5月10日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

IEEE802.11規格に脆弱性「FragAttacks」、Wi-Fiデバイス全般が対象

IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに脆弱性が判明した。脆弱性は設計上の問題と実装上の問題に分かれており、これらを総称して「FragAttacks(Fagmentation and Aggregation Attacks)」と呼んでいる。これらの問題を要因として、攻撃者による不正なパケットの挿入、パケット内容の窃取などの可能性があるという

  • 設計上の問題
  • ヘッダ中のフレームアグリゲーションフラグが未保護
  • 異なる鍵で暗号化フラグメントをリアセンブルしてしまう

  • ネットワークの再接続時にメモリからフラグメントのキャッシュがクリアされない

  • 実装上の問題

  • 暗号化済みのネットワークで、平文のブロードキャストフラグメントをフルフレームとして受け入れてしまう

  • 暗号化済みのネットワークで、EtherTypeにEAPOLが指定されたRFC1042ヘッダを持つ平文のA-MSDUフレームを受け入れてしまう

  • 保護済みのネットワークで、平文およびフラグメント化された平文のデータフレームを受け入れてしまう

  • 送信者が未認証でもEAPOLフレームを転送してしまう

  • 連続しないパケット番号を持つ暗号化済みフラグメントをリアセンブルしてしまう

  • 暗号化済みのフラグメントと平文のフラグメントを混合してリアセンブルしてしまう

  • フラグメント化済みのフレームをフルフレームとして処理、およびTKIP MICが未検証となる

発見者によると、設計上の問題についてはユーザーによる特別な操作、もしくは一般的でない設定が前提となるため悪用は困難とのこと。実装に起因する脆弱性については影響が大きく、通信の改ざんなどが可能となるため警戒が必要だ。対策は、IEEE802.11規格のフレームアグリゲーションやフラグメンテーションを実装している機器のアップデートとなるため、各メーカーによるアップデート提供やアナウンスに注目しておきたい。

楽天モバイルで他人のクレジットカード情報を使ったiPhone不正購入が発生

楽天モバイルは5月10日、不正に商品を購入している可能性のある案件を確認し、購入対策の強化を行った。

今回の対策強化は、4月30日から開始しているiPhoneシリーズの販売に対してのもの。iPhoneを複数台購入している注文の一部を出荷停止するなどの処置を行った。不正購入は他人のクレジットカードを使っているものと見られている。

端末を楽天モバイルで購入する場合、楽天ID・パスワード・クレジットカード情報があれば、回線契約をすることなく、本人確認もなく購入できる。架空の楽天IDが作られた上で、他人のクレジットカードを使っての不正購入事例もあったという。

楽天モバイルでは、クレジットカードの明細を確認し、身に覚えのない請求があった場合はクレジットカード会社に連絡するよう注意を呼びかけている。合わせて、複数のインターネットサービスで同じパスワードを使い回すことがないよう、自身でメンテナンスを行ってほしい。

マイクロソフト、5月のセキュリティ更新プログラムをリリース

マイクロソフトは5月12日、5月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • .NET Core & Visual Studio
  • HTTP.sys
  • Internet Explorer
  • Microsoft Accessibility Insights for Web
  • Microsoft Bluetooth Driver
  • Microsoft Dynamics Finance & Operations
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Windows Codecs Library
  • Microsoft Windows IrDA
  • Open Source Software
  • Role: Hyper-V
  • Skype for Business and Microsoft Lync
  • Visual Studio
  • Visual Studio Code
  • Windows Container Isolation FS Filter Driver
  • Windows Container Manager Service
  • Windows Cryptographic Services
  • Windows CSC Service
  • Windows Desktop Bridge
  • Windows OLE
  • Windows Projected File System FS Filter
  • Windows RDP Client
  • Windows SMB
  • Windows SSDP Service
  • Windows WalletService
  • Windows Wireless Networking

下記製品は2021年5月11日(米国時間)でサポート終了となる点に注意。

  • Windows 10 version 1803(Enterprise、Education、IoT Enterprise)
  • Windows 10 version 1809(Enterprise、Education、IoT Enterprise)
  • Windows 10 version 1909(Home、Pro、Pro Education、Pro for Workstations)
  • Windows Server, version 1909(Datacenter、Standard)

また、UACが有効になっているサーバー上で、Exchange向けの更新プログラムを標準モードで手動インストールした場合、いくつかのファイルが正しく更新されず正常に動作しない可能性があるという。このため、更新プログラムをインストールする場合は管理者権限で行うよう推奨している。

OCカードを騙るフィッシング

5月12日の時点で、オーシーのOCカードを騙るフィッシングメールが拡散している。メールの件名は以下の通り。

  • OC WEBサービスご利用確認
  • OCカードWEBサービスご利用確認
  • 【株式会社オーシー】カード利用停止

メールでは、利用を制限するなどと記載しURLにアクセスするよう誘導。リンク先は同社を模した疑似サイト(フィッシングサイト)で、IDやパスワードの入力項目が存在。もちろん情報を入力してはならない。5月12日の時点でフィッシングサイトは稼働中。同社はクレジットカード番号の入力を求めるようなメールを送信することはないとして注意を呼びかけている。

プラットフォーム「EC-CUBE」に緊急度が高い脆弱性

イーシーキューブは5月13日、同社のeコマースプラットフォーム「EC-CUBE」に脆弱性を確認。アップデートを公開した。対象バージョンは以下の通り。

  • EC-CUBE 4.0.0~4.0.5

脆弱性はクロスサイトスクリプティングで、不審なデータを管理画面から参照すると攻撃が成立する可能性がある。そのため、データを確認する場合は管理画面から行わないようにすることが重要。すでに複数のサイトで脆弱性を悪用する攻撃が発生しており、クレジットカード情報の流出も確認さrているなど、緊急度は高い。

同社は、該当バージョンを利用している場合、公開済みのHotfixを適用するよう呼びかけている。ファイルの上書きやソースコードの修正が難しいユーザーのために、「XSS脆弱性修正プラグイン」も公開した。なお、クラウド版「ec-cube.co」はHotfixが適用済み。