7月9日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。NECのモバイルルータなど、3製品に脆弱性が確認された。いずれもOSコマンドインジェクションが含まれており、放置していると第三者によって任意のコマンドやコードが実行される可能性がある。該当機器を持っている人は早急にファームをアップデートしておこう。
NEC、複数のネットワーク製品に脆弱性
7月12日の時点で、NECプラットフォームズのネットワーク製品に脆弱性が確認されている。対象製品は以下の通り。
- ネットワークカメラ「Aterm HC100RC」ファームウェア Ver1.0.1以前
- ポータブルルータ「Aterm W300P」ファームウェア Ver1.0.13以前
- 無線LANルータ「Aterm WG1200HP」ファームウェア Ver1.0.31以前
脆弱性は、OSコマンドインジェクションとバッファオーバーフローなどで、管理者権限でアクセス可能な第三者により任意のコマンドやコードを実行される可能性がある。すでに最新の対策済みファームウェアは提供されているので、早急にファームウェアのアップデートを行うこと。
マイクロソフト、7月のセキュリティ更新プログラム
マイクロソフトは7月11日、7月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通りで、できるだけ早期にセキュリティ更新プログラムを適用するよう呼びかけている。
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Servers および Web Apps
- ChakraCore
- Adobe Flash Player
- .NET Framework
- ASP.NET
- Microsoft Research JavaScript Cryptography Library
- Skype for Business and Microsoft Lync
- Visual Studio
- Microsoft Wireless Display Adapter V2 Software
- PowerShell Editor Services
- PowerShell Extension for Visual Studio Code
- Web Customizations for Active Directory Federation Services
脆弱性についてのセキュリティ更新プログラムは、緊急5件、重要13件で、脆弱性の内容はリモートでコードが実行されるものと、特権の昇格が含まれる。
このほかにも、新規セキュリティアドバイザリ1件を公開、既存のセキュリティアドバイザリ4件を更新、既存の脆弱性情報1件を更新している。今月の「悪意のあるソフトウェアの削除ツール」に追加はない。
Windows Server 2008についてだが、8月以降ロールアップモデルに移行する予定。9月に提供されるセキュリティ更新プログラムは、ロールアップモデルが対象となることを覚えておこう。
また、2018年7月31日には、EMET(Enhanced Mitigation Experience Toolkit)のサポートライフサイクルが終了する。以降、EMETに関するサポートやセキュリティ更新プログラムの提供予定はない。マイクロソフトは、Windows 10の最新バージョンを導入することを推奨している。
Apple、複数の製品における脆弱性のアップデートをリリース
Appleは7月10日、同社製品の最新版アップデートを公開した。対象となるソフトのは以下の通り。
- iTunes 12.8 for Windows以前
- iCloud for Windows 7.6以前
- Safari 11.1.2以前
- macOS High Sierra 10.13.6以前
- macOS Sierra (Security Update 2018-004 未適用)
- OS X El Capitan (Security Update 2018-004 未適用)
- watchOS 4.3.2以前
- tvOS 11.4.1以前
- iOS 11.4.1以前
脆弱性は、情報漏えい、サービス運用妨害(DoS)、権限昇格、アドレスバー偽装、任意のコード実行、投機的実行処理のサイドチャネルによるデータ推測など。対象製品を使用している場合は、早急に最新版へとアップデートを行うこと。
Apple、Boot CampのWi-Fi機能をアップデート
Appleは7月9日、脆弱性「KRACK」に対応した「Boot Camp」のWi-Fi機能を修正するアップデートを公開した。アップデート対象となるのは以下のモデル。
- MacBook(Late 2009 およびそれ以降)
- MacBook Pro (Mid 2010 およびそれ以降)
- MacBook Air (Late 2010 およびそれ以降)
- Mac mini (Mid 2010 およびそれ以降)
- iMac (Late 2009 およびそれ以降)
- Mac Pro (Mid 2010 およびそれ以降)
アオイゼミ、アンケートシステムの個人情報が流出
オンライン学習塾などの事業を手がける葵は7月2日、同社運営の「スマホ学習塾 アオイゼミ」のアンケートシステム「Typeform」の運営元Typeform S.L.が、不正アクセスを受けたことを公開した。
調査の結果、2017年5月8日~2018年3月9日にアオイゼミで実施されたアンケート内容の一部が外部に流出。流出した情報はのべ5,461件で、その中には個人情報141件が含まれている。個人情報の内容は、生徒の氏名、生徒のメールアドレス、保護者の氏名、保護者のメールアドレス、電話番号。そのほか、ユーザーID、利用デバイス情報なども含まれる。
アオイゼミのサービスにアクセスするためのトークン情報も流出したと見られているが、すでに該当するトークン情報を無効化する措置を行っており、不正利用された形跡もなかった。