先週のサイバー事件簿 - ロジテック製ルーターは至急ファーム更新を

12月18日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。マルウェア「Mirai」が猛威を振るっているので、注意力を高めておきたい。

Miraiの亜種に注意喚起

2017年11月ごろから、マルウェア「Mirai」の亜種による感染活動が確認されている。感染した場合、攻撃者の遠隔命令によりDoS攻撃などが行われる可能性があるという。

感染している機器にはロジテック製ルーターが多く含まれ、国内でも使用率が高いと思われるので注意が必要だ。HUAWEI製ルーターも標的になっているという。

ロジテックは問題を確認しており、修正済みファームウェアの提供を続けているが、感染が広がっている。引き続きロジテックは、利用者に注意喚起を行うとともに、対策を続けている。

該当する製品のユーザーは、ロジテックが提供している最新ファームウェアをすみやかに適用すること。すでに感染した機器についても、修正済みファームウェアを適用することでMirai亜種は削除される。Mirai亜種の感染に用いられているロジテック製品は以下の通り。

トレンドマイクロは12月20日、標的を定めてサイバー攻撃を実行する「GNATSPY(ナットスパイ)」について注意喚起を行っている。

GNATSPYは、中東で標的型サイバー攻撃を仕掛ける攻撃者集団「APT-C-23(別名:Two-tailed Scorpion)」が用いている、Android端末向け不正アプリ「VAMP(ヴァンプ)」の亜種。VAMPは、画像、テキスト、連絡先、通話履歴などの情報を盗もうとする。

現在のところGNATSPYが拡散する仕組みについて確かなことは分かっておらず、インターネット上でそれほど検出されていないので、特定の法人や個人を標的としているものと考えられている。対策としては、不正アプリや不正Web サイトのブロックに対応した対策ソフトを使用することなど。

12月18日の時点で、オープンソースのWebサーバソフト「H2O」に複数の脆弱性が確認されている。脆弱性を含むのは、H2O version 2.2.2以前、H2O version 2.2.3以前。

放置すると、HTTP/1ヘッダ、HTTP/2ヘッダの処理、アクセスログの出力に起因するDoS攻撃を受けたり、スタックベースのバッファオーバーフローの可能性があるとしている。対策は最新版へアップデートすること。

12月18日の時点で、三菱東京UFJ銀行のMUFGカードを騙るフィッシングメールが確認されている。メールの件名は「重要：必ずお読みください」。

会員、非会員を問わず、不特定多数にフィッシングメールが送られており、MUFGカードのWebサービス利用者登録画面を偽装したサイトへ誘導。クレジットカード情報や個人情報などを盗み出そうとしてくる。フィッシングサイトは稼働と休止を繰り返すのが常なので、メール内のURLはクリックしないように。

12月22日の時点で、ソニービデオ&サウンドプロダクツのファイル管理ツール「Music Center for PC」のインストーラに脆弱性があることが確認されている。影響を受けるバージョンは、Music Center for PC 1.0.01以前。

条件は限定的で、Windows 7環境でインストーラを実行すると、脆弱性を悪用される可能性があるという。この脆弱性はDLL読み込みに関するもので、同一ディレクトリに存在する特定のDLLを読み込んでしまうというもの。

すでにインストールが終わっている場合は問題ないが、これからWindows 7環境でインストールを行う人は最新版のインストーラを使用すること。なお12月18日に別記事で紹介したMusic Center for PCの脆弱性とは別の問題となる。

もうひとつ、ソニー・インタラクティブエンタテインメントの「コンテンツ管理アシスタント for PlayStation」でも、同様の脆弱性が確認されている。これからインストールする場合は最新のインストーラを使用すること。すでにインストールが完了している場合、影響はない。