9月17日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

コールドブート攻撃、再び

2008年にセキュリティ研究者によって発表された「コールドブート攻撃」、いま再び注目を浴びている。コールドブート攻撃とは、PCのシャットダウンを正常に行わなかった場合などに、メモリ上に残ったデータからHDDの暗号化キーの情報を盗み取るもの。この攻撃は一時、メモリを上書きするという対策で解消されたが、回避する手法がエフセキュアによって明らかにされた。

その手法とは、ブートプロセスを制御するファームウェアを物理的に書き換え、メモリの上書き処理を無効化してコールドブート攻撃を成立させるというもの。あとは、USBメモリから起動して情報を窃取するというわけだ。

エフセキュアでは、複数メーカーのノートPCをスリープモードにして検証し、攻撃が可能であったことを発表。メーカー側にも情報を提供したものの、対策に時間がかかる見通しとなっている。Appleのみ、T2チップでハードウェアベースの対策を実行しているが、それ以外の端末は影響を免れないという。

自宅のPCであれば物理的にアクセスされることはそうそうないだろうが、例えばPCを紛失したりが盗難された場合などに、この攻撃で情報を窃取される可能性がある。最近ではPCをシャットダウンせずに、つけっぱなしやスリープで運用している人も多いだろう。そういう状態にはリスクがあるのだ。

リスクを少しでも下げるには、PCを使い終わったらきちんとシャットダウンすること。Windows 10の暗号化機能「Bitlocker」でPIN入力を使うようにするのも効果的としている。

Apple、複数の製品で脆弱性を対策したアップデートをリリース

Appleは9月18日、同社製品の最新版アップデートを公開した。対象となるソフトは以下の通り。

  • Apple Support 2.4 for iOS以前
  • Safari 12以前
  • watchOS 5以前
  • tvOS 12以前
  • iOS 12以前

脆弱性は、情報漏えい、アドレスバー偽装、任意のコード実行など。対象製品を使用している場合は、早急に最新版へのアップデートを行うこと。

アドビのReaderとAcrobatに任意のコードが実行される脆弱性

9月20日の時点で、PDFリーダーソフトAdobe Readerと、PDF作成・変換ソフトAdobe Acrobatに脆弱性が確認されている。対象となる製品とバージョンは以下の通り。

  • Acrobat DC 2018.011.20058以前 (Windows、macOS)
  • Acrobat Reader DC 2018.011.20058以前 (Windows、macOS)
  • Acrobat 2017 2017.011.30099以前 (Windows、macOS)
  • Acrobat Reader 2017 2017.011.30099以前 (Windows、macOS)
  • Acrobat DC (Classic 2015) 2015.006.30448以前 (Windows、macOS)
  • Acrobat Reader DC (Classic 2015) 2015.006.30448以前 (Windows、macOS)

開発元のアドビシステムズが「過去に攻撃リスクが高いとされたことのある脆弱性」としてアナウンスしたもの。悪意のある攻撃により任意のコードを実行されたり、アプリが異常終了などが発生する可能性がある。速やかに最新バージョンへの更新を行うこと。

ソフトバンク、迷惑メールフィルタの不具合で顧客の受信メールを削除

ソフトバンクは9月21日、携帯電話向けのメールサービスで、約1,030万件の顧客メールを削除していたと発表した。原因は迷惑メールフィルタの不具合で、正常なメールを誤って迷惑メールと判断したことによるもの。同社では、迷惑メールフィルタは蓄積されたデータベースからパターンファイルを作成。このパターンファイルを自動生成する箇所に不具合があったとしている。

削除されたのは、9月17日11時前~9月18日9時過ぎに送信され、送信元ドメインに「.co.jp」が含まれる受信メール。ソフトバンクの「S!メール(MMS)」「Eメール(i)」と、Y!mobileの「MMS」「EMメール-S(MMS)」「ケータイ(PHS)用Eメール」で、迷惑メールフィルタを利用しているユーザーが被害を受けた。人数は約436万人。不具合は21日の時点で修正されている。

イオンに不正アクセス、電子マネー「WAON」のポイントを搾取

イオンマーケティングは9月15日、「smartWAON ウェブサイト」において、第三者からの不正ログインを受けたことを発表した。これにより、一部顧客のワオンポイントが別のカードに移行されていることが確認された。

今回の事件は「パスワードリスト攻撃」によるもので、ほかのサイトから不正取得したメールアドレスとパスワードを流用して不正ログインを行ったと見られている。被害に遭った人数は52名。

9月10日に不正アクセスが行われている可能性を察知し、9月1日11時に「smartWAON ウェブサイト」を閉鎖。不正ログインに使用されたIPアドレスを用いて調査を進めた結果、ほかにも不正ログインが行われている形跡を確認し、個人情報が閲覧された可能性があることが判明した。

ポイント移行被害と個人情報を閲覧された可能性のある顧客には個別に事情を説明し、IDとパスワードを変更。不正移行されたポイントの復元も行った。閉鎖していた「smartWAON ウェブサイト」は、不正ログインの対策を実施後、9月15日に一部機能を除いて再開している。