iPhoneのパスワードが読み上げられる? Appleが脆弱性を修正

10月7日～13日セキュリティ情報：Microsoftが117件の脆弱性を修正し、AppleがiPhoneとiPad向けに脆弱性を修正したアップデートを提供した。アイフルやプロミスを騙ったフィッシング詐欺が増加中であり、慎重な対応が求められる。カシオ計算機ではランサムウエア攻撃が確認され、個人情報が漏えいした。米国CISAは複数の製品に脆弱性があると警告し、迅速な対策が必要とされている

連載のこれまでの回はこちらを参照。

10月7日～13日の最新サイバーセキュリティ情報

先週はMicrosoftがセキュリティアップデートを公開した。Microsoftは10月のセキュリティアップデートで117件の脆弱性を修正し、そのうち2件はすでに悪用が確認されている。これらの脆弱性は、遠隔からの任意コード実行や管理者権限の窃取を可能にするものであり、速やかなアップデートが推奨されている。また、AppleもiPhoneおよびiPad向けに脆弱性を修正したアップデートの提供を行った。脆弱性はVoiceOverによるパスワード読み上げや音声キャプチャーに関するもので、特に強い理由がない限りアップデートすることが望まれる。

フィッシング詐欺も依然として活発であり、アイフルやプロミスを騙るフィッシングメールが確認された。これらの偽メールに対しては慎重に対処し、疑わしい場合はフィッシング対策協議会への報告が望ましい。さらに、カシオ計算機では不正アクセスにより一部サービスが停止していることが発表され、ランサムウエア攻撃による個人情報の漏えいも確認された。

最後に、米国CISAはFortinet製品やWindowsなど複数の脆弱性をカタログに追加した。これらは現時点で悪用されている脆弱性であり、対策を進めるための情報として活用することが求められる。

Windows Update（2024年10月版）

• 

  October 2024 Security Updates - Release Notes - Security Update Guide - Microsoft

• Microsoftが10月の更新プログラム公開、117件中2件の脆弱性は悪用確認済み | TECH+（テックプラス）

Microsoftから10月のセキュリティアップデートが公開された。今回のアップデートではWindowsを含む製品群の117件のセキュリティ脆弱性が修正対象となっており、そのうち2件のセキュリティ脆弱性に関してはすでに悪用が確認されている。これらのセキュリティ脆弱性を悪用されると、遠隔からの任意のコードを実行されたり、管理者権限が窃取されたりするリスクがあるという。強い理由がない限り、Windowsなど使用しているMicrosoft製品をアップデートしよう。

Microsoftは基本的に月に1回はまとめてセキュリティアップデートの配信を実施しており、ユーザーはアップデートの配信に合わせて使っている製品をアップデートする必要がある。Microsoftはしばしばアップデートとともに不具合を持ち込むため、不具合の発生を経験した管理者やユーザーはアップデートの適用をためらうことがあるが、サイバーセキュリティの観点からはすぐにアップデートを適用することが原則だ。

セキュリティアップデートはユーザーにとって価値のあるものだが、脅威アクターにとっても価値のあるものだ。脅威アクターは配信されるアップデートからセキュリティ脆弱性の詳細を理解し、サイバー攻撃に悪用することができる。セキュリティアップデートはサイバー攻撃の利用につながる可能性が高まることも理解し、基本的には迅速に適用することが望まれる。

iPhoneとiPadにパスワード読み上げや音声キャプチャーの脆弱性

• 

  About the security content of iOS 18.0.1 and iPadOS 18.0.1 - Apple Support

• iPhoneとiPadにパスワード読み上げ引き起こす脆弱性、アップデートを | TECH+（テックプラス）

AppleからiPhoneおよびiPad向けのセキュリティアップデートが公開された。「iOS 18.0.1」および「iPadOS 18.0.1」の配信が開始されている。今回修正対象となっているのはCVE-2024-44204およびCVE-2024-44207で、パスワードがVoiceOverで読み上げられるリスクやマイクインジケーターが有効になる前の数秒間の音声がキャプチャーされるリスクと説明されている。

今回修正対象となったセキュリティ脆弱性を悪用するには対象となるiPhoneやiPadのロックを事前に解除する必要があるため、深刻度は比較的低めに評価されている。しかしながら、特に強い理由がない限りアップデートを適用することが望まれる。日本では多くのユーザーがiPhoneを利用しており、セキュリティアップデートが提供された場合にはすぐに適用することが基本的な対処方法となる。

報告が増えているフィッシング詐欺、類似のメールに警戒を

• 

  フィッシング対策協議会　Council of Anti-Phishing Japan ｜ ニュース ｜ 緊急情報 ｜ アイフルをかたるフィッシング (2024/10/07)

• アイフルを偽るフィッシング確認、注意を | TECH+（テックプラス）
• プロミスを偽るフィッシング確認、注意を | TECH+（テックプラス）

10月7日～12日にかけてはフィッシング対策協議会からアイフルを騙るフィッシング詐欺と、プロミスを騙るフィッシング詐欺に注意するようにとの注意が発表された。内容を確認するとともに、類似するメールが送られてきた場合にはフィッシング詐欺の可能性を考慮して注意深く対応する必要がある。

フィッシング対策協議会から発表されていない内容であってもフィッシング詐欺メールは毎日国内で流通している。常にこうしたリスクが存在していることを認識するとともに、フィッシング詐欺メールと疑わしいメールやSMSを受診した場合には「フィッシング対策協議会　Council of Anti-Phishing Japan | フィッシングの報告」からフィッシングの報告を行うことが望まれる。

• フィッシング対策協議会　Council of Anti-Phishing Japan

カシオ計算機に不正アクセス

• 

  当社におけるランサムウエア被害に伴う サービスの一部停止と情報漏えいに関するお知らせ ｜ CASIO

• カシオ計算機に不正アクセス、オンラインストアの一部サービス停止 | TECH+（テックプラス）

先週の10月8日にはカシオ計算機から不正アクセスの発表が行われた。結果的にシステムに障害が発生し、一部のサービスが提供できていないことが報告された。「CASIOオンラインストア」はシステム障害の影響で10月3日以前の注文の未出荷商品があり、10月4日以降注文商品の出荷に影響し、10月5日以降の問い合わせフォームに不具合が発生している。不正アクセスの詳細は調査中とされており、侵入経路や影響範囲などは明らかにされていない(参考「当社ネットワークへの不正アクセスによるシステム障害について | CASIO」)。

カシオ計算機は10月11日に続報を発表し、先のネットワーク不正アクセスによってランサムウエア攻撃の被害を受けたことを報じた。また、同社および同社の関連会社が保有する個人情報および機密情報の一部が漏えいしたことも発表された（参考「当社におけるランサムウェア被害に伴う サービスの一部停止と情報漏えいに関するお知らせ | CASIO」）。

今回のサイバー攻撃の全容は執筆段階においてもまだ調査中とされている。調査完了後にはより詳細な発表が行われるものとみられる。

狙われる日本企業

日本は脅威アクターにとって魅力的な市場であり、企業や組織はしばしば標的になっている。これまでは言語の壁がある程度機能していたと考えられているが、生成AIの登場などでその壁は低いものになりつつある。

例えばJPCERTコーディネーションセンター（JPCERT/CC: Japan Computer Emergency Response Team Coordination Center）は2024年7月、北朝鮮の持続的標的型攻撃（APT: Advanced Persistent Threat）グループ「Kimsuky」が日本の組織を狙った攻撃活動を行っていると発表した（参考「日本の組織を狙った攻撃グループKimsukyによる攻撃活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ」）。

Palo Alto Networksも9月に入ってからKimsuky （別名：Sparkling Pisces、THALLIUM、Velvet Chollima）のサイバー攻撃を取り上げ、標的のほとんどが日本と韓国だったことを報告している（参考「Unraveling Sparkling Pisces’s Tool Set: KLogEXE and FPSpy」）。

• 

  Unraveling Sparkling Pisces’s Tool Set: KLogEXE and FPSpy

発表されていないサイバーセキュリティインシデントを含めると相当数の組織がこうした攻撃を受けていると考えられ、今後もサイバーセキュリティ対策と運用を積極的に進めていくべきだろう。

Adobeの複数製品に脆弱性

• 

  Adobe Releases Security Updates for Multiple Products ｜ CISA

• Adobe Lightroomなどに脆弱性、確認とアップデートを | TECH+（テックプラス）

Adobeから複数の製品のセキュリティアップデートが発表された。対象となる製品は次のとおり。

• Adobe Animate 2023
• Adobe Animate 2024
• Adobe Commerce B2B
• Adobe Commerce
• Adobe Dimension
• Adobe FrameMaker
• Adobe InCopy
• Adobe InDesign
• Adobe Substance 3D Painter
• Adobe Substance 3D Stager
• Lightroom Classic(LTS)
• Lightroom Classic
• Lightroom
• Magento Open Source

該当する製品を使っている場合にはAdobeのセキュリティ情報を確認するとともに、必要に応じてアップデートを実施しよう。一部のセキュリティ脆弱性は深刻度が緊急（Critical）に分類されており迅速な対応が必要だ。

Visual Studioのデバッグ機能を悪用して任意コードを実行

• 

  Exploiting Visual Studio via dump files - CVE-2024-30052

• Exploiting Visual Studio via dump files - CVE-2024-30052

セキュリティ研究者がVisual Studioに任意コード実行のセキュリティ脆弱性があることを発見し、その詳細を報告した。セキュリティ脆弱性はCVE-2024-30052として特定されている。

このセキュリティ脆弱性はVisual Studioのダンプデータ処理ロジックに問題が存在するというもので、細工したダンプファイルを開かせることで最終的に任意コードが実行できるというもの。セキュリティ研究者はすでに概念実証（PoC: Proof of Concept）を公開しているほか、動画で悪用が可能であることを示している。

Microsoftは当初この脆弱性を深刻度を低く評価していたため、セキュリティ研究者がMicrosoftに報告してから問題が修正されるまで10カ月間ほどかかっている。最終的に2024年6月にリリースされた「Visual Studio 2022 17.8.11」で修正されており、Visual Studio 2022 17.8系を使っている場合には修正版以降のバージョンへアップデートすることが望まれる。

セキュリティ研究者の指摘は、ダンプファイルといったアプリケーションやシステムの改善を目的として「善意」に基づいて送られてくると考えられるデータも、脅威アクターにとってはサイバー攻撃の道具として悪用できる可能性を示している。特にこの数年でソフトウエア開発を標的とするサイバー攻撃が増加しており、ソフトウエア開発者も標的になることを意識する必要性が高い状態が続いている。

カタログ：Fortinet、Ivanti、Qualcomm、Windowsがアクティブに悪用中

• CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA
• CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA: Cybersecurity and Infrastructure Security Agency）は10月7日～12日に合計6つの脆弱性をカタログに追加した。今回カタログに追加された製品はつぎのとおり。

• Fortinet FortiOS 7.0.0から7.0.13までのバージョン
• Fortinet FortiOS 7.2.0から7.2.6までのバージョン
• Fortinet FortiOS 7.4.0から7.4.2までのバージョン
• Fortinet FortiPAM 1.0.0から1.0.3までのバージョン
• Fortinet FortiPAM 1.1.0から1.1.2までのバージョン
• Fortinet FortiPAM 1.2.0
• Fortinet FortiProxy 7.0.0から7.0.15までのバージョン
• Fortinet FortiProxy 7.2.0から7.2.8までのバージョン
• Fortinet FortiProxy 7.4.0から7.4.2までのバージョン
• Fortinet FortiSwitchManager 7.0.0から7.0.3までのバージョン
• Fortinet FortiSwitchManager 7.2.0から7.2.3までのバージョン
• Ivanti CSA (Cloud Services Appliance) 5.0.2
• Qualcomm Snapdragon製品群 (FastConnect 6700、FastConnect 6800、FastConnect 6900、FastConnect 7800、QAM8295P、QCA6174A、QCA6391、QCA6426、QCA6436、QCA6574AU、QCA6584AU、QCA6595、QCA6595AU、QCA6688AQ、QCA6696、QCA6698AQ、QCS410、QCS610、QCS6490、Qualcomm Video Collaboration VC1 Platform、Qualcomm Video Collaboration VC3 Platform、SA4150P、SA4155P、SA6145P、SA6150P、SA6155P、SA8145P、SA8150P、SA8155P、SA8195P、SA8295P、SD660、SD865 5G、SG4150P、Snapdragon 660 Mobile Platform、Snapdragon 680 4G Mobile Platform、Snapdragon 685 4G Mobile Platform (SM6225-AD)、Snapdragon 8 Gen 1 Mobile Platform、Snapdragon 865 5G Mobile Platform、Snapdragon 865+ 5G Mobile Platform (SM8250-AB)、Snapdragon 870 5G Mobile Platform (SM8250-AC)、Snapdragon 888 5G Mobile Platform、Snapdragon 888+ 5G Mobile Platform (SM8350-AC)、Snapdragon Auto 5G Modem-RF、Snapdragon Auto 5G Modem-RF Gen 2、Snapdragon X55 5G Modem-RF System、Snapdragon XR2 5G Platform、SW5100、SW5100P、SXR2130、WCD9335、WCD9341、WCD9370、WCD9375、WCD9380、WCD9385、WCN3950、WCN3980、WCN3988、WCN3990、WSA8810、WSA8815、WSA8830、WSA8835)
• Windows 10 Version 1507 (32-bit Systems、x64-based Systems)
• Windows 10 Version 1607 (32-bit Systems、x64-based Systems)
• Windows 10 Version 1809 (32-bit Systems、x64-based Systems)
• Windows 10 Version 21H2 (32-bit Systems、x64-based Systems、ARM64-based Systems)
• Windows 11 version 21H2 (x64-based Systems、ARM64-based Systems)
• Windows 11 version 22H3 (ARM64-based Systems)
• Windows 11 Version 23H2 (x64-based Systems)
• Windows 11 Version 24H2 (x64-based Systems、ARM64-based Systems)
• Windows Server 2008 R2 Service Pack 1 (Server Core installation) (x64-based Systems)
• Windows Server 2008 R2 Service Pack 1 (x64-based Systems)
• Windows Server 2008 Service Pack 2 (32-bit Systems)
• Windows Server 2008 Service Pack 2 (Server Core installation) (32-bit Systems、x64-based Systems)
• Windows Server 2008 Service Pack 2 (x64-based Systems)
• Windows Server 2012 (Server Core installation) (x64-based Systems)
• Windows Server 2012 (x64-based Systems)
• Windows Server 2012 R2 (Server Core installation) (x64-based Systems)
• Windows Server 2012 R2 (x64-based Systems)
• Windows Server 2016 (Server Core installation) (x64-based Systems)
• Windows Server 2016 (x64-based Systems)
• Windows Server 2019 (Server Core installation) (x64-based Systems)
• Windows Server 2019 (x64-based Systems)
• Windows Server 2022 (x64-based Systems)
• Windows Server 2022、23H2 Edition (Server Core installation) (x64-based Systems)

カタログにはそのときアクティブにサイバー攻撃に悪用されているセキュリティ脆弱性が登録される。定期的にチェックして該当するバージョンの製品を使用していないか確認することが大切だ。

脅威アクターは最新のセキュリティ脆弱性のみを利用するわけではなく、古いセキュリティ脆弱性であっても悪用が可能であり効果が期待できれば利用してくる。カタログに追加される情報は実際にアクティブに悪用されている脆弱性であり、対策に取り組むためのデータとして参考になる。定期的にチェックしていくことが望ましい。

• Known Exploited Vulnerabilities Catalog | CISA

*　*　*

本連載で取り上げるセキュリティ脆弱性やサイバーセキュリティインシデントは日本に関連しているものに絞ったとしてもかなり限定的だ。少なくとも本連載で取り上げる脆弱性はチェックし、該当するプロダクトおよびバージョンを使用している場合にはアップデートや対策を実施してもらえればと思う。

サイバーセキュリティ対策には終わりがない。燃え尽き症候群に陥らない範囲内で効果的な対策を取り続けていこう。

参考

• IPA 独立行政法人 情報処理推進機構
• JPCERT コーディネーションセンター
• フィッシング対策協議会　Council of Anti-Phishing Japan
• Home Page | CISA