8月10日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

ノート、IPアドレスが確認できてしまう不具合

ノートは8月14日、noteサービスにおいて、記事投稿者のIPアドレスが確認できる不具合を確認したことを明らかにした。

今回見つかった不具合は、note利用者が直近でログインしたIPアドレスが、記事詳細ページのソースコードから確認可能になっていたこと。対象となるのは、noteアカウントを持ち、記事を2つ以上投稿したことのあるnoteユーザー。なお、IPアドレスから判別できるのは、利用しているインターネット接続事業者名と、発信者の大まかな地域で、特定個人の住所などを入手することはできない。

この不具合は、8月14日の10時40分に検知され、同日10時58分にnote全体へのアクセスを遮断。11時56分に修正対応を完了している。修正内容は、IPアドレスを外部から閲覧できないようにするもの。対策として以下の処理を実施した。

  • 全ソースコードに対して、IPアドレスとそれ以外のセンシティブな情報が露出するような欠陥がないことを調査。

  • 対応するデータベースからのIPアドレスのデータを削除。

  • CEOとCTO直轄の特別対策チームを編成し、直接の対策と構造的な課題や開発体制などの見直し。

  • ソースコードのレビューとテストに、今回の不具合やセキュリティに対する観点を追加。

  • データの持ち方やセンシティブな情報にアクセスするプロセスの見直し。

  • noteの脆弱性を発見し対策できるよう、外部の複数の専門企業に依頼して第三者の目線で脆弱性診断を行う。

マイクロソフト、8月のセキュリティ更新プログラムをリリース

マイクロソフトは8月12日、8月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Microsoft Edge(EdgeHTML-based)
  • Microsoft Edge(Chromium -based)
  • ChakraCore
  • Internet Explorer
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • .NET Framework
  • Microsoft Scripting Engine
  • SQL Server
  • Microsoft JET Database Engine
  • ASP.NET Core
  • Microsoft Windows Codecs Library
  • Microsoft Dynamics

脆弱性についてのセキュリティ更新プログラムは、緊急7件、重要4件。修正内容はリモートでのコード実行、なりすまし、サービス拒否を含む。ほかにも、既存の脆弱性情報2件を更新している。

8月の定例リリースでの注意点は、情報を公開した脆弱性に対応するため、Active Directory環境におけるNetLogonセキュアチャネルが、secure RPCを求めるように動作変更を行っていること。この動作変更は、2020年8月の月例更新プログラムと、2021年2月に公開予定の月例更新プログラムの2回にわたり段階的に実施する予定となっている。

Apple、iCloudの脆弱性を解消するアップデートを公開

Appleは8月11日、iCloudの脆弱を解消するアップデートを公開した。対象製品とバージョンは以下の通り。

  • iCloud for Windows 11.3 より前のバージョン
  • iCloud for Windows 7.20 より前のバージョン

今回のアップデートで修正した脆弱性は、任意のコード実行、サービス運用妨害(DoS)、情報漏えい、任意のスクリプト実行、認証会費、任意のコマンド実行など。

Google、Chromeの最新バージョン「84.0.4147.125」を公開

Googleは8月10日、Chromeの最新バージョン「84.0.4147.125」を公開した。アップデートは、Windows、macOS、Linux向けに提供する。

今回のアップデートでは、「高」の脆弱性12件を含む、脆弱性15件を修正している。脆弱性は、タスクスケジューリングやメディアでのメモリの解放後使用や、ヒープバッファオーバーフローなどを含んでいる。Chromeのユーザーはすみやかにアップデートしてほしい。

Adobe Lightroomに特権昇格の脆弱性

アドビは8月11日、Adobe Lightroom Classicに脆弱性が存在することを発表した。対象のバージョンは「Lightroom Classic 9.2.0.10、およびそれ以前(Windows)」となる。

脆弱性は、安全でないライブラリの読み込みで、悪用に成功すると現在のユーザーのコンテキストで特権が昇格する可能性がある。脆弱性の重傷度は「重要」と高いので、Windows版を使用している人は早急にアップデートすること。

ポケモンセンターオンラインを偽装したフィッシングサイト

8月12日の時点で、ポケモンセンターの公式通販サイト「ポケモンセンターオンライン」を装った偽Webサイトを確認している。

この偽サイトはフィッシングサイトで、公式サイトと見分けるにはURLの確認が有効だ。ポケモンセンターオンラインの正規URLは「https://www.pokemoncenter-online.com/」なので、これ以外のURLであれば偽サイトだ。

偽サイトでは、ポケモンセンターオリジナルグッズの価格が値引き表示されている。これも偽サイトの判断材料となるので、公式より安いからといって安易に飛びつかないように警戒したい。

すでにクレジットカード情報などを盗まれ、不正利用の被害に遭った人もいる。ポケモンセンターオンラインに限ったことではないが、通販サイトを利用する時はURLを確認したり不審な部分を見逃さないように注意することだ。