3月23日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

Windows 7が大きな影響を受けるAdobe Type Managerライブラリの脆弱性

マイクロソフトは3月23日、セキュリティアドバイザリにて、Windowsのフォント表示に使うAdobe Type Managerライブラリに脆弱性が存在することを明らかにした。

脆弱性は2件存在。WindowsのAdobe Type 1フォントに対するパース処理に問題があり、リモートからコード実行が可能になるというもの。これにより、悪意あるドキュメントの実行やプレビューから攻撃がはじまる可能性がある。Microsoftは現在、修正に向けた作業を進めている。

使用しているOSがWindows 10の場合、攻撃が成功してもAppContainer内の権限による実行のため影響を抑えられる。被害も限定的という。回避策は、OTFフォントが自動的に表示されないよう、エクスプローラーのプレビューウインドウと詳細ウインドウの無効化を行うことなど。

攻撃の本命はWindows 7で、ゼロデイ攻撃も発生中。Windows 7はすでにサポートが終了しており、諸般の事情からWindows 7を使い続けている場合も、早急にWindows 10へと乗り換えるべきだ。

Pokémon GOを騙るフィッシングメール

ポケモンは3月24日、「Pokémon GO」の課金請求を装ったフィッシングメールが送信されているとして、注意を呼びかけた。

メールの件名は「購入が完了しました」など。騙っているのは「Pokémon GO」だけでなく、送信者としてAppleサポートを、コンテンツプロバイダとしてポケモンの名も使っている。メール本文では、「5000ゴールドコインが正常に購入されました」などと記載。取り引きを承認しない場合はリンクをクリックするよう促してくる。

メールが本物かどうかを確認するポイントは、送信元のメールアドレスが不審なものでないか、メールの本文が不自然でないか、支払い情報などに身に覚えがあるか、など。1つでも気になる点があった場合は、フィッシングメールを疑うことだ。

PayPayを騙るフィッシングメール

3月24日の時点で、PayPayを騙るフィッシングメールが拡散している。メールの件名は以下の通り。

  • 【PayPay】アカウントの異なる端末からのアクセスのお知らせ。[受信者のメールアドレス]

メール本文では、使用しているアカウントが異なる端末からアクセスされたなどと記載。セキュリティを強化するためとして、フィッシングサイトへ誘導しようとする。PayPayでは、アカウント情報や認証コードを入力させようとするメールを送ることはないと注意を呼びかけている。3月24日14:00の時点でフィッシングサイトは稼働中。類似のサイトが公開される可能性もあるので注意を怠らないように。

Apple、macOSやiOSのアップデートをリリース

Appleは3月25日、iOSやmacOSなど複数製品のアップデートを公開した。対象製品とバージョンは以下の通り。

  • macOS Catalina 10.15.4より前のバージョン
  • macOS Mojave 10.14.6(Security Update 2020-002 未適用)
  • macOS High Sierra 10.13.6(Security Update 2020-002 未適用)
  • tvOS 13.4より前のバージョン
  • iOS 13.4より前のバージョン
  • iPadOS 13.4より前のバージョン
  • watchOS 6.2より前のバージョン
  • Safari 13.1より前のバージョン
  • iTunes 12.10.5 for Windowsより前のバージョン
  • Xcode 11.4より前のバージョン
  • iCloud for Windows 10.9.3より前のバージョン
  • iCloud for Windows 7.18より前のバージョン

今回のアップデートで修正した脆弱性は、任意のコード実行、任意のコマンド実行、アクセス制限不備、サービス運用妨害(DoS)、情報漏えい、権限昇格、認証回避、情報の改ざんなど。macOS、iOS、iPadOSなども含んでいるので、早急にアップデートすること。

ステップスポーツオンラインショップでクレジットカード情報流出

ステップは3月24日、同社が運営する「ステップスポーツオンラインショップ」が不正アクセスを受けたことを明らかにした。

不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。これにより、2019年11月29日~2019年12月3日にクレジットカード決済をした顧客のクレジットカード情報(63件)が流出した。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携し、流出した可能性のあるクレジットカードのモニタリングを実施。顧客には、クレジットカードの不正利用がないかを確認するよう呼びかけている。