11月13日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。今週はマイクロソフトの月例セキュリティ更新プログラムが公開された。WebブラウザにInternet ExplorerやEdgeを使用しているならすぐに更新しておきたいところ。更新は、「スタートメニュー」「設定」「更新とセキュリティ」で確認できる。

マイクロソフト、11月の月例セキュリティ更新プログラムを公開

マイクロソフトは11月15日、11月のセキュリティ更新プログラム(月例)を公開した。公開されたセキュリティ更新プログラムは以下のソフトに対するもの。できるだけ早期に、セキュリティ更新プログラムを適用するよう推奨している。

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office、Microsoft Office Services and Web Apps
  • ASP.NET Core、.NET Core
  • Chakra Core

新規のセキュリティアドバイザリでは、「TPM のセキュリティ機能のバイパスの脆弱性」について公開している。これは、特定のTPMチップセットにキーの強度を弱めるファームウェアの脆弱性があるというもの。脆弱性の解消には、ソフトウェアやファームウェアの更新プログラムをインストールしたあとに、TPMキーをクリアして実行中のセキュリティサービスに再登録する必要がある。

ほか、今月の「悪意のあるソフトウェアの削除ツール」に、Win32/Wingbirdに対する定義ファイルも追加された。

バックドア型マルウェア「DASERFDASERF」に注意

トレンドマイクロセキュリティブログによると、サイバー攻撃集団「REDBALDKNIGHT(別名:BRONZE BUTLER、Tick)」による攻撃が活発化。「REDBALDKNIGHT」は主に日本の法人を対象として諜報活動を実行しており、標的はバイオテクノロジー企業、電子機器製造企業、工業化学企業などが含まれる。

「REDBALDKNIGHT」の攻撃にはバックドア型マルウェア「DASERF(別名:Muirim、Nioupale)」が利用されている。「DASERF」は、シェルコマンドの実行、情報のダウンロード/アップロード、スクリーンショットの取得、キー入力情報の記録といった4つの機能を備える。中には「ステガノグラフィ」を利用する亜種も確認済み。

攻撃のおとり文書は、日本の文書作成ソフト「一太郎」で作成されており、侵入方法として標的型メールを利用。ユーザーが文書ファイルを開くと、感染PCに「DASERF」がインストール、実行される。

対象PCにダウンローダをインストールしたあとは、改ざんされたWebサイトから「DASERF 」を取得し、「DASERF」は別の改ざんWebサイトに接続。JPGやGIFのような画像ファイルをダウンロードする。こうした攻撃用の画像ファイルには、暗号化したバックドア設定やハッキングツールなどが埋め込まれている。

Microsoft Officeの数式エディタにバッファオーバーフローの脆弱性

11月16日の時点で、Microsoft Officeに付属するコンポーネントの数式エディタに、バッファオーバーフローの脆弱性が確認されている。対策を怠ると、細工されたOffice文書を閲覧した場合に、任意のコードが実行される可能性がある。影響を受けるのは以下。

  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2(32-bit edition / 64-bit edition)
  • Microsoft Office 2013 Service Pack 1 (32-bit edition / 64-bit edition)
  • Microsoft Office 2016 (32-bit edition / 64-bit edition)

Windows 10環境の場合、 システムレベルでASLR設定ができないので、対策を行う必要がある。Windows 7ユーザーで、システムレベルでEMETのASLRを「常にオン」に設定している場合は脆弱性は発生しないという。

対策方法は最新版へアップデートすること。EMET、もしくはWindows Defender Exploit Guardを、eqnedt32.exeに適用すること。数式エディタを無効化すること。なお、数式エディタを無効にするには、レジストリ設定が必要。

ブックウォーカー、マンガアプリ「BOOK☆WALKER」に脆弱性を確認

ブックウォーカーは11月13日、Windows用アプリ「BOOK☆WALKER for Windows」バージョン1.2.9以前と、Mac用アプリ「BOOK☆WALKER for Mac」バージョン1.2.5以前に、脆弱性があることを発表した。

この脆弱性は、インストーラー実行時に悪意のあるDLLファイルが特定フォルダに配置されていると、読み込まれてしまう可能性があるというもの(Windows版のみ)。また、悪意のあるEPUBファイルを開いた際に、攻撃者が指定したローカルファイルを外部に送信できる可能性もあるという(Windows版 / Mac版共通)。

対策方法は、それぞれ最新版へとアップデートすること。最新バージョンは、「BOOK☆WALKER for Windows バージョン1.2.10」、「BOOK☆WALKER for Mac バージョン1.2.6」となる。なお、iOSアプリ、Androidアプリ、ブラウザビューアに脆弱性は存在しない。

Adobe Flash Playerの脆弱性

11月15日の時点で、アドビシステムズ「Adobe Flash Player」に新たな脆弱性が確認されている。悪用されると、Webサイトの閲覧によってDoS攻撃や任意のコード実行、攻撃意図を持つ者にPCの制御を奪われたりと、様々な被害が発生する可能性がある。対象となるのは以下。

  • Adobe Flash Player Desktop Runtime 27.0.0.183以前(Windows、Mac、Linux)
  • Adobe Flash Player for Google Chrom 27.0.0.183以前(Windows、Mac、Linux、Chrome OS)
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 27.0.0.183以前(Windows 8.1 / 10)

対策は、まずAdobe Flash Playerがインストールされているかを確認。複数のブラウザを使用している場合は、それぞれのブラウザでチェック。インストールされているようなら、Adobe Flash Playerの最新版をインストールすること。

また、どうしても必要な場合を除いて、各ブラウザでAdobe Flash Playerを無効化しておくのもおすすめだ。Adobe Flash Playerは、2020年の年末でアップデートと配布が終了する予定である。

■Adobe Flash Playerを無効にする - IE&Edge編
■Adobe Flash Playerを無効にする - Firefox&Chrome編