5月21日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。今週の大きな話題は、一部のメーカー製Androidデバイスに、出荷時からマルウェアがプリインストールされているというものだ。

出荷状態のAndroidデバイスにマルウェアがプリインストールされている可能性

Avast Softwareは5月25日、複数のAndroidデバイスにマルウェアがプリインストールされている可能性があると発表した。対象となるのは、ZTE、Archos、myPhoneなどのメーカーが提供するAndroidデバイスで、Googleによる認証を取得していないモデルだという。

今回、ブラウザでWebページにオーバーレイ広告を作成するアドウェア「Cosiloon」が確認されたもので、少なくとも3年間以上の活動期間、数百種類の対象モデルで見つかっている。過去1カ月間においては、「Cosiloon」の最新版が100カ国以上約18,000台で発見された。

問題を引き起こしているのは、ドロッパーのペイロード。ドロッパーはトロイの木馬に分類され、特定のタイミングで不正コードを投下する。問題のドロッパーがどのような経緯で実装されたのかについては判明していない。

このドロッパーはファームウェアレベルでインストールされているため消去が困難で、攻撃によってはスパイウェアやランサムウェアなどをダウンロードされてしまうこともあり得る。しかも、セキュリティ対策アプリでインストールされているアドウェアの検知やアンインストールは行えるものの、ドロッパーそのものの無効化はできないという。

今のところ有効なのは「Google Playプロテクト」で、設定画面から「CrashService」「ImeMess」「Terminal」の名称が付けられたドロッパーを見つけ、アプリページで無効化すること。なお、AvastからGoogleへは報告済みとなっており、Googleは対応に乗り出しているそうだ。

「Spectre」と「Meltdown」に類似したキャッシュサイドチャネルの脆弱性

モダンCPUが抱える脆弱性「Spectre」と「Meltdown」に類似した、新たな脆弱性2件が確認されている。投機的実行機能を持つCPUにおいてキャッシュサイドチャネル攻撃が可能となるもので、1つは「Variant 3a」、もう1つは「Variant 4」(SpectreNG)と呼ばれている。

Intel、AMD、ARMベースのCPUに影響があるが、各ベンダーによる対策も着々と進んでいる。より詳しい情報は別記事『Spectre/Meltdownに続くCPU脆弱性、GoogleとMSが「Variant 4」公表』を参照いただきたい。

ネットワーク機器に感染する「VPNFilter」が50万台に拡散

ネットワーク機器に感染するモジュラー型のマルウェア「VPNFilter」が確認されている。「VPNFilter」は、モジュール化されたフレームワークと複数のステージを持っており、感染機器は54カ国50万台にのぼるなど、広範囲にわたって影響を及ぼしている。

攻撃対象となっているのは、Linksys、MikroTik、NETGEAR、TP-Linkといったベンダーのネットワーク機器で、QNAP製NASなども含まれている。感染原因は特定されていないが、未解決の脆弱性を突いたものと見られている。

SusieプラグインにDLL読み込みの脆弱性

画像ビューワー「Susie」のプラグイン「axpdfium」にDLL読み込みの脆弱性が確認された。対象となるバージョンは、axpdfium v0.01。

脆弱性は、検索パスに関する処理に不備があり、意図しないDLLを読み込んでしまうというもので、任意のコードを実行される可能性がある。対策バージョンはすでに提供されているので、利用している人はアップデートを行うこと。対策バージョンは、axpdifum v0.02となる。

サイボウズ Office 10とメールワイズに複数の脆弱性

サイボウズは、サイボウズ Officeにおいて脆弱性があることを公開。対象となるのは、サイボウズ Office バージョン 10.7以前、サイボウズ Office バージョン 10.8以前。また、サイボウズ メールワイズ 5.4.5についても脆弱性を確認している。

サイボウズ Office バージョン 10.7以前では、深刻度「警告」の脆弱性として、HTMLメールに関するクロスサイトスクリプティング、メッセージに関する情報漏えい、スケジュールに関する閲覧制限回避、添付ファイルに関するサービス運用妨害、などが確認されている。深刻度「注意」では、Myグループに関する閲覧制限回避、ワークフローに関する閲覧制限回避なども確認された。

サイボウズ Office バージョン 10.8以前では、深刻度「警告」の脆弱性として、報告書に関するクロスサイトスクリプティング、スケジュールに関する閲覧制限回避、掲示板に関する操作制限回避などの脆弱性が確認されている。

サイボウズ メールワイズ 5.4.1以前では、深刻度「警告」の脆弱性として、メールに関するクロスサイトスクリプティング、システム設定に関するクロスサイトスクリプティング、アドレス帳に関するクロスサイトスクリプティングが確認されている。

ともに対策バージョンはリリースされているので、使用している場合は早急に最新バージョンへとアップデートを行うこと。

D-Link製のルータ「DIR-620」に複数の脆弱性

5月24日の時点で、D-Link製のルータ「DIR-620」に、複数の脆弱性があることが確認されている。脆弱性はKasperskyが報告しており、OSコマンドインジェクション、ハードコードされているtelnetのアカウント情報の取得、クロスサイトスクリプティングなど。管理者権限でルータにアクセスされる可能性がある。

すでにサポートは終了しているとのことから、この脆弱性への対策は行われないとのこと。該当するルータを所持している場合は、早急に交換、買い替えなどを検討のこと。