4月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。日本郵便に偽装した詐欺サイトの案件が目立った。iPhone Xなどの高価な端末が、アンケートに答えると安く購入できるなどと誘い、情報を窃取しようとするのだ。入力する情報にはクレジットカード番号などが含まれている。

詐欺サイトもそうだが、あまりにも安い価格で商品を並べる通販サイトにも注意が必要だろう。こうしたサイトが詐欺かどうかを判別するには、支払い方法を確認するとよい。代引き支払いがない場合は要警戒だ。

日本郵便を偽装した当選詐欺サイトに注意

4月2日ごろから、日本郵便を偽装する不審サイトが確認されている。このサイトへのアクセスは、1週間で2,500件超にも達していたというので注意が必要だ。

この不審サイトは、いわゆる当選詐欺サイトで、高額のスマートフォンが当選したと騙ってクレジットカード情報などを窃取するのを目的としている。釣り餌となっているのは、iPhone XやGalaxy S8などの最新スマートフォン。これらの端末が「100円」で買えるかのように記載され、残り数を表示してユーザーの焦りを誘ってすぐに購入させようとする。

もし、クレジットカードの情報などを入力するとどうなるか。なんと毎月、8,900円もの金額が自動で引き落とされるようになるという。加えて、クレジットカードが不正に使用される可能性もある。この不正サイトは、不正広告から誘導されている。甘い話には必ず裏があるので、「罠」に引っかからないようにしたい。

仮想通貨「Monero」を発掘するAndroid向け不正アプリ「HIDDENMINER」

仮想通貨「Monero」を発掘するAndroid端末向けの不正アプリ「HIDDENMINER」が確認されている。管理者権限を悪用し、仮想通貨「Monero」の発掘を行う。端末のリソースを消費し尽くすまで発掘を続けるため、発熱などによって端末が物理的に損傷する可能性もある。感染した場合、今のところ発掘活動を停止する機能は確認されていない。

HIDDENMINERは、サードパーティーのアプリストアから拡散したとみられ、Google Playの正規アプリの更新に偽装。管理者権限を要求し、許可されるまでポップアップを続ける。ここで根負けして許可してしまうと、バックグラウンドで「Monero」の発掘が始まってしまう。また、自身を隠ぺいするため、検出や自動解析を回避するアンチエミュレータ機能も備えている。

削除するには管理者権限の無効化が必要だが、削除しようとすると端末の画面をロックしてしまう。Android 7.0以降であれば、アプリに与えられる管理者権限が制限されているので問題ないが、それ以前のバージョンだと端末操作だけでは削除できない可能性が高いという。

OpenSSLに複数の脆弱性

4月3日の時点で、暗号化通信に使われる「OpenSSL」に複数の脆弱性が確認された。影響を受けるのはOpenSSL 1.0.2とOpenSSL 1.1.0。脆弱性は2つで、深刻度は「中」と「低」。脆弱性を放置すると、サービス運用妨害(DoS)攻撃を受ける可能性があるとしている。

対策方法は最新版へとアップデートすること。それぞれの最新バージョンは、OpenSSL 1.0.2o、OpenSSL 1.1.0hとなる。

Microsoft Malware Protection Engineにモートでコードが実行される脆弱性

マイクロソフトは4月3日、「Microsoft Malware Protection Engine」に脆弱性があると発表した。影響を受けるのは、Microsoft Exchange Server 2013 / 2016、Microsoft Forefront Endpoint Protection 2010、Microsoft Security Essentials、Windows Defender、Windows Intune Endpoint Protectionなど。

脆弱性は、「Microsoft Malware Protection Engine」が細工されたファイルを適切にスキャンせず、メモリの破損が発生した場合に発生する。悪用されると任意のコードを実行され、システムを乗っ取られる可能性があるという。

深刻度は「緊急」と高く、すでに対策は実施済み。更新プログラムの自動検出などが行われていれば、更新プログラムのリリース後48時間以内に適用される。

Cisco Smart Install Clientを悪用する攻撃に注意

4月5日の時点で、Cisco製スイッチにおけるプラグアンドプレイ設定とイメージ管理のための機能「Cisco Smart Install Client」に脆弱性が確認されている。

影響を受けるのは、Cisco Smart Install Client機能が有効になっている「Cisco IOS」と、Cisco Smart Install Client機能が有効になっている「Cisco IOS XE」。同社によると、この問題を悪用するCisco製スイッチに対する攻撃が確認されているという。

対策としては、提供されている対策済みバージョンを適用すること。そのほかにも、Cisco Smart Install Client機能を使用しない場合は機能を無効にすることで対処可能。外部からの通信を制限する機能を使用している場合は、必要最小限のIPアドレスからの通信のみ許可するよう設定する、など。