1月8日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。先週に引き続き、各メーカーによる「Meltdown」と「Spectre」対策が継続している。マイクロソフトのサイドチャネル攻撃向けのガイダンスなどは目を通しておきたい。

確定申告をネットで行っている人は、「e-Taxソフト(Web版)」の脆弱性にも注意しよう。古いバージョンの事前準備セットアップのインストーラーに問題があるので、今年は最新のインストーラーをダウンロードして使用すること。

マイクロソフト、1月の月例セキュリティ更新プログラムを公開

マイクロソフトは1月10日、1月のセキュリティ更新プログラムを公開した。Excel用のDDEプロトコルを無効にするオプションなども追加されている。公開された更新プログラムの対象は以下の通り。

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • SQL Server
  • ChakraCore
  • .NET Framework
  • .NET Core
  • ASP.NET Core
  • Adobe Flash Player

新規のセキュリティアドバイザリは3件を公開し、既存のセキュリティアドバイザリ1件を更新。脆弱性については、緊急6件、重要7件が含まれている。

定例外として1月4日の時点で、Windows、ブラウザ、SQLのセキュリティ更新プログラムを、アドバイザリ ADV180002にて公開済み。投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス、および関連するセキュリティ更新プログラムを公開している。詳細は以下の通り。

  • 4073119 投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向けWindows クライアント ガイダンス
  • 4073225 投機的実行サイドチャネルの脆弱性を予防するための SQL Server ガイダンス
  • 4073065 Surface Guidance to protect against speculative execution side-channel vulnerabilities
  • 4073235 投機的実行サイドチャネルの脆弱性からのMicrosoftクラウドの保護
  • 4072698 Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス

有料SMSサービスに登録するAndroid端末用不正アプリ

トレンドマイクロは1月11日、プログラミング言語「Kotlin」で開発されたAndroid向け不正アプリを確認した。「Kotlin」は、マルチプラットフォーム向けアプリケーション開発のためのオープンソースのプログラミング言語。この言語で開発された不正アプリは初の確認となる。

不正アプリは「Swift Cleaner」という名称で、不要なデータを削除して端末を最適化するユーティリティツールに偽装している。1月9日の時点で、すでに1,000~5,000回のインストールが確認されており、遠隔からのコマンド実行や情報の窃取などが行われる可能性があるという。そのほかにも、SMSなどの送信、URLの転送、広告クリック詐欺などを行われる危険も。ユーザーの許可なしに有料のSMSサービスに登録する機能も備えている。

被害を回避するためには、不正/迷惑アプリの検出や、不正Webサイトのブロック機能を搭載するセキュリティソフトの導入などが効果的だ。Googleではこの不正アプリに対して、Googleのセキュリティサービス「Play プロテクト」が有効であるとしている。

e-Taxソフト(Web版)の事前準備セットアップのインストーラーに脆弱性

国税庁は1月9日、e-Taxソフト(Web版)の事前準備セットアップのインストーラーに、DLL読み込みに関する脆弱性が存在することを確認した。影響を受けるのは、e-Taxソフト(Web版)事前準備セットアップ バージョン1.17.1以前のインストーラー。これは2018年1月4日以前に、国税庁Webサイトで公開されていたもの。

この脆弱性は、以前にバージョン1.17.0でも確認されていたもの。バージョン1.17.1で一度修正が行われたが、十分ではないことが判明。脆弱性があるバージョンを1.17.1まで拡大して注意喚起を行っている。脆弱性を放置しておくと、インストーラーの実行権限で、任意のコードを実行される可能性がある。

対策は、2018年1月4日にこの脆弱性対策を施したバージョンがリリースされているので、これを使用すること。古いバージョンのインストーラーを所持している場合は、使用せず削除することを推奨している。

Apple、脆弱性に対するアップデートを実施

Appleは1月9日、MacやiOS製品などのアップデートを公開した。対象となるのは、iOS 11.2.2以前、Safari 11.0.2以前、macOS High Sierra 10.13.2。

今回のアップデートは、投機的実行機能を持つCPUへのサイドチャネル攻撃、いわゆる「Meltdown」と「Spectre」に対してのもの。先週「Spectre」対策としてSafariのアップデートを行うことを予告していたが、それが実装された形だ。速やかにアップデートしておきたい。対策済みバージョンは以下の通り。

  • OS X El Capitan 10.11.6向けのSafariが11.0.2 (11604.4.7.1.6)
  • macOS Sierra 10.12.6向けのSafariが11.0.2 (12604.4.7.1.6)
  • macOS High Sierra 10.13.2向けのSafariが11.0.2 (13604.4.7.1.6)、もしくは 11.0.2 (13604.4.7.10.6)

Lhaplusに検証不備の脆弱性

1月11日の時点で、ファイルの圧縮・展開を行うソフト「Lhaplus」に、検証不備の脆弱性が確認されている。対象バージョンは、Lhaplus Version 1.73以前。

Lhaplusを使ってZIP64形式のファイル展開を行う場合、展開ファイルの検証をしないというもの。細工されたZIP64形式のファイルを展開してしまうと、ユーザーの意図しないファイルが生成される可能性がある。

すでに対策済みの最新版がリリースされているので、対策は最新版へアップデートすること。対策版のバージョンは、Lhaplus Version 1.74。

ローソン HMV エンタテイメント、他人のチケット購入情報を掲出してしまう設定ミス

ローソン HMV エンタテイメントは1月7日、同社がチケットの販売受託を行う「FIBAバスケットボールワールドカップ 2019 アジア地区 1次予選」の先々行受付において、Webサイト内の購入確認ページ(マイページ)に、他の人のチケット購入情報が並べて掲出されてしまうことを発表した。

これは、2月22日に横浜国際プールで開催される試合のもので、「川崎ブレイブサンダース」と「横浜ビー・コルセアーズ」のファンクラブ会員限定で販売されるチケット。発生原因は設定ミスによるものだという。

掲出されたチケット購入情報は、予約番号、座席情報、申込み時の電話番号など。掲出情報を閲覧した顧客数は最大95人で、誤った掲出期間に閲覧された可能性がある購入者情報は最大227件となる。

すでに、受付専用サイト内にあるチケット購入確認ページは削除されており、他の顧客情報が閲覧できないように設定を変更している。