11月30日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
マイクロソフトのデジタル署名ファイルを悪用する「SigLoader」
2020年7月ごろから、マイクロソフトのデジタル署名済みDLLファイルを悪用するマルウェア「SigLoader」を確認したと、ラックの脅威分析チームが報告している。正規のデジタル署名ファイルを悪用するため、セキュリティ検知をすり抜ける可能性がある。
SigLoaderは、デジタル署名済みのDLLファイル内に存在する証明書テーブル(Certificate Table)のサイズを拡張し、テーブル内のデータを変更してDLLファイルを改ざんする。Windowsでは、デジタル署名のハッシュを計算するときに証明書テーブルを対象範囲外とする。そのため、改ざんが行われていてもハッシュ値が一致するのでデジタル署名を有効と判定してしまうという。
まずSigLoaderは、DLL Side-Loadingを悪用して読み込まれる。同じディレクトリ内にあるデジタル署名済みDLLファイル、もしくは暗号化されたペイロードを読み込んでデータを復号し、ペイロードをメモリ領域に展開して実行する。
ペイロードは、2020年11月20日時点で3種類を確認済み。1つめは暗号化ツール「DelfsCake」、2つめはペネトレーションツール「Metasploit Framework」や「Cobalt Strike」で作成されたシェルコード。3つめはマルウェア「GreetCake」。これらはマルウェアをダウンロードして実行することが主な機能だが、最終的にどのようなマルウェアが実行されるかは不明だ。
SigLoaderは、実際のサイバー攻撃事例として報告が多くはない。RSAのコードが未実装な点から開発途中の可能性も考えられ、機能向上版が今後登場することもあり得る。
パナソニックシステムソリューションズで4,300件の個人情報が流出
パナソニックシステムソリューションズジャパンは11月18日、同社のパートナー向け会員制サイト「パートナーDIRECT」で、個人情報が流出したことを明らかにした。
個人情報の流出は、11月17日の夕刻ごろに判明。同日サイトを一時閉鎖し、11月23日には二次被害を回避するため、当該サイトと同一環境で提供していた複数のサービスについてもサービスを停止。流出の経緯などについて、現在も調査している。
11月30日時点で判明しているのは、約4,300件に流出の可能性があること。そのうち約4,000件のメールアドレスとパスワードが、同サイトで使用されているものと一致していたことなど。
同社は、流出の経緯などの調査を続けるとともに、原因を究明し再発防止策をまとめるとしている。顧客に対しては、ほかのWebサイトで同じID/パスワードを使っている場合は、念のため変更するよう促している。
羽生結弦カレンダー販売サイトが不正アクセス被害
報知新聞社は11月30日、同社の「羽生結弦 2021 カスタマイズカレンダー」専用販売サイトが不正アクセスを受けたことを明らかにした。同サイトを運営するのは高速オフセット社。
不正アクセスは2020年11月11日~11月21日の期間に発生。この期間に同販売サイトでカレンダーを購入した人の顧客情報1,469人分が流出した。流出情報の詳細は、名前、郵便番号、住所、電話番号、メールアドレス、クレジットカード情報など。顧客が任意で入力した情報も流出している可能性がある。
同社は電子メールで顧客に連絡するとともに、クレジットカードの利用明細に不審な点がないかを確認するよう呼びかけている。現時点で顧客からの被害報告はないものの、利用した覚えのある人は対策をとったほうが良いだろう。
今回の不正アクセスを受け、「羽生結弦 2021 カスタマイズカレンダー」の販売は中止となったが、オンラインによらない販売再開は協議中とのこと。
EC-CUBEに複数の脆弱性-危険度は低
イーシーキューブは12月3日、同社のEC-CUBEに複数の脆弱性があることを発表した。対象のバージョンは以下の通り。
- EC-CUBE 3.0.0 から 3.0.18 までのバージョン
- EC-CUBE 3.0.5 から 3.0.18 までのバージョン
脆弱性はバージョンによって異なり、3.0.0~3.0.18までのバージョンにはクリックジャッキングが存在。EC-CUBEの画面を外部サイトからフレーム内に読み込めるもので、悪意のある第三者が用意した外部サイトへアクセスすることで、意図しない更新操作が行われる可能性がある。
3.0.5~3.0.18には、DoSの危険性が存在。適切な入力チェックを行っていない部分によりサーバに負荷がかかり、システムエラーが発生する可能性がある。ともに修正ファイルが提供済みなので、適用することで脆弱性を解消できる。脆弱性の危険度は「低」。
ソリトンのファイル転送/共有サービス「FileZen」に脆弱性
ソリトンは12月2日、Webブラウザを使ったファイル転送/共有サービス「FileZen」に脆弱性があることを明らかにした。対象はFileZen V4.2.2より前のバージョン。
脆弱性の内容は未公表だが、「V4.2.3」以降であれば脆弱性を悪用した攻撃は成立しないという。このことから同社は、最新ファームウェア「V5.0.0(ST82モデル)」や「V4.2.5(DX51モデル、ST81モデル)」へアップデートするよう呼びかけている。
アップデート用ファームウェアは、サポートサイトからダウンロード可能。保守サービスに加入していない場合でも、アップデート用ファームウェアが用意してあるとのことなので、シリアル番号を確認の上問い合わせてほしい。
Apple、iCloud for Windowsの脆弱性を修正
Appleは12月2日、iCloud for Windowsの脆弱性を解消するアップデートを公開。対象はiCloud for Windows 11.5より前のバージョン。
今回のアップデートで修正した脆弱性は、任意のファイル読み取り、サービス拒否、メモリリーク、データ破損、任意のコード実行など。iCloud for Windowsを利用している場合は早急にアップデートしておくこと。