが採用していることから影響範囲が大きく、その数は数百万台のIoT機器に及ぶという。例えば、医療、石油、ガス、輸送、電力、製造業といった社会インフラで使われている場合、被害が深刻になる可能性もある。
Ripple20はハッキング可能な19個の欠陥からなる脆弱性群で、悪用に成功した場合任意のコード実行が可能になる。この中にはDNSプロトコルの脆弱性が存在し、インターネットに接続していないデバイスへの攻撃に使われる可能性もある。
対策としては、Treckが提供しているセキュリティ更新の導入が最重要。場合によってはデバイスの交換を検討したほうがよいだろう。
ネットギアの製品にバッファオーバーフローの脆弱性
ネットギアが販売する複数のネットワーク製品に脆弱性が見つかった。対象の製品とバージョンは以下の通り。
- AC1450
- D6220 / D6300 / D6400 / D7000v2 /D8500
- DC112A
- DGN2200 / DGN2200M / DGN2200v4 / DGND3700
- EX3700 / EX3800 / EX3920 / EX6000 / EX6100 / EX6120 / EX6130 / EX6150 / EX6200 / EX6920 / EX7000
- LG2200D
- MBM621 / MBR1200 / MBR1515 / MBR1516 / MBR624GU / MBRN3000 / MVBR1210C
- R4500 / R6200 / R6200v2 / R6250 / R6300 / R6300v2 / R6400 / R6400v2 / R6700 / R6700v3 / R6900 / R6900P / R7000 / R7000P / R7100LG / R7300 / R7850 / R7900 / R8000 / R8300 / R8500
- RS400
- WGR614v10 / WGR614v8 / WGR614v9 / WGT624v4
- WN2500RP / WN2500RPv2 / WN3000RP / WN3100RP / WN3500RP
- WNCE3001
- WNDR3300 / WNDR3300v2 / WNDR3400 / WNDR3400v2 / WNDR3400v3 / WNDR3700v3 / WNDR4000 / WNDR4500 / WNDR4500v2
- WNR1000v3 / WNR2000v2 / WNR3500 / WNR3500L / WNR3500Lv2 / WNR3500v2 / WNR834Bv2
- XR300
脆弱性はバッファオーバーフロー。製品管理を目的として組み込まれたWebサーバーにおいて、httpdがroot権限で動作していたり、バッファオーバーフロー対策のStack cookieが使われていないなどの要因から、攻撃者がroot権限を使って任意のコードを実行する可能性があるという。すでに一部の機器においては、この脆弱性の実証コードが公開されているので注意が必要だ。
対策は早急にファームウェアのアップデートを行うこと。該当する製品を使っている場合、すみやかに対処してほしい。
マイクロソフト、Windows Codecs Libraryに脆弱性
マイクロソフト6月30日、「Microsoft Windows Codecs Library」に脆弱性があることを明らかにした。対象のバージョンは以下の通り。
- Windows 10 Version 1709 for 32bit / ARM64-based / x64-based
- Windows 10 Version 1803 for 32bit / ARM64-based / x64-based
- Windows 10 Version 1809 for 32bit / ARM64-based / x64-based
- Windows 10 Version 1903 for 32bit / ARM64-based / x64-based
- Windows 10 Version 1909 for 32bit / ARM64-based / x64-based
- Windows 10 Version 2004 for 32bit / ARM64-based / x64-based
脆弱性は2つ存在し、ともにリモートからのコード実行となる。深刻度が「緊急」と「重要」と高いものの、悪用の可能性は低く、現段階では悪用の実績もないという。アップデートはMicrosoft Storeを通じて自動的に行われる。
Mozilla、脆弱性を修正した最新バージョン「Firefox 78」
Mozilla Foundationは6月30日、Firefoxの最新バージョン「78」を公開した。今回のアップデートでは、セキュリティ関連13件を修正している。
内訳は、高7件、中4件、低2件。「高」での脆弱性は、URLエンコードした文字処理によるAppCacheマニフェストポイズニング、WebRTC VideoBroadcasterでの解放後使用、ARM64におけるValueTagの符号拡張の欠落によるメモリ破損など。
新機能も追加しており、プライバシー保護ダッシュボードに「トラッキング保護」「データ漏洩」「パスワード管理」を統合したレポートを表示するようになった。
「道具屋さん本店」への不正アクセスでクレジットカード情報流出
エース産業機器は6月30日、同社が運営する「道具屋さん本店」が不正アクセスを受け、個人情報が流出したことを明らかにした。
流出の経緯は、2月5日にクレジットカード会社からクレジットカード情報の漏洩の連絡を受け発覚。同日、クレジットカード決済を停止した。不正アクセスはシステムの脆弱性をついたペイメントアプリケーションの改ざんによるもの。
調査の結果、2019年9月10日~2020年2月5日の期間に、「道具屋さん本店」で商品を購入した人のクレジットカード情報が流出していた。流出件数は82件で、詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。一部のクレジットカードは、不正利用も行われていたという。
同社は、個人情報が流出した可能性のある顧客に対して電子メールでお詫びとお知らせを送信。顧客には、クレジットカードの利用明細に不審な項目がないかチェックするよう呼びかけている。
