8月5日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

NVIDIAのディスプレイドライバに脆弱性

NVIDIAが提供するディスプレイドライバに脆弱性が確認されている。対象となるのはWindows向けのもので以下の通り。

  • GeForce:431.60より前のバージョン
  • Quadro、NVS:431.70より前のバージョン、426.00より前のバージョン、すべてのR400バージョン、392.56より前のバージョン
  • Tesla:すべてのR418バージョン

脆弱性は5件存在し、最も高いレーティング(*)は「8.8」となっている。攻撃を成功させるハードルは高いが、コードの実行、サービス拒否などにつながる可能性があるという。次に「7.8」と高いものが2件。こちらもサービス拒否やコード実行につながる可能性がある。

(*)共通脆弱性評価システム(CVSS)における深刻度。最大値は「10」で、「9.0」以上になると深刻度「緊急」とされる。

このうち、Quadro、NVSにおけるすべてのR400バージョンは、ドライバの提供が8月19日の週に提供される。また、Teslaへの提供は8月12日の週に利用可能になる予定。それ以外はすでに対策済みドライバが提供されている。

パスワードスプレー攻撃がオーストラリアで大量発生

8月9日の時点で、大規模なパスワードスプレー攻撃が確認されている。パスワードスプレー攻撃とは、パスワードを総当たりで試すブルートフォース攻撃の一種。特定IDへの不正ログインを試行するときに、連続してアクセスに失敗しIDがロックされないように回数を制限し、広く浅く各所でログイン試行を繰り返す。

今回の攻撃は、オーストラリアサイバーセキュリティセンターによって確認された。攻撃はオーストラリア国内の組織に対して行われ、外部公開されているWebメールやリモートデスクトップアクセスなどが標的となった。

今はまだオーストラリアでしか大規模攻撃は確認されていないが、いつ日本がターゲットにされてもおかしくはない。ユーザー側としてできることは、ユーザーIDとパスワードを使い回さない、複雑なパスワードを設定する、パスワードを定期的に変更する、多要素認証を導入するといった、基本的なことだ。これだけでも、なりすましで不正ログインされる危険性は大きく低下する。

キヤノン製デジタルカメラに複数の脆弱性

キヤノンとキヤノンマーケティングジャパンは8月6日、同社製デジタルカメラが実装するPTP(画像転送プロトコル)通信とファームウェアアップデートに脆弱性があると発表した。対象となる機種は以下の通り。

  • EOSシリーズ(デジタル一眼レフ、ミラーレス)
  • PowerShot SX70HS
  • PowerShot SX740HS
  • PowerShot G5XMarkII

脆弱性は、PCやスマートフォンなどのモバイル端末が、ネットワークを介して第三者に乗っ取られた場合、カメラが攻撃を受ける可能性があるというもの。発表時点でこの脆弱性を利用したカメラへの被害は確認されていない。

対策はカメラのファームウェアアップデートを行い、必要がない場合はカメラのネットワーク機能をオフにしておくこと。そのほか一般論だが、カメラを接続するPCやネットワーク機器はセキュリティ設定をきちんと行い、ウイルス感染などの疑いがあるPCなどにカメラを接続しないこと、安全性が確認できないフリーWi-Fiなどのネットワーク環境は使用しないことだ。

omochabakoWEBSTOREが不正アクセス被害

オーガニックフードやグッズ類を手がけるおもちゃ箱が運営するWebサイト「omochabakoWEBSTORE」において、外部からの不正アクセスにより個人情報が流出した。

個人情報の流出は、攻撃者によるWebアプリの脆弱性を利用したクレジット決済アプリの改ざんによるもの。個人情報が流出した証跡を確認できたのは、2019年1月31日~3月8日までの決済で該当件数は210件。流出した証跡は確認できないが懸念が疑われるものは、2016年2月3日~9年3月11日までの決済。この期間でのカード決済件数40,233件が対象。

流出した情報にはクレジットカード情報も含まれている。情報の詳細は、カード会員名、クレジットカード番号、セキュリティコード、有効期限。現在はクレジットカードによる取引のモニタリングを依頼。被害に遭った人には別途メールで個別に連絡を行うとしている。

プロイデア直営ショップからクレジットカード情報流出

ドリームが運営する「プロイデア直営ショップ」は、外部からの不正アクセスによってクレジットカード情報が流出した可能性があることを発表した。

不正アクセスは、ショッピングカートシステムの脆弱性を利用した攻撃によるもの。これにより、購入時にクレジットカードで決済をした人のクレジットカード情報が抜き取られた可能性がある。

個人情報流出の対象件数は現在のところ291件で、対象期間は2018年9月25日~2019年4月26日。流出した可能性があるクレジットカード情報は、カード番号、カード氏名、カード有効期限、セキュリティコード。

同社では、この対象期間にプロイデア直営ショップを利用している場合は、クレジットカードの利用明細書に身に覚えのない請求がないかを確認するよう呼びかけている。

なお、プロイデア楽天市場店、プロイデア Yahoo!ショッピング店、プロイデア Amazon店、プロイデア Wowma!店で購入している場合、情報漏洩はないという。

Amazon Payプラグインに緊急性の高い脆弱性

アイピーロジックが提供しているEC-CUBE用プラグイン「Amazon Payプラグイン」において、脆弱性が存在する。対象となるのは、Amazon Payプラグイン2.12系と2.13系のバージョン2.4.2以前。

脆弱性はクロスサイトスクリプティングで、管理者権限でログインしているユーザーのWebブラウザ上で、任意のスクリプトを実行される可能性があるというもの。緊急性の高い不具合であることから、すでにアップデートによる対策は提供済み。