5月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
Windowsタスクスケジューラに権限昇格の脆弱性
5月24日の時点で、Windowのタスクスケジューラに脆弱性が確認されている。対象となるWindowsのバージョンは以下の通り。
- Windows 10 32bit / 64bit
- Windows Server 2019
- Windows Server 2016
- Windows 8
脆弱性はタスクスケジューラの挙動を利用したもので、SetJobFileSecurityByName関数に起因する権限の昇格。一般ユーザー権限を持つ攻撃者が、保護されたファイルに対してフルアクセス権限を取得できる可能性があり、システムの乗っ取りや改ざんなどが懸念される。
5月24日現在、この脆弱性を解消する方法は確立されていない。CERT/CCが行った実証コードのテストでは、Windows 8のみ攻撃の有効性が小さかったという。
スマホのセンサー情報から端末を追跡する「SensorID」
スマートフォンのセンサー情報を利用して、端末とユーザーの行動を追跡する技術「SensorID」が、ケンブリッジ大学の研究者により発表された。スマートフォンに搭載されている加速度センサーやジャイロセンサー、磁力計センサーのキャリブレーション情報から、端末の特定と追跡が可能となる。
SensorIDは、Webサイトやアプリなどに組み込まれており、アクセス可能なセンサーのデータを分析して特定端末の情報(SensorID)を作り出す。端末ごとにユニークなSensorIDによってユーザーの行動を追跡でき、端末を初期化しても追跡される可能性があるという。
Webサイトアクセスランキングを公開している「Alexa」にて、ランキング入りしている10万サイトのうち、2,653件のサイトでモーションセンサーのデータにアクセスされていた。ただ「SensorID」により追跡が行われ、悪用された事例はまだ見つかっていない。
Mozilla、脆弱性を修正した「Firefox 67」を公開
Mozilla Foundationは5月21日、Firefoxの最新バージョン「67」を公開した。セキュリティ面では、仮想通貨を発掘するコインマイニングや、PCの設定からアクセスを追跡するフィンガープリントをブロックできる機能が追加された。
パフォーマンスも向上しており、ページの読み込み中の描画時間を短縮する処理を追加。使用していないタブをサスペンドする機能なども加えられた。プライベートブラウジングモードではパスワードの保存に対応している。
Tootdon for マストドンにSSLサーバー証明書検証不備の脆弱性
つくりとは5月20日、Androidアプリ「Tootdon for マストドン」に脆弱性があることを発表した。対象となるのはTootdon for マストドン Ver3.4.1(およびそれ以前)。
Tootdon for マストドンは、SNSクライアントアプリの一種。脆弱性はSSLサーバー証明書の検証不備で、悪意を持って設置されたWi-Fiアクセスポイントにおいて特定の暗号通信を行った場合、通信内容が窃取される可能性がある。
今回の脆弱性は、5月16日にリリースされたバージョン 3.4.2で修正済み。同社では、ログイン情報はこの脆弱性の影響を受けないとしており、iOS版でも発生しないとしている。
MyEtherWalletを騙るフィッシングメール
MyEtherWalletを騙るフィッシングメールが確認されている。MyEtherWalletは、PC上で利用できるデスクトップウォレットの一種。確認されているフィッシングメールの件名は以下の通り。
- MyEtherWalletアカウントのお知らせメールの受信設定をご確認ください
- MyEtherWallet[重要なお知らせ]
- ご利用の MyEtherWallet アカウント: メールアドレスの確認
- 身分証で本人確認を実行
- 【MyEtherWallet】ーー安全確認
- 【MyEtherWallet】アカウントは24時間以内に停止されます!
- 【サイトのURL】
フィッシングサイトは稼働と停止を繰り返すことがあるため、メールからうっかりアクセスしないこと。また、Webサイトでの重要な情報の入力には、常に細心の注意を払うようにしたい。
アンケートサイトで顧客情報が流出
マーケティングアプリケーションズは5月24日、同社運営のアンケートモニターサービス「アンとケイト」と「ポケットアンとケイト」が第三者による不正アクセスを受け、個人情報が流出したことを明らかにした。
不正アクセスは5月22日に行われ、アカウント情報の770,074件が流出したと見られている。流出した情報は、氏名、メールアドレス、パスワード、銀行口座の支店番号、口座番号、口座名義、Pexポイント口座番号、ドットマネー口座番号など。
不正アクセスを確認後、「アンとケイト」に関連するサービスは停止され、外部アクセスを遮断。流出したアカウントのパスワードは無効化し、利用者にパスワードの再設定を依頼している。5月24日に対応が完了し、「アンとケイト」モニターサイトは復旧済み。