4月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
ノートルダム大聖堂の火災に便乗したサイバー攻撃に注意
4月15日に発生したフランスのノートルダム大聖堂の火災。修復を支援するため、大手企業や著名人などから多額の寄付が寄せられた。これに便乗したサイバー攻撃が予想されると、内閣サイバーセキュリティセンター(NISC)が注意を呼びかけている。
今回は世界遺産の火災ということに加え、SNSなどでリアルタイムに情報が拡散。衝撃的な映像が世界中に広まった。寄付額は日本円で数百億円を超えたとされ、寄付のほかに募金活動なども各地で行われている。
だが大きな災害が発生し関心が高まると、善意につけ込むサイバー攻撃も顕著に。特に、募金や寄付を装ったメール、フィッシングサイトへの誘導メール、公的機関になりすましてマルウェアを添付するメールなど、心の警戒レベルを高めておきたい。
Broadcom製のWi-Fiチップセット向けドライバに脆弱性
4月18日の時点で、Broadcom製Wi-Fiチップセット用ドライバに脆弱性が確認されている。対象となるのは、 Broadcom wlドライバと、brcmfmacドライバ。
Broadcom wlドライバの脆弱性はヒープバッファオーバーフローで2種類が存在。brcmfmacドライバではフレーム検証回避と、ヒープバッファオーバーフローの2種類が存在する。ともに、細工されたWi-Fiフレームを処理すると、サービス運用妨害 (DoS) 状態を引き起こす可能性がある。また任意のコードを実行される危険もあるという。
対策としては、該当するドライバを使用している機器があるかをチェックし、使用しているようであれば対策パッチを導入すること。対策パッチがない機種については、リリースされるまでWi-Fiネットワークに接続しないようにすると良い。
4月18~19日時点で該当製品なしと表明しているメーカーは、アライドテレシス、ジェイティ エンジニアリング、ソースネクスト、富士通。脆弱性対策を提供済みとしているのは、オムロン、ソニー、住友電気工業、東芝テック、JVCケンウッド、バッファロー。より詳しい情報は、JVN(Japan Vulnerability Notes)のWebサイトを参照のこと。
ベルキン製スマートコンセントを狙うマルウェア「Bashlite」
トレンドマイクロのセキュリティブログによると、IoTデバイスを狙うマルウェア「Bashlite」に新機能が確認された。Bashliteは、分散型サービス拒否(DDoS)攻撃を行うため、IoTデバイスにボットネットを構築するマルウェア。以前にも、Unix系OSのシェル「Bash」の脆弱性を利用してデバイスに侵入するものが確認されている。
今回確認されたものは、スマートホーム向けIoTデバイス「WeMo」を狙うもの。WeMoはベルキン製のIoTデバイで、スマートフォンなどから電源オンオフを制御できるスマートコンセントだ。Bashliteは、一般に公開されているMetasploitのモジュールを使用して遠隔からコードを実行。侵入が完了したら、仮想通貨発掘、バックドア活動、競合するマルウェアの削除などを行う。
攻撃が成立する条件は、WeMo UPnP APIが有効化されていること。すでに攻撃の実績も確認されており、2019年3月には、台湾、米国、タイ、マレーシア、日本、カナダなどで検出されている。
ベルキンは今回の拡散をすでに把握しており対策を実施。デバイス、モバイルアプリともに最新の状態にするよう呼びかけている。
エコレオンラインショップでクレジットカード情報が流出
レジナは4月10日、同社が運営する通販サイト「エコレオンラインショップ」において、クレジットカード情報が流出した可能性があることを発表した。
調査によると、販売管理システムに脆弱性があり、5月16日にWebサイトが改ざんされた。流出した可能性があるのは、カード番号、カード有効期限、カード名義人名、セキュリティコード。流出期間は、2018年5月16日~2018年12月11日の間となる。上記期間にクレジットカード決済が成立した247件が流出。決済しなかった場合でもクレジットカード番号を入力した場合は流出した可能性がある。
販売システムの脆弱性は、2018年12月26日に修正。2019年4月23日時点で、クレジットカード決済を停止している。
四半期ごとに行われる「Java SE」のクリティカルアップデート
Oracleは4月16日、「Java SE」のクリティカルアップデートを実施した。四半期ごとに行われる定例セキュリティアップデートで、5件の脆弱性5件を修正している。アップデート後のバージョンは「Java SE 12.0.1」。
脆弱性は、認証なしでリモートからの悪用が可能というものなので、早急にアップデートをしておきたい。
なお、旧バージョンの「Java 11」と「Java 8」にもアップデートが提供されている。最新バージョンは、それぞれ「11.0.3」「8u211」となるので、こちらも合わせてアップデートしておくこと。
ブロッコリー通販サイトがアクセス障害
ブロッコリーは4月15日、通販サイト「ブロッコリーオフィシャルストア」で、アクセス障害が発生したと発表した。アクセス障害が発生した期間は、4月5日17:00頃から4月6日0:45頃で、ツールを利用した大量のアクセスによるものとしている。
アクセス障害を受けて同社は、注文の受け付けを停止し、ページを一時削除して対処。それにより以下の一部通販限定商品が購入できなくなっていた。
- Anime Japan 2019うたの☆プリンスさまっ♪ブースアフター通販
- ブロッコリーガールズショップ2019通信販売
上記製品の受け付け再開は、公式サイトおよびツイッターにて告知するとのこと。すでに注文番号が発行されている場合は、正常に受け付けが完了している。今回のアクセス障害による情報の漏洩はないと発表。現在は通販サイトも正常に稼働している。