5月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

Intel製CPUに新たな脆弱性が発覚

Intelは5月14日、同社製CPUに「Microarchitectural Data Sampling(MDS)」と呼ばれる脆弱性(4件)が存在すると発表した。

脆弱性は、Meltdown、Spectre、Foreshadowなどに続くもので、CPUの投機的実行機能においてサイドチャネル攻撃が可能になるもの。本来アクセスできないはずの他プロセスのデータを推測し、各種パスワードや暗号化キーなどの窃取に使われる可能性があるという。

すでにマイクロコードアップデート(MCU)がリリースされており、第8世代と第9世代のIntel Coreシリーズなどでは解決可能。なお、「MDS」を実際に悪用するのは難しく、悪用された実績はまだない模様。

マイクロソフト、5月のセキュリティ更新プログラムをリリース

マイクロソフトは5月15日、5月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Adobe Flash Player
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Team Foundation Server
  • Visual Studio
  • Azure DevOps Server
  • SQL Server
  • .NET Framework
  • .NET Core
  • ASP.NET Core
  • ChakraCore
  • Online Services
  • Azure
  • NuGet
  • Skype for Android

脆弱性についてのセキュリティ更新プログラムは、緊急7件、重要7件。修正内容はリモートでコードが実行されるもの、情報漏えい、セキュリティ機能のバイパス、サービス拒否、特権の昇格が含まれる。

新規のセキュリティアドバイザリ2件の公開、既存のセキュリティアドバイザリ2件の更新、既存の脆弱性情報1件の更新も実施。今月の「悪意のあるソフトウェアの削除ツール」には、 Win32/ShadowHammerに対する定義ファイルが追加された。

今回の月例パッチでは、細工したRDPの接続要求によりコードが実行される可能性がある脆弱性も修正。Windows 10とWindows 8以降のOSは影響を受けないが、Windows 7やWindows Server 2008などは影響を受けるため、月例パッチで対処している。

なお、サポートが終了しているWindows XPとWindows Server 2003も同じ脆弱性の影響を受ける。マイクロソフトでは、深刻度が高いことから、これらサポート外のOSに対してもアップデートを用意するとしている。

Apple製品の脆弱性に対するアップデートを実施

Appleは5月14日、同社の製品向けのアップデートを公開した。対象となる製品は以下の通り。

  • iOS 12.3より前のバージョン
  • Safari 12.1.1より前のバージョン
  • Apple TV Software 7.3より前のバージョン
  • tvOS 12.3より前のバージョン
  • watchOS 5.2.1より前のバージョン
  • macOS Mojave 10.14.5より前のバージョン
  • High Sierra(Security Update 2019-003 未適用)
  • Sierra(Security Update 2019-003 未適用)

脆弱性は製品によって異なるが、主にアクセス制限不備、権限昇格、権限昇格、サービス運用妨害(DoS)、サンドボックス回避、情報改ざん、情報漏えい、任意のコード実行などが含まれる。iOSやmacOSなど幅広く更新されているので、対象製品を所持している場合は速やかにアップデートすること。

ユニクロ、リスト型攻撃による不正ログインが発覚

ファーストリテイリングは5月14日、同社運営の通販サイト「ユニクロ公式オンラインストア」と「ジーユー公式オンラインストア」において、第三者による不正ログインがあったと発表した。

不正ログインは、2019年4月23日から5月10日にかけて461,091件。個人情報が閲覧された可能性のあるユーザーには、5月13日にパスワードを無効化し再設定するようメールにて依頼している。

閲覧された可能性のある個人情報は、氏名(姓名、フリガナ)、住所、電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、マイサイズに登録している氏名、サイズ、配送先情報など。

クレジットカード情報については、カード名義人、有効期限、クレジットカード番号の上4桁と下4桁が閲覧可能状態だった。セキュリティコードは表示・保存などはされていない。

不正ログインはリスト型アカウントハッキング(リスト型攻撃)によるもの。他社サービスから流出したユーザーIDとパスワードを利用している可能性が高い。複数のサイトで同じパスワードを使うのはリスクが大きいため、ログインするサイトごとにパスワードを変えるようにしてほしい。

乾物販売の小田垣商店でクレジットカード情報が流出

小田垣商店は5月15日、同社の通販サイト「小田垣商店オンラインショップ」が不正アクセスを受け、個人情報が流出したと発表した。流出した情報にはクレジットカード情報などが含まれている。

今回の情報流出は、システムの一部脆弱性を突かれたことが原因。不正アクセスがあったのは、2018年4月3日~2018年5月16日と、2018年9月3日~2019年2月28日の期間で、この期間中においてクレジットカード決済をした人が対象となる。流出したクレジットカード情報は、クレジットカード名義、クレジットカード番号、クレジットカード有効期限、セキュリティコードの4つ。住所と電話番号は含まれていない。

現在、小田垣オンラインショップは運営を停止しており、再開時期は未定。クレジットカード会社もモニタリングを実行中という。

小田垣商店の通販サイトでクレジットカードを使ったことがある場合、クレジットカードの利用明細をきちんとチェックしておくこと。なお、実店舗でクレジットカードを使っている場合は、システムが異なるため情報の流出はない。