5月14日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。マイクロソフト製のいくつかのアプリに脆弱性が発覚している。
マイクロソフトのWindows用アプリとインストーラにDLL読み込みの脆弱性
5月17日の時点で、マイクロソフトのWindowsアプリとインストーラに、DLL読み込みに関する脆弱性が存在している。対象となるアプリは以下の通り。
- Microsoft OneDriveと、そのインストーラ
- Skype for Windowsと、そのインストーラ
- Visual Studio Communityのインストーラ
- Visual Studio Codeのインストーラ
これらのアプリには、DLLを読み込む際の検索パスに不備があり、同一ディレクトリ内の特定のDLLファイルを読み込んでしまう。細工されたDLLファイルを読み込んでしまった場合、任意のコードを実行される可能性がある。
対策としては、システムディレクトリへの書き込みは管理者のみ可能とし、通常の操作は標準ユーザーアカウントでのみ行うことなど。本当に必要なときのみ、管理者アカウントを使用する。
IExpressで作成した自己解凍書庫にDLL読み込みの脆弱性
5月17日の時点で、Windowsの標準圧縮ツール「IExpress」で作成した自己解凍書庫に、DLL読み込みに関する脆弱性が確認されている。
DLLを読み込む際の検索パスに不備があり、特定のDLLを読み込んでしまうというもの。これにより、自己解凍書庫ファイルを実行している権限で任意のコードを実行される可能性がある。対策としては、自己解凍書庫ファイルは新たに作成したディレクトリに保存し、解凍する際は不審なファイルがないことを確認すること。
仮想キーボードアプリで個人情報が漏えい
スマートフォン向けキーボードアプリ「ai.type」において、登録情報が漏えいしたことが発覚した。このキーボードアプリは、AndroidとiOSで約4,000万人のユーザーがいるとされている。その中で漏えいしたのはAndroidユーザーの約3,100万人と見られている。
漏えいの原因は、データベースサーバーの安全確保に必要な認証処理に不備があったため。データベースは全部で580GB近くあるとされており、このデータが「MongoDB」上で閲覧可能なままになっていたという。
漏えいした情報は、ユーザーのフルネーム、メールアドレス、位置データ、デバイスのIMSI(国際的モバイル端末加入者識別)番号、IMEI(国際的モバイル端末識別)番号、製造モデル、Androidのバージョン、Googleプロフィールの詳細、アドレス帳の内容。加えて、この仮想キーボードを使って打ち込まれたデータベーステーブルと、そこに保存されたメールアドレスとパスワードなどが含まれる。
OpenPGPとS/MIMEメールクライアントに脆弱性
5月15日の時点で、OpenPGPとS/MIMEをサポートする電子メールクライアントで、メッセージを復号する際に平文メッセージが漏えいする「EFAIL」と呼ばれる脆弱性が確認された。
この脆弱性を用いた攻撃は「CBC/CFB gadget attack」と呼ばれ、攻撃者が細工したコンテンツを挿入した暗号化メールをユーザーのメールクライアントで復号させることにより、平文を送信するためのチャンネルを確立できる。
一部のメールクライアントでは、攻撃者が暗号化されたメールを平文のMIMEパートに含めることも可能になる。この攻撃により、攻撃者は復号に必要な情報を得ることなく暗号化メールから平文を取得することが可能だという。
対策は、メールクライアントとは別のアプリケーションを使って復号すること。ほかにも、メールクライアントにおいてHTMLレンダリングやリモートコンテンツの読み込みを無効化するなどが有効。
「Photoshop CC」に重要度「クリティカル」の脆弱性
アドビシステムズは5月14日、「Photoshop CC」の脆弱性を公開した。対象となるのは、Photoshop CC 19.1.3以前(Windows / MacOS)、Photoshop CC 18.1.3以前(macOS)、Photoshop CC 18.1.2以前(Windows)。
脆弱性を悪用されると、域外のメモリに書き込みが可能になり任意のコードが実行される可能性がある。
すでにアップデートによる対策は行われているので、ヘルプメニューから更新に進み、ソフトを更新すること。重要度は「クリティカル」と高いので、速やかなアップデートが望ましい。
Adobe、AcrobatとReaderの脆弱性対策をリリース
アドビシステムズは5月14日、Adobe AcrobatとReaderに脆弱性を確認し、定例外のセキュリティ更新プログラムを公開した。対象となる製品とバージョンは以下の通り。
- Acrobat DC 2018.011.20038以前(Windows/macOS)
- Acrobat Reader DC 2018.011.20038以前(Windows/macOS)
- Acrobat 2017 2017.011.30079以前(Windows/macOS)
- Acrobat Reader 2017 2017.011.30079以前(Windows/macOS)
- Acrobat DC 2015.006.30417以前(Windows/macOS)
- Acrobat Reader DC 2015.006.30417以前(Windows/macOS)
脆弱性は、任意のコードが実行されたり、情報が開示されたりしてしまうもの。重要度は「クリティカル」と「重要」と高く、悪用された実績も確認されているので、速やかにアップデートすることを呼びかけている。セキュリティ更新プログラムの導入は、ヘルプからアップデートを確認し手動で行う。アップデートが検出されると、自動的にアップデートが開始される。
メニコン子会社でクレジットカード情報が流出
ダブリュ・アイ・システム(販売店名:エースコンタクト)は5月17日、同社運営の会員専用サイト「A-Web(エースウェブ)倶楽部」において、外部からの不正アクセスを受けたことを発表した。これによりクレジットカード情報が流出したとしている。
流出したのは、2017年12月17日~2018年3月27日の期間中に、同サイトでクレジットカード決済をした顧客のクレジットカード情報で、会員名、番号、有効期限など。流出件数は3,412件、不正利用による被害は27名、約668万円(5月2日時点)となっている。
今回の不正アクセスの原因は、Webアプリの脆弱性を利用したもの。現在「A-Web倶楽部」は利用を停止しており、第三者機関による調査も完了。クレジットカード会社には不正利用のモニタリングを依頼している。クレジットカードの明細に不審な点があった場合は、ただちにカード発行会社へ問い合わせるよう注意喚起を行っている。
クレジットカード番号の変更を希望する場合、カードの再発行手数料については、同社がクレジットカード会社に依頼する。なお、メニコングループのほかのサイトは、当該サイトと完全に独立しているので不正アクセスの対象とはなっていない。
