12月9日~15日にかけてMicrosoft、Apple、Adobeといった主要なIT企業が深刻なセキュリティ脆弱性への対策として複数の緊急アップデートを配信した。Microsoftの累積更新プログラムでは72件の脆弱性が修正され、悪用確認済みの脆弱性も含まれている。AppleはiPhoneやMac向けに重大な脆弱性を修正する緊急アップデートを実施し、AdobeはPDFアプリ「Acrobat」関連の深刻な問題に対応した。サイバー攻撃のリスクを軽減するため、全ての対象製品で早急なアップデートが推奨される。

連載のこれまでの回はこちらを参照

12月9日~15日の最新サイバーセキュリティ情報

12月9日~15日にかけて、主要なテクノロジー企業やサイバーセキュリティ研究機関から複数の重要なセキュリティ情報が発表された。Microsoft、Apple、Adobeといった業界のリーダーは、深刻なセキュリティ脆弱性を修正するためのアップデートをリリースし、利用者に対して迅速な適用を呼びかけている。

特にMicrosoftの累積更新プログラムには、すでに悪用が確認されている深刻な脆弱性が含まれており、管理者権限の奪取やリモートコードの実行といった重大なリスクが報告されている。同様に、Appleは複数の製品に影響するセキュリティ脆弱性に対応する緊急アップデートを配信し、AdobeもPDFリーダーとして広く使われるAcrobat製品群の脆弱性を修正した。

サイバーセキュリティ企業の調査によって、中国の新しい監視ツールやEDR回避手法といった先進的な脅威も明らかにされた。これらの発表はビジネスから個人利用まで、幅広いユーザー層に影響を与えるものだ。それでは詳細を見ていこう。

Microsoft、12月の累積更新プログラム配信開始 - 悪用確認済み脆弱性の修正を含む

Microsoftから2024年12月の累積更新プログラムの配信が開始された。今回の配信プログラムでは72件のセキュリティ脆弱性が修正対象とされており、そのうち1件に関してはすでに悪用が確認されている。このセキュリティ脆弱性を悪用された場合には遠隔から任意のコードを実行されたり、管理者権限を奪取されるリスクがあるとされており、該当する場合には迅速にアップデートを適用することが望まれている(参考「Microsoftが12月の更新プログラム公開、対象の脆弱性の悪用確認済み | TECH+ (テックプラス)」)。

  • December 2024 Security Updates - Release Notes - Security Update Guide - Microsoft

    December 2024 Security Updates - Release Notes - Security Update Guide - Microsoft

悪用が確認されているセキュリティ脆弱性は次のとおり。

  • CVE-2024-49138 - Windows Common Log File Systemにヒープベースのバッファーオーバーフローの脆弱性。サイバー攻撃者はこの脆弱性を突いてSYSTEM権限を取得できる可能性がある

Microsoftはこのところ累積更新プログラムの配信によって新機能の追加やセキュリティ脆弱性の修正を実施するのみならず、いくつかの不具合を引き起こすケースを続けている。このため権利者やユーザーの中にはすぐにアップデートを適用することを避ける向きもあるが、更新プログラムの配信は脆弱性の悪用が進みやすくなるきっかけにもなっている。深刻なセキュリティリスクを回避するため、Windows Updateの適用は迅速かつ確実に行うべきだ。

なお、Windows Updateの適用によって問題が発生した場合には一時的に更新をロールバックするなどして対応することができる。

Apple、iPhone/iPad/Macの重大なセキュリティリスクに対応 - 最新バージョンへの更新を推奨

Appleは12月11日(米国時間)に同社製品のセキュリティ脆弱性に対処するセキュリティアップデートを発表した。今回修正対象となっているセキュリティ脆弱性(CVE-2024-45490)は深刻度が緊急(critical)と分析されていることから注意が必要(参考「iPhoneやMacなど複数のApple製品に緊急の脆弱性、アップデートを | TECH+ (テックプラス)」)。

  • About the security content of iOS 18.2 and iPadOS 18.2 - Apple Support

    About the security content of iOS 18.2 and iPadOS 18.2 - Apple Support

セキュリティアップデートの対象となっている製品は次のとおり。

  • iPhone XSおよびこれ以降のモデル
  • iPad Pro 13インチ
  • iPad Pro 12.9インチ第2世代およびこれ以降のモデル
  • iPad Pro 11インチ第1世代およびこれ以降のモデル
  • iPad Pro 10.5インチ
  • iPad Air第3世代およびこれ以降のモデル
  • iPad第6世代およびこれ以降のモデル
  • iPad mini第5世代およびこれ以降のモデル
  • macOS Sequoia
  • macOS Sonoma
  • macOS Ventura
  • Apple Watch Series 6およびこれ以降のモデル
  • Apple TV HDおよびApple TV 4Kのすべてのモデル
  • Apple Vision Pro

アップデートを適用したあとのオペレーティングシステムのバージョンは次のとおり。

  • iOS 18.2
  • iPadOS 18.2
  • iPadOS 17.7.3
  • macOS Sequoia 15.2
  • macOS Sonoma 14.7.2
  • macOS Ventura 13.7.2
  • watchOS 11.2
  • tvOS 18.2
  • visionOS 2.2
  • Safari 18.2

ビジネスシーンではMacよりもWindowsが採用されているケースが多いが、ビジネスマン自身が個人のスマートデバイスとしてiPhoneやiPad、Apple Watchを使っているケースが多く見られる。日本は特にApple製品のシェアが高い国であり、Appleがセキュリティアップデートを公開した場合にはすぐに適用するようにしておきたい。

Adobe AcrobatとReaderに深刻な脆弱性発見 - 即時アップデートを推奨

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は12月11日、Adobe AcrobatおよびAdobe Acrobat Readerにセキュリティ脆弱性が存在すると発表した。これらセキュリティ脆弱性を悪用された場合、サイバー攻撃者によって作成された悪意あるファイルを開くことで任意のコードが実行される可能性がある(参考「Adobe AcrobatとReaderに脆弱性、アップデートを | TECH+ (テックプラス)」)。

  • Adobe AcrobatおよびReaderの脆弱性(APSB24-92)に関する注意喚起

    Adobe AcrobatおよびReaderの脆弱性(APSB24-92)に関する注意喚起

セキュリティ脆弱性が存在する製品およびバージョンは次のとおり。

  • Acrobat DC Continuous 24.005.20307およびこれ以前のバージョン(Windows、macOS)
  • Acrobat Reader DC Continuous 24.005.20307およびこれ以前のバージョン(Windows、macOS)
  • Acrobat 2024 Classic 2024 24.001.30213およびこれ以前のバージョン(Windows)
  • Acrobat 2024 Classic 2024 24.001.30193およびこれ以前のバージョン(macOS)
  • Acrobat 2020 Classic 2020 20.005.30730およびこれ以前のバージョン(Windows)
  • Acrobat 2020 Classic 2020 20.005.30710およびこれ以前のバージョン(macOS)
  • Acrobat Reader 2020 Classic 2020 20.005.30730およびこれ以前のバージョン(Windows)
  • Acrobat Reader 2020 Classic 2020 20.005.30710およびこれ以前のバージョン(macOS)

セキュリティ脆弱性が修正された製品およびバージョンは次のとおり。

  • Acrobat DC Continuous 24.005.20320(Windows、macOS)
  • Acrobat Reader DC Continuous 24.005.20320(Windows、macOS)
  • Acrobat 2024 Classic 2024 24.001.30225(Windows、macOS)
  • Acrobat 2020 Classic 2020 20.005.30748(Windows、macOS)
  • Acrobat Reader 2020 Classic 2020 20.005.30748(Windows、macOS)

PDFは広く使われていることからサイバー攻撃の標的として使われることが多いフォーマットの1つであり、さまざまな方法で悪用されている。PDFはビジネスシーンにおいてもっとも使われるドキュメント形式の1つであり、AcrobatやAcrobat ReaderはPDFアプリケーションとして広く採用されている。該当する製品を使用している場合にはすぐにアップデートを適用しておこう。

Akamai、WindowsのUIオートメーション悪用によるEDR回避の可能性を警告

Akamai TechnologiesからWindowsのUIオートメーションフレームワークを悪用してエンドポイント検出応答(EDR:Endpoint Detection and Response)を回避できるとの発表が行われた。この方法はWindows XP以降のすべてのWindowsで有効だと見られている(参考「Windows XP以降にセキュリティ検出回避の可能性、注意を | TECH+ (テックプラス)」)。

  • Teaching an Old Framework New Tricks: The Dangers of Windows UI Automation|Akamai

    Teaching an Old Framework New Tricks: The Dangers of Windows UI Automation | Akamai

EDRは、ネットワーク内のエンドポイント(PC、サーバー、モバイルデバイスなど)を監視し、不正な活動の検出とインシデント対応を行うサイバーセキュリティ技術だ。リアルタイムのデータ収集と行動分析を通じて、マルウェア感染や不正アクセスなどのセキュリティ脅威を特定し、即座に対策を講じる機能を提供する。これにより、組織はセキュリティインシデントの影響を最小限に抑え、被害の拡大を防ぐことが可能となる。クラウドベースの分析やAI技術と組み合わせることで、EDRは高度なサイバー攻撃にも対応できる堅牢なセキュリティ対策となる。このため、今回のAkamai Technologiesの発表はEDRを使っている企業にとってかなり気になる発表だ。

スクリーンリーダーといったアクセシビリティー機能を実現するには、プログラムによるUIへの介入を許可する必要がある。しかしながらセキュリティ上の観点からそうした行為は禁止されていることが多い。Windowsではこの問題を解決するために「UI オートメーション」を提供しているのだが、この機能を悪用することで逆にセキュリティ機能を回避することができるという内容になっている。

UIオートメーションを利用するアプリケーションは中程度の信頼レベルで実行されるため、特権プロセスへのアクセスは許可されない。しかしながらこうしたアクセシビリティー機能はユーザーを支援することが目的であることから、悪意ある動作であったとしてもEDRからは検出されない。この部分を突いているわけだ。

Akamai Technologiesはこの手法を実際に悪用するにはユーザーの操作が必要であり、他のサイバー攻撃手法と比べて難易度が高いことからすぐに脅威として台頭する可能性としては認識していない。しかしEDRに検出されないという事実はサイバー攻撃者にとって魅力的なものであり、いずれサイバー攻撃に悪用される可能性があるとして警戒を呼びかけている。どちらかというと、セキュリティソリューションを開発している企業に対してプロアクティブな対策を推奨する内容になっている。

WPForms脆弱性発覚、WordPressユーザーは確認とアップデートを

世界中でもっとも広く使われているCMSであるWordPress。Q-Successの調査結果によると、2024年12月における世界中のCMSのうちWordPressのシェアは62%であり、2位のShopifyの6.7%を大きく引き離している。WordPressはCMSにおいてきわめて高いシェアを持った圧倒的な存在として存在している(参考「Usage Statistics and Market Share of Content Management Systems, December 2024」)。

  • WPForms 1.8.4 - 1.9.2.1 - Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation

    WPForms 1.8.4 - 1.9.2.1 - Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation

WordPressにはかなりの数のプラグインとテーマが存在しており、これらがエコシステムを構築している。このエコシステムがWordPressの人気を支えている大きな特長なのだが、プラグインのセキュリティ脆弱性がサイバー攻撃に使われることでも知られている。人気が高いということはそれだけパイが大きいことを意味しており、サイバー攻撃者にとっても魅力的なプラットフォームになっているためだ。

Defiantから12月10日(米国時間)にWordPressの人気のプラグイン「WPForms」に重大なセキュリティ脆弱性が存在すると報じられた。このセキュリティ脆弱性が悪用された場合、サブスクライバーのアクセス権を持つ攻撃者に不正な払い戻しまたはサブスクリプションをキャンセルされる可能性があるとしている(参考「WordPressの人気プラグイン「WPForms」に重大な脆弱性、アップデートを | TECH+ (テックプラス)」)。

WPFormsに限らず、WordPressの人気の高いプラグインにはしばしばセキュリティ脆弱性が発見されており、悪用されていることも確認されている。WordPressを使っている場合には、WordPressのバージョンのみならず、使用しているプラグインを常に最新バージョンへアップデートし続けることを忘れないようにしよう。また、開発やサポートが終了したプラグインはただちに使用を停止し、開発やサポートの提供が続いている他のプラグインに移行しよう。サポートが終了したプラグインを使い続けることはそれだけでリスクが高い。

Lookout、中国の新たな監視ツール「EagleMsgSpy」を発見、広範なデータ収集能力に警戒

Lookoutのサイバーセキュリティ研究者によって中国の公安局が使用する新しい監視ツール「EagleMsgSpy」が発見したことが報じられた。Androidを標的とするこのツールは2017年から運用されており、利用するには物理的なアクセスが必要とされている。インストーラーAPKと監視クライアントの2つの部分で構成され、インストールされるとデバイス上でヘッドレスで動作し、ユーザーのチャットメッセージ、スクリーンショット、音声録音、通話履歴、連絡先、SMSメッセージ、位置データ、ネットワーク活動などの広範なデータを窃取する(参考「Lookout Discovers New Chinese Surveillance Tool Used by Public Security | Threat Intel」)。

  • Lookout Discovers New Chinese Surveillance Tool Used by Public Security|Threat Intel

    Lookout Discovers New Chinese Surveillance Tool Used by Public Security | Threat Intel

この監視ツールはWuhan Chinasoft Token Information Technology (武汉中软通证信息技术有限公司)によって開発され、公安局によって使用されている。研究者はこのツールのiOSコンポーネント版の存在も示唆しているが、そちらはまだ発見されていない。

EagleMsgSpyはデバイスの通知リスナーとアクセシビリティサービスを使用してデバイスの使用を監視し、QQ、Telegram、Viber、WhatsApp、WeChatなどのメッセージを収集する。また、スクリーン録画、スクリーンショット、音声録音、通話履歴、連絡先、SMSメッセージ、GPS座標、Wi-Fiおよびネットワーク接続の詳細、外部ストレージのファイルリスト、Webブラウザのブックマークを収集する。収集されたデータはデバイスのファイルシステムの隠しディレクトリーに保存され、圧縮およびパスワード保護された後、コマンドアンドコントロール(C2)サーバーに送信される仕組みになっている。

本連載では直接日本に影響を及ぼしているトピックの中でも特に影響範囲が広いものをピックアップして取り上げているが、世界的にはロシア、中国、北朝鮮などをはじめ多くの脅威アクターを抱える国や地域のアクターが世界中を相手にサイバー攻撃を仕掛けており、サイバー攻撃の報道はかなり多い。こうした中において日本は地政学的に特に中国および北朝鮮からの関与が強いと分析されることが多く、常に脅威にさらされている。

生成AIの急速な発展と普及、高性能な翻訳サービスの台頭などで日本語という自然言語が脅威アクターに対して作る障壁は低いものになってきている。今後はこうしたサイバー犯罪に影響の深い国のサイバーセキュリティ動向に今まで以上にアンテナを立てていく必要がある。

Windowsの複数バージョンに影響、CISAがエクスプロイト情報を更新

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、12月9日~15日にカタログに2つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Cleo Harmony 5.8.0.21よりも前のバージョン
  • Cleo VLTrader 5.8.0.21よりも前のバージョン
  • Cleo LexiCom 5.8.0.21よりも前のバージョン
  • Microsoft Windows 10 Version 1809 (32ビット版システム、x64ベースシステム) 10.0.0から10.0.17763.6659よりも前のバージョン
  • Microsoft Windows Server 2019 (x64ベースシステム) 10.0.0から10.0.17763.6659よりも前のバージョン
  • Microsoft Windows Server 2019 (Server Coreインストレーション) 10.0.0から10.0.17763.6659よりも前のバージョン
  • Microsoft Windows Server 2022 (x64ベースシステム) 10.0.0から10.0.20348.2966よりも前のバージョン
  • Microsoft Windows Server 2022 (x64ベースシステム) 10.0.0から10.0.20348.2908よりも前のバージョン
  • Microsoft Windows 10 Version 21H2 (32ビット版システム、ARM64ベースシステム、x64ベースシステム) 10.0.0から10.0.19044.5247よりも前のバージョン
  • Microsoft Windows 11 version 22H2 (ARM64ベースシステム、x64ベースシステム) 10.0.0から10.0.22621.4602よりも前のバージョン
  • Microsoft Windows 10 Version 22H2 (x64ベースシステム、ARM64ベースシステム、32ビット版システム) 10.0.0から10.0.19045.5247よりも前のバージョン
  • Microsoft Windows Server 2025 (Server Coreインストレーション) (x64ベースシステム) 10.0.0から10.0.26100.2605よりも前のバージョン
  • Microsoft Windows Server 2025 (Server Coreインストレーション) (x64ベースシステム) 10.0.0から10.0.26100.2528よりも前のバージョン
  • Microsoft Windows 11 version 22H3 (ARM64ベースシステム) 10.0.0から10.0.22631.4602よりも前のバージョン
  • Microsoft Windows 11 Version 23H2 (x64ベースシステム) 10.0.0から10.0.22631.4602よりも前のバージョン
  • Microsoft Windows Server 2022、23H2 Edition (Server Coreインストレーション) (x64ベースシステム) 10.0.0から10.0.25398.1308よりも前のバージョン
  • Microsoft Windows 11 Version 24H2 (ARM64ベースシステム、x64ベースシステム) 10.0.0から10.0.26100.2605よりも前のバージョン
  • Microsoft Windows 11 Version 24H2 (ARM64ベースシステム、x64ベースシステム) 10.0.0から10.0.26100.2528よりも前のバージョン
  • Microsoft Windows Server 2025 (x64ベースシステム) 10.0.0から10.0.26100.2605よりも前のバージョン
  • Microsoft Windows Server 2025 (x64ベースシステム) 10.0.0から10.0.26100.2528よりも前のバージョン
  • Microsoft Windows 10 Version 1507 (32ビット版システム、x64ベースシステム) 10.0.0から10.0.10240.20857よりも前のバージョン
  • Microsoft Windows 10 Version 1607 (32ビット版システム、x64ベースシステム) 10.0.0から10.0.14393.7606よりも前のバージョン
  • Microsoft Windows Server 2016 (x64ベースシステム) 10.0.0から10.0.14393.7606よりも前のバージョン
  • Microsoft Windows Server 2016 (Server Coreインストレーション) (x64ベースシステム) 10.0.0から10.0.14393.7606よりも前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (32ビット版システム) 6.0.0から6.0.6003.23016よりも前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (x64ベースシステム) 6.0.0から6.0.6003.23016よりも前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (x64ベースシステム) 6.1.0から6.1.7601.27467よりも前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (Server Coreインストレーション) (x64ベースシステム) 6.0.0から6.1.7601.27467よりも前のバージョン
  • Microsoft Windows Server 2012 (x64ベースシステム) 6.2.0から6.2.9200.25222よりも前のバージョン
  • Microsoft Windows Server 2012 (Server Coreインストレーション) (x64ベースシステム) 6.2.0から6.2.9200.25222よりも前のバージョン
  • Microsoft Windows Server 2012 R2 (x64ベースシステム) 6.3.0から6.3.9600.22318よりも前のバージョン
  • Microsoft Windows Server 2012 R2 (Server Coreインストレーション) (x64ベースシステム) 6.3.0から6.3.9600.22318よりも前のバージョン

今回カタログに追加されたリストにはWindowsの多くのバージョンが含まれている。Windowsは世界中のPCでもっとも広く使われているオペレーティングシステムであり、影響が大きい。すでにアクティブな悪用が確認されていることから、該当する製品を使用している場合には特別な理由がない限り可能な限り迅速にアップデートを適用することが望まれる。

* * *

今回取り上げたMicrosoft、Apple、Adobeといった主要なテクノロジー企業が提供するセキュリティアップデートは、利用者のデータとシステムを守るうえで不可欠な防御策だ。脆弱性が悪用された場合のリスクは重大であり、企業は最新の更新プログラムを迅速に適用する必要がある。

CMSの市場支配者であるWordPressにおいても、プラグインの脆弱性がサイバー攻撃の入り口となるリスクは看過できない。サイバー攻撃の影響を最小限に抑えるためには、ソフトウェアやプラグインの更新管理を徹底し、サポートが終了した製品の使用を避けるなど、日常的なセキュリティ対策を継続的に行うことが重要だ。

参考