2月3日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
神戸製鋼所とパスコへ不正アクセス
防衛省は2月6日、防衛関連企業に対する不正アクセスがあったことを発表した。神戸製鋼所とパスコの2社で、それぞれ社内ネットワーク端末が不正アクセスを受けたとのこと。
防衛省は、防衛関連企業が防衛省の指定した秘密などの情報を取り扱う際、特約条項に基づき当該秘密などの情報を外部とは切断されたシステムで取り扱うなどを義務付けている。そんな中、2社からの不正アクセス報告を受けて状況を確認。防衛省の指定した秘密などの情報は含まれていなかった。
神戸製鋼所では、2016年8月に同社のネットワークに第三者による不正アクセスの疑いがあることを確認している。以降、情報セキュリティに対する強化策を開始したものの、強化策の推進途上の2017年6月に新たな不正アクセスの疑いを確認していた。「サイバーセキュリティ経営ガイドライン」などを参考にしながら強化策を実施し、今後も情報セキュリティの強化に取り組んでいくとしている。
パスコでは、2018年5月に不正アクセスを検知。不正アクセスを受けた端末を特定、解析した結果、個人情報および取引先の関連情報は外部に流出していないとのことだった。
Google、Chromeの最新バージョン「80.0.3987.87」を公開
Googleは2月4日、Chromeの最新バージョン「80.0.3987.87」を公開した。アップデートは、Windows、macOS、Linux向けに提供される。
今回のアップデートでは、セキュリティ関連の56件を修正。「高(High)」にカテゴリされているものは10件、「中(Middle)」は17件、「低(Low)」は10件。「高(High)」の脆弱性にはJavaScriptの整数オーバーフロー、XMLの複数の脆弱性、WebAudioの境界外メモリアクセスなどが存在する。
今回はセキュリティアップデート件数が多いので、Chromeをメインブラウザとして使っているのであれば、すぐにアップデートをしておきたい。
SMTPサーバ「OpenSMTPD」に権限昇格などの脆弱性
OpenBSD ProjectのオープンソースSMTPサーバ「OpenSMTPD」に脆弱性が確認されている。対象となるバージョンは、OpenSMTPD 6.4.0~6.6.1まで。すでに対策済みのパッチOpenSMTPD version 6.6.2p1(portable version)が公開されている。
脆弱性は、権限昇格や任意のコード実行が可能というもの。メールアドレスのローカルパートが無効な文字列であったり、ドメイン名の文字列が空白であったりなど、本来無効になるアドレスの場合に影響が出る。これにより、第三者が「smtp_mailaddr ()」関数による検証を回避して、任意のコードを実行できるようになる。また、ローカルおよびリモートの第三者がroot権限で任意のコードを実行できる可能性もあるという。
Ghostscriptにアクセス制限回避の脆弱性
Artifex SoftwareのGhostscriptに脆弱性が確認されている。対象となるバージョンは、Ghostscript 9.27以前。
脆弱性はアクセス制限回避で、細工されたファイルをGhostscriptが処理すると、Ghostscriptの権限で遠隔の第三者が任意のコマンドを実行する可能性がある。すでに対策バージョンとなるGhostscript 9.50が公開済み。
Movable Typeにクロスサイトスクリプティングの脆弱性
シックス・アパートは2月6日、コンテンツ管理システム「Movable Type」の脆弱性を明らかにした。対象のバージョンは以下の通り。
- Movable Type 7 r.4603 およびそれ以前(Movable Type 7系)
- Movable Type 6.5.2 およびそれ以前 (Movable Type 6.5系)
- Movable Type Advanced 7 r.4603 およびそれ以前(Movable Type Advanced 7系)
- Movable Type Advanced 6.5.2 およびそれ以前(Movable Type Advanced 6.5系)
- Movable Type Premium 1.26 およびそれ以前
- Movable Type Premium Advanced 1.26 およびそれ以前
脆弱性は、WYSIWYGエディタの領域からスクリプトが実行できるというもの。加えて、Movable Type 7系 とMovable Type Premiumには、ブロックエディタの領域からスクリプトが実行できる脆弱性が存在していた。悪用されると、ログインしているユーザのWebブラウザ上から任意のスクリプトを実行される可能性がある。
すでに脆弱性を解消した最新バージョンが公開済み。また各ソフトにおいて機能の追加なども行われている。
