3月26日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。ルータのDNS設定を書き換える攻撃が国内で確認された。この攻撃は2012年ごろから散発的に確認されており、今回確認されたのも似たようなケースとなる。

ルータのDNS設定を書き換える攻撃を確認

2018年3月ごろから、ルータのDNS設定を書き換える攻撃が確認されている。この攻撃は、DNS設定を書き換えることで不正サイトへ誘導し、Android端末向けの不正アプリを強制的にダウンロードさせるというもの。不正アプリは「Facebook 拡張ツールバッグ」を偽装し、実行されるとデバイス管理者の権限を要求。情報を窃取しようとする。

今回の攻撃は、どのような方法でルータが侵害されたか、正確なところはまだ不明。だが、ルータの脆弱性を放置していたり、管理機能への認証情報を初期状態のまま使用している場合は、ルータが乗っ取られる可能性が高い。

ルータの脆弱性を確認しつつ、ファームウェアは最新の状態に更新し、IDとパスワードは初期状態から変更する。こうした基本的なことをするだけでも十分対策として機能する。少しでも「おかしい」と感じたら、そして定期的に、ルータのDNS設定を確認しておきたい。もし不審なIPアドレスが指定されている場合は、ルータを初期状態に戻すことで復旧できるだろう。

バッファロー、無線LANルータ「WZR-1750DHP2」に複数の脆弱性

バッファローは3月28日、同社の無線LANルータ「WZR-1750DHP2」に複数の脆弱性があることを公開した。影響を受けるのは、「WZR-1750DHP2」のファームウェア Ver.2.30以前。

脆弱性は、認証回避、バッファオーバーフロー、OSコマンドインジェクション。第三者により任意のコマンドを実行されたり、サービス運用妨害(DoS)攻撃を受ける可能性がある。

最新ファームウェアがリリースされているので、対策はファームウェアのアップデートを行うこと。対策済みファームウェアのバージョンはVer.2.31以降となる。

コンテンツマネジメントシステム「Drupal」に脆弱性

3月29日の時点で、オープンソースのコンテンツマネジメントシステム「Drupal」に脆弱性が確認されている。対象バージョンは、Drupal 8.5.1以前、Drupal 7.58以前。すでにサポートが終了している Drupal 6シリーズや、Drupal 8.4シリーズ以前も対象となる。

脆弱性は、リモートから任意のコードが実行可能となるもので、第三者により非公開データが窃取されたり、システムデータが改変される可能性がある。対策は修正済みのバージョンを適用すること。提供されているバージョンは以下の通り。

  • Drupal 8.5.1
  • Drupal 7.58
  • Drupal 8.4.6
  • Drupal 8.3.9

サポート対象外の Drupal 8.3系とDrupal 8.4系に対しては、一時的な回避策として修正バージョンを提供。あくまで一時的な処置なので、早急に脆弱性対策済みのバージョンへの適用を推奨している。

Safariにスクリプトインジェクションの脆弱性

3月30日の時点で、AppleのWebブラウザ「Safari」に脆弱性が確認されている。影響を受けるのは、Safari version 11.0.2以前。

脆弱性は、サーバ証明書エラーの表示処理のスクリプトインジェクション。Safariではサーバ証明書の検証でエラーとなった際、アクセス時に使われたドメイン名を表示するエラーページに飛ばされる。これを利用して細工されたドメイン名のサイトに誘導。不正なエラーページを通じてスクリプトが実行される可能性がある。

対策方法は、Safariを最新バージョンにアップデートすること。対策バージョンはSafari 11.1以降。

Apple、複数の製品における脆弱性のアップデートを提供

Appleは3月30日、同社製品の最新版アップデートを公開した。対象となるのは以下の通り。

  • iCloud for Windows 7.4以前
  • Safari 11.1以前
  • macOS High Sierra 10.13.4以前
  • macOS Sierra (Security Update 2018-002 未適用)
  • OS X El Capitan (Security Update 2018-002 未適用)
  • iTunes 12.7.4 for Windows以前
  • Xcode 9.3以前
  • tvOS 11.3以前
  • watchOS 4.3以前
  • iOS 11.3以前

脆弱性は、任意のコード実行、スクリプト実行、アドレスバー偽装、サービス運用妨害(DoS)、遠隔からのデバイスの再起動など。対象製品を使用している場合は、早急に最新版へとアップデートを行うこと。

ISPを巻き込んで感染を広げる監視マルウェア「FinFisher」

3月27日現在、「FinFisher(フィンフィッシャー)」の活動が活発化している。FinFisherは「FinSpy」として知られるスパイウェア。Webカメラなどによるライブ監視、キーロガー、ファイルの抽出などの機能を備えている。特徴的なのは、まだ仮定ではあるものの、ISP(インターネットサービスプロバイダー)などの中間者が拡散経路になっているということだ。

本当にISP経由で拡散しているするとなると対策や予防は非常に難しい。ユーザーは正規のリンクに飛んだつもりでも、それが実は不正なリンクな場合があるからだ。アプリをダウンロードしようとして、気付かないうちにFinFisherが埋め込まれたアプリをダウンロードさせられているケースなどもあるという。そして、アプリインストール時にFinFisherに感染し被害が広まるといった寸法だ。

拡散に悪用されているアプリでFinFisherが確認されているのは、WhatsApp、Skype、Avast、WinRAR、VLC Playerなど。中間者が経路になっている場合、ユーザーができる対策は少ない。FinFisherを検知できるセキュリティソフトを導入するのが今のところ最善手となるだろう。