8月9日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

厚生労働省を騙るフィッシング

8月13日の時点で、厚生労働省を騙るフィッシングメールが拡散している。メールの件名は「【重要】新しいコロナウイルスの発生の予防と管理」など。

メールでは、新型コロナウイルスの感染者が急増しているため、現在の状態を登録するように記載。リンクをクリックして確認するように誘導する。誘導先には体温の入力欄があり、あたかもコロナウイルス対策のように見える。ほか、氏名。電話番号。身分証明書の画像といった入力欄があるが、よく読むと日本語がおかしいところがある。情報を入力すると書類偽造の可能性が高まるので注意が必要だ。

8月13日の時点でフィッシングサイトは稼働中。クレジットカードなど金銭に関わる入力欄はないが、もしこうしたサイトに飛んでしまっても、個人情報の入力は避けたほうが無難だ。

岡山大学病院、フィッシング詐欺によって患者情報が流出

岡山大学病院は8月4日、フィッシング詐欺によってクラウドサービス用IDとパスワードの窃取被害に遭ったことを明らかにした。

この一件は7月23日に発生。岡山大学病院の医師が個人で使用していたクラウドサービス用IDとパスワードを奪われ、データへのアクセスができなくなっていた。クラウドサービスには、治療経過を確認するための資料として269人の患者情報を保存してあり、これらの情報が攻撃者から閲覧可能な状態になっていたという。外部クラウドサービスへの個人情報の保存は、大学の規定に反したものだった。

岡山大学病院は、全職員に対して業務上必要な個人情報を保有する際の必須条件や、保管場所といった指導を行い、徹底させると発表。特に診療情報については、定期的に保有状況を調査することで、各職員のセキュリティ意識を向上させていく。現時点では情報の悪用などはなく、大学基幹システムや電子カルテなどの医療情報システムへの不正アクセスもない。

アドビ、eコマース「Magento」に脆弱性

アドビは8月11日、eコマース製品「Magentoコマース」と「Magentoオープンソース」に関する脆弱性情報と修正用アップデートも公開している。対象のバージョンは以下の通り。

  • Magentoコマース 2.4.2以前
  • Magentoコマース 2.4.2-p1以前
  • Magentoコマース 2.3.7以前
  • Magentoオープンソース 2.4.2-p1以前
  • Magentoオープンソース 2.3.7以前

脆弱性は、重大度「クリティカル」と「重要」を含む26件で、内容はセキュリティ機能のバイパス、任意のコード実行、アプリケーションのサービス拒否、特権の昇格、任意のファイルシステムの読み取り、など。

マイクロソフト、8月のセキュリティ更新プログラムをリリース

マイクロソフトは8月11日、8月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • .NET Core & Visual Studio
  • ASP .NET
  • Azure
  • Azure Sphere
  • Microsoft Azure Active Directory Connect
  • Microsoft Dynamics
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Scripting Engine
  • Microsoft Windows Codecs Library
  • Remote Desktop Client
  • Windows Bluetooth Service
  • Windows Cryptographic Services
  • Windows Defender
  • Windows Event Tracing
  • Windows Media
  • Windows MSHTML Platform
  • Windows NTLM
  • Windows Print Spooler Components
  • Windows Services for NFS ONCRPC XDR Driver
  • Windows Storage Spaces Controller
  • Windows TCP/IP
  • Windows Update
  • Windows Update Assistant
  • Windows User Profile Service

脆弱性についてのセキュリティ更新プログラムは、緊急4件、重要7件。修正内容はリモートでのコード実行、なりすまし、情報漏洩、特権の昇格、など。ほかにも、既存の脆弱性情報3件を更新している。今月の「悪意のあるソフトウェアの削除ツール」に追加したファミリはない。

なお、「Windows Print Spooler の脆弱性情報 CVE-2021-34481 に対応するセキュリティ更新プログラム」が含まれるが、脆弱性を完全には解消できていないことが明らかとなっている。おそらく9月以降の定例セキュリティ更新プログラム(もしくは定例外)で何らかの対策が図られるだろう。

Mozilla、 Firefoxのメジャーアップデート版「Firefox 91」

Mozilla Foundationは8月10日(米国時間)、Firefoxの最新バージョン「91.0」を公開した。延長サポート版の「Firefox ESR」もバージョン 78.13.0にアップデートしているほか、ESR 91.0もリリースした。

今回のアップデートでは、セキュリティ関連10件を修正。内訳は、高8件、中2件、低1件。脆弱性「高」では、NS名を解決する際や誤ったスタイル処理でのメモリ破損、Android版がフルスクリーンモードでスタックする、メディアチャネルでのメモリ解放後使用、などを修正している。

新機能として、Total Cookie Protectionの強化。Microsoftアカウントと、職場または学校アカウントでのWindowsのシングルサインオンが利用可能に。プライベートブラウジングウインドウでは、アドレスバーへの「タブ表示」を行うようになった。

Firefox 91は、macOS 10.9 / 10.10 / 10.11をサポートしていないため、これらのバージョンを利用している場合はFirefox ESRへ移行するよう推奨している。