10月16日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。もっとも大きなトピックは、Wi-Fi(無線LAN)の暗号化、WPA2に脆弱性が確認されたことだろう。

WPA2に複数の脆弱性

現在の無線LAN機器は、その大半がWPA2による暗号化通信を行っている。自宅のネットワーク環境が無線LANのみという人や、街なかのWi-Fiスポットを日ごろから利用している人は多いだろう。今回明らかになった「KRACKs」と呼ばれるWPA2の脆弱性は、無線LAN機器全般に当てはまるが、特にスマホやPCといった「無線LAN子機」に影響が大きい。悪用されると、無線LANの通信範囲に存在する第三者に、無線LAN通信の内容を盗聴される可能性がある。

■WPA2に脆弱性、Wi-Fi対応機器の多くが影響を受ける恐れ、パッチで対応可能
■Wi-FiのWPA2脆弱性「KRACKs」 - 各社の対応は?

対策方法は、使用している機器のメーカーから提供される最新ファームウェア、ソフトウェアのパッチなどを適用することだ。Windowsについては、マイクロソフトからこの脆弱性に対する修正プログラムが10月に公開済みだ。10月20日の時点で、Apple(iOSやmacOS向け)、およびGoogle(Android向け)は、数週間以内のリリースとされている。

自分の使用している機器の対策ソフトウェアがまだ公開されていない場合は、有線LANを使ったり、URLがHTTPSで始まるサイトを利用するといった対策が提示されている。可能な限り、URLがHTTPから始まるサイトでは、個人情報やクレジットカード情報の入力(送信)は避けたほうがよいだろう。

Bluetoothの実装における複数の脆弱性

Bluetoothの実装における複数の脆弱性「BlueBorne」が確認されている。これはWindows、Linux、iOS、Androidといった、OS側におけるBluetooth実装の脆弱性だ。約53億台のBluetooth対応デバイスが影響を受ける可能性があるとされている。

10月18日時点におけるJVN(Japan Vulnerability Notes)の情報では、影響を受ける主な環境は以下の通り。

  • Androidセキュリティパッチレベル 2017年9月を適用していないバージョン
  • Linux Kernel 3.3-rc1以降のバージョン
  • Linux BlueZすべてのバージョン
  • iOS version 9.3.5以前
  • tvOS version 7.2.2以前
  • Windows Vista以降で2017年9月のマイクロソフトセキュリティ更新プログラムを適用していないバージョン

この脆弱性を放置したままBluetoothデバイスを使うと、バッファオーバーフロー、領域外メモリ参照、領域外読込、整数アンダーフロー、中間者攻撃などが行われる可能性がある。対策方法は、各種OS、各種ソフトウェアを最新版にアップデートすること。すでに、Windows、Linux kernel、iOS、Androidでは対策済みだ。その他については、Bluetoothを使用しないことが推奨されている。

ゼロデイ攻撃が見つかる、「Adobe Flash Player」緊急アップデート

「Adobe Flash Player」における未知の脆弱性を悪用したゼロデイ攻撃が発生したと、カスペルスキーが報告。非常に高度なマルウェア「FinSpy」を知らぬ間にインストールされてしまう危険がある。これを受けAdobe Systemsは、脆弱性「CVE-2017-11292」に対応するパッチをリリース。Adobe Flash Playerを利用している場合、すぐさま適用してほしい。影響を受けるのは以下の通り。

  • Adobe Flash Player Desktop Runtime 27.0.0.159以前のWindows版、Mac版、Linux版
  • Adobe Flash Player for Google Chrome 27.0.0.159以前のWindows版、Mac版、Linux版、Chrome OS版
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 27.0.0.130以前のWindows 10版、Windows 8.1版

Flash Playerは、2020年の年末にアップデートと配布が終了する予定であることを、Adobe Systemsが明らかにしている。Webの世界でも、Flashコンテンツは数を減らしており、代わってHTML5やWebGLといったプラットフォームが成熟してきた。無用な攻撃を受けないためにも、WebブラウザのFlash Playerは無効化しておくとよいだろう。

■Adobe Flash Playerを無効にする - IE&Edge編
■Adobe Flash Playerを無効にする - Firefox&Chrome編

パナソニック、ホームユニット「KX-HJB1000」に複数の脆弱性

パナソニック製のホームユニット「KX-HJB1000」に複数の脆弱性が確認されている。「KX-HJB1000」は、ホームネットワーク内の機器を制御するための製品。

影響を受けるのは、ファームウェアがGHX1YG 14.50とHJB1000_4.47以前のバージョン。放置すると、悪意ある第三者による製品の管理画面閲覧、特定ディレクトリ内にあるファイルの削除、データベース情報の取得・改ざん、といった危険性がある。対策方法は最新版へアップデートすること。