7月23日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

Bluetoothに楕円曲線ディフィー・ヘルマン鍵共有の脆弱性

7月25日の時点で、近距離無線通信で多く使われているBluetoothに、楕円曲線ディフィー・ヘルマン鍵共有の脆弱性が確認されている。

楕円曲線ディフィー・ヘルマン鍵共有は、Bluetoothデバイスがペアリングする際に互いの公開鍵を交換し、自分の秘密鍵と相手の公開鍵を使って通信に使う共有鍵をそれぞれが生成するという暗号化方式。本来、相手から受け取った公開鍵が適切かどうかの検証が推奨されているが、必須ではないため検証が不十分な場合があるという。

これを悪用されると、通信圏内にいる攻撃者が暗号鍵を入手し、信号の傍受や改ざんなどの可能性があるという。

今後、各メーカーから対策済みのソフトやファームウェアが提供されるはずだ。自分の使用している機器のアップデート情報をこまめにチェックし、アップデートが提供されたらすみやかな適用を心がけたい。

「LINE MUSIC」 Android版にSSLサーバー証明書の脆弱性

LINEは7月26日、「LINE MUSIC」Android版にSSLサーバー証明書の検証不備の脆弱性があることを公表した。対象となるのは、「LINE MUSIC」 Android版 ver3.1.0~3.6.4だ。

脆弱性はSSLサーバー証明書の検証不備で、悪意を持って設置されたWi-Fiアクセスポイントなどの信用できないネットワークを利用し、「LINE MUSIC」Android版で特定の暗号通信を行った場合、その内容が盗聴されたり改ざんされる可能性がある。窃取される可能性のある情報は、LINE友だち情報、チケット情報などの購入ヒストリ、MUSIC再生に関する情報など。

すでに対策バージョンは提供されているので、アプリを利用している人は早急にアップデートすること。対策バージョンは「LINE MUSIC」 Android版 ver3.6.5となる。なお、「LINE MUSIC」iOS版はこの脆弱性の影響を受けない。

改良を加えられた標的型サイバー攻撃キャンペーン「BLACKGEAR」を確認

トレンドマイクロのセキュリティブログによると、7月25日の時点で、2008年ごろに確認された標的型サイバー攻撃キャンペーン「BLACKGEAR」が、今また猛威を振るっている。BLACKGEARは、かつて日本、韓国、台湾の公的機関や通信企業などを攻撃の標的にしていた。

今回、このBLACKGEARに微調整が加わっており、検出が困難になったという。BLACKGEARは、ダウンローダ「Marade」と、バックドア型マルウェア「Protux」を利用するのだが、ソーシャルメディアやブログへの投稿を悪用してC&Cサーバーの情報を隠蔽。必要に応じてC&Cサーバーを切り替えてしまうので、検出が困難な事例として認識されている。

キヤノンITソリューションズ、複数製品のインストーラに脆弱性

キヤノンITソリューションズは7月18日、同社が提供する複数の製品について、インストーラにDLL読み込みに関する脆弱性が存在することを公開した。対象となる製品は以下の通り。

■個人向け製品

  • ESET ファミリー セキュリティ(まるごと安心パックを含む)
  • ESET パーソナル セキュリティ(まるごと安心パックを含む)
  • ESET Smart Security Premium
  • ESET Smart Security

■法人向けクライアント専用製品

  • ESET オフィス セキュリティ
  • ESET NOD32アンチウイルス Windows/Mac対応

■法人向け暗号化製品(パッケージ/ダウンロード製品)

  • DESlock Plus Pro

さらに詳しくは、上記の対象製品に含まれる特定アプリケーションのインストーラに脆弱性がある。Windows向けのインストーラにおいて、デジタル署名のタイムスタンプが2018年7月10日以前のものが脆弱性を抱える。Mac向け、Android向けのインストーラは対象にならない。

■個人向け製品 / 法人向けクライアント専用製品

  • ESET Smart Security Premium
  • ESET Internet Security
  • ESET Smart Security
  • ESET NOD32アンチウイルス

■法人向け暗号化製品(パッケージ / ダウンロード製品)

  • DESlock+ Pro

脆弱性は、DLLを読み込む際の検索パスに問題があり、インストーラと同一のディレクトリに存在する特定のDLLファイルを読み込んでしまうというもの。これにより、インストーラを実行している権限で、任意のコードが実行される可能性がある。

7月18日に脆弱性を修正したインストーラが公開されているので、当該製品をこれからインストールを行う場合は、最新バージョンのインストーラを使用すること。脆弱性の影響はインストール時のみなので、すでにインストールしている場合は問題ない。

MyJCBを騙るフィッシングメール

7月24日の時点で、JCBの会員専用Webサービス「MyJCB」を騙るフィッシングメールが確認されている。メールの件名は「【重要:必ずお読みください】MyJCB ご登録確認」など。

7月24日の時点でフィッシングサイトは稼働中なので、受信したメールに書かれたURLをクリック(タップ)することは避けよう。まずはMyJCBの公式Webサイトで、情報を確認してほしい。

AbemaTV、同社を騙る迷惑行為に注意するよう呼びかけ

AbemaTVは、同社と関係ない第三者が社員や関係者を装い、番組名称を利用した悪質な迷惑行為が行われていると発表した。

確認されている事例としては、AbemaTVの番組名を無断で使ってSNS上で個人情報を収集したり、無関係のイベントに勧誘したりなど。ほかにも、SNSを通じてダイレクトメッセージを送り、実在しない番組への出演依頼を持ちかけ、金銭の要求や肉体関係の強要も発生しているという。

AbemaTVでは、公式のSNSアカウント以外を利用して、不特定多数の個人情報を、使用目的を明示せずに収集することはないとしている。また、番組出演者を依頼した人に対して、社員の交通費や飲食代などを負担させたり、不当な要求をすることはないとして、注意するよう呼びかけている。

Google、Chromeの最新バージョン「68.0.3440」をリリース

Googleは7月26日、Webブラウザ「Chrome」のバージョンアップを行った。最新バージョンは「68.0.3440」となる。

今回のアップデートは、Windows版、macOS版、Linux版をリリース。すべてのHTTPページに対して「保護されていない」と表示されるようになった。これは2018年2月8日に発表されていた内容で、安全ではないサイトを明確にすることでHTTPSサイトへの移行を推奨するものだとしている。

修正件数は42件で、重要度「高」の脆弱性が5件、「中」の脆弱性22件などが含まれる。内容は「バッファオーバーフロー」、「Use After Free」「型の取り違え」など。

Chromeをメインのブラウザとして使用してる場合は、メニューから「ヘルプ」-「Google Chromeについて」と進んでアップデートできる(Windowsの場合)。