サイバーセキュリティ最前線(5) リコー製プリンターや複合機のアップデートを、QNAP製品も要確認

10月28日～11月3日に発表された最新のサイバーセキュリティ情報では、リコー、QNAP、Microsoft、Apple製品など多くの企業や個人が利用する製品の深刻な脆弱性が明らかになった。これらの脆弱性は、リモートからの不正アクセス、データ漏えい、システムの停止といったリスクを招く恐れがある。利用者は迅速にセキュリティアップデートを適用し、信頼性のあるWebサイトからのみアプリや拡張機能をインストールすることが推奨される。

連載のこれまでの回はこちらを参照。

10月28日～11月3日最新サイバーセキュリティ情報

10月28日～11月3日のサイバーセキュリティ情報としてリコー、QNAP、Microsoft、WordPressのLiteSpeed Cacheプラグイン、LastPassの警告、ネットワークカメラ、Apple製品などにおける最新の脆弱性情報を取り上げる。これらの脆弱性は、多くの製品が企業や個人で広く利用されており、適切な対応が急務だ。

これらのセキュリティ脆弱性を悪用されると、遠隔からの不正アクセスやデータ漏えい、システムの停止といった重大なリスクが生じる。ユーザーは、これらの製品が抱えるリスクを理解し、各社が提供するセキュリティアップデートを迅速に適用することが推奨される。また、正規のWebサイトや公式ストアからのみのアプリや拡張機能のインストールを徹底することも、リスク低減のために重要だ。

リコー製プリンターと複合機に緊急の脆弱性、確認とアップデートが必要

JPCERTコーディネーションセンター（JPCERT/CC：Japan Computer Emergency Response Team Coordination Center）は10月31日、リコー製プリンターおよび複合機にセキュリティ脆弱性が存在すると発表した。このセキュリティ脆弱性が悪用されると、遠隔から任意のコードを実行されたり、サービス運用妨害（DoS：Denial of Service）を引き起こされるリスクがある（参考「リコー製プリンタと複合機に深刻な脆弱性、ただちに更新を | TECH+（テックプラス）」）。

JVN#87770340: Web Image Monitorを実装している複数のリコー製レーザープリンタおよび複合機（MFP）におけるスタックベースのバッファオーバーフローの脆弱性

セキュリティ脆弱性が存在するとされる製品は次のとおり。

RICOH MP C8003/C6503
RICOH IM C6500/C8000
RICOH IM 430F
RICOH IP 500SF
RICOH P 501/500
RICOH MP 3554/2554
RICOH MP 3554Z SPF
RICOH IM 2500/3500/4000/5000/6000
RICOH MP 2555/3555/4055/5055/6055
RICOH SP 8400/8400M/8400a1/8400M a1
RICOH MP C3004/C3504
RICOH MP C2504
RICOH MP C4504/C5504/C6004
RICOH IM C3000/C3500
RICOH IM C4500/C5500/C6000
RICOH IM C2000/C2500
RICOH IM C300
imagio MP 1601/1301
RICOH IM 7000/8000/9000
RICOH MP C3003/C3503
RICOH MP C4503/C5503/C6003
RICOH MP C1803/C2503
RICOH MP 305+SPF
RICOH MP 9003/7503/6503
RICOH MP CW1201/CW2201
RICOH IM CW1200/CW2200
RICOH MP C306
RICOH MP C307
RICOH MP C3003Z/C3503Z
RICOH MP C4503Z/C5503Z/C6003Z
RICOH MP C2503Z
RICOH MP W4002
RICOH SP C750/C750M
RICOH SP C751/C751M
RICOH SP C841/C841M/C841a1/C841M a1/C840/C840M/C840a1/C840M a1
RICOH SP C840ME
IPSiO SP C730L
RICOH SP 4510/4500
RICOH IP C6020/C6020M
RICOH IP 6530/6530M
RICOH SP C341
RICOH SP C342/C342M
RICOH SP C352
RICOH P C6010/C6010M
RICOH P 6520/6520M/6510/6510M/6500
RICOH SP 6430/6430M/6430LE/6420/6420M/6420LE/6410/6410LE
RICOH SP 6440/6440M/6440LE
RICOH SP 6450/6450TE
RICOH P 6020/6020M/6020LE/6010/6010M/6010LE/6000/6000LE
RICOH P 6030/6030M/6030LE
RICOH Pro C9110/C9100
RICOH Pro C9210/C9200
RICOH Pro 8320S/8310S/8300S
RICOH Pro 8320Y/8320HT/8310Y/8310HT
RICOH Pro C5210S/C5200S
RICOH Pro C5310S/C5300S
RICOH Pro C7210S/C7200S/C7210SHT/C7200SHT

多くの企業がこれら製品を使用していると推測される。このセキュリティ脆弱性は深刻度が最高レベルの緊急（Critical）と評価されており、可能な限り迅速に対応することが望まれる。該当する製品を使っていないか確認するとともに、該当する場合には情報の確認とアップデートを実施しよう。

QNAP製品に深刻な脆弱性、アップデートを

QNAP SystemsはQNAP製品に緊急の脆弱性が存在することを発表した。QNAPのネットワークアタッチトストレージ（NAS：Network Attached Storage）製品を使っている場合には確認を行おう。（参考「QNAP製品に深刻な脆弱性、更新を | TECH+（テックプラス）」）。

Vulnerability in HBS 3 Hybrid Backup Sync (PWN2OWN 2024) - Security Advisory ｜ QNAP

QNAP製品を使っている場合には特に次の3つのセキュリティアドバイザリーを確認しておきたい。

セキュリティ脆弱性が存在する製品およびバージョンは次のとおり。

HBS 3 Hybrid Backup Sync 25.1.x
SMB Service 4.15.x
SMB Service h4.15.x
QuRouter 2.4.x

どのセキュリティ脆弱性も深刻度が緊急（Critical）と分析されており迅速な対応が望まれている。QNAPの製品はしばしばセキュリティ脆弱性が発見されている。該当する製品を使っている場合、定期的にセキュリティアドバイザリーを確認し、アップデートをルーティーン化することがセキュリティ対策の要となる。

Microsoft SharePointのバージョン確認とアップデートを

Microsoft SharePointサーバを利用しているのであれば、利用しているバージョンの確認を行い、古いバージョンを使っている場合にはアップデートを実施した方が良い。Rapid7が10月30日（米国時間）にMicrosoft SharePointサーバのセキュリティ脆弱性を利用したサイバー攻撃の詳細情報を明らかにしている（参考「Microsoft SharePointの脆弱性を突いてサーバに侵入する攻撃に注意 | TECH+（テックプラス）」）。

Investigating a SharePoint Compromise: IR Tales from the Field ｜ Rapid7 Blog

サイバー攻撃者はMicrosoft SharePointのセキュリティ脆弱性（CVE-2024-38094）を利用してリモートコード実行（RCE：Remote Code Execution）を仕掛け、サーバーへ侵入。さらにMicrosoft Exchangeサービスアカウントを使用してネットワーク内を横移動し、アンチウイルスソフトウェアをインストールして衝突を引き起こしセキュリティ対策を無効化するとともに、外部とのアクセスを確立して持続的なアクセスを手に入れている。

Microsoftはすでにこの悪用されたセキュリティ脆弱性を修正するアップデートの提供を行っている。Microsoft SharePointサーバを利用している場合にはセキュリティ脆弱性が修正された最新バージョンへアップグレードを実施しよう。

LiteSpeed Cache Wordpressプラグインのアップデートを実施しよう

世界で広く使われているCMS・WordPress。WordPressはプラグインを使うことでさまざまな機能を実現することができ、高いシェアを獲得している。もしWordPressを使っていて、かつ、LiteSpeed Cacheプラグインを使っているなら注意が必要だ。

Rare Case of Privilege Escalation Patched in LiteSpeed Cache Plugin - Patchstack

Patchstackは10月29日（現地時間）、LiteSpeed Cacheプラグインに特権昇格のセキュリティ脆弱性が存在すると発表した。LiteSpeed Cacheプラグインは600万以上のアクティブインストールを持つ人気の高いキャッシングプラグインだ。このプラグインには特権昇格のセキュリティ脆弱性が存在するとされており、認証されていない第三者が管理者レベルのアクセス権を取得できてしまうとされている（参考「Rare Case of Privilege Escalation Patched in LiteSpeed Cache Plugin - Patchstack」）。

LiteSpeed Cacheは2024年8月にも同等の問題が発見されている。今回は類似しているが8月とは別物であり、8月にアップデートを実施した場合でも再度確認を行い最新版へアップデートしよう。

そのパスワード管理ソフトやセキュリティソフトは本物?

LastPassは偽のWebストアレビューによって顧客データを盗もうとする試みが増加していることを警告した。最近、特定のレビューが意図的に高評価を付け、信頼性の低い拡張機能やアプリをダウンロードさせようとする手口が確認されており、これによりユーザーは偽の拡張機能や悪意あるソフトウェアに触れるリスクがあるとされている。これらの偽レビューは、見た目には通常のレビューと区別が付かないため、多くのユーザーが誤ってインストールしてしまう恐れがある（参考「Fake Web Store Reviews Attempting to Steal Customer Data」）。

Fake Web Store Reviews Attempting to Steal Customer Data

LastPassによればこうした偽レビューは特定のパスワード管理ソフトやセキュリティ関連のアプリに多く見られるとされる。攻撃者はユーザーの信頼を得るため、信頼を装う偽レビューや、実際には危険なアプリを魅力的に見せかける手法で評価を操作するなど、巧妙な手段が取られている。ユーザーが何の疑いもなくダウンロードした結果、個人情報が盗まれたり、不正アクセスにさらされたりするリスクが高まっている。このため、特にセキュリティ関連のアプリや拡張機能の選択には慎重を要する。

LastPassはこのようなリスクからユーザーを守るために、信頼性のある公式Webサイトや公式アプリストアからのみアプリや拡張機能をダウンロードするよう強く推奨している。さらに、レビューの内容に注意を払い、他のユーザーからの警告や否定的な意見が含まれていないかを確認することが重要であるとしている。セキュリティに関するアドオンや拡張機能は、定期的にアップデートされるものを選択することで、安全性を確保することができるとアドバイスしている。

サービスごとにユニークなパスワードを使うことが安全の基本とされており、これを実現するためにパスワードマネージャーの利用が推奨されることが多い。一見すると安全のように見えるパスワードマネージャーだが、そういったところにこそ脅威アクターは興味を持ち罠を仕掛けてくる。セキュリティソフトウェアについても同様だ。インストールする前に、本当に正規のソフトウェアなのかよく確認する必要がある。

ネットワークカメラに脆弱性、映像の盗撮や監視システムの停止などの影響

GreyNoiseは2024年10月31日（米国時間）、AIの機能を活用した複数のネットワークカメラにセキュリティ脆弱性が存在することを発見したと発表した。このセキュリティ脆弱性を悪用された場合、サイバー攻撃者によるカメラ制御権の奪取、映像フィードの閲覧や操作、監視カメラの無効化、ボットネットの一部として悪用などが可能になると指摘している（参考「GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI | GreyNoise Blog」）。

GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI ｜ GreyNoise Blog

セキュリティ脆弱性が存在するとされる製品は次のとおり。

PTZOptics製カメラ（6.3.40より前のファームウェア）
Multicam Systems SAS製カメラ
SMTAV製カメラ（Hisilicon Hi3516A V600 SoC V60/V61/V63を使用しているもの）

ネットワークに接続されたIPカメラはしばしばサイバー攻撃の標的として悪用されている。該当する製品を使用している場合、ベンダーの発表している情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。

フィッシング - JR西日本ポータル、レイク、ORIX MONEYを使った詐欺に注意

10月28日～11月3日の間にフィッシング対策協議会から3つの緊急情報が発表された。少なくともこの3つの情報は確認し、類似したメールが届いた場合にはフィッシング詐欺を疑い確認を取ろう。

フィッシング対策協議会　Council of Anti-Phishing Japan ｜ニュース｜緊急情報｜ WESTER をかたるフィッシング（2024/10/28）

精度の高い翻訳サービスや生成AIチャットサービスが登場してから、こうしたフィッシング詐欺に使われる文章にはとても自然な日本語が使われるようになっており、文章から詐欺の真偽を判定することは難しくなっている。それ以前であれば、違和感のある日本語や中国語で使われるフォントが使われているなどの点からフィッシング詐欺であると判断できたが、最近のフィッシング詐欺メールにはそうした不自然さはないことが多い。

少しでも内容に不自然な感じや違和感を覚えたら、受信したメールからではなく、正規のサイトやアプリから確認を取ったり連絡を入れるなどして対処することが望まれる。また、「フィッシングの報告」から情報提供を行うなどして情報共有に協力していくことも望ましい。

フィッシング対策協議会　Council of Anti-Phishing Japan

サイバーセキュリティ教育にはゲーム要素が有効かもしれない

サイバー攻撃は全方位から組織を襲ってくるため、一部の担当者が対応すればよいというものではなく、取締役から現場ワーカーも含めて組織全体で対応する必要があるとの考えが増えている。それには教育が欠かせず、そして社内文化の醸成も必要になる。

しかしながら、実際のところ社内教育で従業員に十分な知識を得てもらい、その知識を活用してもらうのは至難の業だ。資料を渡して誰もが内容を理解し履行してくれれば問題はないが、そんな現実はない。

Recorded Futureは10月28日（米国時間）、「Cybersecurity Awareness Month: Gamifying Cybersecurity Training」においてサイバーセキュリティ教育にはゲーム要素を取り入れることで効果的に進めることができるといった内容を提示した。具体的な方法が詳細に示されているわけではないが、取締役や従業員に行うサイバーセキュリティ教育に頭を悩ませている場合、1つのアイデアとして参考にできる。

Cybersecurity Awareness Month: Gamifying Cybersecurity Training

7つの産業用制御システムに注意、深刻度が緊急の脆弱性あり

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、10月28日～11月3日に7つの産業用制御システム（ICS：Industrial Control System）アドバイザリーを発行した。

セキュリティ脆弱性のいくつかは深刻度が緊急（Critical）と分類されており早急な対応が期待されている。該当する製品を使用している場合、深刻度にもよるが運用状況に合わせて可能な限り早い段階でアップデートや対策の実施を取ることが望ましい。

産業用制御システムは一旦運用が始まるとアップデートが行われないまま使われるケースは少なくない。アップデートによる不具合の発生や挙動の変更などを嫌うためだが、こうした状況はサイバー攻撃者にとって都合のよい状態であり、サイバー攻撃を受けるリスクを伴うことになる。運用計画の中にサイバーセキュリティ対策を目的としたアップデート計画を取り込み実施していくことが大切だ。

Apple製品のアップデートも

10月28日にはAppleからセキュリティアップデートが発表された。対象はiPhoneからMacまで幅広い（参考「iPhoneやMac、Apple Watchなど複数のApple製品に脆弱性、更新を | TECH+（テックプラス）」）。

今回のアップデートで修正対象となっているプロダクトは次のとおり。

iPhone XSおよびこれ以降のモデル
iPad Pro 13-inch
iPad Pro 12.9-inch第3世代およびこれ以降のモデル
iPad Pro 11-inch第1世代およびこれ以降のモデル
iPad Pro 10.5-inch
iPad第7世代およびこれ以降のモデル
iPad第6世代およびこれ以降のモデル
iPad Air第3世代およびこれ以降のモデル
iPad mini第5世代およびこれ以降のモデル
Mac Studio 2022およびこれ以降のモデル
Mac Pro 2019およびこれ以降のモデル
Mac Mini 2018およびこれ以降のモデル
MacBook Air 2020およびこれ以降のモデル
MacBook Pro 2018およびこれ以降のモデル
iMac 2019およびこれ以降のモデル
iMac Pro 2017およびこれ以降のモデル
macOS Sonoma
macOS Ventura
Apple Watch Series 6およびこれ以降のモデル
Apple TV HD and Apple TV 4Kのすべてのモデル
Apple Vision Pro

Apple製品はビジネス用途では必ずしも主流とは言えないものの、日本はiPhoneを含むApple製品の利用が特に多い国であり、かなりの数のビジネスパーソンが個人的にiPhoneやiPad、Apple Watchを使っているといった状況がある。Appleからアップデートが配信されたらアップデートは必須であり、例外的な理由がない限り即座に適用することが推奨される。

*　*　*

本記事で紹介した各製品の脆弱性情報は、いずれも深刻度が高く、迅速な対応が求められるものだ。リコー製プリンターやQNAP製品の脆弱性は、企業における業務停止やデータ漏えいといったリスクを伴い、Microsoft SharePointの脆弱性は、組織内のサーバー侵入に悪用される可能性がある。また、ネットワークカメラの脆弱性は、不正な映像の覗き見やシステムの乗っ取りといった脅威を招く可能性があるため、特に注意が必要だ。

サイバー攻撃から自分自身や組織を守るためには、提供されるアップデートやセキュリティアドバイザリーに目を向け、日常的なセキュリティ対策を徹底することが重要になる。また、パスワード管理やアプリのインストールにおいても、信頼性の確認を怠らないようにすることが求められる。この記事を参考に、セキュリティ意識を高め、日々の対策を怠らないよう努めていただければと思う。